2

Как и многие из нас с домашним интернет-сервисом, предоставляемым интернет-провайдерами, моему маршрутизатору / модему динамически назначается внешний IP-адрес, обычно в пределах диапазона. Когда маршрутизатор сбрасывается (например, из-за перебоя в питании), маршрутизатор согласовывает новую аренду на IP-адресе, отличном от ISP.

Я подключаюсь из дома к серверу, на который у меня есть права администратора. Я хотел бы открыть брандмауэр на сервере только для диапазона IP-адресов, который может быть назначен моему домашнему маршрутизатору.

Как я могу достоверно определить, что это за диапазон? Я предполагаю, что интернет-провайдер не сможет сообщить мне эту информацию, если я позвоню (либо потому, что политика может не разрешить это, либо сотрудники не имеют понятия, о чем я говорю).

Я также хотел бы, чтобы это был наименьший диапазон (или набор возможных диапазонов) по соображениям безопасности.

|источник

2 ответа2

3

Не думайте, что кто-то из вашего провайдера не может сообщить вам эту информацию. Вы можете быть правы, но, честно говоря, это люди, которые будут иметь эту информацию. Поскольку вы можете приобрести у них статический IP-адрес (даже если он вам не нужен), они знают все.

Вы не можете надежно сузить диапазон ... вообще, правда. Я имею в виду, давайте просто выбросить цифры там. Например...

Если ваш IP-адрес в один прекрасный день был 69.79.10.230 ... кто скажет, что ваш провайдер арендовал только 69.79.10.xxx для использования для своих клиентов. Им может быть доступно 69.79.xxx.xxx, что означает, что там доступно более 65 000 адресов. И если вы отслеживаете адреса, на которые вы назначены ... скажем ... неделю, кто скажет, что это единственные подсети, в которых они работают? Вы должны смотреть в течение месяца? Что если они вращают подсети каждые 6 месяцев или каждый год? Вот почему я говорю, что вы не можете надежно угадать в узком диапазоне.

Конечно, это действительно зависит от того, как вы определяете "узкий" и "надежный" для этой цели.

Вот почему я говорю, что вы должны воспользоваться возможностью и позвонить в службу технической поддержки вашего провайдера. Скажите им, что вам нужно и почему именно вам это нужно, и попросите поговорить с техником 2-го уровня или с руководителем. Честно говоря, они, как правило, гораздо более благосклонны, чем вы думаете, особенно когда они рассказывают вам вещи, которые не делают их непосредственно ответственными. Они не будут так полезны, рассказывая вам, как настроить ваш маршрутизатор (потому что они не хотят нести ответственность за оборудование, которым они не владеют), но давать вам диапазон, от которого вы можете ожидать, что ваши IP-адреса приходят не то, что вы не испытали бы сами по себе в течение долгого времени. Они могут отказать вам, но эй ... вы никогда не узнаете, если не спросите.

|источник
3

Как сказал Бон Гарт, ваш интернет-провайдер - единственный, кто знает эту информацию, и вы не будете угадывать ее достоверно, и это может со временем измениться.

В любом случае, я не думаю, что это безопасный способ открыть брандмауэр вашего сервера для подключения к нему. В зависимости от используемой ОС, того, что вы хотите сделать на сервере, как и что у вас есть, существуют более безопасные способы подключения к нему. Вот несколько идей:

  • зарегистрируйтесь у провайдера динамического DNS (например, dynDNS или DNSExit ) и откройте брандмауэр только для адреса хоста (указателя), назначенного вашей домашней машине
  • использовать VPN с ssl-сертификатами с обеих сторон (например, openvpn )
  • использовать SSH с ключами или ключами и паролем, а не только с паролями
  • только открывайте порт ssh (или другой) (с ключами ssh) и создавайте зашифрованные туннели для портов, которые вы должны использовать на сервере, чтобы вы подключались к локальному порту на вашей машине
  • во всех случаях используйте fail2ban или что-то подобное для блокировки IP-адресов после нескольких неправильных попыток
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .