• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Łączenie się z serwerem poza siecią lokalną

VPS Starter Arubacloud
0 głosów
128 wizyt
pytanie zadane 8 lipca w Sieci komputerowe, internet przez sworip Nowicjusz (120 p.)
Zacznę od tego, że jestem dopiero początkującym jeżeli chodzi o sieci i brakuje mi obycia w tym środowisku. Zrobiłem sobie w domu prosty server postawiony na Debianie. Chciałbym jednak móc jakoś połączyć się z tym serwerem poza domem. Chyba najprostszym sposobem jest łączenie się przez SSH, ale nie wiem jak to ugryźć, żeby móc kontrolować ten server poza domem. Widziałem podobne wątki na forum, ale większość była pisana przez osoby, które mają już jakieś pojęcie. Ja potrzebuję pomocy z wyjaśnieniem dlaczego tak a nie inaczej jak dla początkującego.
Nie wiem czy musi się to wiązać z jakimiś kosztami. Z tego co udało mi się wyczytać to mogę jakoś udostępnić ten serwer przez otwarcie portu na routerze, ale nie wiem do końca jak tego dokonać i czy jest to bezpieczne.

Dodatkowe pytanie brzmi: Czy mogę to przetestować w jakiś sposób będąc w domu? Mieszkam na wsi gdzie nie łapie mi zasięg by móc zrobić hotspota, ani nie posiadam żadnego VPN. (To znaczy mam z antywirusa, ale przypuszczam, że nie działa bo po jego włączeniu wciąż komputer łączył się przez LAN).
1
komentarz 8 lipca przez Oscar Nałogowiec (29,320 p.)

Każde takie połączenia wymaga posiadania 'gdzieś' publicznego adresu IP. To może być adres u ciebie w domu (najlepiej), ale może też być to adres jakiegoś serwera, np. VPS. Można wtedy połączyć się ssh z tym serwerem i przekierować jakiś port na tym serwerze na twój komputer domowy po połączeniu ssh. Oczywiście najlepiej nie port 22.

Tylko trzeba pamiętać, że w sieci buszuje mnóstwo skanerów i innych szpiegów, które próbują się zalogować poprzez ssh na różne 'popularne' konta, stosując typowe hasła (atak słownikowy). Jako root możesz poleceniem lastb sprawdzić co się działo.

$ lastb
pi       ssh:notty    193.201.9.156    Fri Jul  5 03:49 - 03:49  (00:00)
test     ssh:notty    193.201.9.156    Fri Jul  5 02:47 - 02:47  (00:00)
test     ssh:notty    193.201.9.156    Fri Jul  5 02:47 - 02:47  (00:00)
admin    ssh:notty    193.201.9.156    Fri Jul  5 01:45 - 01:45  (00:00)
admin    ssh:notty    193.201.9.156    Fri Jul  5 01:45 - 01:45  (00:00)
admin    ssh:notty    193.201.9.156    Fri Jul  5 00:43 - 00:43  (00:00)
admin    ssh:notty    193.201.9.156    Fri Jul  5 00:43 - 00:43  (00:00)
root     ssh:notty    193.201.9.156    Thu Jul  4 23:41 - 23:41  (00:00)
admin    ssh:notty    193.201.9.156    Thu Jul  4 22:41 - 22:41  (00:00)
admin    ssh:notty    193.201.9.156    Thu Jul  4 21:45 - 21:45  (00:00)
admin    ssh:notty    193.201.9.156    Thu Jul  4 21:45 - 21:45  (00:00)
root     ssh:notty    193.201.9.156    Thu Jul  4 20:44 - 20:44  (00:00)

 

Jak widać, nawet na malinkę, która słucha na niestandadowym porcie też ciągle próbują. Zanim zaczniesz poustawiaj porządne hasła na wszystkich kontach, a najlepiej w pliku konfiguracyjneym serwera ssh zablokuj logowanie na hasło - zostaw tylko na klucz. Domyślnie taka blokada jest na konto root. No i oczywiście zablokować sudo - jak ktoś zgadnie hasło to i zrobi sudo.

 

komentarz 8 lipca przez sworip Nowicjusz (120 p.)
Dziękuję za rady. Z tego co widzę to na kanale PI z serwerów Ubuntu są sposoby na większość tych rzeczy. Nie znalazłem jeszcze zmiany portu, ale zgaduję, że też tam jest. Prawdopodobnie przejrzę całą playlistę :)
komentarz 8 lipca przez Oscar Nałogowiec (29,320 p.)
edycja 8 lipca przez Oscar

Port na którym słucha serwer ustalasz w pliki konfuguracyjnym serwera /etc/ssh/sshd_config, masz tam linijkę

Port 22

którą możesz przedytować według potrzeb.

Gdy łączysz się z serwerem na niestandadowym porcie:

ssh -p port user@a.b.c.d

Jednak jest możliwość zmiany portów poza komputerem - router jak robi przekierowanie portów zwykle może mieć inne numery portów po stronie LAN i WAN, podobnie przekierowanie ssh.

komentarz 8 lipca przez sworip Nowicjusz (120 p.)
edycja 9 lipca przez sworip
Zmieniłem port i działa jak powinno, ale mam pewien problem. Nie mogę teraz połączyć się przez FTP, wcześniej nie było z tym problemu, działało nawet bez dodatkowej instalacji na serwerze. Nie bardzo wiem w jaki sposób naprawić problem z tym portem. (firewall jest otwarty) Zgaduję, że błąd jest przez domyślny port 20/21 przy łączeniu się filezilli.

