Executando verificação de segurança...
1
mateus21321
1 min de leitura ·

[dúvida]Como abrir porta externa para acesso via ssh no modem da Claro

Tenho um computador com servidor debian instalado. Eu gostaria de ter acesso de outra rede externa, via ssh a esse servidor.

Usando o ip local e a porta que configurei, eu consigo acessar meu server via ssh.

O problema é que eu não consigo acessar de outra rede... Já tentei encaminhamento de portas pelo roteador e nada...

Eu ouvi falar que no modem da Claro é complicado, que tem que ligar para lá. Mas não existe nenhuma informação sobre isso em lugar nenhum.

Agradeço qualquer tipo de ajuda.

Carregando publicação patrocinada...
4
caiquearaujo

A Claro (pelo menos aqui no Rio de Janeiro) utiliza IP's compartilhados para comunicação externa. Isso significa que o IP do seu modem é inacessível fora da sua rede. Você precisa solicitar para eles um IP dedicado. Eu resolvi essa situação ligando para lá e dizendo que não estava conseguindo acessar minha câmera (que nem tenho, só falei porque a maioria nem sabe o que SSH) porque meu IP não era acessível. O técnico veio, fez a mudança e funcionou. Eles precisam ativar essa mudança e não é o acesso convencional que temos.

1
mateus21321
Autor
Autor

Eu acho que vai ser o caso. Na parte de redes, nas configurações do roteador, aparece um tal de 'Endereço IP WAN' que é um ip que eu consigo me conectar ao servidor localmente, da mesma forma que me conecto usando o IP Local.

O problema, é que usando o IP 'fixo' que eu pego em sites com o Ip Location, não consigo acesso nem localmente usando esse ip...

Obrigado pela dica. Vou tentar usar essa tática, pois quando fui na loja da Claro e falei o que queria, ele ficou me olhando com cara de perdido.

2
CsJ

Normalmente procuramos a senha do modem/router na internet, após acessar ele, procurar as configurações de port forward, assim vc configura para o roteador quando receber uma conexão por exemplo no IP público, ele repassa para o IP privado que você está usando na porta interna que vc deseja, caso isso funcione, o próximo problema é o IP ser dinâmico, ai você vai precisar configurar um DNS Dinâmico, é um agent na máquina que sempre mantém o DNS atualizado com o IP que você está utilizando atualmente.

  • Caso o Router não tenha a opção, é possivel procurar um firmware na internet com tudo habilitado, pois as vezes a operadora usa firmwares sem essas opções para os usuários não usarem, meio perigoso, mas é uma opção.

  • E Última opção, faz isso que o amigo indicou, contrate um IP Publico estático somente para você que fica mais fácil ter um servidor na internet.

Abraços.

1
mateus21321
Autor
Autor

O ip da Claro por padrão é dinâmico, mas ao invés de mudar quando reiniciar o modem, ele muda semanalmente. Teóricamente, eu não deveria conseguir conexão externa, mesmo ele sendo dinâmico (sem ele ter mudado ainda?).

Obrigado pela ajuda.

2
CsJ

Sim, mesmo ele sendo dinâmico, você consegue conexão externa normalmente se as configurações de port forward estiverem corretas. O que os amigos estão falando que se usar NAT não funciona de forma alguma é quando o provedor usa CGNAT, isso é uma feature para vários usuários usarem o mesmo IP Publico de uma vez, alterando somente portas de origem.

1
mateus21321
Autor
Autor

Amigo, confirmei que o serviço da Claro se trata de uma CGNAT. Entretanto, parece que destivando o firewall, é possível ter acesso usando ipv6. Só que desativar o firewall vai me causar problemas com vulns...

A pergunta que eu tenho é o seguinte. Se eu tiver 2 roteardor, um conectado na máquina que eu quero ter acesso externo e o outro conectados em todos os meus aparelhos pessoais. O encaminhamento de portas apenas fica no roteador que minha máquina que quero ter acesso externo é conectada e o firewall nela desativado, mas no outro ativado.

Quando eu sofrer uma varredura de porta, somente o roteador da máquina externa vai estar vulnerável?

