试图看看有多less人赞成在路由器上打开一个端口,比如端口22或类似的ssh,连接到所有的外部WAN连接,或者只是一组特定的WAN IP。 这样做是为了减less被黑客侵入的服务。 该协议是ssh,使用当然部署ssh的最佳实践。 我们注意到,最好是阻止到那个端口的连接,让只有less数的外部IP地址能够连接到已知用户的位置。
这是否过度杀伤? 我通常在路由器上为用户打开端口,因为他们需要这些服务,或者被要求打开需要访问其位置的软件/硬件供应商的端口。 我是偏执的,还是有一个特定的时间/应用程序,加强到这个程度是必要的? 谢谢。
现在,你非常清楚地声明“路由器”,但我想你的意思是“防火墙”?
理想情况下,你只打开什么是必要的。 你越清楚越好,但是制定宽泛的规则是没有问题的。 例如,我通常创build一个规则,允许内部的任何主机使用UDP / 53出站,以便任何内部的客户端可以进行外部DNS查找。 但是,在允许SSH入站的情况下,您可能会考虑为每个资源单独或合并规则。 这样在debugging的情况下,你可以看到哪个规则正在匹配哪些stream量(或丢弃这个问题)。 在这种情况下,SSH是一个function强大的协议,可用于将stream量引导到您的networking。 如果它被攻破,你只允许任何IP地址连接,你可能会有一些乐趣。
我几乎总是向尽可能less的人开放端口。