» »

ssh povezava preko interneta

ssh povezava preko interneta

«
1
2

marjan_h ::

Zanima me kako se poveže (ssh) preko interneta na lokalni strežnik (Rpi4)?

Trenutno se lahko povežem preko lokalnega IPv4 naslova 192.168.1.3 na Rpi4. Če pogledam terminal (ifconfig) piše le loopback 127.0.0.1 in eth0 192.168.1.3.

Fsegula62 ::

Na usmerjevalniku moraš odpreti port 22/tcp
FiLiPiNKO (Fsegula62) | IT storitve www.linkomp.si | LinKomp |
Kontakt Discord - FiLiPiNKO#7826 | Na voljo za pomoč vsem. |
" Zapomnite si geslo za Google račun in privarčujte 5€! :) "

Tidule ::

ne delaj tega. Če boš direktno mapiral port na routerju potem bo to dostopno vsakemu in res ni pametno imet SSH izpostaljen direktno v omrežje. Povezave v lokalno omrežje se rešuje z VPN.

Ko pa človek vidi tak nasvet še s strani kvazi profesionalca, se pa samo še za glavo drži.

Zgodovina sprememb…

  • spremenilo: Tidule ()

sds ::

Tidule je izjavil:

ne delaj tega. Če boš direktno mapiral port na routerju potem bo to dostopno vsakemu in res ni pametno imet SSH izpostaljen direktno v omrežje. Povezave v lokalno omrežje se rešuje z VPN.


Nic ni narobe, ce ga imas ssh izpostavljen na internet, samo pac uporabljas generirana gesla (ali private key). Sicer bos imel pri uporabi porta 22 polne loge poizkusov vdora, ampak, ce imas primerno geslo, je vseeno. Ni VPN nic bolj ali manj varen, lahko je kvecemu bolj prirocen, ali pa tudi ne. Sam uporabljam v vecini primerov ssh in tunele do servisov, do katerih hocem dostopat. Imam sicer postavljen VPN pa mi je ssh bolj prakticen pristop, dokler imas v lanu obvladljivo kolicino racunalnikov.

Ce ti grejo razni poskusevalci gesel na zivce pa tole postavis in povezes s firewallom: https://www.sshguard.net/
I have no mouth, and I must scream

Zgodovina sprememb…

  • spremenilo: sds ()

sds ::

Pa se tole, ce se da komu igrati: https://github.com/danfruehauf/NetworkM...

I have no mouth, and I must scream

Zgodovina sprememb…

  • spremenilo: sds ()

energetik ::

Ne vem, zakaj si ne bi naredil še VPN strežnika, jaz imam v ta namen doma RPI zero priklopljen stalno 24/7, porabi praktično nič pa zastonj je skoraj.
Potem ne rabiš nobenih portov več nastavljat za bilo katero stvar na ruterju, vse dela kot bi bil doma.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

Tidule ::

Nic ni narobe, ce ga imas ssh izpostavljen na internet, samo pac uporabljas generirana gesla (ali private key). Sicer bos imel pri uporabi porta 22 polne loge poizkusov vdora, ampak, ce imas primerno geslo, je vseeno. Ni VPN nic bolj ali manj varen, lahko je kvecemu bolj prirocen, ali pa tudi ne.


Imet izpostavljen servis (po možnosti več njih) kjer je edina varnost geslo in uporabniško ime je pač idiotska praksa, ki se jo bo vsak inteligenten človek poskusil izognit. Razumem, da včasih ne gre drugače, ampak da pa promoviraš to kot samoumevno in varno prakso pa pač ni pametno. Če si ti prelen da bi uporaljal VPN, ali pa preprosto ne znaš postavit varne rešitve je to v prvi vrsti tovoj problem. Lahko pa vprašaš na LinKomp, če še koga rabijo, ker očitno zaposlujejo šalabajzerje.

Pa ni tukaj ključno vprašanje ali se da tudi SSH dostop boljše zaščitit, ampak je vprašanje kaj so dobre prakse za nekoga, ki postavlja tako bazična vprašanja kot je tole o zunanjem dostopu.

