Networking
在路由器上打開一個埠到所有 WAN ip,或者只是一個範圍或特定的 WAN IP
只是想看看有多少人願意在路由器上打開一個埠,比如埠 22 或 ssh 的類似埠,連接到所有外部 WAN 連接,或者只是為該服務打開一組特定的 WAN ip。這樣做是為了減少被黑客入侵的服務。該協議是 ssh,當然使用部署 ssh 的最佳實踐。我注意到最好阻止與該埠的連接,並且只允許少數外部 IP 地址能夠從已知使用者的位置進行連接。
這是矯枉過正嗎?我通常會在使用者需要這些服務時為他們打開路由器上的埠,或者被要求為需要訪問其位置的軟體/硬體供應商打開埠。我是偏執狂還是有特定的時間/應用程序需要將其硬化到那種程度?謝謝。
現在,您非常清楚地說明了“路由器”,但我認為您的意思是“防火牆”?
理想情況下,您只打開必要的內容。你越明確越好,但制定寬泛的規則是沒有問題的。例如,我通常創建一個規則,允許內部的任何主機使用 UDP/53 出站,以便內部的任何客戶端都可以進行外部 DNS 查找。但是,在允許 SSH 入站的情況下,您可以考慮為每個資源單獨或聚合規則。這樣,在調試情況下,您可以看到哪個規則與哪個流量匹配(或就此丟棄)。在這種情況下,SSH 是一種功能強大的協議,可用於將流量通過隧道傳輸到您的網路中。如果它被入侵並且您只允許任何 IP 地址連接,您可能會獲得一些樂趣。