Настройка подключения через SSH из вне к pfSense 2.4.4

Posted by

Задача: Проработать, как активировать возможность подключения через SSH к WAN интерфейсу моего интернет центра на базе pfSense 2.4.4

Мне это нужно, а зачем я пока еще не решил, главное чтобы я умел это делать если нужно будет извлекать диагностическую информацию для моего сервера мониторинга на базе связки Ubuntu 18.04 + Zabbix 4.4

Содержание:

Шаг №1 Шаг №2 Шаг №3 Шаг №4 Шаг №5

Шаг №1: Установлен дистрибутив (pfSense-CE-2.4.4-RELEASE-p1-amd64.iso) и произведена базовая настройка pfSense 2.4.4 на обычный компьютер опираясь на ранее опубликованную заметку «Моя настройка интернет центра на базе pfSense 2.4.4«

Шаг №2: Включаю в расширенный настройках работу SSH сервера

Подключаюсь из LAN сети к своему интернет центру

(https://IP&DNS) https://172.50.50.254 - user&pass (admin:712mbbdr@) - System — Advanced - Admins Access — раздел (Secure Shell)

  • Secure Shell Server => Enable Secure Shell (отмечаю галочкой)
  • SSH port: 22

После нажимаю Save

Шаг №3: Проверяю, что могу подключиться посредством SSH-клиента к своему интернет центру:

Да подключение проходит. Отключаюсь

Шаг №4: Но чтобы подключаться можно было не только из LAN-сети нужно добавить в Firewall правило для WAN интерфейса:

(https://IP&DNS) https://172.50.50.254 - user&pass (admin:712mbbdr@) — Firewall — Rules — WAN — Add

  • Action: Pass
  • Interface: WAN
  • Address Family: IPv4
  • Protocol: TCP
  • Source: WAN Net
  • Destination: WAN address
  • Destination Port Range: (FROM) SSH (22)
  • Destination Port Range: (TO) SSH (22)
  • Log: отмечаю галочкой (Log packets that are handled by this rule)
  • Description: _RULE_WAN_SSH_22

и нажимаю Save — Apply Changes

Шаг №5: Проверяю, что могу из сети которая за WAN (у меня это 172.33.33.0/24) подключиться по SSH на адрес WAN, т.е. на адрес 172.33.33.14

Подключение проходит успешно.

На заметку: Оставлять доступ из вне на сервис SSH вашего интернет центра очень плохая идея, правильнее поднять VPN туннель из уже внутри него подключаться по SSH. Во вне должно быть минимум открытых портов, а если очень нужен сервис SSH то обязательно не на стандартном порту 22/tcp и вход только по сертификатам.

Итого, я разобрал как пошагово настроить возможность подключения из вне на Ваш интернет центр посредством SSH подключения.

На заметку: Такое подключение будет работать если Ваш интернет провайдер дает Вам белый статический адрес, а не адрес из своего NAT. Либо можно задействовать вот такую вот связку: «OpenVPN туннель до своей сети за Mikrotik«

На этом у меня пока все, с уважением автор блога Олло Александр aka ekzorchik.