Zgodovina sprememb…

  • spremenilo: Tidule ()

rokp ::

Caki, saj VPN je tudi izpostavljen (in je lahko edina varnost zanj uporabnisko ime in geslo)?

Tidule ::

Zato pa zadevo resis na eni tocki in postavis ustrezno zasciten VPN, da se ne zafrkavas s tem vsakic posebej ko kaj postavljas. Resitve kot so openvpn so ze privzeto bolj varne kot direktno odpiranje porta 22.

In ja, kot sem zgoraj napisal zunanji dostop do servisov, ki je zasciten samo z geslom in uprabniskom imenom je slaba praksa.

Zgodovina sprememb…

  • spremenilo: Tidule ()

sds ::

Tidule je izjavil:

Nic ni narobe, ce ga imas ssh izpostavljen na internet, samo pac uporabljas generirana gesla (ali private key). Sicer bos imel pri uporabi porta 22 polne loge poizkusov vdora, ampak, ce imas primerno geslo, je vseeno. Ni VPN nic bolj ali manj varen, lahko je kvecemu bolj prirocen, ali pa tudi ne.


Imet izpostavljen servis (po možnosti več njih) kjer je edina varnost geslo in uporabniško ime je pač idiotska praksa, ki se jo bo vsak inteligenten človek poskusil izognit. Razumem, da včasih ne gre drugače, ampak da pa promoviraš to kot samoumevno in varno prakso pa pač ni pametno. Če si ti prelen da bi uporaljal VPN, ali pa preprosto ne znaš postavit varne rešitve je to v prvi vrsti tovoj problem. Lahko pa vprašaš na LinKomp, če še koga rabijo, ker očitno zaposlujejo šalabajzerje.

Pa ni tukaj ključno vprašanje ali se da tudi SSH dostop boljše zaščitit, ampak je vprašanje kaj so dobre prakse za nekoga, ki postavlja tako bazična vprašanja kot je tole o zunanjem dostopu.


Daj ne nabijaj, takih modernih kekcev, ki mislijo, da VPN ni "izpostavljen servis" imam ze za zadnjih 10 let dovolj. Pac pojdi spat in premisli.
I have no mouth, and I must scream

Tidule ::

Kje sem napisal da vpn ni izpostavljen servis? Sam tolk da vem al ne znas brat al ne ves o cem govoris.

Nekdo, ki je ocitno laik pride postavit enostavno vprasanje in kot odgovor dobi naj odpre port dirketno in drugi, ki zacne filizofirat o zasciti posameznega servisa z github linki...

Zgodovina sprememb…

  • spremenilo: Tidule ()

sds ::

Tidule je izjavil:

Zato pa zadevo resis na eni tocki in postavis ustrezno zasciten VPN, da se ne zafrkavas s tem vsakic posebej ko kaj postavljas. Resitve kot so openvpn so ze privzeto bolj varne kot direktno odpiranje porta 22.

In ja, kot sem zgoraj napisal zunanji dostop do servisov, ki je zasciten samo z geslom in uprabniskom imenom je slaba praksa.


Ne niso prevzeto bolj varne. Isto sranje je, samo danes je VPN moderen in zato moderni navijaci nabijajo o njem.

Tidule je izjavil:

Kje sem napisal da vpn ni izpostavljen servis? Sam tolk da vem al ne znas brat al ne ves o cem govoris.


No v glavnem, pri njegovem raspberryu je vpn nepotrebna komplikacija. Pa ce se na trepalnice postavis.
I have no mouth, and I must scream

Zgodovina sprememb…

  • spremenilo: sds ()

Tidule ::

Torej openvpn je nekaj kar ne poznas. Dobro vedet, ko bos naprej pametoval.

Zgodovina sprememb…

  • spremenilo: Tidule ()

sds ::

Tidule je izjavil:

Kje sem napisal da vpn ni izpostavljen servis? Sam tolk da vem al ne znas brat al ne ves o cem govoris.

