Executando verificação de segurança...
Em resposta a [dúvida]Como abrir porta externa para acesso via ssh no modem da Claro
2
CsJ

Normalmente procuramos a senha do modem/router na internet, após acessar ele, procurar as configurações de port forward, assim vc configura para o roteador quando receber uma conexão por exemplo no IP público, ele repassa para o IP privado que você está usando na porta interna que vc deseja, caso isso funcione, o próximo problema é o IP ser dinâmico, ai você vai precisar configurar um DNS Dinâmico, é um agent na máquina que sempre mantém o DNS atualizado com o IP que você está utilizando atualmente.

  • Caso o Router não tenha a opção, é possivel procurar um firmware na internet com tudo habilitado, pois as vezes a operadora usa firmwares sem essas opções para os usuários não usarem, meio perigoso, mas é uma opção.

  • E Última opção, faz isso que o amigo indicou, contrate um IP Publico estático somente para você que fica mais fácil ter um servidor na internet.

Abraços.

Carregando publicação patrocinada...
1
mateus21321

O ip da Claro por padrão é dinâmico, mas ao invés de mudar quando reiniciar o modem, ele muda semanalmente. Teóricamente, eu não deveria conseguir conexão externa, mesmo ele sendo dinâmico (sem ele ter mudado ainda?).

Obrigado pela ajuda.

2
CsJ
Autor
Autor

Sim, mesmo ele sendo dinâmico, você consegue conexão externa normalmente se as configurações de port forward estiverem corretas. O que os amigos estão falando que se usar NAT não funciona de forma alguma é quando o provedor usa CGNAT, isso é uma feature para vários usuários usarem o mesmo IP Publico de uma vez, alterando somente portas de origem.

1
mateus21321

Amigo, confirmei que o serviço da Claro se trata de uma CGNAT. Entretanto, parece que destivando o firewall, é possível ter acesso usando ipv6. Só que desativar o firewall vai me causar problemas com vulns...

A pergunta que eu tenho é o seguinte. Se eu tiver 2 roteardor, um conectado na máquina que eu quero ter acesso externo e o outro conectados em todos os meus aparelhos pessoais. O encaminhamento de portas apenas fica no roteador que minha máquina que quero ter acesso externo é conectada e o firewall nela desativado, mas no outro ativado.

Quando eu sofrer uma varredura de porta, somente o roteador da máquina externa vai estar vulnerável?

2
CsJ
Autor
Autor

Olá Amigo,

Se é possivel via IPv6, eu faria o seguinte no seu caso:

1- Sim, você está certo sobre as vulnerabilidades, se você abrir para a internet, pessoas vão escanear você, achar a porta do seu serviço de SSH, e começar a tentar acessar seu servidor, porém é possivel você deixar bem seguro, primeiro, use uma porta alta de ssh, diferente da default, exemplo 6022, e configure o fail2ban no Debian, para se errarem a senha 3x, ele bane o IP de origem usando o Iptables, isso deixa seu servidor muito seguro ja que para quebrar a senha dele precisariam tentar quebrar a senha muitas vezes com um dicionário. (mas use sempre versões atualizadas do sshd, para que não encontrem vulnerabilidades que consigam explorar de primeira). Ja com isso eu garanto que ficaria bem seguro, já que poucos hackers exploram IPv6 (Maioria em empresas), + portas altas pois o scan demora muito mais, + a proteção do fail2ban fica bem seguro. Mas no firewall você libera somente esse serviço para esse servidor, e bloqueia o restante.

Agora respondendo sua pergunta, tendo 2 roteadores, com 2 redes internas diferentes, funciona exatamente como você quer, se conseguirem explorar o roteador que está aberto,(Mas lembre-se, vc vai abrir somente a porta e o serviço que vc quer, não vai abrir "tudo") mesmo se conseguirem explorar, não vão conseguir pular para sua outra rede. Quando vc sofrer varredura somente 1 vai responder.

Mas não se preocupe com scans, normalmente eles são pacotes SYN para diversas portas, depois que descobrem que a porta está aberta/listening, eles iniciam testes para tentar quebrar, e pra isso usam dicionarios de senhas na maioria das vezes, só um fail2ban ja aumenta bastante sua segurança, logo, se precisar gastar uma grana para proteger sua casa, use apenas 1 roteador mesmo, e crie alguma automação para lhe enviar e-mail sempre que alguém conseguir acesso ao ssh do servidor, algo do tipo. Abraços.

2
mateus21321

Amigo, achei que você gostaria de saber!

Consegui acesso externo usando IPV4 com o provedor Claro/Net! Eu tive que fazer uma reclamação na Anatel, depois disso eles entraram em contato comigo e resolveram em apenas 3 dias! Me tiraram da rede "nateada" (como eles chamam)...

Agora já tenho acesso externo usando o ipv4 público da minha rede. O próximo passo é aprender como uma aplicação web que eu subi no apache, pode ser acessada pelo mundo usando uma url...

1
CsJ
Autor
Autor

Que ótima noticia amigo, muito bom saber disso, achei que era possível somente pagando para o provedor.

Você fez o mais dificil, agora criar urls será bem facil, como seu endereço ip ainda deve continuar dinâmico, procure serviços de dns dinamicos, onde eles normalmente instalam agent na sua maquina e ficam atualizando o endereço do seu serviço no DNS.

Ou vc pode sempre ir manualmente em algum DNS e apontar para o seu IP atual, se precisar de ajuda só falar!