在路由器上打開一個埠到所有 WAN ip，或者只是一個範圍或特定的 WAN IP

只是想看看有多少人願意在路由器上打開一個埠，比如埠 22 或 ssh 的類似埠，連接到所有外部 WAN 連接，或者只是為該服務打開一組特定的 WAN ip。這樣做是為了減少被黑客入侵的服務。該協議是 ssh，當然使用部署 ssh 的最佳實踐。我注意到最好阻止與該埠的連接，並且只允許少數外部 IP 地址能夠從已知使用者的位置進行連接。

這是矯枉過正嗎？我通常會在使用者需要這些服務時為他們打開路由器上的埠，或者被要求為需要訪問其位置的軟體/硬體供應商打開埠。我是偏執狂還是有特定的時間/應用程序需要將其硬化到那種程度？謝謝。

現在，您非常清楚地說明了“路由器”，但我認為您的意思是“防火牆”？

理想情況下，您只打開必要的內容。你越明確越好，但制定寬泛的規則是沒有問題的。例如，我通常創建一個規則，允許內部的任何主機使用 UDP/53 出站，以便內部的任何客戶端都可以進行外部 DNS 查找。但是，在允許 SSH 入站的情況下，您可以考慮為每個資源單獨或聚合規則。這樣，在調試情況下，您可以看到哪個規則與哪個流量匹配（或就此丟棄）。在這種情況下，SSH 是一種功能強大的協議，可用於將流量通過隧道傳輸到您的網路中。如果它被入侵並且您只允許任何 IP 地址連接，您可能會獲得一些樂趣。

引用自：https://serverfault.com/questions/341582