hdg8gg wrote:
最正確的做法就是用ssh...(恕刪)
嗨 hdg8gg大大,這個做法還蠻不錯的,是類似tunnel的概念,但GCP最廉價的方案,在平常ssh操作還有瀏覽器的操作還有上傳映像檔的話,會不會有流量超過的問題呢,想請問大大平常是怎麼做些甚麼操作和經驗來參考。再麻煩大大了,謝謝
ZhengYe wrote:
嗨 j90s5520(恕刪)
我更正一下
我說的router OS不是那個routeros
是泛指路由系統
例如ddwrt、openwrt、等等的~~
routeros x86有license問題
以公司來說我覺得還不錯用夠穩定
但我個人是用過ddwrt跟openwrt跟routeros
目前持續使用的是openwrt
你可以看一下站上分享的
有個大大有分享過
我非本科
所以你可以知道我的曲線
應該不比你小~~
架設到現在一年多
沒有被ddos打趴過
電腦一(WorkStation)
cpu:i7-3820
RAM:16G(DDR3)
mb:p9x79
gpu:AX6670
HDD:SSD128G+
ZhengYe wrote:
嗨 arodaa大大(恕刪)
可能要先確認從ADSL出來的線,是接到wifi分享器的WAN口還是LAN口,從圖中看起來應該是有開啟ADSL的硬撥(因為ADSL有IP,且可以轉port),如果ADSL出來是接到wifi分享器的LAN口,那麼就直接轉port就可以了,例如把對外IP的1111port,轉到openvpn指定的1194port,如果接到WAN口就不行(圖看起來是接WAN口)
但是考量中華電信提供的Wifi分享器可能不是太好,而且你的Linux Server有二張網卡,若是不怕折騰的話,可以考慮關閉ADSL的硬撥,然後在VM裡裝一個Openwrt的軟體路由負責撥號與防火牆,再從Linux Server接網線到wifi分享器純做AP功能,從效能跟安全性來說都會好很多,對岸有很多軟路由的教學可以看一下,簡單說架構會變成ADSL-Proxmox(有Linux Server與Openwrt二個VM)-Wifi分享器,小弟平常就是用上面架構連回家中網路,基本上進入Proxmox的WebUI或是用SSH的延遲都很小
ZhengYe wrote:
嗨 a6595085(恕刪)
不是,SS跟V2Ray的概念是代理(Proxy)的概念
他可以把TCP或是UDP的封包轉送到伺服器端,透過伺服器端出去。
這邊舉個例子給你看
假設你的代理Server端的Port開在2233,IP是1.2.3.4
跟Server端相連的網段是192.168.0.0/24
那這時候如果你從外面的網路要連線192.168.0.200的設備
你可以透過1.2.3.4:2233這個端口把你的封包丟到這台Server,
然後Server會依照它裡面的路由表,自行分配要前往的下一個hop。
那這種代理方式可以做到部分代理,也可以全部代理。
那首先說明一下全部代理,這個就是把你電腦上所有封包,都往這個代理Server送,
因此當你去查詢你目前上網對外IP的時候,你的IP會是1.2.3.4。
那假設你今天只想要把前往192.168.0.0/24的封包往代理伺服器送,
那這時候只要設定好,除了192.168.0.0/24以外的封包都不會送到代理伺服器。
也就是建立連線後,你就可以在外面直接輸入192.168.0.200:22直接連線到你要的設備。
總結一下,你只需要跟代理伺服器建立連線後,就可以做到類似VPN的概念,
並且這種作法效率高,安全性也不差,因為所有封包在Server/Client都有做過加密。
佈署的部分你可以把Server端架在Openwrt上,或是Linux上,方便快速。
站在資訊安全的立場,只有最好的準備、最壞的打算
但往往可會因為這樣,而限制了一般使用者的操作
-------------------------------------------------------------
對於入門操作者來說,他的主要目的在於 遠端進入ssh去
執行自已的專案,當然vpn是資安首選方案,但不論是各
種的vpn,設定方式對於入門者來說都,有一定的難度。
上面各位的建議的vpn方案,你都可以參考。
====================================
我另外可以建議你一個方法
同樣,在你的區網必須要有一台Router,不論是AP Router,
或是一般的Router
中華電信小烏規進網只拉一條線到AP Router(Router),區網
下的路由、DHCP配發亦或撥號pppoe、nat、qos,全由自購
的AP Router(Router)來處理。(一來效能比較好、二來控管在
你身上,不在中華電信)
中華電信取得固定IP
Router 設定 內網port 轉發
例如,你的中華電信對外的固定ip是 100.100.100.100
你家中的linux Server (準備要連ssh的那台)內網ip是192.0.0.50、預設的ssh port 為22
正常來說,你可以在router中設定 內網nat轉發,100.100.100.100:22 to 192.0.0.50:22
意思就是你在外面,只要使用ssh軟體,連線100.100.100.100:22 即會連線到你家中的那台linux Server。
這裡就有變通的方法
你可以修改linux server 中ssh 預設的監聽port 為 任意port 1~65535 ,當然要確認有無佔用
你也可以修改router中 外網對應nat 轉發
如 我改成 100.100.100.100:5978 to 192.0.0.50:34522
你在外網,只要使用ssh,連100.100.100.100:5978
就可以進入你的linux了
在內外網都改的情況下,一般駭客比較無法知道你的port口的協議是什麼
一般常用的協議 22 ssh、25 ftp、80 http(web)、443https(Web)...很多很多常用固定的
駭客當然會使用各種常用協議來掃port口(cost time),但你只是個nobody,而且你有很多手段在為你的門上鎖、不要使用root做登入,多用sudo,另外對外port口常換,甚至在你的外網22port,轉發到其它公網22port來餵魚,就可以大大減少這種問題。
這種就跟,你的摩拖車上大鎖就能防止人家來偷你車嗎?想要偷的,還是有辦法整台載走的
當然,如果你的專案,是絕頂機密,不可承受任何的資安假設,那VPN 絕對是你的首選
淡定紅茶 ˊ_>ˋ
紅茶有助思考、談判、穩定感情
內文搜尋
從 APP 打開
X