คุณมีเครื่องในเครือข่ายภายในที่คุณต้องการเข้าถึงจากโลกภายนอกหรือไม่? การใช้โฮสต์ป้อมปราการเป็นผู้ดูแลเครือข่ายของคุณอาจเป็นวิธีแก้ปัญหา
Bastion Host คืออะไร?
Bastion แปลตามตัวอักษรว่าเป็นสถานที่ที่ได้รับการเสริมกำลัง ในแง่คอมพิวเตอร์ มันเป็นเครื่องบนเครือข่ายของคุณที่สามารถเป็นผู้รักษาประตูสำหรับการเชื่อมต่อขาเข้าและขาออก
คุณสามารถตั้งค่าโฮสต์ป้อมปราการของคุณเป็นเครื่องเดียวที่จะยอมรับการเชื่อมต่อขาเข้าจากอินเทอร์เน็ต จากนั้น ตั้งค่าเครื่องอื่นๆ ทั้งหมดในเครือข่ายของคุณ ให้รับเฉพาะการเชื่อมต่อขาเข้าจากโฮสต์ Bastion ของคุณเท่านั้น สิ่งนี้มีประโยชน์อะไร?
เหนือสิ่งอื่นใด ความปลอดภัย โฮสต์ป้อมปราการตามชื่อสามารถมีความปลอดภัยที่เข้มงวดมาก มันจะเป็นด่านแรกในการป้องกันผู้บุกรุกและดูแลให้เครื่องจักรที่เหลือของคุณได้รับการปกป้อง
นอกจากนี้ยังทำให้ส่วนอื่นๆ ของการตั้งค่าเครือข่ายของคุณง่ายขึ้นเล็กน้อย แทนที่จะส่งต่อพอร์ตที่ระดับเราเตอร์ คุณเพียงแค่ส่งต่อพอร์ตขาเข้าหนึ่งพอร์ตไปยังโฮสต์ Bastion ของคุณ จากที่นั่น คุณสามารถแยกสาขาไปยังเครื่องอื่นๆ ที่คุณต้องการเข้าถึงบนเครือข่ายส่วนตัวของคุณได้ ไม่ต้องกลัว สิ่งนี้จะกล่าวถึงในหัวข้อถัดไป
ไดอะแกรม
นี่คือตัวอย่างการตั้งค่าเครือข่ายทั่วไป หากคุณต้องการเข้าถึงเครือข่ายภายในบ้านของคุณจากภายนอก คุณจะต้องเข้ามาทางอินเทอร์เน็ต เราเตอร์ของคุณจะส่งต่อการเชื่อมต่อนั้นไปยังโฮสต์ป้อมปราการของคุณ เมื่อเชื่อมต่อกับโฮสต์ Bastion แล้ว คุณจะสามารถเข้าถึงเครื่องอื่นๆ ในเครือข่ายของคุณได้ เช่นเดียวกัน จะไม่สามารถเข้าถึงเครื่องจักรอื่นนอกเหนือจากโฮสต์ของป้อมปราการได้โดยตรงจากอินเทอร์เน็ต
ผัดวันประกันพรุ่งพอได้เวลาใช้ปราการ
1. DNS แบบไดนามิก
ผู้เชี่ยวชาญในหมู่คุณอาจสงสัยว่าจะเข้าถึงเราเตอร์ที่บ้านของคุณผ่านทางอินเทอร์เน็ตได้อย่างไร ผู้ให้บริการอินเทอร์เน็ต (ISP) ส่วนใหญ่กำหนดที่อยู่ IP ชั่วคราวให้คุณ ซึ่งมีการเปลี่ยนแปลงบ่อยๆ ผู้ให้บริการอินเทอร์เน็ตมักจะคิดค่าใช้จ่ายเพิ่มเติมหากคุณต้องการที่อยู่ IP แบบคงที่ ข่าวดีก็คือเราเตอร์ยุคใหม่มักจะมี DNS แบบไดนามิกในการตั้งค่า
