በብዙ አገሮች በኮቪድ-19 ቫይረስ ወረርሽኝ እና በአጠቃላይ ማግለል ምክንያት ለብዙ ኩባንያዎች ሥራ ለመቀጠል ያለው ብቸኛ መንገድ በኢንተርኔት አማካይነት የሥራ ቦታዎችን ማግኘት ነው። ለርቀት ሥራ ብዙ በአንፃራዊነት ደህና የሆኑ ዘዴዎች አሉ - ነገር ግን የችግሩን ስፋት ግምት ውስጥ በማስገባት ለማንኛውም ተጠቃሚ ከቢሮው ጋር በርቀት ለመገናኘት ቀላል ዘዴ ያስፈልጋል እና ተጨማሪ ቅንብሮችን, ማብራሪያዎችን, አሰልቺ ምክሮችን እና ረጅም መመሪያዎችን ሳያስፈልግ. ይህ ዘዴ በብዙ አስተዳዳሪዎች RDP (የርቀት ዴስክቶፕ ፕሮቶኮል) የተወደደ ነው። በቀጥታ ከስራ ቦታ ጋር በ RDP በኩል መገናኘት ችግራችንን ይፈታል ፣ ከአንድ ትልቅ ዝንብ በስተቀር - የ RDP ወደብ ለበይነመረብ ክፍት ማድረግ በጣም ደህንነቱ የተጠበቀ ነው። ስለዚህ, ከዚህ በታች ቀላል ግን አስተማማኝ የጥበቃ ዘዴ ሀሳብ አቀርባለሁ.
ብዙ ጊዜ የሚክሮቲክ መሳሪያዎች እንደ ኢንተርኔት አገልግሎት የሚውሉባቸው ትንንሽ ድርጅቶች ስላጋጠሙኝ ከዚህ በታች ይህንን በሚክሮቲክ ላይ እንዴት እንደሚተገብሩ ይታያል ነገር ግን የፖርት ኖኪንግ መከላከያ ዘዴ በቀላሉ በሌሎች ከፍተኛ ደረጃ ያላቸው መሳሪያዎች ላይ ተመሳሳይ የግቤት ራውተር መቼቶች እና ፋየርዎል ተግባራዊ ይሆናል. .
ስለ ፖርት ኖኪንግ በአጭሩ. ከበይነመረቡ ጋር የተገናኘው አውታረ መረብ ተስማሚ የውጭ መከላከያ ሁሉም ሀብቶች እና ወደቦች በፋየርዎል ከውጭ ሲዘጉ ነው። እና ምንም እንኳን እንደዚህ አይነት የተዋቀረ ፋየርዎል ያለው ራውተር ከውጭ ለሚመጡ እሽጎች ምንም አይነት ምላሽ ባይሰጥም እነርሱን ያዳምጣል። ስለዚህ ፣ ራውተሩን ማዋቀር ይችላሉ የተወሰኑ (የኮድ) ተከታታይ የአውታረ መረብ እሽጎች በተለያዩ ወደቦች ላይ ሲደርሱ እሱ (ራውተሩ) ፓኬጆቹ ከመጡበት ለአይፒው የተወሰኑ ሀብቶችን (ወደቦችን ፣ ፕሮቶኮሎችን ፣ ፕሮቶኮሎችን) ያቋርጣል ። ወዘተ)።
አሁን ወደ ንግድ ሥራ። በሚክሮቲክ ላይ ስለ ፋየርዎል መቼቶች ዝርዝር መግለጫ አላደርግም - በይነመረብ ለዚህ ከፍተኛ ጥራት ባለው ምንጮች የተሞላ ነው። በሐሳብ ደረጃ፣ ፋየርዎል ሁሉንም መጪ ፓኬቶች ያግዳል፣ ግን
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedከተመሠረተ ፣ ተዛማጅ ግንኙነቶች የሚመጣውን ትራፊክ ይፈቅዳል።
አሁን በሚክሮቲክ ላይ ወደብ ኖኪንግ አዘጋጅተናል፡-
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389አሁን በበለጠ ዝርዝር፡-
የመጀመሪያዎቹ ሁለት ደንቦች
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulesወደብ ሲቃኝ ከተከለከሉ የአይፒ አድራሻዎች የሚመጡ እሽጎችን መከልከል ፤
ሦስተኛው ደንብ፡-
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
ትክክለኛውን ወደብ (19000) ላይ ትክክለኛውን የመጀመሪያ ማንኳኳቱን ወደ አስተናጋጆች ዝርዝር ውስጥ ip ን ይጨምራል;
የሚቀጥሉት አራት ደንቦች የሚከተሉት ናቸው:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesወደቦችዎን ለመቃኘት ለሚፈልጉ ወጥመድ ወደቦች ይፍጠሩ እና እንደዚህ ያሉ ሙከራዎች ከተገኙ አይፒቸውን ለ 60 ደቂቃዎች በጥቁር መዝገብ ውስጥ ያስገቡ ፣ በዚህ ጊዜ የመጀመሪያዎቹ ሁለት ህጎች እንደዚህ ያሉ አስተናጋጆች ትክክለኛውን ወደቦች ለማንኳኳት እድል አይሰጡም ።
