简而言之,我想将NAT从一个NAT环境中的盒子暴露给互联网,但是宁愿在高端(在短暂的范围内)端口。 将临时端口转发到内部networking是安全的还是可能导致传出stream量的NAT表问题? 换句话说,如果我在我的Mikrotik上定义了一个DSTNAT(端口转发)规则,那么它将被排除在SRCNAT之外?
这不是一个“短暂的港口”,除非它是一个随机select的连接端口。 你正在谈论普通的高端口号码 ,还是毫无保留的端口 ,从1025开始的任何事情。
是的,只要你有其他的安全措施就可以了。 我在端口2222上运行SSH,以削减脚本小子使用失败的login尝试炸毁我的日志。
有一个值得注意的潜在问题:如果某人对您的服务器具有非超级用户访问权限,或通过其他漏洞获得授权,并且可以pipe理您的SSH服务器,则可以运行自己的SSH服务器,根节目。 如果你SSH进入他们的SSH守护进程,并做了一个su或sudo他们可以抓住密码,做各种有趣的事情。