如何在外网用SSH访问内网LINUX服务器
实现此的技术原理:
在内网通过域名绑定服务器,外网SSH访问连接时,通过域名的访问,实现访问内网LINUX。
具体的实现过程如下:
明确LINUX服务器内网访问地址端口,确保LINUX服务器正常开启SSH服务,在内网SSH可以正常访问连接。如图所示:
被访问端的Linux主机上使用nat123动态域名解析Linux版本。
在被访问端的Linux服务器安装nat123客户端,并登录使用它。
登录网页,左侧用户中心,添加域名解析,选择动态域名解析并添加确认。
选择动态域名解析记录,使用二级域名,或自己的域名。鼠标放在输入框有向导提示。如不理解负载均衡,不要勾选多点登录。
新添加动态解析后,等待几分钟生效。解析生效后,动态解析域名与本地公网IP是保持对应的。可以通过ping下域名核实,返回结果IP地址为本地公网IP地址时,表示动态解析生效正常。
路由器端口映射,路由映射SSH访问22端口。
因为公网IP是在路由器上的,外网访问时,需要经过路由,需要在路由器上做端口映射,将内网LINUX服务器访问22端口打通。路由器端口映射位置:转发规则/虚拟服务器/添加允许外网访问端口和协议。我的LINUX服务器SSH服务端口是默认的22,我内网对应LINUX服务器主机的内网IP地址是192168129。
外网访问时,使用动态解析域名。
在外网使用SSH访问内网LINUX服务器时,使用动态解析域名进行连接访问。域名是不变的,可以上网即可访问,再也不担心动态公网IP变化的问题。
启动: systemctl start firewalld
添加:firewall-cmd --zone=public --add-port=3306/tcp --permanent (--permanent永久生效,没有此参数重启后失效)
重新载入:firewall-cmd --reload
扩展资料:
防火墙使用技巧
一、所有的防火墙文件规则必须更改。
尽管这种方法听起来很容易,但是由于防火墙没有内置的变动管理流程,因此文件更改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改,那么他撞到枪口上的可能性就会比较大。但是如果这种更改抵消了之前的协议更改,会导致宕机吗?这是一个相当高发的状况。
防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础,因此团队的所有成员都必须达成共识,观察谁进行了何种更改。这样就能及时发现并修理故障,让整个协议管理更加简单和高效。
二、以最小的权限安装所有的访问规则。
另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的:即源(IP地址),目的地(网络/子网络)和服务(应用软件或者其他目的地)。
为了确保每个用户都有足够的端口来访问他们所需的系统,常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络,这些规则就会变得权限过度释放,因此就会增加不安全因素。
三、根据法规协议和更改需求来校验每项防火墙的更改。
在防火墙操作中,日常工作都是以寻找问题,修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题,应用新产品和业务部门的过程中,我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神,而不仅是一篇法律条文。
四、当服务过期后从防火墙规则中删除无用的规则。
规则膨胀是防火墙经常会出现的安全问题,因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则,却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。
五、每年至少对防火墙完整的审核两次。
如果你是名信用卡活动频繁的商人,那么除非必须的话这项不是向你推荐的最佳实践方法,因为支付卡行业标准116规定至少每隔半年要对防火墙进行一次审核。
--防火墙
使用花生壳动态域名解析,具体方法如下:
第一步 搭建网站
先在电脑自带的iis搭建一个简单的界面,然后使用电脑的IP地址测试访问。
第二步 下载客户端
从花生壳官网下载花生壳(内网穿透)版本客户端。
下载到本地后安装
第三步 登录客户端
第四步 添加映射
点击花生壳主界面上的“内网穿透”,则跳转至花生壳管理内网穿透页面,点击界面右上角“添加映射”按钮过程如图:
“应用名称”是自定义,选择域名和映射类型,填写“内网主机”,“内网端口”以及选择“外网端口”形式,点击确定即可。
添加成功,产生一个外网访问地址。
第五步 外网测试访问
在外网打开浏览器输入花生壳的外网访问地址测试访问,如果访问到的界面跟局域网访问的界面一致代表映射正常。
我怀疑可能是配置有问题,或者是防火墙挡了。
各种路由器的端口映射方法
linksys系列路由器的端口映射设置
linksys路由器的隐含地址是19216811
然后在IE的地址一栏输入你的路由器地址,例如19216811,点击GO
IE会弹出窗口要求你输入路由器的登录名和密码
linksys的出厂隐含设置是, 登录名留空(leave it blank), 密码是admin
如下图,
1处标出了你路由器的型号
2处要求你填入登录名, 如果你没改过,就遵循LINKSYS的出厂设置,空白
3处填入你设置的路由器密码如果你没有改过,请填linksys出厂设的admin
然后点击"OK"
如果密码正确,IE会进入Linksys的设置页面,在右上角落,会找到"Advanced"一栏,点击"Advanced"