Dynamic DNS จะอัปเดตชื่อโฮสต์ของคุณด้วยที่อยู่ IP ใหม่ตามช่วงเวลาที่กำหนด เพื่อให้แน่ใจว่าคุณสามารถเข้าถึงเครือข่ายในบ้านของคุณได้เสมอ มีผู้ให้บริการหลายรายที่ให้บริการดังกล่าว ซึ่งหนึ่งในนั้นคือ No-IP ที่มีระดับฟรี . โปรดทราบว่าระดับฟรีจะทำให้คุณต้องยืนยันชื่อโฮสต์ของคุณทุกๆ 30 วัน มันเป็นเพียงกระบวนการ 10 วินาทีที่พวกเขาเตือนให้ทำต่อไป
หลังจากที่คุณสมัครใช้งานแล้ว ให้สร้างชื่อโฮสต์ ชื่อโฮสต์ของคุณจะต้องไม่ซ้ำกัน แค่นั้นเอง หากคุณเป็นเจ้าของเราเตอร์ Netgear พวกเขาเสนอ DNS แบบไดนามิกฟรีซึ่งไม่จำเป็นต้องมีการยืนยันรายเดือน
ฉันจะลดขนาดไฟล์ jpeg ได้อย่างไร
ตอนนี้ลงชื่อเข้าใช้เราเตอร์ของคุณและค้นหาการตั้งค่า DNS แบบไดนามิก สิ่งนี้จะแตกต่างจากเราเตอร์กับเราเตอร์ แต่ถ้าคุณไม่พบมันที่ซ่อนอยู่ภายใต้การตั้งค่าขั้นสูง ให้ตรวจสอบคู่มือผู้ใช้ของผู้ผลิตของคุณ โดยทั่วไปการตั้งค่าสี่อย่างที่คุณต้องป้อนคือ:
- ผู้ให้บริการ
- ชื่อโดเมน (ชื่อโฮสต์ที่คุณเพิ่งสร้าง)
- ชื่อเข้าสู่ระบบ (ที่อยู่อีเมลที่ใช้สร้าง DNS แบบไดนามิกของคุณ)
- รหัสผ่าน
หากเราเตอร์ของคุณไม่มีการตั้งค่า DNS แบบไดนามิก No-IP จะจัดเตรียมซอฟต์แวร์ให้คุณ ติดตั้งบนเครื่องของคุณ เพื่อให้บรรลุผลเช่นเดียวกัน เครื่องนี้จะต้องออนไลน์ เพื่อให้ DNS แบบไดนามิกเป็นปัจจุบันอยู่เสมอ
2. การส่งต่อพอร์ตหรือการเปลี่ยนเส้นทาง
ตอนนี้เราเตอร์จำเป็นต้องทราบตำแหน่งที่จะส่งต่อการเชื่อมต่อขาเข้า โดยอิงตามหมายเลขพอร์ตที่อยู่ในการเชื่อมต่อขาเข้า แนวปฏิบัติที่ดีคืออย่าใช้พอร์ต SSH เริ่มต้น ซึ่งก็คือ 22 สำหรับพอร์ตสาธารณะ
เหตุผลที่ไม่ใช้พอร์ตเริ่มต้นเป็นเพราะแฮ็กเกอร์มีตัวดมกลิ่นพอร์ตโดยเฉพาะ เครื่องมือเหล่านี้ตรวจสอบพอร์ตที่รู้จักกันดีที่อาจเปิดอยู่บนเครือข่ายของคุณอย่างต่อเนื่อง เมื่อพบว่าเราเตอร์ของคุณยอมรับการเชื่อมต่อบนพอร์ตเริ่มต้น พวกเขาจะเริ่มส่งคำขอเชื่อมต่อด้วยชื่อผู้ใช้และรหัสผ่านทั่วไป
แม้ว่าการเลือกพอร์ตแบบสุ่มจะไม่หยุดการดมกลิ่นที่ร้ายกาจโดยสิ้นเชิง แต่จะลดจำนวนคำขอที่ส่งถึงเราเตอร์ของคุณลงอย่างมาก หากเราเตอร์ของคุณสามารถส่งต่อพอร์ตเดียวกันได้เท่านั้น ก็ไม่เป็นปัญหา เพราะคุณควรตั้งค่าโฮสต์ bastion ของคุณให้ใช้การรับรองความถูกต้องของคู่คีย์ SSH ไม่ใช่ชื่อผู้ใช้และรหัสผ่าน
