您的内部网络上是否有需要从外部世界访问的机器？使用堡垒主机作为您网络的网关守护者可能是解决方案。

什么是堡垒主人(a bastion host)？

堡垒的字面意思是一个设防的地方。在计算机术语中，它是网络上的一台机器，可以作为传入和传出连接的网关守护者。

您可以将您的堡垒主机设置为唯一接受来自internet的传入连接的计算机。然后，依次设置网络上的所有其他机器，只接收来自堡垒主机的传入连接。这有什么好处？

最重要的是安全。堡垒主机，顾名思义，可以有非常严密的安全性。它将是抵御任何入侵者的第一道防线，并确保您的其他机器受到保护。

它还使网络设置的其他部分稍微容易一些。不需要在路由器级别转发端口，只需要将一个传入端口转发到堡垒主机。从那里，您可以在您的专用网络上扩展到需要访问的其他机器。不用担心，这将在下一节讨论。

图表

这是一个典型的网络设置示例。如果你需要从外面进入你的家庭网络，你可以通过互联网进入。你的路由器将把这个连接转发给你的堡垒主机。一旦连接到您的堡垒主机，您将能够访问您的网络上的任何其他机器。同样，除了直接从互联网访问堡垒主机之外，将无法访问其他计算机。

拖延够了，有时间使用堡垒。

1动态dns

你们中的精明人可能想知道如何通过互联网接入家庭路由器。大多数internet服务提供商（ISP）都会为您分配一个临时IP地址，该地址经常更改。如果你想要一个静态IP地址，ISP往往会额外收费。好消息是，现代路由器往往有动态DNS烘焙到他们的设置。

动态DNS以设置的时间间隔用新的IP地址更新主机名，确保您始终可以访问家庭网络。有许多供应商提供上述服务，其中之一是没有IP，甚至有一个免费层。请注意，免费层将要求您每30天确认一次主机名。这只是一个10秒的过程，他们无论如何都会提醒你去做。

注册后，只需创建一个主机名。您的主机名必须是唯一的，仅此而已。如果您拥有Netgear路由器，他们提供免费的动态DNS，无需每月确认。

现在登录到您的路由器，并寻找动态DNS设置。这将不同的路由器，但如果你没有发现它潜伏在先进的设置，检查你的**商的用户手册。通常需要输入的四个设置是：

1. 提供者
2. 域名（您刚刚创建的主机名）
3. 登录名（用于创建动态DNS的电子邮件地址）
4. 密码

如果您的路由器没有动态DNS设置，则没有IP提供可以安装在本地计算机上以获得相同结果的软件。为了使动态DNS保持最新，这台机器必须联机。

2端口转发或重定向

路由器现在需要知道在哪里转发传入的连接。它基于传入连接上的端口号来执行此操作。这里的一个好做法是不使用默认SSH端口（22）作为面向公共的端口。

不使用默认端口的原因是因为黑客有专用的端口嗅探器。这些工具会不断检查网络上可能打开的已知端口。一旦他们发现你的路由器正在默认端口上接受连接，他们就开始用普通用户名和密码发送连接请求。

虽然选择一个随机端口并不能完全阻止恶意的嗅探器，但它会大大减少到路由器的请求数。如果您的路由器只能转发同一个端口，这不是问题，因为您应该将bastion主机设置为使用SSH密钥对身份验证，而不是用户名和密码。

路由器的设置应类似于：

1. 可以是SSH的服务名称
2. 协议（应设置为TCP）
3. 公共端口（应该是不是22的高端口，使用52739）
4. 专用IP（堡垒主机的IP）
5. 专用端口（默认SSH端口，22）

堡垒

你的堡垒只需要SSH。如果在安装时未选择此选项，只需键入：

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

安装SSH后，请确保将SSH服务器设置为使用密钥而不是密码进行身份验证。确保您的堡垒主机的IP与上面的端口转发规则中设置的IP相同。

我们可以做个快速测试，确保一切正常。要模拟在家庭网络之外，您可以将智能设备用作移动数据上的热点。打开终端并键入，将&lt；username&gt；替换为bastion主机上帐户的用户名，将&lt；dynamicdnasaddress&gt；替换为上面步骤a中的地址设置：

ssh -p 52739 <username>@<dynamicDNSaddress>

如果一切都设置正确，你现在应该看到你的堡垒主机终端窗口。

三。隧道

您可以通过SSH（在合理的范围内）对任何内容进行隧道传输。例如，如果您想从internet访问家庭网络上的SMB共享，请连接到bastion主机并打开到SMB共享的隧道。只需运行以下命令即可完成此魔法：

ssh -L 15445:<IPAddressOfSMB>:445 -p 52739 <username>@<dynamicDNSAddress>

实际的命令如下所示：

ssh - L 15445:10.1.2.250:445 -p 52739 [email protected] 

打破这个命令很容易。它通过路由器的外部SSH端口52739连接到服务器上的帐户。发送到端口15445（任意端口）的任何本地通信都将通过隧道发送，然后转发到IP为10.1.2.250和SMB端口445的计算机。

如果您想变得非常聪明，我们可以通过键入以下命令来对整个命令进行别名：

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

现在你只需要在sss里输入终端，鲍勃是你叔叔。

建立连接后，您可以使用以下地址访问SMB共享：

**b://localhost:15445

这意味着您可以像在本地网络上一样从internet浏览本地共享。如前所述，您几乎可以通过SSH进入任何内容。甚至可以通过SSH隧道访问启用了远程桌面的Windows机器。

扼要重述

这篇文章涉及的不仅仅是一个堡垒的主人，你已经做得很好，使它走到这一步。拥有一个堡垒主机将意味着其他具有公开服务的设备将受到保护。它还确保您可以从世界任何地方访问这些资源。一定要用咖啡、巧克力或两者来庆祝。我们介绍的基本步骤是：

• 设置动态DNS
• 将外部端口转发到内部端口
• 创建隧道以访问本地资源

您需要从internet访问本地资源吗？您目前是否使用VPN来实现这一点？你以前用过SSH隧道吗？

图片来源：TopVectors/Depositphotos