sheisapryl Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день всем. Ситуация следующая:  На филии:  1) Сервер - 2003 sp1, роли - файловый, сервер 1с, антивирус f-secure 6.00.  2) Интернет - ADSL модем AirTies 5050UA, модем в режиме бриджа, авторизация соответственно на модема, есть внешний IP.  3) Сеть - и модем и сервер подключены в один свич. На сервере в качестве шлюза прописан внутренний IP модема (как бы естественно).    На модеме настроена переадресация портов для RDP. Подключаюсь с главного офиса    на внешний IP модема на порту 3389, меня прокидывает на робочий стол сервера филии. Как бы всё красиво...  Но хотелось бы в целях естественной безопасности сделать так что бы прокидка портов шла только для конкретных внешних IP (центральный офис). А так на данный момент в принципе пускает всех. Облазил весь модем на наличие необходимых настроек, но не нашёл. Понимаю что на сервер филии можно в принципе поставить простенькую стенку, но хотелось бы сгрупировать все настройки связаные с интернетом исключительно на модеме. Всего записей: 355 | Зарегистр. 21-05-2008 | Отправлено: 12:59 18-05-2011

jindos1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: модем в режиме бриджа, авторизация соответственно на модема а это разве не взаимоисключающие понятия?   а по существу вопроса, что мешает дать права на подключение к серверу только тем пользователям, что нужно? Всего записей: 110 | Зарегистр. 25-08-2007 | Отправлено: 13:16 18-05-2011

sheisapryl Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: а по существу вопроса, что мешает дать права на подключение к серверу только тем пользователям, что нужно?    Так такие пользователи и подключаются...Хотелось бы забанить возможность RDP сесий именно для всех внешних ip кроме избранных. Всего записей: 355 | Зарегистр. 21-05-2008 | Отправлено: 13:54 18-05-2011

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору sheisapryl jindos1 задал правильный вопрос про режим модема.... Мне просто интересно как оно вяжется bridge и "переадресация портов для RDP"? ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 14:23 18-05-2011

sheisapryl Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: sheisapryl jindos1 задал правильный вопрос про режим модема   я вообще не понимаю почему вы акцентируете внимание на режиме роботы модема   Цитата: Мне просто интересно как оно вяжется bridge и "переадресация портов для RDP"?     Вяжеться что? модем в режиме бриджа роздаёт интернет... На модеме есть опция - Переадресация портов... создано правило...правило роботает...что не так?    Я задал вполне конкретный вопрос, каким образом можно отрубать подключения левых айпи на возможность этой самой переадресации. Всего записей: 355 | Зарегистр. 21-05-2008 | Отправлено: 14:31 18-05-2011

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору sheisapryl Цитата: я вообще не понимаю почему вы акцентируете внимание на режиме роботы модема   Цитата:  bridge и "переадресация портов для RDP"   При подключении когда модем настроен в режим моста (bridge mode) PPP соединение устанавливается между компьютером и сервером авторизации, модем прозрачно пропускает через себя весь сетевой трафик от компьютера, поэтому настройка локального сетевого подключения для работы ADSL не нужна, а нужна лишь для того, что бы зайти на новый модем и настроить его или же, что бы windows не ругалась, что локальное сетевое подключение ограничено и не высвечивало знак восклицания над иконкой сетевого подключения в трее.   На основании вышеизложенного не совсем (вернее совсем) не понятны попытки настраивать переадресации в модеме. ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 14:34 18-05-2011

sheisapryl Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: jindos1 Цитата: Ruza      Огромное сорри дал неверную инфу...извините что запутал. Модем роботает в режиме PPPoE ... Всего записей: 355 | Зарегистр. 21-05-2008 | Отправлено: 14:47 18-05-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sheisapryl Вот пишешь не в тему, а саму тему Windows Terminal Services FAQ (терминальный сервер) игнорируешь. А я там уже писал насчет   "избранных". Прокидываешь порт 3389 на внешний порт, не 3389, а какой-либо 12359. И сообщаешь его только  "избранным". И они коннектятся на адрес твой_внешний_айпи:12359. Вот такое решение "для бедных". А по-взрослому нужно в сети поставить VPN сервер, с авторизацией по сертификатам, и раздавать эти сертификаты только  "избранным".   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 15:48 18-05-2011

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: А по-взрослому нужно в сети поставить VPN сервер, с авторизацией по сертификатам, и раздавать эти сертификаты только  "избранным".   Да имхо достаточно модема в режиме бриджа плюс сотфварно-апаратного фаервола\роутера типа микротика. Там можно правилами фрарвола разрешить конект на порт тока в определенных ипов. Городить впн себе дороже - больше гемороя с клиентами. Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 15:52 18-05-2011

sheisapryl Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  Прокидываешь порт 3389 на внешний порт, не 3389, а какой-либо 12359. И сообщаешь его только  "избранным". И они коннектятся на адрес твой_внешний_айпи:12359.   Как вариант очень даже подходит, спасибо.   Всего записей: 355 | Зарегистр. 21-05-2008 | Отправлено: 17:57 18-05-2011

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот только первый же nmap ипа спокойно имхо найдет этот порт. Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 23:16 18-05-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору goletsa Цитата: Вот только первый же nmap ипа спокойно имхо найдет этот порт.  Несомненно. Я же написал, что это решение "для бедных". Это защитит от доступа к RDP сотрудников, которые уже знают про стандартный порт 3389, но еще ничего не знают про nmap. Тех, что знают, в среднестатистической конторе немного, и дырки в заборе они себе наверняка проделали. Защита фаерволом здесь совершенно бессмысленна, поскольку домашних пользователей, имеющих постоянные белые айпи, еще меньше, чем знающих про nmap. Вряд ли sheisapryl захочет работать в режиме "горячй линии", постоянно корректируя настройки фаервола при каждом изменении динамического айпи у клиента. По сравнению  с этим геморрой с VPN покажется легким зудом. Да и сложности с VPN явно преувеличены, у меня с нею спокойно работают девочки из бухгалтерии и отдела продаж.     ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 23:44 18-05-2011

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: Защита фаерволом здесь совершенно бессмысленна, поскольку домашних пользователей, имеющих постоянные белые айпи, еще меньше, чем знающих про nmap.   но в стартовом топике: Цитата: Но хотелось бы в целях естественной безопасности сделать так что бы прокидка портов шла только для конкретных внешних IP (центральный офис). Т.е. подразумевается фиксированный список адресов. Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 02:36 19-05-2011

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору goletsa Понятно, этот момент я как-то пропустил. Ну тогда видимо проще всего на фаерволе модема (он там есть, правда, достаточно ублюдочный) создать правило, которое бы разрешало филиальскому серверу 2003 sp1 коннектиться только к онкретным внешним IP (центрального офиса). ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17280 | Зарегистр. 13-06-2007 | Отправлено: 11:46 19-05-2011

sheisapryl Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: он там есть, правда, достаточно ублюдочный   вот как бы и я о чём...у меня же суть вопроса и была в том как это реализовать средствами именно модема... Всего записей: 355 | Зарегистр. 21-05-2008 | Отправлено: 18:20 19-05-2011

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » RDP для избранных

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование