Ασφάλεια port forwarding

**Android_Creator** · 10-05-24, 13:37

Εγώ και ένα φίλος μου έχουμε φτιάξει έναν Minecraft Server ο οποίος λειτουργεί άψογα. Όμως χρειάστηκε να κάνουμε port forwarding και να χρησιμοποιούμε no-ip προκειμένου να μην ξέρει ο καθένας την πραγματική ip που χρησιμοποιούμε. Σκεφτήκαμε να κάνουμε και web/FTP server (όλα αυτά να τα γνωρίζουν μόνο οι φίλοι μας ή μόνο για ιδιωτική χρήση ανάμεσα σε εμένα και τον φίλο μου, εννωείτε ότι δεν το έχουμε ανακοινώσει στο ευρύ κοινό). Υπάρχει κάποιος τρόπος για μεγαλύτερη ασφάλεια (ως τελευταία επιλογή έχουμε το να ζητήσουμε τις ip όλων αυτών που θέλουν να μπουν); Διότι και με το no-ip κάποιος μπορεί να βρει την ip μας ή να κάνει ping στην πραγματική ip και να βρει τις ανοιχτές θύρες.

**Moho** · 10-05-24, 14:04

Έχω προτείνει τόσες φορές εδώ μέσα το ZeroTier που στο τέλος θα νομίζει ο κόσμος πως μου δίνουνε προμήθεια

Στο ψητό : θα ξεχάσετε τα port-forwarding και τα dynamic-dns και θα εγκαταστήσετε το ZeroTier στον server σας και σε όλους τους χρήστες. Η εγκατάσταση είναι απλούστατη και η ρύθμισή του πανεύκολη. Εξασφαλίζετε έτσι πλήρη έλεγχο πρόσβασης, υψηλή ασφάλεια, και απλότητα χρήσης σαν να είστε στο ίδιο τοπικό δίκτυο.

**Android_Creator** · 10-05-24, 14:21

Όλοι θα συνδεθούν στο εικονικό δίκτυο του ZeroTier ή στο τοπικό δίκτυο του router του server;
Επίσης το port forwarding είναι ασφαλές σε οικιακό δίκτυο (γενικά μιλώντας);

**K1m0n** · 10-05-24, 14:36

Αρχικό μήνυμα από Android_Creator

Όμως χρειάστηκε να κάνουμε port forwarding

Ε, ναι.. θα χρειαζόταν εφόσον θες να κάνεις expose τις x πόρτες "έξω",
ώστε να δέχεται εισερχόμενες συνδέσεις ένας host @lan-side.
Θέλω να πω... δεν γίνεται αλλιώς.

Αρχικό μήνυμα από Android_Creator

και να χρησιμοποιούμε no-ip προκειμένου να μην ξέρει ο καθένας την πραγματική ip που χρησιμοποιούμε

Το no-ip είναι υπηρεσία dns.
Δεν προσφέρει κάτι στην ασφάλεια.
Έστω ότι δηλώνεις την wan ip σου στο domain xxx.ddns.net,
με ένα lookpup αυτομάτως ο ενδιαφερόμενος ξέρει την ip σου.
Εξυπηρετεί γιατί είναι πιο ευκολομνημόνευτο να πείς στον άλλον:
"συνδέσου στο myserver02minecraft.ddns.net",
σε σχέση με το να του πείς:
"συνδέσου στην (ip) xxx.xxx.xxx.xxx "
που η ip θα αλλάζει κάθε τόσο (όσο δεν έχεις static),
αλλά από ασφάλεια δεν προσφέρει κάτι.