การตั้งค่าของเราเตอร์ควรมีลักษณะดังนี้:
- ชื่อบริการที่สามารถเป็น SSH
- โปรโตคอล (ควรตั้งค่าเป็น TCP)
- ท่าเรือสาธารณะ (ควรเป็นพอร์ตสูงที่ไม่ใช่ 22 ให้ใช้ 52739)
- IP ส่วนตัว (IP ของโฮสต์ป้อมปราการของคุณ)
- พอร์ตส่วนตัว (พอร์ต SSH เริ่มต้นคือ 22)
ป้อมปราการ
สิ่งเดียวที่ป้อมปราการของคุณต้องการคือ SSH หากไม่ได้เลือกไว้ในขณะที่ทำการติดตั้ง ให้พิมพ์:
sudo apt install OpenSSH-client
sudo apt install OpenSSH-server
เมื่อติดตั้ง SSH แล้ว อย่าลืมตั้งค่าเซิร์ฟเวอร์ SSH ให้ตรวจสอบสิทธิ์ด้วยคีย์แทนรหัสผ่าน ตรวจสอบให้แน่ใจว่า IP ของโฮสต์ Bastion ของคุณเหมือนกับ IP ที่กำหนดไว้ในกฎการส่งต่อพอร์ตด้านบน
เราสามารถเรียกใช้การทดสอบอย่างรวดเร็วเพื่อให้แน่ใจว่าทุกอย่างใช้งานได้ เพื่อจำลองการอยู่นอกเครือข่ายในบ้านของคุณ คุณสามารถ ใช้อุปกรณ์สมาร์ทของคุณเป็นฮอตสปอต ในขณะที่ใช้ข้อมูลมือถือ เปิดเทอร์มินัลแล้วพิมพ์ แทนที่ด้วยชื่อผู้ใช้ของบัญชีบนโฮสต์ Bastion ของคุณและตั้งค่าที่อยู่ในขั้นตอน A ด้านบน:
ssh -p 52739 @
หากทุกอย่างได้รับการตั้งค่าอย่างถูกต้อง ตอนนี้คุณควรเห็นหน้าต่างเทอร์มินัลของโฮสต์ Bastion ของคุณ
3. อุโมงค์
คุณสามารถเจาะข้อมูลอะไรก็ได้ผ่าน SSH (ภายในเหตุผล) ตัวอย่างเช่น หากคุณต้องการเข้าถึงการแชร์ SMB บนเครือข่ายในบ้านของคุณจากอินเทอร์เน็ต ให้เชื่อมต่อกับโฮสต์ Bastion ของคุณและเปิดช่องสัญญาณเพื่อแชร์ SMB สำเร็จคาถานี้เพียงแค่รันคำสั่งนี้:
ssh -L 15445::445 -p 52739 @
คำสั่งจริงจะมีลักษณะดังนี้:
ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net
การแยกคำสั่งนี้เป็นเรื่องง่าย การดำเนินการนี้จะเชื่อมต่อกับบัญชีบนเซิร์ฟเวอร์ของคุณผ่านพอร์ต SSH ภายนอกของเราเตอร์ 52739 การรับส่งข้อมูลภายในเครื่องใดๆ ที่ส่งไปยังพอร์ต 15445 (พอร์ตที่กำหนดเอง) จะถูกส่งผ่านอุโมงค์ข้อมูล จากนั้นส่งต่อไปยังเครื่องด้วย IP 10.1.2.250 และ SMB พอร์ต 445
หากคุณต้องการฉลาดจริงๆ เราสามารถตั้งชื่อแทนคำสั่งทั้งหมดได้โดยพิมพ์:
alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'
