Εγώ και ένα φίλος μου έχουμε φτιάξει έναν Minecraft Server ο οποίος λειτουργεί άψογα. Όμως χρειάστηκε να κάνουμε port forwarding και να χρησιμοποιούμε no-ip προκειμένου να μην ξέρει ο καθένας την πραγματική ip που χρησιμοποιούμε. Σκεφτήκαμε να κάνουμε και web/FTP server (όλα αυτά να τα γνωρίζουν μόνο οι φίλοι μας ή μόνο για ιδιωτική χρήση ανάμεσα σε εμένα και τον φίλο μου, εννωείτε ότι δεν το έχουμε ανακοινώσει στο ευρύ κοινό). Υπάρχει κάποιος τρόπος για μεγαλύτερη ασφάλεια (ως τελευταία επιλογή έχουμε το να ζητήσουμε τις ip όλων αυτών που θέλουν να μπουν); Διότι και με το no-ip κάποιος μπορεί να βρει την ip μας ή να κάνει ping στην πραγματική ip και να βρει τις ανοιχτές θύρες.
Εμφάνιση 1-14 από 14
Θέμα: Ασφάλεια port forwarding
-
10-05-24, 13:37 Ασφάλεια port forwarding #1
Τελευταία επεξεργασία από το μέλος Android_Creator : 10-05-24 στις 13:44.
-
10-05-24, 14:04 Απάντηση: Ασφάλεια port forwarding #2
Έχω προτείνει τόσες φορές εδώ μέσα το ZeroTier που στο τέλος θα νομίζει ο κόσμος πως μου δίνουνε προμήθεια
Στο ψητό : θα ξεχάσετε τα port-forwarding και τα dynamic-dns και θα εγκαταστήσετε το ZeroTier στον server σας και σε όλους τους χρήστες. Η εγκατάσταση είναι απλούστατη και η ρύθμισή του πανεύκολη. Εξασφαλίζετε έτσι πλήρη έλεγχο πρόσβασης, υψηλή ασφάλεια, και απλότητα χρήσης σαν να είστε στο ίδιο τοπικό δίκτυο.
-
10-05-24, 14:21 Απάντηση: Ασφάλεια port forwarding #3
Όλοι θα συνδεθούν στο εικονικό δίκτυο του ZeroTier ή στο τοπικό δίκτυο του router του server;
Επίσης το port forwarding είναι ασφαλές σε οικιακό δίκτυο (γενικά μιλώντας);
-
10-05-24, 14:36 Απάντηση: Ασφάλεια port forwarding #4
Ε, ναι.. θα χρειαζόταν εφόσον θες να κάνεις expose τις x πόρτες "έξω",
ώστε να δέχεται εισερχόμενες συνδέσεις ένας host @lan-side.
Θέλω να πω... δεν γίνεται αλλιώς.
Το no-ip είναι υπηρεσία dns.
Δεν προσφέρει κάτι στην ασφάλεια.
Έστω ότι δηλώνεις την wan ip σου στο domain xxx.ddns.net,
με ένα lookpup αυτομάτως ο ενδιαφερόμενος ξέρει την ip σου.
Εξυπηρετεί γιατί είναι πιο ευκολομνημόνευτο να πείς στον άλλον:
"συνδέσου στο myserver02minecraft.ddns.net",
σε σχέση με το να του πείς:
"συνδέσου στην (ip) xxx.xxx.xxx.xxx "
που η ip θα αλλάζει κάθε τόσο (όσο δεν έχεις static),
αλλά από ασφάλεια δεν προσφέρει κάτι.
Οι πόρτες που θέλει το minecraft (ή/και το http/ftp αύριο) είναι ανοικτές και δέχονται συνδέσεις από "έξω"
(εφόσον έχετε κάνει nat/port-forward και το επιτρέπει το firewall του router)
και μια χαρά ξέρει ο κάθε ένας τι είναι ανοικτό με ένα port scan.
Και δεν γίνεται αλλιώς όσο θες η x υπηρεσία να είναι προσβάσιμη απο "έξω".
Αμέ
#1 ρυθμίζεις το firewall/router να δέχεται συνδέσεις απο "έξω" μόνο απο συγκεκριμένες ip addresses.
αρκούντως ασφαλές, αλλά μάλλον δεν θα έχουν όλοι static ip (ή θάναι πίσω από cg-nat),
οπότε και αρκούντως προβληματικό πρακτικά.
Επιπλέον, το τυπικό soho router δεν έχει τέτοιες ρυθμίσεις.
#2 Στήνεις το x vpn της αρεσκείας σου.
Μια χαρά από ασφάλεια (όσο ξέρετε στοιχειωδώς τι κάνετε...),
αλλά θα πρέπει όλοι να στήσουν τον vpn client από την πλευρά τους,
και θα πρέπει να έχεις μία public ip στην wan σου.
