最近開始測試把樹莓派公開到公網上
也試試網路上有多少變態 XD
一天不到就被破了
沒啦，是我用 default user name & password XD
pi/raspberry
改了這個後，沒再被破過了
不過長期來說，我們要把設備賣到客戶那邊
十天半個月長期跑，也不是沒風險
我們產品用不到 ssh, ssh 是我方便自己用的
所以我就想，設個白名單，開放我筆電的 MAC address 就好
查下去發現我搞錯了，白名單只有開 IP
而我筆電可能去任何地方掛單，不保證 IP 啊！
為什麼我會想到 MAC address? 就隱隱覺得有，和其他功能搞錯了
（我的無線 AP 是有，那是說連上我的 ssid/password 時，可以限定 MAC）
不過我這台可是樹莓派，跑 linux 咧
又不是不能寫程式的 AP
linux 真的沒有鎖 MAC address 的大絕可以放嗎？
或這也不算大絕，別人冒充我的 MAC 就可以了？
這種無聊的人應該很少吧！

只要跨網段來訪問 mac address都是同一個好嗎？

MAC address 過 router 就沒了鎖 IP 是一定要的 還擔心可以換個 port

ssh 很多pam可以強化 例如2fa 或是失敗次數鎖定時間，另外可以加強制憑證 有憑證才能進來

麻煩網路 layer 2/ layer 3 是什麼看一下 ...

可以鎖 mac address ,前題是你改改sshd ,ssh client

你乾脆在固定IP上架個VPN，透過VPN再ssh到你的派是說憑證登入是基本的吧？XD

去搞懂OSI/ISO 模型，跟網路運作原理若簡單想了解,去看CCNA若真的想安全,是直接拔網路線跟電源線

你ssh可以關掉密碼登入只用key

網路架構出是一層包一層，收也是一層拆一層。mac addr在第二層，但是網際網路是在第三層mac addr只到區網層級，到了gateway就被拆包裝換掉了分層目的就是讓上層可以無視下層的細節，彼此獨立運作上層不管下層怎麼包，反正送的到就好下層也不看上層的內容，直接打包就好像你網購只選怎麼收貨，實際上怎麼來的不用管有可能今天黑貓送，明天郵差送。反正都可以收到你的包裹寫送到某地址(IP)，然後丟給管理員(Gateway)管理員找最近的郵局寄件，代理人寫他(mac)郵局交給郵差，寄件單位為郵局(ip)，負責人為櫃員(mac)郵差(mac)送到分點(ip)，交給下一個郵差一直這樣下去，到指定地址為止你的包裹上面一直有寫地址(dest ip)，也一直傳下去，但中間經手人(mac)會一直換甚至每次經手的都不同人，但是你只關注有沒有收到而已

還可以跟這種人討論那麼多篇喔繞來繞去就是SSL VPN想用SSH 達成轉發效果，你怎麼不去研究SSL VPN呢?還在那邊公網 私網，浪費眾人時間

未看先猜一定有人回答VPN

你要我給你可以做的方案我會收個100,000USD

當然可以有重複的mac，vmware在OUI也才註冊6段，你覺得這6段有可能夠全世界虛擬機用嗎，只要用L3隔開之後你裡面怎麼玩問題不大

概念一直很簡單阿，由你們提供主機連入連入後直接打洞，你再從主機端進入這樣客戶端沒有開服務的安全問題

要mac不重複喔?ipv4 32bit,v6 128bit,現行mac也才48biit大概再過個幾年就換mac要改格式了

mac addr回收再利用比較沒問題，所以不急就算是同一家的設備，也只有1600萬分之一的機率重複而且一般都是循序編號，至少要出個千萬台才遇的到

現在很多都改用 LAA 了... LAN 裡重號的機率低的可以

住院中，被慣老闆操到肺炎確診，看到有回應好感動所以開gateway ports 就確定可行；或頂多再見招拆招解問題，總之固定ip 接ap,再轉接至rpi一定可行，是吧！謝謝查過 gateway port 設定了，原來是指 sshd config 裡的設定；可是我跨公網測試失敗，之前在家私網測試都成功說，我那時可沒設；得再回想了，病床上無法測

locally administered address