进入"Advanced"一栏后,在左上方第二个folder,你应该可以看到"Forwarding"的Folder,点击"forwarding",
进入"Forwarding"一栏后,做一个TCP的port(BS隐含设置是16881),
进入PORT FORWARDING后,我们需要做两个端口映象,
1给这两个端口映象随便取两个名字
2这里要填入BS需要的端口,第一行是TCP的端口,示范里填的是BS隐含的16881端口同理再做16882~9的映射。
3这里填入从顶楼介绍里得到的你电脑的内网IP地址,例如如果你得到的内网IP是1921681100,则仅仅需要在第4格填入100(有时电脑的内网IP会发生变动,一旦发生变动,则需要回到此处更改这个IP地址来指向你新的IP)
然后在图中打"X"的地方打上勾
注意:防火墙设为关掉或充许16881~9
最后,点击"APPLY"保存起来 这样,端口映象就算完成了
还有一个题外话,如果你在用EMULE的时候,发现有网络DISCONNECT,而且LINKSYS路由器重启,你最好把路由器的FIRMWARE升级到最新的版本 否则对路由器会造成伤害
LINKSYS befw11s4的firmware最新版本是145,建议到linksys主页下载升级
D-Link DSL-500端口映射的方法
首先把你的网卡IP设置为1011X
在浏览器里敲入10111,next Enter
出现登陆框,输入用户名及密码(在说明书上已经告诉你了用户名及密码,默认用户名:admin密码:admin
进入配置页面后,在左面的导航栏依次点击 服务-->NAT,进入“网络地址转换(NAT)配置”界面,
点击下拉列表框,选择“NAT Rule Entry”,点击“添加”按钮添加新条目
进入“NAT规则-添加”页面,添加NAT规则。这是最重要的一项:
由于用到的端口不止一个,所以我的设置里把端口设置成了一个段,不同的端口又有可能用的协议不同,所以协议也使用的默认ALL。总之是为了方便,一条规则即可搞定。
规则类型:先RDR
规则ID:规则的序号,随便填一个没有用过的数字即可
IF名:默认ALL
协议:ANY
“本地地址来源”“本地地址终点”,这里面填的是本地地址的起始地址和终点地址,即内网的一个地址段。我感觉这两个词用的不太贴切,或许是我知识太浅薄吧,呵呵,有兴趣的朋友可以看看里面的英文帮助,开始我也没有弄懂,看了英文才理解了这两个词的意思。
“全局地址来源”“全局地址终点”,你的外网IP,如果是ADSL动态拔号,全填0,猫会自动设置
目的端口来源:16881
目的端口终点:16889
本地端口:0
设置完成后,点击下方的“提交”按钮,完成后关闭“NAT规则-添加”界面,“网络地址转换(NAT)规则配置”界面
现在配置完毕,但并没有写入ADSL路由猫的存储器内,猫下次启动时刚填的信息会丢失,所以下一步就是保存设置。
即依次点击左左边导航栏的 管理--> 确认&重启 ,在“确认&重启”界面,点击“确认”按钮,过一会儿完毕后再点“重启”,使配置生效
TP-LINK TL-R410
1首先登陆到路由器的Web管理界面
2点击左边"转发规则"前面的"+"号
3在展开的菜单里面点击"虚拟服务器"
4在右边服务端口下面填"16881",ip地址下面填上你的IP地址。,协议选择"TCP",最后别忘了在"启用"下面打勾同理再做端口16882~9的虚据拟服务。
5 点"保存"之后就可以了
1)如果上网方式为PPPoE,即ADSL虚拟拨号方式,则需要填写网络服务商提供的上网账号和密码,如图4-7所示。
上网方式-PPPoE
整个拨号过程大约会持续几分钟,单击“下一步”进行拨号连接,图4-8为PPPoE拨号连接界面。如果在此连接过程中,您关闭了设置向导,该接口的配置工作仍会在后台进行。
上网方式-PPPoE连接
2)如果上网方式为动态IP,即可以自动从网络服务商处获取IP地址,则不需要填写任何内容。图4-9为动态IP连接界面。如果在此连接过程中,您关闭了设置向导,该接口的配置工作仍会在后台进行。
上网方式-动态IP连接
3)如果上网方式为静态IP,即拥有网络服务商提供的固定IP地址,则需要填写IP地址、子网掩码、网关和DNS服务器等内容,如图4-10所示。
上网方式-静态IP
单击“下一步”进行连接,图4-11为静态IP连接界面。如果在此连接过程中,您关闭了设置向导,该接口的配置工作仍会在后台进行。
一台电脑上安装了Workbench,现需要访问另一台ubuntu服务器上的MySQL数据库,但mysql默认是不允许访问的,考虑到安全性问题,也不适合使用root用户来访问mysql。
这时我们就需要开放mysql服务器并创建新的用户来访问mysql。
1,开放mysql
mysql的配置文件在/etc/mysql/mycnf文件内,里面有一行bind-address = 127001表示只允许本地访问,将这行注释即可
2,创建新的mysql用户
(1)首先在本地进入mysql数据库的mysql库内
(2)创建用户:GRANT ALL ON to user@'IP' IDENTIFIED BY 'password'; 其中user表示需要创建用户的名字;IP表示哪台客户端想要访问mysql数据库;password表示密码;并赋予所有的权限。
(3)FLUSH PRIVILEGES; 刷新mysql的系统权限相关表,否则会出现拒绝访问。重启数据库也能达到这样的效果
如果外网没有公网ip,就需要申请一个金万维的动态域名解析宽带通来实现,申请过解析后需要在路由器上需要设置端口映射,将你服务器上应用程序的端口映射到路由器上,这样外网可以通过金万维域名加映射的端口来对服务器进行访问。
0条评论