在 NAT 環境中將臨時埠轉發到內部主機是否安全？

簡短的故事，我想將 SSH 從 NATed 環境中的盒子公開到網際網路，但更願意在高（臨時範圍內）埠上進行。將臨時埠轉發到內部網路是否安全，或者它是否會導致 NAT 表出現問題以進行傳出流量？換句話說，如果我在我的 Mikrotik 的臨時範圍內定義了 DSTNAT（埠轉發）規則，那麼它將排除它用於 SRCNAT 嗎？

1. 它不是“臨時埠”，除非它是隨機選擇的連接埠。您說的是普通的高端口號或未保留的埠，以 1025 及以上開頭的任何內容。
2. 是的，只要您的其他安全措施井然有序，這很好。我在埠 2222 上執行 SSH 以減少腳本小子因登錄嘗試失敗而炸毀我的日誌的情況。

有一個值得注意的潛在問題：如果某人對您的伺服器具有非 root 訪問權限，授予或通過其他漏洞，並且他們可以設法使您的 SSH 伺服器崩潰，他們可以執行自己的 SSH 伺服器，因為該埠允許非根程序。如果您通過 SSH 連接到他們的 SSH 守護程序並執行了一個操作su，或者sudo他們可以獲取密碼並做各種有趣的事情。

引用自：https://serverfault.com/questions/627863