Nekdo, ki je ocitno laik pride postavit enostavno vprasanje in kot odgovor dobi naj odpre port dirketno in drugi, ki zacne filizofirat o zasciti posameznega servisa z github linki...


Ja ja ze vredu veliki majstor. :)) Pojdi bugtraq pogledat, pa bos utihnil.
I have no mouth, and I must scream

Zgodovina sprememb…

  • spremenilo: sds ()

Tidule ::

Jansa nic ne tvita, pa moras tukaj smetit?

sds ::

Tidule je izjavil:

Jansa nic ne tvita, pa moras tukaj smetit?

Pojdi se malo o modernih tehnologijah prebrati, da bos lahko kaj citiral. Pac se en navijac, taki so nam prinesli od nosqla do blockchaina za vsako irelevantno nalogo, kjer bi tudi najbolj preprosta resitev zadostovala za vse vecne case. Potem imajo pa fragmetnacijo paketkov na VPNjih ipd. Ampak glavno da se dobro slisi.
I have no mouth, and I must scream

Zgodovina sprememb…

  • spremenilo: sds ()

rokp ::

Tidule je izjavil:

Nekdo, ki je ocitno laik pride postavit enostavno vprasanje in kot odgovor dobi naj odpre port dirketno in drugi, ki zacne filizofirat o zasciti posameznega servisa z github linki...


... in tretji, ki mu svetuje resitev z dodatnim overheadom/enkapsulacijo ... ;)

Tidule ::

sds je izjavil:

Tidule je izjavil:

Jansa nic ne tvita, pa moras tukaj smetit?

Pojdi se malo o modernih tehnologijah prebrati, da bos lahko kaj citiral. Pac se en navijac, taki so nam prinesli od nosqla do blockchaina za vsako irelevantno nalogo, kjer bi tudi najbolj preprosta resitev zadostovala za vse vecne case. Potem imajo pa fragmetnacijo paketkov na VPNjih ipd. Ampak glavno da se dobro slisi.

Se enkrat pocasi preberi kaj OP sprasuje in kaksen je njegov problem in posledicno doseg iskanja resitev. Bos mogoce razumel zakaj se smesis.

rokp je izjavil:

Tidule je izjavil:

Nekdo, ki je ocitno laik pride postavit enostavno vprasanje in kot odgovor dobi naj odpre port dirketno in drugi, ki zacne filizofirat o zasciti posameznega servisa z github linki...


... in tretji, ki mu svetuje resitev z dodatnim overheadom/enkapsulacijo ... ;)


In cetrti katerega uporaben doprinos se vedno cakamo.

Zgodovina sprememb…

  • spremenilo: Tidule ()

sds ::

Tidule je izjavil:

sds je izjavil:

Tidule je izjavil:

Jansa nic ne tvita, pa moras tukaj smetit?

Pojdi se malo o modernih tehnologijah prebrati, da bos lahko kaj citiral. Pac se en navijac, taki so nam prinesli od nosqla do blockchaina za vsako irelevantno nalogo, kjer bi tudi najbolj preprosta resitev zadostovala za vse vecne case. Potem imajo pa fragmetnacijo paketkov na VPNjih ipd. Ampak glavno da se dobro slisi.

Se enkrat pocasi preberi kaj OP sprasuje in kaksen je njegov problem in posledicno doseg iskanja resitev. Bos mogoce razumel zakaj se smesis.



Ja, ja, ze prav, veliki tiger. Prestar sem ze za ves bullshit, ki si ga "wanna be" mularija izmisli.
I have no mouth, and I must scream

Zgodovina sprememb…

  • spremenilo: sds ()

HotBurek ::

Enim dela bralno razumevanje kr težave. :))

Vprašanje je zelo jasno: Zanima me kako se poveže (ssh) preko interneta na lokalni strežnik (Rpi4)?

Dogovor:

1: Odpret je treba port 22 TCP na ruterju in ga forwardirat na 192.168.1.3.
2: Nakonfigurirat sshd_config (/etc/sshd) da ima ListenAddress 192.168.1.3. To je verjetno že urejeno, glede na to, da v lokalni mreži SSH dostop dela. Se pa preverit z ukazom: netstat -anotlp | grep 22

Potem pa gasa.