ตอนนี้สิ่งที่คุณต้องพิมพ์ในเทอร์มินัลใน sss และบ๊อบก็เป็นลุงของคุณ
เมื่อทำการเชื่อมต่อแล้ว คุณสามารถเข้าถึงการแชร์ SMB ของคุณด้วยที่อยู่:
smb://localhost:15445
ซึ่งหมายความว่าคุณจะสามารถเรียกดูการแชร์ในเครื่องจากอินเทอร์เน็ตได้เหมือนกับว่าคุณอยู่ในเครือข่ายท้องถิ่น ดังที่กล่าวไว้ คุณสามารถเจาะข้อมูลทุกอย่างด้วย SSH ได้ แม้แต่เครื่อง Windows ที่เปิดใช้งานเดสก์ท็อประยะไกลก็สามารถเข้าถึงได้ผ่านช่องสัญญาณ SSH
สรุป
บทความนี้ครอบคลุมมากกว่าแค่โฮสต์ในป้อมปราการ และคุณทำได้ดีมากในการมาไกลถึงขนาดนี้ การมีโฮสต์ป้อมปราการจะหมายความว่าอุปกรณ์อื่นๆ ที่มีบริการที่ถูกเปิดเผยจะได้รับการคุ้มครอง นอกจากนี้ยังช่วยให้แน่ใจว่าคุณสามารถเข้าถึงแหล่งข้อมูลเหล่านี้ได้จากทุกที่ในโลก อย่าลืมฉลองด้วยกาแฟ ช็อคโกแลต หรือทั้งสองอย่าง ขั้นตอนพื้นฐานที่เรากล่าวถึงคือ:
- ตั้งค่า DNS แบบไดนามิก
- ส่งต่อพอร์ตภายนอกไปยังพอร์ตภายใน
- สร้างช่องสัญญาณเพื่อเข้าถึงทรัพยากรในพื้นที่
คุณต้องการเข้าถึงแหล่งข้อมูลในท้องถิ่นจากอินเทอร์เน็ตหรือไม่? คุณใช้ VPN เพื่อทำสิ่งนี้หรือไม่? คุณเคยใช้อุโมงค์ SSH มาก่อนหรือไม่?
เครดิตภาพ: TopVectors/ ฝากรูปถ่าย
แบ่งปัน แบ่งปัน ทวีต อีเมล 3 วิธีในการตรวจสอบว่าอีเมลจริงหรือปลอมหากคุณได้รับอีเมลที่ดูน่าสงสัย คุณควรตรวจสอบความถูกต้องเสมอ ต่อไปนี้คือ 3 วิธีในการบอกได้ว่าอีเมลนั้นเป็นของจริงหรือไม่
อ่านต่อไป หัวข้อที่เกี่ยวข้อง- ลินุกซ์
- ความปลอดภัย
- ความปลอดภัยออนไลน์
- ลินุกซ์
Yusuf ต้องการอยู่ในโลกที่เต็มไปด้วยธุรกิจนวัตกรรม สมาร์ทโฟนที่มาพร้อมกับกาแฟคั่วเข้ม และคอมพิวเตอร์ที่มีสนามพลังน้ำที่ขับไล่ฝุ่นเพิ่มเติม ในฐานะนักวิเคราะห์ธุรกิจและจบการศึกษาจากมหาวิทยาลัยเทคโนโลยีเดอร์บัน ด้วยประสบการณ์มากกว่า 10 ปีในอุตสาหกรรมเทคโนโลยีที่เติบโตอย่างรวดเร็ว เขาสนุกกับการเป็นคนกลางระหว่างคนสายเทคนิคและคนที่ไม่ใช่ด้านเทคนิค และช่วยให้ทุกคนก้าวทันเทคโนโลยีที่ล้ำหน้า
เพิ่มเติมจาก Yusuf Limaliaสมัครรับจดหมายข่าวของเรา
เข้าร่วมจดหมายข่าวของเราสำหรับเคล็ดลับทางเทคนิค บทวิจารณ์ eBook ฟรี และดีลพิเศษ!
คลิกที่นี่เพื่อสมัครสมาชิก