简而言之,我想将 NAT 环境中的盒子中的 SSH 暴露到互联网,但更愿意在高端口(在临时范围内)上执行此操作。将临时端口转发到内部网络是否安全,或者是否会导致 NAT 表出现传出流量问题?换句话说,如果我在临时范围内的 Mikrotik 上定义 DSTNAT(端口转发)规则,那么它是否会将其排除在 SRCNAT 之外?
答案1
它不是“临时端口”,除非它是随机选择的用于连接的端口。你谈论的是普通的高端口数, 或者未保留端口,以 1025 开头或以上的任何数字。
是的,只要您的其他安全措施都已妥善,这样做就没问题。我在端口 2222 上运行 SSH,以减少脚本小子因登录尝试失败而破坏我的日志的情况。
有一个值得注意的潜在问题:如果有人拥有您服务器的非 root 访问权限(已授予或通过其他漏洞),并且他们可以设法使您的 SSH 服务器崩溃,那么他们就可以运行自己的 SSH 服务器,因为该端口允许非 root 程序使用。如果您通过 SSH 进入他们的 SSH 守护程序并执行了
su或,sudo他们就可以获取密码并进行各种有趣的操作。