Αρχικό μήνυμα από Android_Creator

όλα αυτά να τα γνωρίζουν μόνο οι φίλοι μας ή μόνο για ιδιωτική χρήση ανάμεσα σε εμένα και τον φίλο μου, εννωείτε ότι δεν το έχουμε ανακοινώσει στο ευρύ κοινό

Οι πόρτες που θέλει το minecraft (ή/και το http/ftp αύριο) είναι ανοικτές και δέχονται συνδέσεις από "έξω"
(εφόσον έχετε κάνει nat/port-forward και το επιτρέπει το firewall του router)
και μια χαρά ξέρει ο κάθε ένας τι είναι ανοικτό με ένα port scan.
Και δεν γίνεται αλλιώς όσο θες η x υπηρεσία να είναι προσβάσιμη απο "έξω".

Αρχικό μήνυμα από Android_Creator

Υπάρχει κάποιος τρόπος για μεγαλύτερη ασφάλεια (ως τελευταία επιλογή έχουμε το να ζητήσουμε τις ip όλων αυτών που θέλουν να μπουν);

Αμέ

#1 ρυθμίζεις το firewall/router να δέχεται συνδέσεις απο "έξω" μόνο απο συγκεκριμένες ip addresses.
αρκούντως ασφαλές, αλλά μάλλον δεν θα έχουν όλοι static ip (ή θάναι πίσω από cg-nat),
οπότε και αρκούντως προβληματικό πρακτικά.
Επιπλέον, το τυπικό soho router δεν έχει τέτοιες ρυθμίσεις.

#2 Στήνεις το x vpn της αρεσκείας σου.
Μια χαρά από ασφάλεια (όσο ξέρετε στοιχειωδώς τι κάνετε...),
αλλά θα πρέπει όλοι να στήσουν τον vpn client από την πλευρά τους,
και θα πρέπει να έχεις μία public ip στην wan σου.
Επιπλέον, το τυπικό soho router δεν κάνει vpn (ή δεν το κάνει καλά/γρήγορα).

#3 Στήνεις κάτι σε sd-wan (0-tier?).
Θα παίξει και πίσω από cg-nat,
δεν θα είναι πολύ γρήγορο (σε σχέση με ένα vpn, όχι ότι έχει καμία σημασία όμως για minecraft σε soho).
Επιπλέον, το τυπικό soho router επίσης δεν κάνει τέτοια πράγματα...

**Moho** · 10-05-24, 14:46

Αρχικό μήνυμα από Android_Creator

Όλοι θα συνδεθούν στο εικονικό δίκτυο του ZeroTier ή στο τοπικό δίκτυο του router του server;
Επίσης το port forwarding είναι ασφαλές σε οικιακό δίκτυο (γενικά μιλώντας);

KAI o server KAI οι clients θα κάνουνε join στο ίδιο δίκτυο και θα είναι μέλη του ίδιου εικονικού LAN. Συνεπώς θα υπάρχει άμεση και απευθείας πρόσβαση αναμεταξύ τους, χωρίς καθόλου πρόσθετες πατέντες. Η λύση του port-forwarding με dynamic-dns θεωρείται πια ξεπερασμένη από άποψη ασφάλειας, και καθίσταται όλο και πιο δυσχερής χάρη στο CGNAT που εφαρμόζουνε πλέον οι πάροχοι.

**BillyVan** · 10-05-24, 15:41

Αρχικό μήνυμα από Moho

Συνεπώς θα υπάρχει άμεση και απευθείας πρόσβαση αναμεταξύ τους

Οχι απ ευθειας δεν θα ειναι.

Θα μεσολαβει ο σερβερ Ζεροτιερ.

Στις υπηρεσιες αυτες να ξερεις οτι το τζαμπα πεθαινει γρηγορα γιατι ειναι αργο και με περιορισμους.

Να κοιταξεις πρωτα με το free αν σε ενα βαθμο εισαι οκ και στη συνεχεια να πληρωσεις για να εχεις το

κεφαλι σου ησυχο.

**Moho** · 10-05-24, 20:35

Αρχικό μήνυμα από BillyVan

Οχι απ ευθειας δεν θα ειναι.

Θα μεσολαβει ο σερβερ Ζεροτιερ.

