如何安全地允许特定的远程IP访问专用网络上的特定服务器?

如何安全地允许特定的远程IP访问专用网络上的特定服务器?

我有 HPC,我希望人们能够远程使用它,而无需让他们访问专用网络中的其他计算机。其他计算机正在网络上运行。我正在使用端口转发。

sudo firewall-cmd --zone=public --add-source=192.34.1.145 --runtime-to-permanent

其中 192.34.1.145 是特定的远程 IP。我究竟做错了什么?如何编写脚本以仅允许他们从特定 IP 访问特定服务器,而无法破解专用网络上的数据?我认为他们将能够看到我的其他计算机。

答案1

这并不能完全回答您的问题,但是,最简单的方法之一是使用两个路由器将您想要从 Internet 访问的计算机放在与其他计算机物理隔离的网络上。一个好的路由器将允许您指定源 IP 地址和转发到内部 IP 的端口。

将两个路由器连接到您的主互联网路由器。将可访问 Internet 的计算机放置在一台路由器后面,将其余计算机放置在另一台路由器后面。然后,可访问 Internet 的计算机位于其自己的网络上,无法看到其他路由器后面的其他计算机。不要忘记在路由器上打开可访问 Internet 的计算机的端口,并在主路由器上打开可访问 Internet 的路由器的端口。

您可能不想使用廉价的消费者路由器,因为它很容易从可访问互联网的计算机上被黑客攻击。或者,你可以放类似的东西dd-wrt路由器上的固件。在路由器上使用很长的密码有助于防止暴力破解路由器密码。

如果你想变得更奇特,你可以使用像 Raspberry Pi 这样的东西作为你的路由器。然后您可以根据自己的喜好对其进行自定义。

编辑:

您确实需要两个路由器连接到您的主路由器。有一种东西叫做ARP 缓存中毒这可以允许插入主路由器的被劫持计算机重定向所有通过被劫持计算机的 LAN 流量。这可能允许该机器劫持其他路由器后面的机器。这被称为中间人 (MITM) 攻击

答案2

这是我在阅读 Twitch Finger 的答案后使用的解决方案。

  1. 使用 HPC 设置 DMZ,并将 SSH 调用端口转发到它(使用主路由器)。添加了特定 IP 的白名单。本质上它们是公开的。
  2. 设置辅助路由器以为我的个人设备创建专用网络。

相关内容