Port

在 NAT 環境中將臨時埠轉發到內部主機是否安全?

  • September 11, 2014

簡短的故事,我想將 SSH 從 NATed 環境中的盒子公開到網際網路,但更願意在高(臨時範圍內)埠上進行。將臨時埠轉發到內部網路是否安全,或者它是否會導致 NAT 表出現問題以進行傳出流量?換句話說,如果我在我的 Mikrotik 的臨時範圍內定義了 DSTNAT(埠轉發)規則,那麼它將排除它用於 SRCNAT 嗎?

  1. 它不是“臨時埠”,除非它是隨機選擇的連接埠。您說的是普通的高端口號或未保留的埠,以 1025 及以上開頭的任何內容。
  2. 是的,只要您的其他安全措施井然有序,這很好。我在埠 2222 上執行 SSH 以減少腳本小子因登錄嘗試失敗而炸毀我的日誌的情況。

有一個值得注意的潛在問題:如果某人對您的伺服器具有非 root 訪問權限,授予或通過其他漏洞,並且他們可以設法使您的 SSH 伺服器崩潰,他們可以執行自己的 SSH 伺服器,因為該埠允許非根程序。如果您通過 SSH 連接到他們的 SSH 守護程序並執行了一個操作su,或者sudo他們可以獲取密碼並做各種有趣的事情。

引用自:https://serverfault.com/questions/627863