"ping 10.26.14.16" выполнен успешно. «nmap -p 5016 10.26.14.16» не удалось. Почему?
Did I do all the steps necessary in order for non-local computers to be unable to even try to log into my server?
Вы не позволили им войти на ваш сервер как пользователь root . Так что это имеет значение:
- Если вы когда-нибудь добавите ключ SSH для второй учетной записи.
- Во время любых действий по обслуживанию, подобных этим, когда вы временно разрешали вход с паролем. Если вы грубо не отключите свою сеть от Интернета, но я заметил, что вы не упомянули об этом в своих шагах.
Если вы планируете ответить на поставленный выше вопрос, лучше запрограммировать его напрямую. Например, я полагаю, что вы могли бы контролировать вход в систему всех пользователей с помощью одной строки.Это позволит избежать необходимости «временно» открывать себя для -интернет-атак с подбором пароля -:-).
AllowUsers *@192.168.0.*Но вы не должны полагаться на конфигурацию демона SSH. Вы должны спросить, почему вы не применяете эту политику в центральном брандмауэре. Если вам не нужны не -локальные входы в систему, нет необходимости подвергать себя гипотетическим ошибкам, например, в коде предварительной аутентификации -вашего SSH-сервера.
Я ограничусь одним непрошеным советом. Вы можете быть удивлены, если когда-нибудь улучшите свои локальные системы для преобразования имен хостов в адреса IPv6, даже непреднамеренно. Поскольку приведенное выше не позволит установить какое-либо соединение с адресом IPv6 :). Если вы полагаетесь исключительно на центральный брандмауэр, вам также не придется беспокоиться об этом.
Простейшая сетевая конфигурация — это наличие централизованного брандмауэра, который отделяет вашу локальную сеть от интернет-трафика (и всего остального, например. гостевая беспроводная связь ). Блокируйте любое подключение из Интернета, если у вас нет особой причины для его разрешения.
Это было стандартизировано по умолчанию на маршрутизаторах для дома и малого бизнеса. (Вы все равно должны проверить такие предположения, потому что эти устройства, как известно, дешевы и -небезопасны. Эта конкретная проблема очень очевидна, и ее действительно замечают участники кампании, но известно, что некоторые устройства сделали «неправильный» выбор, когда они впервые внедрили IPv6 ).
Конечно, если вы хотите, вы также можете настроить «избыточный» брандмауэр на самом хосте. Например. это потенциально полезно для применения политики по умолчанию «Нет открытых портов» -по -в Ubuntu или Debian . Недостатком является то, что о брандмауэрах сложно помнить, настраивать и устранять неполадки, когда они что-то ломают, и теперь у вас есть два отдельных! Переход от одного к двум значительно увеличивает сложность,каждый раз, когда вы хотите начать использовать чистое серверное приложение (, такое как SSH ), или одноранговое -к -одноранговое приложение, которое не разработало какой-либо максимально надежный вариант пробивки отверстий .
Следующей простейшей конфигурацией сети является добавление избыточных опций в стиле sshd
ListenAddress. Чтобы добавить некоторую поддержку IPv6, вы можете убедиться, что ваш маршрутизатор назначает уникальные локальные адреса, а также глобально маршрутизируемые адреса -, и прослушивать уникальный локальный адрес. Когда у вас есть IPv6, принудительное использование определенныхListenAddressдобавляет существенный запас прочности. Это отличается от времени, когда у вас был только IPv4, и Интернет все равно не смог бы атаковать ваш сервер (из-за NAT ), если только
- ваш сервер был маршрутизатором или
- у вас был чистый модем, а не комбинация модем+маршрутизатор или
- вы арендовали как минимум один дополнительный глобальный IP-адрес, и он был назначен вашему серверу.
В общем, использование брандмауэра (все же имело бы смысл, и я не могу вспомнить никаких конкретных исключений ), рассматривая подобные
ListenAddressкак второй запас прочности.Кодирование конфигурации демона SSH с использованием не только собственного IP-адреса сервера, но и диапазона сети, в которой он находится, безусловно, является наименее желательной из перечисленных здесь методик :).
I am "Unable to connect to TEST server 10.26.14.16:5016" from B. Why ? A is configured as linux as a router.
Пока вы не скажете B использовать A в качестве шлюза, вы можете «настраивать A как маршрутизатор» в течение всего дня, это ничего не даст.
Даже если вы сделаете (1 ), сообщения ICMP REDIRECT сообщат B напрямую подключиться к брандмауэру.
Даже если бы A и B не находились в одном сегменте, простая маршрутизация из B через A все равно активировала бы настройки для B в брандмауэре (или не активировала бы настройки для A, мы не знаем точной настройки FW ).
TL;DR :То, что вы пытаетесь сделать, так не сработает.
Если вы можете контролировать A, есть несколько способов заставить B «замаскироваться» под A. Поскольку вы не сказали нам, чего хотите достичь, (просто подключитесь к порту 5016 на 10.26.14.26, где бы он ни находился. является? Что-то другое? ), и до какой степени вы можете что-то сделать на A (иметь разные правила для A и B в брандмауэре, если вы полностью контролируете A не имеет смысла ), мы не можем сказать вам лучший способ.
И, возможно, вам не следует пытаться обойти правила брандмауэра для B, они могут быть там по причине (, о которой вы опять нам не сообщили ).