Je pa res, da se bodo tudi nekateri drugi želeli povezati in login-ati na ta server. Pa zelo vztrajni bodo. In glede tega se lahko nekaj naredi.

Opcije:
1: Zelo doglo geslo (like 30, 40 random znakov).
2: Ali pa ssh-keygen.

In spremljanje aktivnosti v log file-u:
tail -f /var/log/auth.log

Ter, če se iz interneta vedno povezuješ iz iste lokacije (npr. firma, ki ima statičen public IP), lahko pri sebi na firewall-u omejiš, da se na port 22 lahko povežeš samo iz tistega IP-ja. S tem odpadejo praktično (skoraj) vse nevarnosti.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

HotBurek ::

Kar se tiče pa sshd vs. OpenVPN.

Glede na to, da sshd razvijajo OpenBSD-jaši, ki so mahnjeni na... well wecurity, je čisto možno, da je sshd kot software bolj varen od OpenVPN-ja.

Goals: OpenBSD believes in strong security. Our aspiration is to be NUMBER ONE in the industry for security (if we are not already there).

Vir: https://www.openbsd.org/security.html
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

mambli ::

Če že misliš uporabljati SSH navzven, potem vsaj uporabi kakšen nestandardni višji port in ga potem mapiraš na routerju na port 22

kow ::

Pomoje je najbolj simpl:
- odpres ssh na 22
- nimas passworda, ampak generiras public/private key
- na clientu ga imas zakriptiranega z geslom - primer: "SlotechJeSelVMaloro"
- ce se vedno povezujes s firme, omejis dostop na IP

Zgodovina sprememb…

  • spremenil: kow ()

c3p0 ::

Če VPN ni opcija...

SSH passworde bi dal na off kot prvo.

Port na routerju na neko cifro tipa 38238. Eni scannerji ga sčasoma vseeno odkrijejo, sumim da slow-scannajo cel internet port by port. ampak teh je malo.

Možnost je še kak port-knocking.

marjan_h ::

HotBurek je izjavil:


1: Odpret je treba port 22 TCP na ruterju in ga forwardirat na 192.168.1.3.


OK. Torej ko odprem port (katerikoli) se na programskem požarnem zidu (na usmerjevalniku) odblokira dostop preko tega porta?
Kaj pa pomeni forwardirati?

In, ko oboje storim, se bo v terminalu (ifconfig ukaz) izpisal globalni IP naslov? Ker sedaj imam le 192.168.1.3 in loopback.

Nimam ravno veliko znanja o računalniških omrežjih. Hvala.

rokp ::

Narediti moras port forward (na usmerjevalniku) za nek port (X), ki ga preusmeris na port 22 na 192.168.1.3. Potem preveris, kaksen javni IP imas (recimo, da gres na http://ip.preveri.si), od zunaj se potem povezes na ta javni IP na port X. ifconfig ti bo se vedno kazal samo 192.168.1.3 in loopback.

sds ::

Se enkrat za vse prestrasence glede portov (stevilka v tcp headerju paketka) in gesel (za katerega ne das prve besede v slovarju ampak nekaj primerno dolgega in zakompliciranega, sploh ker mora uganiti se username), ce sshguarda povezes s firewallom, bo prej ipv6 addres zmanjkalo kot bo kdo prisel notri.

https://www.sshguard.net

Razen tega ima se dodatno ugodnost, da preizkusevalec na drugi strani ne more vec priti do nobenega drugega porta. Private key authentikacija je prirocna, ce racunas, da se bos vedno povezoval s svojega racunalnika, je pa ekstra sitna za vse ostalo.