2
CsJ

Olá Amigo,

Se é possivel via IPv6, eu faria o seguinte no seu caso:

1- Sim, você está certo sobre as vulnerabilidades, se você abrir para a internet, pessoas vão escanear você, achar a porta do seu serviço de SSH, e começar a tentar acessar seu servidor, porém é possivel você deixar bem seguro, primeiro, use uma porta alta de ssh, diferente da default, exemplo 6022, e configure o fail2ban no Debian, para se errarem a senha 3x, ele bane o IP de origem usando o Iptables, isso deixa seu servidor muito seguro ja que para quebrar a senha dele precisariam tentar quebrar a senha muitas vezes com um dicionário. (mas use sempre versões atualizadas do sshd, para que não encontrem vulnerabilidades que consigam explorar de primeira). Ja com isso eu garanto que ficaria bem seguro, já que poucos hackers exploram IPv6 (Maioria em empresas), + portas altas pois o scan demora muito mais, + a proteção do fail2ban fica bem seguro. Mas no firewall você libera somente esse serviço para esse servidor, e bloqueia o restante.

Agora respondendo sua pergunta, tendo 2 roteadores, com 2 redes internas diferentes, funciona exatamente como você quer, se conseguirem explorar o roteador que está aberto,(Mas lembre-se, vc vai abrir somente a porta e o serviço que vc quer, não vai abrir "tudo") mesmo se conseguirem explorar, não vão conseguir pular para sua outra rede. Quando vc sofrer varredura somente 1 vai responder.

Mas não se preocupe com scans, normalmente eles são pacotes SYN para diversas portas, depois que descobrem que a porta está aberta/listening, eles iniciam testes para tentar quebrar, e pra isso usam dicionarios de senhas na maioria das vezes, só um fail2ban ja aumenta bastante sua segurança, logo, se precisar gastar uma grana para proteger sua casa, use apenas 1 roteador mesmo, e crie alguma automação para lhe enviar e-mail sempre que alguém conseguir acesso ao ssh do servidor, algo do tipo. Abraços.

2
mateus21321
Autor
Autor

Amigo, achei que você gostaria de saber!

Consegui acesso externo usando IPV4 com o provedor Claro/Net! Eu tive que fazer uma reclamação na Anatel, depois disso eles entraram em contato comigo e resolveram em apenas 3 dias! Me tiraram da rede "nateada" (como eles chamam)...

Agora já tenho acesso externo usando o ipv4 público da minha rede. O próximo passo é aprender como uma aplicação web que eu subi no apache, pode ser acessada pelo mundo usando uma url...

1
CsJ

Que ótima noticia amigo, muito bom saber disso, achei que era possível somente pagando para o provedor.

Você fez o mais dificil, agora criar urls será bem facil, como seu endereço ip ainda deve continuar dinâmico, procure serviços de dns dinamicos, onde eles normalmente instalam agent na sua maquina e ficam atualizando o endereço do seu serviço no DNS.

Ou vc pode sempre ir manualmente em algum DNS e apontar para o seu IP atual, se precisar de ajuda só falar!

1
clacerda

Você tenteu reiniciar o roteador após fazer o port forward? Já vi modelos de roteadores que só aplicam a regra no proximo startup.

2
2
mateus21321
Autor
Autor

Infelizemente não funciou. O amigo acima que respondeu parece que passou pelo mesmo que eu é pode ser aquela a solução. De qualquer forma, muito obrigado.

1
1
mateus21321
Autor
Autor

O ngrok é muito ruim para usar grátis em um cenário que você quer ter acesso 24/7. É bom para testar uma aplicação, mas acessar uma máquina fica ruim, além da url gerada por eles ser gigante... Além disso, se for para pagar um serviço é melhor usar uma nuvem...

No caso de eu abrir uma porta para acesso externo, o único custo que teriei é de energia com o servidor ligado...

1
oraculo

da pra fazer um cname usando algum outro domínio que vc já tem, agora no ngrok grátis da pra registrar um domínio fixo (pelo menos vc tem sempre o mesmo domínio gigante)

1
marcosbispo

Primeira coisa que você tem que procurar saber é se seu IP é PUBLICO ou é de NAT.

Caso seja de NAT você nunca vai conseguir subir um servidor para acessar ele fora da sua rede, então você vai ter que solicitar um IP PUBLICO para sua provedora e realizar o redirecionamento de portas no seu roteador.