 

(Edit) Rozwiązałem już problem. Wystarczyło przysiąść nowego dnia ze świeżą głową i dopisać do ip w FileZilli "sftp://" i zmienić port z domyślnego. Wszystko śmiga już jak wcześniej.

1 odpowiedź

+1 głos
odpowiedź 8 lipca przez mattrattus Gaduła (4,080 p.)
Pierwsze pytanie czy Twój dostawca internetu udostępni Ci np. stały adres IP?
Jeżeli tak - sprawa jest prosta. Po tym adresie łączysz się z routerem. Następnie na routerze ustawiasz przekierowanie portu 22 na lokalny adres IP tego serwera - "gotowe".

Trudniej jeżeli nie dostajesz takiego adresu wraz usługą internetu.
W tym przypadku kolejne - czy Twój ISP udostępnia adres dynamiczny ale jako publiczny?
Wtedy pomocny będzie serwis typu https://www.noip.com/

Zakładasz u nich profil, na routerze konfigurujesz tego usługodawcę w opcjach DDNS i dalej ustawiasz już przekierowanie po porcie na ten serwer.
komentarz 8 lipca przez sworip Nowicjusz (120 p.)

Z tego co widzę to niestety stałego adresu IP nie posiadam w ofercie. Stąd mam dwa pytania.
1. Jak sprawdzić czy dynamiczne IP jest publiczne?
2. Czy stałe IP == wykupienie domeny? Bo jeżeli tak to może lepiej wydać nie wielką ilość pieniędzy za roczny dostęp i skonfigurować to w jakiś sposób pod siebie. Tylko jak mogę się zabezpieczyć w przypadku publicznego ip? Dostawcy oferują wraz z domeną jakieś zabezpieczenia czy wszystko pozostaje na głowie kupującego?
(Miały być dwa pytania a wyszło więcej, ale chcę po prostu zrozumieć na jakiej zasadzie to działa smiley)

komentarz 8 lipca przez Oscar Nałogowiec (29,320 p.)
edycja 8 lipca przez Oscar

@mattrattus, To czy adres jest stały i to czy jest publiczny to dwa niezależne czynniki. W sumie są 4 możliwe przypadki.

komentarz 9 lipca przez mattrattus Gaduła (4,080 p.)

@sworip, sprawdzisz to u swojego dostawcy. Zadzwoń i zapytaj.

Co do stałego IP / domeny. Nie, nie - to są dwie różne sprawy.

Czy kwestia tego serwera to jest to że go masz i chcesz się uczyć? Czy to że musisz postawić właśnie ten? Bo jeżeli to jest kwestia nauki i nie przeskoczysz kwestii dostępów to możesz zacząć przygodę np. z https://mikr.us/ lub nawet na www.ovh.pl masz za kilka zł / mc lub nawet oracle cloud - darmowy serwer czy nawet AWS na 12mc do nauki wystarczy.

Wracając do sprawy dostępów - dowiedz się co Ci oferuje Twój dostawa, na tej podstawie i tego co napisałem wyżej masz już jakieś opcje.

W razie czego pytaj :)

Inna sprawa - bezpieczeństwo o którym pisał ktoś powyżej. Nie wchodziłem na te kwestie, ale to będzie podstawa - zmiana domyślnego portu, przygotowanie klucza do logowania itd. To zostawiam na osobny temat jak będziesz miał pytania.

komentarz 10 lipca przez mattrattus Gaduła (4,080 p.)

@Oscar, wiem o tym. Wyraźnie napisałem że najlepszym rozwiązaniem jest stały od ISP. Jeżeli go nie ma to pozostaje mu jedynie opcja dynamicznego ale publicznego.

Bo przykładowo LTE - play i inne mają dynamiczny ale bez możliwości uzyskania go jako publiczny. Pytanie co @sworip ma od swojego dostawcy i na tej podstawie mozna mu konkretnie podpowiedzieć.

Skoro pytał o opcje bez podania szczegółów - to ma takie jak mu napisałem. Jak powie nam więcej to można mu wtedy precyzyjnie doradzić.

Podobne pytania

0 głosów
1 odpowiedź 936 wizyt
0 głosów
0 odpowiedzi 324 wizyt
pytanie zadane 25 grudnia 2017 w Systemy operacyjne, programy przez Hiskiel Pasjonat (22,830 p.)
0 głosów
1 odpowiedź 357 wizyt

92,843 zapytań

141,784 odpowiedzi

320,859 komentarzy

62,177 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Wprowadzenie do ITsec, tom 2

Można już zamawiać tom 2 książki "Wprowadzenie do bezpieczeństwa IT" - będzie to około 650 stron wiedzy o ITsec (17 rozdziałów, 14 autorów, kolorowy druk).

Planowana premiera: 30.09.2024, zaś planowana wysyłka nastąpi w drugim tygodniu października 2024.

Warto preorderować, tym bardziej, iż mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy dodatkowe 15% zniżki! Dziękujemy zaprzyjaźnionej ekipie Sekuraka za kod dla naszej Społeczności!

...