Как настроить SSH для 2-х ферм?

[bobers]

Имеются 2 фермы, подключенные к роутеру с динамичным IP. В настройках DNS прописал адрес с DynDNS, а в роутере настроил перенаправление порта 22 на одну из ферм. Соединение по SSH происходит без проблем. Не могу понять как же настроит доступ на 2ю ферму. Адрес ДНС один, а ферм 2-е и порт 22 уже занят. Помогите плз.

[1715270974]

1715270974

[AV]

А если на первой ферме расшарить интернет, а вторую подключать к первой через дополнительный сетевой интерфейс ?

[sergrpd]

А еще можно для второй фермы использовать нестандартный порт для SSH сервиса, отличный от 22, например какой-то 27 (он вроде больше никем активно не используется).
Мы так делали часто в подобных случаях.

А еще вариант - заходи сначала на первую ферму, а по локалке на вторую, выйдет что-то типа SSH over SSH Туннель внутри туннеля.

[bobers]

А еще вариант - заходи сначала на первую ферму, а по локалке на вторую, выйдет что-то типа SSH over SSH Туннель внутри туннеля.

Спасибо за совет

[Flexystar]

Вообще-то решение зависит от твоих возможностей роутера. Проброс портов может быть и проще.
На обеих фермах поднимаешь SSH.
На роутере делаешь проброс входящего примерно такой схемой:
IN 22 = OUT 22 192.168.1.2   [I Rig]
IN 23 = OUT 22 192.168.1.3   [II Rig]

Как выше писал - не на всех роутерах это сделаешь. Но допустим на моем ASUS WL-500gP V2 с не стандартной прошивкой - это возможно (так и настроено собственно из-вне доступ к различным PC IntraNet.)

[sergrpd]

А еще вариант - заходи сначала на первую ферму, а по локалке на вторую, выйдет что-то типа SSH over SSH Туннель внутри туннеля.

Спасибо за совет

Удалось сделать такое?

[Flexystar]

А еще вариант - заходи сначала на первую ферму, а по локалке на вторую, выйдет что-то типа SSH over SSH Туннель внутри туннеля.

Спасибо за совет

Удалось сделать такое?

А чего так интересно?)
Ты так говоришь, будто это невозможное должно стать возможным.
Конечно такое удастся без проблем. Но довольно глупый вариант.

[sergrpd]

Конечно такое удастся без проблем. Но довольно глупый вариант.

Зато очень простой И требует минимум напрягов.
А то порты на роутере пробрасывать явно дольше.

И еще одно - не надо трогать 23 порт, это telnet.

[Flexystar]

Конечно такое удастся без проблем. Но довольно глупый вариант.

Зато очень простой И требует минимум напрягов.
А то порты на роутере пробрасывать явно дольше.

И еще одно - не надо трогать 23 порт, это telnet.

Простой - возможно. Но этим самым нужно делать больше движений КАЖДЫЙ раз при конекте на вторую машину. А так ОДИН раз пробросить  - и жизнь прекрасна.
Порты пробрасывать дольше? О_о смеешься? У меня проброс занимает 1-2 мин. и это если учесть только что перезагрузка модема и поднятие ADSL занимает ~40 сек.
23 порт был проведен только в качестве примера - и если даже его использую - ничего не случится. Часто видишь открытый telnet у кого-то? Лично я не вижу в своей практике, что нормальные люди его не закрывают.

[bobers]

 Спасибо всем,  с роутером попробую, как доберусь,  а пока по 1му варианту

[anfes]

Вообще то пробрасывать 22 порт тоже не очень умно, учитывая сканеры SSH. Проброс порта 10122 (к примеру) - более надёжный способ. В любом случае необходимо использовать сложный пароль или генерировать ключ. Если используются нестандартные порты, то для второй фермы можно использовать порт 10222

[Flexystar]

Вообще то пробрасывать 22 порт тоже не очень умно, учитывая сканеры SSH. Проброс порта 10122 (к примеру) - более надёжный способ. В любом случае необходимо использовать сложный пароль или генерировать ключ. Если используются нестандартные порты, то для второй фермы можно использовать порт 10222

Паранойя еще одна?)
1 - кто будет знать твой IP?
2 - кому вообще нужна "твоя" ферма?
3 - попробуешь сбрутить пароль свыше 8 генерированных знаков - дай знать. Буду знать к кому обращаться.

[anfes]

Flexystar, брутят обычно бот-сети, по нескольку запросов с 1-го IP. Получение даже пользовательского доступа позволит отправлять спам, ддосить и т.д. и т.п. А если учесть, что у многих пароли вида 123456 или другой набор цифр, то подобрать его легко.

Конкретные цели можешь поспрашивать у владельцев бот сетей, а я просто совсем редко поглядывал лог соединений

[Flexystar]

Flexystar, брутят обычно бот-сети, по нескольку запросов с 1-го IP. Получение даже пользовательского доступа позволит отправлять спам, ддосить и т.д. и т.п. А если учесть, что у многих пароли вида 123456 или другой набор цифр, то подобрать его легко.

Конкретные цели можешь поспрашивать у владельцев бот сетей, а я просто совсем редко поглядывал лог соединений

Только неук поставит простой пароль на Linux , root'у
Учитывай еще бан ssh после неправильных вводов. Долгий брут будет однако) 

[loga]

А если учесть, что у многих пароли вида 123456 или другой набор цифр, то подобрать его легко.

Решение очень простое - не ставить пароли вида 123456 на машины к которым можно подключится по ssh из интернета. Пробуют как правило несколько десятков-сотен часто используемых паролей.

[LZ]

Не забудьте поднять denyhosts. Если порт стандартный, то ломиться на SSH демон очень даже будут.