SSH（sftp）サーバー-DMZまたはポートフォワーディング？

セキュリティリスク

SSHは既知のポートで動作します。あいまいなポート番号に切り替えることで、犯罪攻撃の数を減らすことができます（ただし、あいまいさはセキュリティではないことに注意してください）。これらの攻撃は、ログファイルをいっぱいにし、リソースを使用する迷惑です。

最大のリスクは、SSHでパスワード認証を許可することです。ほとんどの侵入の試みは、人気のあるユーザー名（ "root"、 "john"など）と人気のあるパスワードの何千もの組み合わせを試します。遅かれ早かれ、彼らは正しく推測するでしょう。最善の解決策は、キーベースのログインのみを許可し、ログインを特定のユーザーIDのリストに制限することです。

ポートフォワーディングとDMZ

一部のルーターベンダーは、DMZという用語をワイルドカードポート転送を意味するために誤用しています。厳密に言えば、DMZは、公開サーバーを配置する分離されたLANセグメントです。サーバーが犯罪者に乗っ取られても、犯罪者は内部LAN（機密データや貴重なデータを保持している場所）にアクセスできません。可能な場合は、両方のポート転送を使用します。trueDMZ 。

ポートフォワーディングなしでSSHにチューニングします。

唯一の方法は、外部ランデブーポイントに reverse-tunnel を設定することです。