Στις υπηρεσιες αυτες να ξερεις οτι το τζαμπα πεθαινει γρηγορα γιατι ειναι αργο και με περιορισμους.

Να κοιταξεις πρωτα με το free αν σε ενα βαθμο εισαι οκ και στη συνεχεια να πληρωσεις για να εχεις το

κεφαλι σου ησυχο.

Η αρχική μόνο επικοινωνία γίνεται μέσω της υπηρεσίας τους. Αν διαβάσεις ακριβώς το πως λειτουργεί το σύστημα, θα δεις πως μετά την αρχική επαφή η επικοινωνία γίνεται όσο πιο απευθείας μπορεί να επιτευχθεί από τις τεχνολογίες που μεσολαβούν. Το relay mode, όπου ΟΛΟ το traffic περνάει εξ'ολοκλήρου μέσα από τους servers του ZeroTier, χρησιμοποιείται μόνο σε σπανιότατες περιπτώσεις, και δεν το έχω πετύχει να συμβαίνει σχεδόν ποτέ. Και ναι, σίγουρα ξεκινάς πάντα από το δωρεάν επίπεδο της υπηρεσίας και βλέπεις το κατά πόσο σε εξυπηρετεί...

**Android_Creator** · 11-05-24, 14:29

Moho δηλαδή οι servers θα είμαστε εμείς σωστά;

**Moho** · 11-05-24, 22:27

Αρχικό μήνυμα από Android_Creator

Moho δηλαδή οι servers θα είμαστε εμείς σωστά;

Δεν θα σε μπλέξω με την ορολογία που χρησιμοποιεί το ZeroTier, γιατί θα μπερδευτείς χωρίς λόγο. Το μόνο που χρειάζεται να ξέρεις προς το παρόν είναι πως όλοι οι υπολογιστές σας με ΖΤ θα είναι μέλη του ίδιου εικονικού τοπικού δικτύου και θα βλέπονται μεταξύ τους. Από εκεί και πέρα οι χρήστες θα μπορούν να επικοινωνούν με τον minecraft/web/ftp server ΣΑΣ και να συνδέονται με αυτόν μέσω ιδιωτικών ΙΡ διευθύνσεων, σαν να βρισκόντουσαν όλοι τους μαζί πάνω στο ίδιο network switch.

**macro** · 12-05-24, 19:26

Πριν 15 χρονια αυτο το setup, το εστηνα με hamachi ή tailscale......... πιστευω θα λειτουργει ακομη ο τροπος. Βεβαια και το zero μια χαρα ενδεδειγμενη λυση ειναι.

**MyISLM** · 12-05-24, 20:09

Αρχικό μήνυμα από macro

Πριν 15 χρονια αυτο το setup, το εστηνα με hamachi ή tailscale......... πιστευω θα λειτουργει ακομη ο τροπος. Βεβαια και το zero μια χαρα ενδεδειγμενη λυση ειναι.

φυσικά είναι δίκτυο μέσα στο δίκτυο (VPN με relay servers που κάνουν το hole punching). Όπότε σε κάθε περίπτωση θα έχει overhead (θα είναι πιο αργό). Μήπως μπορεί να δει ο ένας τον άλλο κατευθείαν P2P με IPv6 ;

**Android_Creator** · 14-05-24, 15:41

Δηλαδή με βοηθιτικό πρόγραμμα ή με port forwarding άλλου επιπέδου;

**macro** · 15-05-24, 10:54

Αρχικό μήνυμα από Android_Creator

Δηλαδή με βοηθιτικό πρόγραμμα ή με port forwarding άλλου επιπέδου;

Ναι, προγραμμα που σου φτιαχνει static ips over wan.

**Android_Creator** · 15-05-24, 16:23

Αν χρησιμοποιήσω επαγγελματικού λογαριασμό Microsoft E5 μπορώ να κάνω κάτι πιο γρήγορο;

Θέμα: Ασφάλεια port forwarding

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές