shell - 外网SSH通过非22端口进入内网,请问有没有可能通过使用避免暴露端口?
问题是这样,想提供SSH访问,但IP不够多,所以采用端口映射,把一个IP的一个端口段都映射出去,但用户通过终端登录就必须加上端口号,像大家都知道的那样,这样会暴露端口:
$ssh -p ${port} root@${hostname}
那么请允许我贪心一点,能不能用某种方式,将参数p隐藏起来?比如反向代理什么的?
$ssh root@${domainname}
请问有没有这个可能性?
Maison > Questions et réponses > le corps du texte
问题是这样,想提供SSH访问,但IP不够多,所以采用端口映射,把一个IP的一个端口段都映射出去,但用户通过终端登录就必须加上端口号,像大家都知道的那样,这样会暴露端口:
$ssh -p ${port} root@${hostname}
那么请允许我贪心一点,能不能用某种方式,将参数p隐藏起来?比如反向代理什么的?
$ssh root@${domainname}
请问有没有这个可能性?
怪我咯2017-04-26 09:03:24
1.Oui. Le mécanisme de frappe de ssh.
L'adresse est
http://www.ibm.com/developerw...
mais elle n'est pas couramment utilisée.
(Pour les particuliers, denyhosts peut également obtenir l'effet).
2. Je suis heureux que vous puissiez réfléchir à cette question, mais généralement, les entreprises n'ont qu'un seul port ouvert sur le monde extérieur, soit 80.
En même temps, ils fourniront un serveur VPN.
De plus, il existe ce qu'on appelle une machine bastion spécifiquement utilisée pour ssh vers d'autres serveurs.
Comme ma 213ème réponse, ajoutez quelques liens :
1. Machine Springboard (avec l'adresse open source de la machine Springboard)
http://os.51cto.com/art/20140...
2. Machine Bastion (machine tremplin) + série d'articles sur l'implémentation LDAP
/a/11...
3.vpn, oui, il est préférable d'avoir une couche de VPN attachée à l'extérieur du tremplin
http://blog.cnezsoft.com/blog...
4.jumpserver
http://jumpserver.org/
仅有的幸福2017-04-26 09:03:24
En fait, cela ne doit pas être si compliqué. Vous pouvez utiliser securecrt pour vous connecter à un serveur, puis accéder à d'autres machines via le mode proxy ssh. Cela équivaut à utiliser le protocole ssh pour accéder à d'autres serveurs intranet via un agent ssh. Dans ce cas, la sécurité peut être considérablement augmentée.