我运营一个学校网络,它有一台 ILS(图书馆管理系统)服务器和大约 10 台计算机实验室计算机。实验室计算机都运行 XP pro,并通过一系列集线器 -> 家用路由器(dhcp 服务器、dns 服务器、pppoe 客户端)(是的,这是一所相当小的学校)-> 调制解调器 -> 电话线进行连接。计算机实验室计算机需要上网,ILS 服务器有一个 OPAC(在线公共访问目录),我需要能够远程访问它。只需在浏览器的地址栏中输入服务器的主机名或 IP 即可从本地网络上的计算机访问它,因此我认为可以安全地假设它在端口 80 上运行,所有 Web 流量的默认端口。我还需要远程访问服务器上的 Samba 共享,并通过 PuTTY 进行远程 ssh 访问。我计划实现这一点的方法是转发端口 80、22 以及 Samba 运行的任何端口(需要稍后查找)。我的问题分为两部分,并假设外部(全局)IP 是静态的:
- 它会起作用吗?
- 它安全吗?我的意思是劫持端口 80 会破坏其他计算机的 Web 访问吗?举个例子,假设实验室计算机 A
/向 发出请求http://google.com。Google 收到此请求,并通过端口 80 返回 HTML 文档。它不会转到实验室计算机 A,而是转到服务器,因为端口 80 被转发到那里。这显然是一个问题,因为实验室计算机 A 没有收到 Google 的主页,因此他无法搜索内容。
答案1
它会起作用吗?
部分地。
安全吗?我的意思是劫持 80 端口是否会破坏其他计算机的网络访问?
在路由器上转发 HTTP 和 SSH 非常容易,如果您保持图书馆系统更新,它可能会非常安全。
将 SMB 开放到互联网会很棘手,而且从安全角度来看非常危险。如果您需要远程访问 SMB,我强烈建议您考虑设置某种 VPN,而不是将 SMB 暴露在互联网上。
设置端口转发不会破坏工作站发出的任何外发请求。路由器通常仅在请求发往路由器的外部地址时才进行地址转换。
答案2
它会起作用。当谷歌回复你时,它不会回复到端口 80,而是从源端口 80 回复到目标端口 > 1024,该端口由计算机 A 在发送请求时用作源端口。
无论如何,路由器的 NAT 部分的设计就是为了让你想要的东西发挥作用
答案3
我同意 Zoredache 的观点,VPN 是正确的选择(我听说过 OpenVPN 的好评)。
但是,您可以考虑仅转发 ssh 并从您具有 ssh 访问权限的计算机上执行工作(这很快捷并且非常容易)。
/约翰
答案4
您说它没有加密,但没关系。我仍然可以使用用户名/密码访问限制方案设置身份验证。这将阻止 SMB 共享中的文件公开访问。现在我能想到的由于缺乏加密而留下的唯一问题是,一旦我的一个用户通过身份验证并远程下载内容,有人就可以拦截未加密的流量并阅读它。这对我来说并不重要。这只是孩子们的功课,不会用于传输任何敏感信息。利用此漏洞的另一种方法是拦截流量并在其位置注入其他虚假流量。假设用户尝试下载文件 A。 MITM 拦截下载流量,窃取文件 A 的内容,然后用其他数据替换流量。现在这对我来说也不是问题,因为人们会知道他们得到的不是他们期望的文件。他们会知道出了问题,然后重试或不依赖它。
你的第三点是 M$ 的实现很糟糕。现在,根据我思考你的意思是,这不应该适用于我。你看,我的 SMB 服务器运行的是 ubuntu linux,只有远程客户端会运行 windows。这仍然令人担忧吗?
我剩下的就是我暴露了其他我可能不想暴露的端口。你能具体说一下吗?这实际上会导致什么最糟糕的结果?
好的,非常感谢您抽出时间,这会让我的生活变得轻松很多。
附言:如果我的问题不是很清楚,我深表歉意,过去 3 天我大概只睡了 8 个小时,所以我真的精疲力竭了。我尽力让问题尽可能清晰连贯,但如果您有任何问题,请直接问我。