É seguro encaminhar uma porta efêmera para um host interno em um ambiente NAT?

Navegue suas respostas
1

Para resumir, quero expor o SSH de uma caixa em um ambiente NAT para a Internet, mas preferiria fazê-lo em uma porta alta (no alcance efêmero). É seguro encaminhar uma porta efêmera para a rede interna ou causar problemas na tabela NAT do tráfego de saída? Em outras palavras, se eu definir uma regra DSTNAT (port forwarding) no meu Mikrotik no intervalo efêmero, ela então será excluída do SRCNAT?

    
por JonoCoetzee 11.09.2014 / 17:18

1 resposta

2

  1. Não é uma "porta efêmera", a menos que seja uma porta escolhida aleatoriamente para uma conexão. Você está falando sobre números de porta alta , ou portas não reservadas , qualquer coisa que comece com 1025 ou mais.

  2. Sim, tudo bem, desde que você tenha o restante de sua segurança em ordem. Eu executo o SSH na porta 2222 para reduzir as criações de script que explodem meus logs com tentativas de login malsucedidas.

    Há um problema potencial notável: se alguém tiver acesso não-root ao seu servidor, concedido ou por meio de alguma outra vulnerabilidade, e eles conseguirem travar seu servidor SSH, eles poderão executar seu próprio servidor SSH porque essa porta é permitida para programas não-raiz. Se você SSH em seu daemon SSH e fez um su ou sudo eles poderiam pegar a senha e fazer todo tipo de coisa divertida.

por 11.09.2014 / 17:26

Tags

redhat, multipath no nó do cluster exibe resultados diferentes Alternativas de instalação do cluster CoreOS (offline)