In mimogrede, se ni bilo omenjeno, TOTP tudi ni pretirano komplicirano postaviti (pam_oath).
I have no mouth, and I must scream

Zgodovina sprememb…

  • spremenilo: sds ()

sds ::

HotBurek je izjavil:

In spremljanje aktivnosti v log file-u:
tail -f /var/log/auth.log


https://www.sshguard.net
I have no mouth, and I must scream

Ales ::

Heh, zanimivo, kak mini flame war med SSH in VPN... :D

Popularna alternativa sshguardu je tudi fail2ban. Oba sta del večine distribucij, toplo priporočam...

sds ::

Ales je izjavil:

Heh, zanimivo, kak mini flame war med SSH in VPN... :D


Mah ni flame war samo pac nekateri se palijo na kaj je "moderno" namesto na use-case. Pac waste of time.

Ales je izjavil:

Popularna alternativa sshguardu je tudi fail2ban. Oba sta del večine distribucij, toplo priporočam...


sshguard je spisan v cju (ne rabis pythona na serverju), pa hitreje se odziva pri dodajanje ipjev v pf (verjetno ni krivda na strani fail2ban ampak pythona, v vsakem primeru nekaj cesar vecina tule ne bo nikoli srecala), sicer pa oba opravita svojo nalogo.

https://www.fail2ban.org
I have no mouth, and I must scream

Zgodovina sprememb…

  • spremenilo: sds ()

Apple ::

Kaj pa uporaba Tailscalea?
LP, Apple

c3p0 ::

CSF tudi ni slab.

sds ::

Kaj pa, ce bi uporabili nekaj kar je po defaultu na voljo? A je bolj cool, ce navleces na masino neka jajca, ki jih ne rabis? Samo vprasam, ker nekako opazam, da je izredno popularno vlaciti na serverje prekompleksne stvari, za katere se lahko navija, namesto, da bi uporabilo kar je na voljo ze desetletja. Mogoce pa ni "stara tehnologija" ampak v nulo izpiljena tehnologija ... :) Saj veste, tiste cudne stvari kot "less is more" ipd... :)
I have no mouth, and I must scream

Zgodovina sprememb…

  • spremenilo: sds ()

tony1 ::

"Ter, če se iz interneta vedno povezuješ iz iste lokacije (npr. firma, ki ima statičen public IP), lahko pri sebi na firewall-u omejiš, da se na port 22 lahko povežeš samo iz tistega IP-ja. S tem odpadejo praktično (skoraj) vse nevarnosti."

Tole. Omejitev dostopa po (javnem) source IPju je najbolj enostavna, klasična, preverjena in rešitev, ki je povsod na voljo.

zee ::

1. ssh port forwarding
2. Prijava dovoljena samo za specifična uporabniška imena.
3. Avtentikacija preko SSH ključev
4. Fail2ban z malo bolj ostrimi kriterijih za blokado.

VPN je boljša in bolj zapletena rešitev. Imho.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Zgodovina sprememb…

  • spremenilo: zee ()

UganiKdo ::

Clovek sprasuje taoonosnovne stvari kot kaj pomeni port forward... ampak vazno da so nekateri vsi mokri, ko pametujejo.

Zgodovina sprememb…

  • predlagal izbris: garamond ()

c3p0 ::

sds je izjavil:

Kaj pa, ce bi uporabili nekaj kar je po defaultu na voljo? A je bolj cool, ce navleces na masino neka jajca, ki jih ne rabis? Samo vprasam, ker nekako opazam, da je izredno popularno vlaciti na serverje prekompleksne stvari, za katere se lahko navija, namesto, da bi uporabilo kar je na voljo ze desetletja. Mogoce pa ni "stara tehnologija" ampak v nulo izpiljena tehnologija ... :) Saj veste, tiste cudne stvari kot "less is more" ipd... :)


Odvisno od namena mašine. Včasih moraš zagotovit neko znosno zaščito proti brute force napadom na večih servisih, uporabniki so pa neznanci, ki povrhu dosti potujejo po svetu.

GupeM ::

UganiKdo je izjavil:

Clovek sprasuje taoonosnovne stvari kot kaj pomeni port forward... ampak vazno da so nekateri vsi mokri, ko pametujejo.

Ravno zato bi mu priporočal VPN. Karkoli ostalega bo čaral, bo izpostavil mašino več nevarnostim.

