Mar gheall ar phaindéim an víris covid-19 agus coraintín ginearálta i go leor tíortha, is é an t-aon bhealach le go leor cuideachtaí leanúint ag obair ná cianrochtain ar ionaid oibre tríd an Idirlíon. Tá go leor modhanna sách sábháilte ann le haghaidh obair chianda - ach mar gheall ar scála na faidhbe, tá gá le modh simplí d'aon úsáideoir chun ceangal cianda leis an oifig agus gan gá le socruithe breise, mínithe, comhairliúcháin tedious agus treoracha fada. Is breá le go leor riarthóirí RDP (Prótacal Deisce Cianda) an modh seo. Is fearr ár bhfadhb a réiteach trí nascadh go díreach leis an ionad oibre trí RDP, ach amháin eitilt mhór amháin san ointment - tá sé an-neamhshábháilte an calafort RDP a choinneáil ar oscailt don Idirlíon. Dá bhrí sin, thíos molaim modh cosanta simplí ach iontaofa.
Ós rud é go dtagann mé trasna go minic ar eagraíochtaí beaga ina n-úsáidtear feistí Mikrotik mar rochtain Idirlín, thíos taispeánfar conas é seo a chur i bhfeidhm ar Mikrotik, ach cuirtear an modh cosanta Port Knocking i bhfeidhm go héasca ar fheistí ard-aicme eile le socruithe ródaire ionchuir agus balla dóiteáin den chineál céanna. .
Go hachomair faoi Port Knocking. Is é cosaint sheachtrach idéalach líonra atá nasctha leis an Idirlíon nuair a dhúnann balla dóiteáin na hacmhainní agus na calafoirt go léir ón taobh amuigh. Agus cé nach n-imoibríonn ródaire le balla dóiteáin chomh cumraithe sin ar bhealach ar bith do phaicéid a thagann ón taobh amuigh, éisteann sé leo. Mar sin, is féidir leat an ródaire a chumrú ionas nuair a fhaightear seicheamh áirithe (cód) de phaicéid líonra ar chalafoirt éagsúla, go laghdóidh sé (an ródaire) don IP as ar tháinig na paicéid rochtain ar acmhainní áirithe (calafoirt, prótacail, srl).
Anois le gnó. Ní dhéanfaidh mé cur síos mionsonraithe ar na socruithe balla dóiteáin ar Mikrotik - tá an Idirlíon lán d'fhoinsí ardchaighdeáin le haghaidh seo. Go hidéalach, bloic an balla dóiteáin gach paicéad isteach, ach
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedLigeann sé do thrácht ag teacht isteach ó naisc bhunaithe, ghaolmhara.
Anois bhunaíomar Port Knocking ar Mikrotik:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389Anois go mion:
an chéad dá riail
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulescosc a chur ar phaicéid atá ag teacht isteach ó sheoltaí IP atá ar an liosta dubh le linn scanadh calafoirt;
An tríú riail:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
cuireann sé ip le liosta na n-óstach a rinne an chéad chnag ceart ar an bport ceart (19000);
Is iad na chéad cheithre riail eile:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulescalafoirt gaiste a chruthú dóibh siúd ar mian leo do chuid calafoirt a scanadh, agus má aimsítear iarrachtaí den sórt sin, liosta dubh a n-ip ar feadh 60 nóiméad, agus ní thabharfaidh an chéad dá riail deis d'óstach den sórt sin na calafoirt cheart a bhualadh;
An chéad riail eile:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulescuireann sé ip ar an liosta ceadaithe ar feadh 1 nóiméad (go leor chun nasc a bhunú), ó rinneadh an dara cnag ceart ar an gcalafort atá ag teastáil (16000);
An chéad ordú eile:
move [/ip firewall filter find comment=RemoteRules] 1bogann sé ár rialacha suas an slabhra próiseála balla dóiteáin, mar is dócha go mbeidh rialacha séanta éagsúla cumraithe againn cheana féin a chuirfidh cosc ar ár gcinn nuachruthaithe oibriú. Tosaíonn an chéad riail i Mikrotik ó nialas, ach ar mo ghléas bhí náid áitithe ag riail ionsuite agus bhí sé dodhéanta é a bhogadh - bhog mé é go dtí 1. Dá bhrí sin, féachaimid ar ár socruithe - áit ar féidir leat é a bhogadh. agus cuir in iúl an uimhir atá ag teastáil.
An chéad socrú eile:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389cuireann sé calafort roghnaithe treallach 33890 ar aghaidh chuig an ngnáthchalafort RDP 3389 agus seoladh IP an ríomhaire nó an fhreastalaí teirminéil a theastaíonn uainn. Cruthaímid rialacha den sórt sin le haghaidh na n-acmhainní inmheánacha go léir is gá, agus b'fhearr calafoirt seachtracha neamhchaighdeánacha (agus éagsúla) a shocrú. Ar ndóigh, caithfidh IP na n-acmhainní inmheánacha a bheith statach nó seasta ar an bhfreastalaí DHCP.
