SSH端口转发可从任何地方访问我的家用计算机

我来自这个问题：https : //superuser.com/questions/359799/how-to-make-freebsd-box-accessible-from-internet

我想了解的整个过程port forwarding。

我读了很多东西，但是没有理解端口转发本身的基本概念。

是）我有的：

坐在我家里的一台freebsd服务器。
netgear路由器

这是我要实现的目标：

可以从Windows机器通过Internet访问freebsd服务器，从而可以打开Web浏览器并访问Internet。

我也想从我拥有的ubuntu机器上访问这个freebsd框。

如果有人可以帮助我，那将是很棒的。

这是我为端口转发所做的netgear路由器设置。

我将从原始事实开始：

1. 您拥有：A-您的FreeBSD盒子，B-您的路由器，以及C-可以访问Internet的计算机。它是这样的：

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
   \_________ ________/
             v
              `- this is your LAN
   

   请注意，路由器通常如何工作：它允许从 LAN上的计算机到 Internet的连接（简单来说）。因此，如果A（或LAN上的任何其他计算机）要访问Internet，将被允许（再次谈论基本的了解和配置）：

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
         `-->----'  `--->--->---^  
   

   而下面没有默认不允许的：

   .-----.      .-----.                        .-----.
   |  A  |  ==  |  B  |  - - ( Internet ) - -  |  C  |
   '-----'      '-----'                        '-----'
         `--<----'  `---<--- - - - - --<---<-----'
   

   （也就是说，路由器可以保护 LAN上的计算机免受Internet的访问。）请注意，路由器是从 Internet ¹看到的LAN中唯一的一部分。

2. 端口转发是允许发生第三种模式的原因。这包括告诉路由器^2）中的哪个连接应该连接到LAN上的哪台计算机。这是根据端口号完成的，这就是为什么将其称为端口转发。您可以通过指示路由器从Internet到给定端口的所有连接进入局域网上的特定计算机来进行配置。这是端口22转发到计算机的示例：CA

   .------.     .-------.                        .-----.
   |  A   | ==  |   B   |  - - ( Internet ) - -  |  C  |
   |      |     |       |                        '-----'
   '-|22|-'     ',--|22|'                          |
       `--<-22---'    `---<---- - - - - - --<-22---'
   

3. 通过Internet进行的此类连接基于IP地址进行。因此，上面的示例将更精确地表示为：

   .------.      .-------.                                .-----.
   |  A   |  ==  |   B   | - - - - - ( Internet ) - - - - |  C  |
   |      |      |       |                                '-----'
   '-|22|-'      ',--|22|'                                   |
       `--<-A:22--'    `--<-YourIP:22 - - - - --<-YourIP:22--'
   

   如果您没有具有静态 IP 的Internet连接，则必须以某种方式了解ISP当前为路由器分配的IP。否则，C将不知道它必须连接到哪个IP才能到达路由器（以及A）。为了以一种简单的方式解决此问题，可以使用称为动态DNS的服务。这将使您的路由器定期将信息发送到特殊的DNS服务器，该服务器将跟踪您的IP并为您提供域名。有很多免费的动态DNS提供程序。许多路由器都带有配置选项，可以轻松与之联系。

_{^1）同样，这是一种简化-互联网上看到的实际设备是调制解调器-它通常可以与路由器集成在一起，但也可以是单独的盒子。
^2）或任何其他具有Internet连接的机器。}

现在，您想要什么：

1. 仅允许ssh从Internet访问您的计算机是一个坏主意。破解者设置了成千上万的僵尸程序，它们在Internet上搜索具有开放SSH端口的计算机。他们通常会在尽可能多的IP的默认SSH端口上“敲门”，一旦发现某个地方运行了SSH守护程序，便会尝试获得对计算机的暴力访问。这不仅有潜在闯入的风险，而且还存在在暴力破解计算机时网络变慢的风险。

2. 如果您确实需要这种访问权限，则至少应

   • 确保您为所有用户帐户设置了强密码，

   • 通过SSH不允许root访问权限（你可以随时登录为普通用户和su或sudo再）

   • 更改运行SSH服务器的默认端口，

   • 引入一种不允许进行多次SSH登录尝试的机制（增加了后续尝试的等待时间-我不记得它的确切调用方式-我是在FreeBSD上启用的，我记得很简单-试试搜索一些有关保护SSH的FreeBSD论坛等，您会发现它。）

   • 如果可能的话，仅当您知道您将在不久的将来访问计算机时才尝试运行ssh守护程序，然后将其关闭

3. 习惯于浏览系统日志。如果您开始注意到任何可疑的内容，请引入其他安全机制，例如IP表或端口敲门。

有两种方法可以完成此操作。最简单的方法可能是设置所谓的DMZ。但是，更安全的方法是在路由器上设置在端口22上到服务器IP的静态路由。

资源：

• 如何配置端口转发？（NETGEAR页面的存档副本）
• 如何移植以实现更快的互联网 （在TechRadar上，当前副本但不完整）
• VPN案例研究常见问题

这可以由您的路由器完成。在某些路由器上，此功能称为Virtual Server

请参阅下图，其中有两个端口转发的示例。一种是Web，另一种是SSH。在第一种情况下，您在WAN IP上的任何请求（即带有端口的路由器的IP）80都将转发到LAN IP（192.168.2.4在这种情况下），
借助此功能，您可以从世界上任何地方在LAN上运行的PC /服务器上运行服务即那些服务不限于局域网