DostMam ::

SSH in VPN sta enako varna. VPN zahteva več znanja pri vzpostavitvi strežnika, omogoča pa tuneliranje komletnega prometa klienta. Tuneliranje več servisov skozi SSH zahteva več dela pri klientu, ko pa gre za en sam servis, je pravgotovo prava izbira.
Tisto, kar je predlagal kow, 24. jun 2022, 14:58:56, zadostuje. Sam bi še zamenjal standardni port 22 in bi si sploh ne belil glave, da se bo kakšen hud analizator omrežja do konca časa ukvarjal z mojimi malinami.

sds ::

GupeM je izjavil:

UganiKdo je izjavil:

Clovek sprasuje taoonosnovne stvari kot kaj pomeni port forward... ampak vazno da so nekateri vsi mokri, ko pametujejo.

Ravno zato bi mu priporočal VPN. Karkoli ostalega bo čaral, bo izpostavil mašino več nevarnostim.


Aha, in znas postaviti VPN, da bo varen? Samo vprasam. :))
I have no mouth, and I must scream

Zgodovina sprememb…

  • spremenilo: sds ()

GupeM ::

sds je izjavil:


Aha, in znas postaviti VPN, da bo varen? Samo vprasam. :))

Ne, bedak sem. Skoraj tako velik kot ti.

marjan_h ::

Dobro, sem si prebral. Port forwarding omogoča da usmerjevalnik preusmeri zahtevek na pravi naslov in port znotraj lokalnega omrežja. Sedaj pa vprašanje: Če imam več strežnikov (PC, RPI4) znotraj lokalnega omrežja in želim vzpostaviti ssh povezavo z dvema. To pomeni, da moram forwardirati port 22 na oba?

Zakaj ima moj RPI4 samo loopback naslov in lokalni IPv4 naslov? Saj komunicira z internetom, zakaj nima še globalnega? (Ima le eth0 in lo)

rokp ::

Ne, dva razlicna porta na routerju forwardas na port 22 na dveh razlicnih internih IP naslovih.
Zato, ker translacijo lokalnega (privatnega) naslova v javnega naredi usmerjevalnik.

HotBurek ::

Port 22001 na 192.168.1.3:22
Port 22002 na 192.168.1.7:22
Port 22003 na 192.168.1.15:22
Itn.

Ko se potem povzuješ iz interneta domov, moraš tiste porte upoštevat.

Primer:
ssh user1@193.2.1.66 -p 22001
ssh user1@193.2.1.66 -p 22002
ssh user1@193.2.1.66 -p 22003

Lahko si tudi bolj lepo zmapiraš:

22003 na host 192.168.1.3:22
22005 na host 192.168.1.7:22
22015 na host 192.168.1.15:22
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zimonem ::

marjan_h je izjavil:

Dobro, sem si prebral. Port forwarding omogoča da usmerjevalnik preusmeri zahtevek na pravi naslov in port znotraj lokalnega omrežja. Sedaj pa vprašanje: Če imam več strežnikov (PC, RPI4) znotraj lokalnega omrežja in želim vzpostaviti ssh povezavo z dvema. To pomeni, da moram forwardirati port 22 na oba?

Zakaj ima moj RPI4 samo loopback naslov in lokalni IPv4 naslov? Saj komunicira z internetom, zakaj nima še globalnega? (Ima le eth0 in lo)

Loopback ima 127.0. 0.1 da najde samega sebe. Lokalnega ima da se ugnezdi v mrežo.

111111111111 ::

Samo prosim ne odpirat porta 22. Se ti bodo kitajci gor obesli.

Odpri nek random port in vse skupaj preusmeri preko tega.
Če prisloniš uho na vroč šporhet, lahko zavohaš kak si fuknjen.

Tidule ::

marjan_h je izjavil:

Dobro, sem si prebral. Port forwarding omogoča da usmerjevalnik preusmeri zahtevek na pravi naslov in port znotraj lokalnega omrežja. Sedaj pa vprašanje: Če imam več strežnikov (PC, RPI4) znotraj lokalnega omrežja in želim vzpostaviti ssh povezavo z dvema. To pomeni, da moram forwardirati port 22 na oba?