Anois tá ár Mikrotik cumraithe agus ní mór dúinn nós imeachta simplí don úsáideoir ceangal lenár RDP inmheánach. Ós rud é go bhfuil úsáideoirí Windows againn go príomha, cruthaímid comhad ialtóg simplí agus ainmnímid é StartRDP.bat:
1.htm
1.rdpfaoi seach tá an cód seo a leanas in 1.htm:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">tá dhá nasc ann le pictiúir shamhailteach atá suite ag my_router.sn.mynetname.net - glacaimid an seoladh seo ón gcóras Mikrotik DDNS tar éis é a chumasú inár Mikrotik: téigh go dtí an roghchlár IP-> Cloud - seiceáil an ticbhosca Cumasaithe DDNS, cliceáil Iarratas a dhéanamh agus cóip dns ainm ár ródaire. Ach níl sé seo riachtanach ach amháin nuair a bhíonn IP seachtrach an ródaire dinimiciúil nó nuair a úsáidtear cumraíocht le roinnt soláthraithe Idirlín.
An calafort sa chéad nasc: Freagraíonn 19000 leis an gcéad phort ar a gcaithfidh tú cnag a dhéanamh, sa dara ceann, faoi seach, go dtí an dara ceann. Idir na naisc tá treoir ghearr a thaispeánann cad atá le déanamh má chuirtear isteach ar ár nasc go tobann mar gheall ar fhadhbanna líonra gearra - déanaimid an leathanach a athnuachan, athosclaíonn an calafort RDP dúinn ar feadh 1 nóiméad agus athchóirítear ár seisiún. Chomh maith leis sin, cruthaíonn an téacs idir na clibeanna img micrea-mhoill don bhrabhsálaí, rud a laghdaíonn an dóchúlacht go seachadfar an chéad phaicéad chuig an dara calafort (16000) - go dtí seo ní raibh aon chásanna den sórt sin i gceann coicíse úsáide (30). daoine).
Ansin tagann an comhad 1.rdp, ar féidir linn ceann do gach duine a chumrú nó ar leithligh do gach úsáideoir (rinne mé é seo - tá sé níos éasca 15 nóiméad breise a chaitheamh ná cúpla uair an chloig ag dul i gcomhairle leo siúd nach raibh in ann é a dhéanamh amach)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainde na socruithe suimiúla anseo tá úsáid multimon: i: 1 - áirítear leis seo úsáid a bhaint as monatóirí iolracha - tá gá le cuid acu, ach ní bheidh siad féin ag smaoineamh ar é a chasadh air.
cineál ceangail: i: 6 agus networkautodectect: i: 0 - ós rud é go bhfuil an chuid is mó den Idirlíon os cionn 10 Mbps, ansin cuir cineál nasc 6 ar siúl (líonra áitiúil 10 Mbps agus os a chionn) agus múch líonra uathoibríoch a bhrath, mar má de réir réamhshocraithe (uathoibríoch) , ansin cuireann fiú latency líonra beag annamh ár seisiún go huathoibríoch ar luas mall ar feadh i bhfad, rud a d'fhéadfadh moilleanna suntasacha a chruthú san obair, go háirithe i gcláir ghrafaice.
ballapháipéir a dhíchumasú: i: 1 - díchumasaigh an pictiúr deisce
ainm úsáideora:s: myuserlogin - sonraímid logáil isteach an úsáideora, ós rud é nach bhfuil a logáil isteach ar eolas ag cuid shuntasach dár n-úsáideoirí
fearann:s:mydomain - sonraigh an fearann nó an t-ainm ríomhaire
Ach más mian linn ár dtasc maidir le nós imeachta nasctha a chruthú a shimpliú, ansin is féidir linn PowerShell a úsáid freisin - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890Chomh maith leis sin beagán mar gheall ar an gcliant RDP i Windows: Tá MS tagtha ar bhealach fada chun an prótacal a bharrfheabhsú agus a chuid freastalaí agus cliant, tá go leor gnéithe úsáideacha curtha i bhfeidhm aige - mar oibriú le crua-earraí 3D, an réiteach scáileáin a bharrfheabhsú do do mhonatóir, ilscáileán, agus mar sin de. Ach ar ndóigh, cuirtear gach rud i bhfeidhm i mód comhoiriúnachta siar, agus más é an cliant Windows 7, agus is é an ríomhaire iargúlta Windows 10, ansin oibreoidh RDP ag baint úsáide as leagan prótacail 7.0. Ach is é an buntáiste gur féidir leat leaganacha RDP a nuashonrú go leaganacha níos déanaí - mar shampla, is féidir leat an leagan prótacail a uasghrádú ó 7.0 (Windows 7) go 8.1. Dá bhrí sin, ar mhaithe le háisiúlacht na gcliant, is gá na leaganacha den chuid freastalaí a mhéadú oiread agus is féidir, chomh maith le naisc titim chun uasghrádú a dhéanamh ar leaganacha nua de chliaint prótacail RDP.
Mar thoradh air sin, tá teicneolaíocht shimplí agus réasúnta slán againn le haghaidh ciancheangail le ríomhaire oibre nó le freastalaí teirminéil. Ach le haghaidh nasc níos sláine, is féidir ár modh Port Knocking a dhéanamh níos deacra a ionsaí le roinnt orduithe méide, trí chalafoirt a chur le seiceáil - is féidir leat 3,4,5,6 a chur leis ... calafort de réir an loighic chéanna. , agus sa chás seo beidh cur isteach díreach ar do líonra beagnach dodhéanta.
.
Foinse: will.com