Это это безопасный передать эфемерный порт внутреннему узлу в среде NAT?
Рассказ, я хочу выставить SSH от поля в среде NATed к Интернету, но предпочел бы делать это на верхнем уровне (в эфемерном диапазоне) порт. Действительно ли это безопасно к порту вперед эфемерный порт к внутренней сети, или это могло вызвать проблемы с таблицей NAT для исходящего трафика? Другими словами, если я определю DSTNAT (перенаправление портов) правило о моем Mikrotik в эфемерном диапазоне, то это затем исключит его из того, чтобы быть используемым для SRCNAT?
Это не "эфемерный порт", если только это не случайно выбранный порт для соединения. Вы говорите о простых высоких номерах портов , или незарезервированных портах , что угодно, начиная с 1025 и более.
Да, это нормально, пока у вас все остальное в порядке. Я запускаю SSH на порту 2222, чтобы сократить путь вниз на детском скрипте, взрывающем мои журналы с неудачными попытками входа.
Есть одна заметная потенциальная проблема: Если кто-то имеет не корневой доступ к вашему серверу, предоставленный или через какую-то другую уязвимость, и он может умудриться обрушить ваш SSH-сервер, он может запустить свой собственный SSH-сервер, потому что этот порт разрешен для не корневых программ. Если бы вы, SSH, залезли в их SSH-демон и сделали
suилиsudo, они могли бы схватить пароль и сделать всевозможные забавные вещи.