iptables и переадресация портов маршрутизатора

0

Мне нужно получить доступ к домашнему компьютеру удаленно, используя ssh. На моем маршрутизаторе настроена переадресация портов для отправки на соответствующий компьютер в локальной сети. У меня это работает, но просмотр моего домашнего компьютера auth.log показывает, что я подключаюсь с IP-адреса маршрутизатора (он всегда один и тот же, независимо от того, с какого публичного IP-адреса я подключаюсь) Как узнать фактический публичный IP-адрес, с которого я подключаюсь? Возможно ли это с переадресацией портов на маршрутизаторе?

Моя причина в том, что я хотел бы установить некоторые правила iptables, чтобы разрешить только определенные IP-адреса. Но, как и сейчас, подключающийся пользователь всегда получает IP-адрес моего маршрутизатора, так что любой может подключиться откуда угодно.

port-forwarding iptables jon
источник

Ответы:

0

Это просто неправда, что любой может подключиться из любой точки мира. Вы можете ограничить по IP-адресу маршрутизатора NAT, что ваши «вне дома» компьютеры находятся позади, тогда они могут подключаться только от тех, кто находится за этим маршрутизатором NAT. А если вам нужна дополнительная безопасность, вы можете использовать ключи или пароль.

barlop
источник
Привет, но я говорю, что независимо от того, откуда они подключаются, все они должны войти через маршрутизатор, а затем на мой домашний компьютер. Мой домашний компьютер всегда идентифицирует соединение как от моего маршрутизатора и, следовательно, IP всегда выглядит одинаково. Вот что я вижу в auth.log
jon
@ fancypants Вы неоднозначны. Маршрутизатор подключен к вашему домашнему компьютеру, а маршрутизатор подключен к вашим удаленным компьютерам. Я не знаю, что вы подразумеваете под «они все должны войти через маршрутизатор» Какой маршрутизатор вы имеете в виду?
barlop
Есть только один роутер. Предположим, я использую ssh из общедоступного Wi-Fi McDonalds, а затем ssh из общедоступного Wi-Fi в аэропорту. Эти два разных общедоступных IP-адреса выглядят идентичными при просмотре auth.log на домашнем компьютере. Так что я не могу различить два.
jon
@ фантазии да, это реальность NAT. Вы не будете / не можете отправлять частные IP-адреса, например 192.168 или 10.0.0.10 (RFC 1918 имеет полный список частных диапазонов) через Интернет. Iptables не может быть использован там. Итак, используйте пароли или ключи. Ключ, как если бы вы постучали в чью-то дверь и представили свое лицо, они затем одобрили его (красота этого в том, что он не имеет пароля). Существуют и другие методы для дополнительной защиты ssh, например, «стук портов», хотя я раньше не пробовал этого, или блокирование их, если они слишком часто входят в систему неправильно.
barlop