Επιπλέον, το τυπικό soho router δεν κάνει vpn (ή δεν το κάνει καλά/γρήγορα).
#3 Στήνεις κάτι σε sd-wan (0-tier?).
Θα παίξει και πίσω από cg-nat,
δεν θα είναι πολύ γρήγορο (σε σχέση με ένα vpn, όχι ότι έχει καμία σημασία όμως για minecraft σε soho).
Επιπλέον, το τυπικό soho router επίσης δεν κάνει τέτοια πράγματα...Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
10-05-24, 14:46 Απάντηση: Ασφάλεια port forwarding #5
KAI o server KAI οι clients θα κάνουνε join στο ίδιο δίκτυο και θα είναι μέλη του ίδιου εικονικού LAN. Συνεπώς θα υπάρχει άμεση και απευθείας πρόσβαση αναμεταξύ τους, χωρίς καθόλου πρόσθετες πατέντες. Η λύση του port-forwarding με dynamic-dns θεωρείται πια ξεπερασμένη από άποψη ασφάλειας, και καθίσταται όλο και πιο δυσχερής χάρη στο CGNAT που εφαρμόζουνε πλέον οι πάροχοι.
-
10-05-24, 15:41 Απάντηση: Ασφάλεια port forwarding #6
Οχι απ ευθειας δεν θα ειναι.
Θα μεσολαβει ο σερβερ Ζεροτιερ.
Στις υπηρεσιες αυτες να ξερεις οτι το τζαμπα πεθαινει γρηγορα γιατι ειναι αργο και με περιορισμους.
Να κοιταξεις πρωτα με το free αν σε ενα βαθμο εισαι οκ και στη συνεχεια να πληρωσεις για να εχεις το
κεφαλι σου ησυχο.
-
10-05-24, 20:35 Απάντηση: Ασφάλεια port forwarding #7
Η αρχική μόνο επικοινωνία γίνεται μέσω της υπηρεσίας τους. Αν διαβάσεις ακριβώς το πως λειτουργεί το σύστημα, θα δεις πως μετά την αρχική επαφή η επικοινωνία γίνεται όσο πιο απευθείας μπορεί να επιτευχθεί από τις τεχνολογίες που μεσολαβούν. Το relay mode, όπου ΟΛΟ το traffic περνάει εξ'ολοκλήρου μέσα από τους servers του ZeroTier, χρησιμοποιείται μόνο σε σπανιότατες περιπτώσεις, και δεν το έχω πετύχει να συμβαίνει σχεδόν ποτέ. Και ναι, σίγουρα ξεκινάς πάντα από το δωρεάν επίπεδο της υπηρεσίας και βλέπεις το κατά πόσο σε εξυπηρετεί...
-
11-05-24, 14:29 Απάντηση: Ασφάλεια port forwarding #8
Moho δηλαδή οι servers θα είμαστε εμείς σωστά;
-
11-05-24, 22:27 Απάντηση: Ασφάλεια port forwarding #9
Δεν θα σε μπλέξω με την ορολογία που χρησιμοποιεί το ZeroTier, γιατί θα μπερδευτείς χωρίς λόγο. Το μόνο που χρειάζεται να ξέρεις προς το παρόν είναι πως όλοι οι υπολογιστές σας με ΖΤ θα είναι μέλη του ίδιου εικονικού τοπικού δικτύου και θα βλέπονται μεταξύ τους. Από εκεί και πέρα οι χρήστες θα μπορούν να επικοινωνούν με τον minecraft/web/ftp server ΣΑΣ και να συνδέονται με αυτόν μέσω ιδιωτικών ΙΡ διευθύνσεων, σαν να βρισκόντουσαν όλοι τους μαζί πάνω στο ίδιο network switch.
-
12-05-24, 19:26 Απάντηση: Ασφάλεια port forwarding #10
Πριν 15 χρονια αυτο το setup, το εστηνα με hamachi ή tailscale......... πιστευω θα λειτουργει ακομη ο τροπος. Βεβαια και το zero μια χαρα ενδεδειγμενη λυση ειναι.
Άλλα Ντάλλα....
-
12-05-24, 20:09 Re: Απάντηση: Ασφάλεια port forwarding #11
-
14-05-24, 15:41 Απάντηση: Re: Απάντηση: Ασφάλεια port forwarding #12
Δηλαδή με βοηθιτικό πρόγραμμα ή με port forwarding άλλου επιπέδου;
-
15-05-24, 10:54 Απάντηση: Re: Απάντηση: Ασφάλεια port forwarding #13
-
15-05-24, 16:23 Απάντηση: Ασφάλεια port forwarding #14
Αν χρησιμοποιήσω επαγγελματικού λογαριασμό Microsoft E5 μπορώ να κάνω κάτι πιο γρήγορο;
Bookmarks