ቀጣዩ ህግ፡
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesሁለተኛው ትክክለኛ ማንኳኳት በሚፈለገው ወደብ (1) ላይ ስለተደረገ አይፒን በተፈቀደው ዝርዝር ውስጥ ለ 16000 ደቂቃ (ግንኙነት ለመመስረት በቂ ነው) ያስቀምጣል;
ቀጣይ ትእዛዝ፡-
move [/ip firewall filter find comment=RemoteRules] 1ደንቦቻችንን ወደ ፋየርዎል ማቀነባበሪያ ሰንሰለት ያንቀሳቅሳል ፣ ምክንያቱም ምናልባት እኛ አዲስ የተፈጠሩት እንዳይሰሩ የሚከለክሉ የተዋቀሩ የተለያዩ ውድቅ ህጎች ሊኖረን ይችላል። በሚክሮቲክ ውስጥ የመጀመሪያው ህግ ከዜሮ ይጀምራል, ነገር ግን በመሳሪያዬ ላይ ዜሮ አብሮ በተሰራው ደንብ ተይዟል እና ለማንቀሳቀስ የማይቻል ነበር - ወደ 1. አዛውሬዋለሁ. ስለዚህ, የእኛን ቅንብሮች እንመለከታለን - የት ማንቀሳቀስ ይችላሉ. እና የሚፈለገውን ቁጥር ያመልክቱ.
ቀጣይ ቅንብር፡
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389በዘፈቀደ የተመረጠ ወደብ 33890 ወደ ተለመደው RDP ወደብ 3389 እና የምንፈልገውን የኮምፒተር ወይም ተርሚናል አገልጋይ አይፒ ያስተላልፋል። እንደነዚህ ያሉትን ደንቦች ለሁሉም አስፈላጊ የውስጥ ሀብቶች እንፈጥራለን, በተለይም መደበኛ ያልሆኑ (እና የተለያዩ) ውጫዊ ወደቦችን ማዘጋጀት ይመረጣል. በተፈጥሮ፣ የውስጥ ሃብቶች ip ቋሚ ወይም በDHCP አገልጋይ ላይ የተስተካከለ መሆን አለበት።
አሁን የእኛ ሚክሮቲክ ተዋቅሯል እና ተጠቃሚው ከውስጣችን RDP ጋር እንዲገናኝ ቀላል አሰራር እንፈልጋለን። በዋነኛነት የዊንዶውስ ተጠቃሚዎች ስላለን ቀለል ያለ የባት ፋይል ፈጠርን እና StartRDP.bat ብለን እንሰይመው፡
1.htm
1.rdpበቅደም ተከተል 1.htm የሚከተለውን ኮድ ይዟል።
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">በ my_router.sn.mynetname.net ላይ ከሚገኙት ምናባዊ ስዕሎች ጋር ሁለት አገናኞችን ይዟል - ይህንን አድራሻ ከ Mikrotik DDNS ስርዓት በኛ ሚክሮቲክ ውስጥ ካስቻልነው በኋላ እንወስዳለን: ወደ IP-> የክላውድ ሜኑ ይሂዱ - የ DDNS Enabled አመልካች ሳጥን ላይ ምልክት ያድርጉ, ተግብር የሚለውን ጠቅ ያድርጉ እና የራውተርችንን የዲ ኤን ኤስ ስም ይቅዱ። ግን ይህ አስፈላጊ የሚሆነው የራውተሩ ውጫዊ አይፒ ተለዋዋጭ ከሆነ ወይም ከብዙ የበይነመረብ አቅራቢዎች ጋር ውቅር ጥቅም ላይ ሲውል ብቻ ነው።
በመጀመሪያው አገናኝ ውስጥ ያለው ወደብ: 19000 እርስዎ ማንኳኳት ያስፈልግዎታል ላይ የመጀመሪያው ወደብ ጋር ይዛመዳል, በሁለተኛው ውስጥ, በቅደም, ወደ ሁለተኛው. በሊንኮች መካከል በድንገት ግንኙነታችን በአጭር የኔትወርክ ችግር ቢቋረጥ ምን ማድረግ እንዳለብን የሚያሳይ አጭር መመሪያ አለ - ገጹን እናድሳለን ፣ የ RDP ወደብ ለ 1 ደቂቃ እንደገና ይከፈታል እና ክፍለ ጊዜያችን ይመለሳል። እንዲሁም በ img መለያዎች መካከል ያለው ጽሑፍ ለአሳሹ ማይክሮ መዘግየት ይፈጥራል ፣ ይህም የመጀመሪያውን ፓኬት ወደ ሁለተኛው ወደብ (16000) የመድረስ እድልን ይቀንሳል - እስካሁን ድረስ በሁለት ሳምንታት ውስጥ እንደዚህ ያሉ ጉዳዮች አልነበሩም (30) ሰዎች)።
