计算化学公社

标题: 多台服务器通过路由器共用IP上网，如何从外界SSH登录？ [打印本页]

作者
Author: 霜晨月 时间: 2022-5-20 18:09
标题: 多台服务器通过路由器共用IP上网，如何从外界SSH登录？
办公室只有一个网线插口。以前是把这个网线插口给服务器A，我的PC借用外界的wifi上网，PC与服务器A之间用网线直连。
最近添置了一台服务器B。
折腾了很久，最后只能用路由器，路由器的WAN接口插到墙上，服务器A、B和PC插到路由器的LAN接口，服务器和PC都用DHCP（静态IP用不了）。自动分配的IP分别是192.168.0.101（或102、103）。然后服务器和PC都可以上网了，也可以彼此SSH。
但现在的问题是从外界（仍是学校内网）无法登录服务器。我查出A、B和PC的IP都是210.xx.xx.157，但从外界ssh xx@210.xx.xx.157的时候，等半天，显示
ssh: connect to host 210.xx.xx.157 port 22: Connection timed out
我觉得210.xx.xx.157应该是路由器的IP地址。那么如何从外界访问服务器呢？（与校园网无关，这都是在学校内网内）
多谢各位老师

作者
Author: abin 时间: 2022-5-20 18:28
修改端口，
102 10022
103 10023
116 10016

路由器设定端口转发。

每台服务器都需要额外修改一个ssh端口。

客户端，访问
WAN:10016 可以去116对应的机器。
自己动手吧。

作者
Author: 霜晨月 时间: 2022-5-20 18:54

abin 发表于 2022-5-20 18:28
修改端口，
102 10022
103 10023

谢谢老师，老师说得很简明，可惜不会操作啊

我先查查资料学习，实在不懂的话再请教

作者
Author: abin 时间: 2022-5-20 19:06
还有一种方案。
其中一个服务器直接接校园网。

这个服务器有两个网口……
其他机器，通过交换机和当前服务器连接，
这台服务器当作NAT网关。

客户端用MobaXterm，支持ssh proxyJump，这个B站，我的视频有教学。

NAT设定，我签名连接中，有脚本。

自己动手。

这样，所有的机器，无需修改ssh配置。

作者
Author: Entropy.S.I 时间: 2022-5-20 19:26
还是老观点，最优雅、安全的方案是建虚拟专用网络（VPN），对校园网也不要开ssh端口。

大约10天前，我们机房唯一一台没有禁用密码登录ssh的机器被来自校园网的弱口令攻击攻破，进而攻击内网裸奔的win PC（攻击者意图寻找挖矿肉鸡），真的吓人……

作者
Author: abin 时间: 2022-5-20 19:36

Entropy.S.I 发表于 2022-5-20 19:26
还是老观点，最优雅、安全的方案是建虚拟专用网络（VPN），对校园网也不要开ssh端口。

大约10天前，我们 ...

看样子，开启root，并使用弱密码的人还挺多呀……

建议关闭密码登录，限定key验证……
非标准端口……

会有一堆人说，我又没啥秘密隐私啥的，
弄那玩意做啥！

关键是，这种机器被放倒之后，
会经由内线，祸害其他机器……

至于系统漏洞导致root提权操作的……
你几乎遇不到……因为你的数据没那么关键……

当然也有服务器安全设定挺不错的……
然后客户的微软机器被肉了……
然后服务器也照样挂……

哪一环出现问题，都死翘翘的……

作者
Author: geyee 时间: 2022-7-3 13:50
路由器WAN口的IP是公网吗？不是的话，路由器支持的话可以安装一些组网工具(如zerotier，softether等)。如果是公网，则一般能使用tunnelbroker接入IPv6，可以给A、B服务器分配IPv6地址，用来访问。

欢迎光临计算化学公社 (http://ccc.keinsci.com/)