Sim, mesmo ele sendo dinâmico, você consegue conexão externa normalmente se as configurações de port forward estiverem corretas. O que os amigos estão falando que se usar NAT não funciona de forma alguma é quando o provedor usa CGNAT, isso é uma feature para vários usuários usarem o mesmo IP Publico de uma vez, alterando somente portas de origem.
Respondendo a "O ip da Claro por padrão é dinâmico, mas ao inv..." dentro da publicação [dúvida]Como abrir porta externa para acesso via ssh no modem da Claro
2
1
Amigo, confirmei que o serviço da Claro se trata de uma CGNAT. Entretanto, parece que destivando o firewall, é possível ter acesso usando ipv6. Só que desativar o firewall vai me causar problemas com vulns...
A pergunta que eu tenho é o seguinte. Se eu tiver 2 roteardor, um conectado na máquina que eu quero ter acesso externo e o outro conectados em todos os meus aparelhos pessoais. O encaminhamento de portas apenas fica no roteador que minha máquina que quero ter acesso externo é conectada e o firewall nela desativado, mas no outro ativado.
Quando eu sofrer uma varredura de porta, somente o roteador da máquina externa vai estar vulnerável?
2
Olá Amigo,
Se é possivel via IPv6, eu faria o seguinte no seu caso:
1- Sim, você está certo sobre as vulnerabilidades, se você abrir para a internet, pessoas vão escanear você, achar a porta do seu serviço de SSH, e começar a tentar acessar seu servidor, porém é possivel você deixar bem seguro, primeiro, use uma porta alta de ssh, diferente da default, exemplo 6022, e configure o fail2ban no Debian, para se errarem a senha 3x, ele bane o IP de origem usando o Iptables, isso deixa seu servidor muito seguro ja que para quebrar a senha dele precisariam tentar quebrar a senha muitas vezes com um dicionário. (mas use sempre versões atualizadas do sshd, para que não encontrem vulnerabilidades que consigam explorar de primeira). Ja com isso eu garanto que ficaria bem seguro, já que poucos hackers exploram IPv6 (Maioria em empresas), + portas altas pois o scan demora muito mais, + a proteção do fail2ban fica bem seguro. Mas no firewall você libera somente esse serviço para esse servidor, e bloqueia o restante.
Agora respondendo sua pergunta, tendo 2 roteadores, com 2 redes internas diferentes, funciona exatamente como você quer, se conseguirem explorar o roteador que está aberto,(Mas lembre-se, vc vai abrir somente a porta e o serviço que vc quer, não vai abrir "tudo") mesmo se conseguirem explorar, não vão conseguir pular para sua outra rede. Quando vc sofrer varredura somente 1 vai responder.
Mas não se preocupe com scans, normalmente eles são pacotes SYN para diversas portas, depois que descobrem que a porta está aberta/listening, eles iniciam testes para tentar quebrar, e pra isso usam dicionarios de senhas na maioria das vezes, só um fail2ban ja aumenta bastante sua segurança, logo, se precisar gastar uma grana para proteger sua casa, use apenas 1 roteador mesmo, e crie alguma automação para lhe enviar e-mail sempre que alguém conseguir acesso ao ssh do servidor, algo do tipo. Abraços.
2
Amigo, achei que você gostaria de saber!
Consegui acesso externo usando IPV4 com o provedor Claro/Net! Eu tive que fazer uma reclamação na Anatel, depois disso eles entraram em contato comigo e resolveram em apenas 3 dias! Me tiraram da rede "nateada" (como eles chamam)...
Agora já tenho acesso externo usando o ipv4 público da minha rede. O próximo passo é aprender como uma aplicação web que eu subi no apache, pode ser acessada pelo mundo usando uma url...
1
Que ótima noticia amigo, muito bom saber disso, achei que era possível somente pagando para o provedor.
Você fez o mais dificil, agora criar urls será bem facil, como seu endereço ip ainda deve continuar dinâmico, procure serviços de dns dinamicos, onde eles normalmente instalam agent na sua maquina e ficam atualizando o endereço do seu serviço no DNS.
Ou vc pode sempre ir manualmente em algum DNS e apontar para o seu IP atual, se precisar de ajuda só falar!