ቀጥሎ የሚመጣው 1.rdp ፋይል ሲሆን ለእያንዳንዱ ተጠቃሚ አንዱን ለሁሉም ወይም ለብቻው ማዋቀር እንችላለን (ይህን አደረግኩ - ሊረዱት ያልቻሉትን ለማማከር ከጥቂት ሰአታት የበለጠ 15 ደቂቃዎችን ማሳለፍ ቀላል ነው)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainእዚህ ካሉት አስደሳች መቼቶች መልቲሞንን መጠቀም ነው: 1 - ይህ ብዙ ተቆጣጣሪዎችን መጠቀምን ያጠቃልላል - አንዳንዶች ይህንን ይፈልጋሉ ፣ ግን እነሱ ራሳቸው እሱን ለማብራት አያስቡም።
የግንኙነት አይነት: i: 6 እና networkautotect: i: 0 - አብዛኛው በይነመረብ ከ10 ሜጋ ባይት በላይ ስለሆነ ከዚያ የግንኙነት አይነት 6ን (አካባቢያዊ አውታረ መረብ 10 ሜጋ ባይት እና ከዚያ በላይ) ያብሩ እና አውታረ መረብን በራስ-ሰር ያጥፉ ፣ ምክንያቱም በነባሪ (በራስ-ሰር) , ከዚያም አልፎ አልፎ ትንሽ የአውታረ መረብ መዘግየት የእኛን ክፍለ ጊዜ በራስ-ሰር ለረጅም ጊዜ ወደ ቀርፋፋ ፍጥነት ያዘጋጃል, ይህም በስራ ላይ በተለይም በግራፊክስ ፕሮግራሞች ላይ ጉልህ መዘግየቶችን ይፈጥራል.
ልጣፍ አሰናክል፡ i: 1 - የዴስክቶፕ ስእልን አሰናክል
የተጠቃሚ ስም: s: myuserlogin - የተጠቃሚውን መግቢያ እንገልፃለን ፣ ምክንያቱም የተጠቃሚዎቻችን ጉልህ ክፍል መግቢያቸውን አያውቁም።
domain:s:mydomain - የጎራውን ወይም የኮምፒተርን ስም ይጥቀሱ
ግን የግንኙነት ሂደትን የመፍጠር ተግባራችንን ለማቃለል ከፈለግን PowerShell ን መጠቀምም እንችላለን - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890እንዲሁም በዊንዶውስ ውስጥ ስላለው የ RDP ደንበኛ ትንሽ: MS ፕሮቶኮሉን እና የአገልጋዩን እና የደንበኛ ክፍሎችን በማመቻቸት ረጅም መንገድ ተጉዟል, ብዙ ጠቃሚ ባህሪያትን ተግባራዊ አድርጓል - ለምሳሌ ከሃርድዌር 3D ጋር መስራት, ለሞኒተርዎ የስክሪን ጥራት ማመቻቸት, ባለብዙ ማያ ገጽ, እናም ይቀጥላል. ግን በእርግጥ ሁሉም ነገር በኋለኛው ተኳሃኝነት ሁኔታ ውስጥ ይተገበራል ፣ እና ደንበኛው ዊንዶውስ 7 ከሆነ ፣ እና የርቀት ፒሲው ዊንዶውስ 10 ከሆነ ፣ RDP የፕሮቶኮል ስሪት 7.0 በመጠቀም ይሰራል። ግን ጥቅሙ የ RDP ስሪቶችን ወደ የቅርብ ጊዜ ስሪቶች ማዘመን ይችላሉ - ለምሳሌ የፕሮቶኮሉን ስሪት ከ 7.0 (ዊንዶውስ 7) ወደ 8.1 ማሻሻል ይችላሉ። ስለዚህ, ለደንበኞች ምቾት, በተቻለ መጠን የአገልጋዩን ክፍል ስሪቶችን በተቻለ መጠን መጨመር, እንዲሁም ወደ አዲስ የ RDP ፕሮቶኮል ደንበኞች ለማሻሻል አገናኞችን መጣል አስፈላጊ ነው.
በዚህም ምክንያት ከሚሰራ ፒሲ ወይም ተርሚናል አገልጋይ ለርቀት ግንኙነት ቀላል እና በአንጻራዊነት ደህንነቱ የተጠበቀ ቴክኖሎጂ አለን። ነገር ግን ለደህንነቱ የተጠበቀ ግንኙነት የኛን ወደብ ማንኳኳት ዘዴ በበርካታ የትዕዛዝ መጠን ለማጥቃት ወደቦችን በመጨመር ለመፈተሽ - 3,4,5,6 ... ወደብ ማከል ይችላሉ በተመሳሳይ ሎጂክ. እና በዚህ ጉዳይ ላይ በቀጥታ ወደ አውታረ መረብዎ መግባት ፈጽሞ የማይቻል ይሆናል.
.
ምንጭ: hab.com