最近开始测试把树莓派公开到公网上
也试试网络上有多少变态 XD
一天不到就被破了
没啦，是我用 default user name & password XD
pi/raspberry
改了这个后，没再被破过了
不过长期来说，我们要把设备卖到客户那边
十天半个月长期跑，也不是没风险
我们产品用不到 ssh, ssh 是我方便自己用的
所以我就想，设个白名单，开放我笔电的 MAC address 就好
查下去发现我搞错了，白名单只有开 IP
而我笔电可能去任何地方挂单，不保证 IP 啊！
为什么我会想到 MAC address? 就隐隐觉得有，和其他功能搞错了
（我的无线 AP 是有，那是说连上我的 ssid/password 时，可以限定 MAC）
不过我这台可是树莓派，跑 linux 咧
又不是不能写程式的 AP
linux 真的没有锁 MAC address 的大绝可以放吗？
或这也不算大绝，别人冒充我的 MAC 就可以了？
这种无聊的人应该很少吧！

只要跨网段来访问 mac address都是同一个好吗？

MAC address 过 router 就没了锁 IP 是一定要的 还担心可以换个 port

ssh 很多pam可以强化 例如2fa 或是失败次数锁定时间，另外可以加强制凭证 有凭证才能进来

麻烦网络 layer 2/ layer 3 是什么看一下 ...

可以锁 mac address ,前题是你改改sshd ,ssh client

你干脆在固定IP上架个VPN，透过VPN再ssh到你的派是说凭证登入是基本的吧？XD

去搞懂OSI/ISO 模型，跟网络运作原理若简单想了解,去看CCNA若真的想安全,是直接拔网络线跟电源线

你ssh可以关掉密码登入只用key

网络架构出是一层包一层，收也是一层拆一层。mac addr在第二层，但是互联网是在第三层mac addr只到区网层级，到了gateway就被拆包装换掉了分层目的就是让上层可以无视下层的细节，彼此独立运作上层不管下层怎么包，反正送的到就好下层也不看上层的内容，直接打包就好像你网购只选怎么收货，实际上怎么来的不用管有可能今天黑猫送，明天邮差送。反正都可以收到你的包裹写送到某地址(IP)，然后丢给管理员(Gateway)管理员找最近的邮局寄件，代理人写他(mac)邮局交给邮差，寄件单位为邮局(ip)，负责人为柜员(mac)邮差(mac)送到分点(ip)，交给下一个邮差一直这样下去，到指定地址为止你的包裹上面一直有写地址(dest ip)，也一直传下去，但中间经手人(mac)会一直换甚至每次经手的都不同人，但是你只关注有没有收到而已

还可以跟这种人讨论那么多篇喔绕来绕去就是SSL VPN想用SSH 达成转发效果，你怎么不去研究SSL VPN呢?还在那边公网 私网，浪费众人时间

未看先猜一定有人回答VPN

你要我给你可以做的方案我会收个100,000USD

当然可以有重复的mac，vmware在OUI也才注册6段，你觉得这6段有可能够全世界虚拟机用吗，只要用L3隔开之后你里面怎么玩问题不大

概念一直很简单阿，由你们提供主机连入连入后直接打洞，你再从主机端进入这样客户端没有开服务的安全问题

要mac不重复喔?ipv4 32bit,v6 128bit,现行mac也才48biit大概再过个几年就换mac要改格式了

mac addr回收再利用比较没问题，所以不急就算是同一家的设备，也只有1600万分之一的机率重复而且一般都是循序编号，至少要出个千万台才遇的到

现在很多都改用 LAA 了... LAN 里重号的机率低的可以

住院中，被惯老板操到肺炎确诊，看到有回应好感动所以开gateway ports 就确定可行；或顶多再见招拆招解问题，总之固定ip 接ap,再转接至rpi一定可行，是吧！谢谢查过 gateway port 设定了，原来是指 sshd config 里的设定；可是我跨公网测试失败，之前在家私网测试都成功说，我那时可没设；得再回想了，病床上无法测

locally administered address