Вкратце: я хочу предоставить доступ к Интернету по SSH из коробки в среде с NAT, но предпочел бы сделать это на высоком (в эфемерном диапазоне) порте. Безопасно ли перенаправлять временный порт во внутреннюю сеть или это может вызвать проблемы с таблицей NAT для исходящего трафика? Другими словами, если я определю правило DSTNAT (переадресация портов) на моем Mikrotik в эфемерном диапазоне, будет ли оно исключено из использования для SRCNAT?
Это не «эфемерный порт», если это не случайно выбранный порт для подключения. Вы говорите о простом высокие номера портов, или незарезервированные порты, все, что начинается с 1025 и более.
Да, это нормально, если у вас в порядке остальная часть вашей безопасности. Я запускаю SSH на порту 2222, чтобы сократить количество скриптовых детишек, которые взрывают мои журналы неудачными попытками входа в систему.
Есть одна заметная потенциальная проблема: если у кого-то есть доступ без полномочий root к вашему серверу, предоставленный или через какую-либо другую уязвимость, и он может управлять вашим SSH-сервером, он может запустить свой собственный SSH-сервер, поскольку этот порт разрешен для не корневые программы. Если вы подключились к их демону SSH и выполнили su или sudo они могли захватить пароль и заняться разными забавными вещами.