Мне нравится иметь возможность подключаться к своему серверу по ssh (шокирует, я знаю). Проблема возникает, когда я путешествую, где я сталкиваюсь с множеством брандмауэров в отелях и других учреждениях, имеющих различные конфигурации, иногда довольно тупые.
Я хотел бы настроить прослушивание sshd на порту, который имеет высокую вероятность прохождения через этот беспорядок. Есть предложения?
В настоящее время sshd прослушивает нестандартный (но < 1024) порт, чтобы избежать стука скрипт-кидди в дверь. Этот порт часто блокируется, как и другой нестандартный порт, где находится мой сервер IMAP.
У меня есть службы, работающие на портах 25 и 80, но все остальное — честная игра. Я думал, что, возможно, 443.
Очень признателен!
Рид
решение1
Я не понимаю, почему 443 не должен работать.
Однако я всегда сомневаюсь в запуске sshd на порту, отличном от 22. Я сам не пробовал, но это безопасность через неизвестность. Это дает в основном ложное чувство безопасности. Многие боты тратят время на сканирование портов хоста перед атакой или если 22 закрыт. Если 22 работает на большинстве брандмауэров, я бы просто вернулся к использованию 22 и настроил пары ключей для аутентификации и полностью отключил аутентификацию по паролю (независимо от того, вернетесь ли вы обратно на 22 или нет)
443 звучит как хороший выбор, так как он должен быть открыт часто.
решение2
443 - не очень хорошая идея. Особенно порт 443 - опасное решение, если вы не будете использовать его для SSL-трафика. Во-первых, Gmail или любой крупный поставщик услуг отметят вас как публичный прокси-сервер (они отмечают, что все работает на 443 без SSL-приложений). Также некоторые профессиональные брандмауэры также блокируют любой трафик на 443 без SSL. Из-за прокси-программ, таких как Ultrasurf или Thor и т. д., возможно, вы можете вернуть его к 23 или оставить на 22. Если вам не нравятся брутфорсеры на SSHD, я могу посоветовать вам использовать Fail2ban.http://www.fail2ban.org/wiki/index.php/Главная_страница Это идеальное решение для защиты sshd, а также ftp-серверов и т. д.
решение3
Я бы сказал, что 443 был бы хорошим портом, хотя имейте в виду, что некоторые брандмауэры могут проводить проверку содержимого, чтобы убедиться, что трафик порта 443 на самом деле https. Есть также некоторые странные места, где не любят зашифрованный трафик, поэтому запретите порт 443.
В зависимости от настроек порт 53 может быть подходящим вариантом, если только они не ограничили исходящий трафик только своими собственными DNS-серверами.
Также может возникнуть вопрос, можно ли использовать запасной IP-адрес. Вам не обязательно, чтобы ваш веб-сервер прослушивал каждый IP-адрес, которым владеет ваш сервер, в этом случае вы можете просто использовать порт 80, который с наименьшей вероятностью будет заблокирован IP.
Опять же, вероятно, не стоит размещать ваш ssh-сервер на известном порту, когда вы пытаетесь сделать его скрытым. И на портах 80 и 443 могут быть встроенные прокси-серверы, которые не позволят вам сделать это.
решение4
Я поддерживаю VPN для нескольких пользователей, которые используют свои системы для множества сетей с ограничениями. По моему опыту, нет ни одного порта, который вы можете прослушивать и который будет работать 100% времени. Если вам нужна высокодоступная связь, вам, вероятно, нужно настроить свою систему на прием соединений на многих портах.
Просто настройте SSH для прослушивания определенного порта, а затем используйте NAT, чтобы сделать его доступным на других портах.
Поскольку вы упомянули, что порт 80 используется. Если у вас есть Apache, работающий на порту 80, вы даже можете настроить его как прокси. Но, пожалуйста, убедитесь, что вы нашли время, чтобы понять, как правильно настроить доступ, чтобы вы не стали открытым прокси.
К сожалению, если вы действительно хотите, чтобы ваша система была доступна из сетей с ограничениями, вам, скорее всего, придется много сканировать. Те же протоколы, которые обычно разрешены через брандмауэры, являются теми, которые обычно используются и сканируются. Настройте что-то вроде denyhosts или fail2ban, чтобы ваша система блокировала людей.