Administruję małą siecią w firmie, która posiada łącze do sieci Internet (kilka oficjalnych IP i router Cisco 2621 z NAT), oraz kilka serwerów Linux. Serwery i Cisco posiadają skonfigurowane zdalne zarządzanie przez SSH na typowym, 22 porcie. Już od dawna zaobserwowałem, że ilość prób logowań na 22 porcie jest znaczna. W serwerach nie ma z tym problemu, gdyż prosto SSH da się przestawić na inny, wysoki port, np. TCP 52319. Problem jest z routerem, gdyż wysokie porty są raczej nie dostępne.
Jeżeli posiadasz NAT (a raczej w Cisco nazywane jest to NAT&PAT), to możesz prosto sprawę obejść. Najpierw należy utworzyć interfejs Loopback, nadać mu IP z puli adresów nieoficjalnych (aby nie pokrywał się z adresacją sieci LAN) i ustawić natowanie. Następnie ustawiasz forward TCP, który wszystko co przychodzi na interfejs WAN na określony wysoki port, przekierowuje na port TCP 22 i IP utworzonego interfejsu Loopback. Całość konfiguracji może wyglądać np. tak:
Router(config)# interface loopback 10
Router(config-if)# ip address 192.168.10.10 255.255.255.0
Router(config-if)# ip nat inside
Router(config)# ip nat inside source static tcp 192.168.10.10 22 ip_wan nr_wysokiego_portu extendable
Pozdrawiam,
Wojtek
Można też skorzystać z rotary-group, wtedy ssh będzie dostępne nie na porcie 22, a na przykład 2001 za pomocą komendy rotary group.