Zakaj ima moj RPI4 samo loopback naslov in lokalni IPv4 naslov? Saj komunicira z internetom, zakaj nima še globalnega? (Ima le eth0 in lo)


In potem prideš do tega zakaj je direkten SsH in port routing neumnost. Enkrat skonfiguriraš VPN in je to to, namesto da vsakič delaš doktorske dizertacije, ko dodaš kak servis.

marjan_h ::

Nekaj sem razmišljal in prišel do nejasnih zaključkov.

In sicer, noben v tej temi ni odgovoril, zakaj ipconfig/ifconfig vrne samo privatni naslov. Kakor razumem, mora vsak računalnik povezan v internet imeti tudi javni naslov. Sedaj ena stvar je to domače omrežje (NAT/PAT) ali karkoli že je, kako usmerjevalnik ve, kateremu računalniku v domačem omrežju poslati paket? Naslovljen je kam? Na tvoj usmerjevalnik z javnim IP naslovom ali tvoj računalnik, tablica, mobitel znotraj lokalnega omrežja?

HotBurek ::

Kakor razumem, mora vsak računalnik povezan v internet imeti tudi javni naslov.

Ne. Sicer pa, v tvojem primeru je ta računalnik tvoj router/modem, in ta ima javni naslov. Tvoj PC računalnik, ki je "za" njim, v privat IP rangu, se povezuje "preko" njega.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

secops ::

marjan_h je izjavil:

Nekaj sem razmišljal in prišel do nejasnih zaključkov.

In sicer, noben v tej temi ni odgovoril, zakaj ipconfig/ifconfig vrne samo privatni naslov. Kakor razumem, mora vsak računalnik povezan v internet imeti tudi javni naslov. Sedaj ena stvar je to domače omrežje (NAT/PAT) ali karkoli že je, kako usmerjevalnik ve, kateremu računalniku v domačem omrežju poslati paket? Naslovljen je kam? Na tvoj usmerjevalnik z javnim IP naslovom ali tvoj računalnik, tablica, mobitel znotraj lokalnega omrežja?


V osnovi paket izhaja iz lokalnega omrežja (recimo tvoj PC) in gre preko routerja v internet.
Tvoj PC ugotovi, da destination IP ni v tvojem omrežju in zato paket pošlje na default gateway - routerju. Ta zamenja source IP paketa s svojim zunanjim IPjem ter source port na neko naključno visoko številko. To translacijo si zabeleži v NAT tabelo in nato popravljen paket pošlje naprej tvojemu internetnemu ponudniku. Ko nato čez čas prileti odgovor na routerjev zunanji IP in tisti naključni port, pogleda router v NAT tabelo komu v lokalnem omrežju mora paket posredovati. Popravi destination IP na pravi lokalni IP in ga pošlje v lokalno omrežje.

Druga opcija je, da na routerju nastaviš port forwarding, kjer poveš, da naj router vse pakete, ki so naslovljeni nanj in na port XXX posreduje na lokalni naslov A.B.C.D na port YYY, na tak način odpreš pot paketom, ki niso odgovor na paket iz tvojega lokalnega omrežja, kot v zgornjem primeru. Na ta način, lahko spletni strežnik, ki ga imaš postavljenega v svojem lokalnem omrežju odpreš proti internetu.

Zgodovina sprememb…

  • spremenilo: secops ()
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Domači VPN (strani: 1 2 3 )

Oddelek: Omrežja in internet
12724637 (10485) Daniel
»

"Port scan" stanje na IPv4 omrežju (strani: 1 2 )

Oddelek: Omrežja in internet
559404 (8324) AštiriL
»

Domači strežnik (strani: 1 2 )

Oddelek: Omrežja in internet
8012816 (10909) Zalachenko
»

Port Forwarding nikakor noče delovati?

Oddelek: Pomoč in nasveti
217690 (6830) AC_DC
»

VPN za routerjem

Oddelek: Omrežja in internet
264180 (3508) trnvpeti

Več podobnih tem