🥇 Obair aig astar san oifis. RDP, Port Knocking, Mikrotik: sìmplidh agus tèarainte

Mar thoradh air galar lèir-sgaoilte bhìoras covid-19 agus cuarantine coitcheann ann am mòran dhùthchannan, is e ruigsinneachd iomallach gu àiteachan-obrach tron eadar-lìn an aon dòigh anns am faod mòran chompanaidhean cumail orra ag obair. Tha mòran dhòighean an ìre mhath sàbhailte airson obair aig astar - ach le meud na trioblaid, tha feum air dòigh shìmplidh airson neach-cleachdaidh sam bith ceangal air astar ris an oifis agus gun fheum air suidheachaidhean a bharrachd, mìneachaidhean, co-chomhairlean tedious agus stiùireadh fada. Tha an dòigh seo dèidheil air mòran de luchd-rianachd RDP (Protocol Deasg Iomallach). Le bhith a’ ceangal gu dìreach ris an àite-obrach tro RDP tha e na b’ fheàrr ar duilgheadas fhuasgladh, ach a-mhàin aon iteig mhòr san ointment - tha e glè chunnartach am port RDP a chumail fosgailte airson an eadar-lìn. Mar sin, gu h-ìosal tha mi a 'moladh dòigh dìon sìmplidh ach earbsach.

Leis gu bheil mi gu tric a ’tighinn tarsainn air buidhnean beaga far a bheil innealan Mikrotik air an cleachdadh mar ruigsinneachd eadar-lìn, gu h-ìosal thèid sealltainn mar a chuireas tu seo an gnìomh air Mikrotik, ach tha an dòigh dìon Port Knocking air a chuir an gnìomh gu furasta air innealan àrd-ìre eile le roghainnean router cuir a-steach coltach ris agus balla-teine .

Beagan mu dheidhinn Port Knocking. Is e an dìon taobh a-muigh as fheàrr airson lìonra ceangailte ris an eadar-lìn nuair a tha a h-uile goireas agus port dùinte bhon taobh a-muigh le balla-teine. Agus ged nach bi router le balla-teine mar sin a ’freagairt ann an dòigh sam bith ri pacaidean a’ tighinn bhon taobh a-muigh, bidh e ag èisteachd riutha. Mar sin, faodaidh tu an router a rèiteachadh gus an tèid sreath sònraichte (còd) de phasgan lìonra fhaighinn air diofar phuirt, gum bi e (an router) airson an IP às an tàinig na pacaidean bho bhith a’ gearradh ruigsinneachd gu goireasan sònraichte (puirt, protocolaidhean, msaa).

A-nis gu gnìomhachas. Cha dèan mi tuairisgeul mionaideach air na roghainnean balla-teine air Mikrotik - tha an eadar-lìn làn de stòran àrd-inbhe airson seo. Mas fheàrr, bidh am balla-teine a 'blocadh a h-uile pasgan a tha a' tighinn a-steach, ach

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

A’ ceadachadh trafaic a’ tighinn a-steach bho cheanglaichean stèidhichte, co-cheangailte.
A-nis stèidhich sinn Port Knocking air Mikrotik:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

A-nis ann am barrachd mionaideachd:

a’ chiad dà riaghailt

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

cuir casg air pacaidean a thig a-steach bho sheòlaidhean IP a tha air an liosta dhubh aig àm sganadh puirt;

An treas riaghailt:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

a’ cur ip ris an liosta de luchd-aoigheachd a rinn a’ chiad gnogadh ceart air a’ phort cheart (19000);
Is iad na ceithir riaghailtean a leanas:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

cruthaich puirt ribe dhaibhsan a tha airson na puirt agad a sganadh, agus ma lorgar oidhirpean mar sin, cuir liosta dhubh air an ip aca airson 60 mionaid, nuair nach toir a’ chiad dà riaghailt cothrom dha na h-aoighean sin na puirt cheart a bhualadh;

An ath riaghailt:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

a 'cur ip anns an liosta ceadaichte airson 1 mionaid (gu leòr airson ceangal a stèidheachadh), oir chaidh an dàrna cnag ceart a dhèanamh air a' phort a bha a dhìth (16000);

An àithne a leanas:

move [/ip firewall filter find comment=RemoteRules] 1

a’ gluasad ar riaghailtean suas an t-sreath giollachd balla-teine, oir is coltaiche gum bi riaghailtean diùltadh eadar-dhealaichte againn mu thràth a chuireas casg air an fheadhainn a chaidh a chruthachadh às ùr bho bhith ag obair. Tha a 'chiad riaghailt ann am Mikrotik a' tòiseachadh bho neoni, ach air an inneal agam bha riaghailt stèidhichte air neoni agus bha e do-dhèanta a ghluasad - ghluais mi e gu 1. Mar sin, bidh sinn a 'coimhead air na roghainnean againn - far an urrainn dhut a ghluasad. agus comharraich an àireamh a tha thu ag iarraidh.

An ath shuidheachadh:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

cuir air adhart port 33890 a chaidh a thaghadh gu neo-riaghailteach chun phort RDP àbhaisteach 3389 agus ip a’ choimpiutair no frithealaiche crìochnachaidh a dh’ fheumas sinn. Bidh sinn a’ cruthachadh riaghailtean mar sin airson a h-uile goireas a-staigh a tha riatanach, agus mas fheàrr a bhith a’ suidheachadh puirt taobh a-muigh neo-àbhaisteach (agus eadar-dhealaichte). Gu nàdarra, feumaidh ip ghoireasan a-staigh a bhith statach no stèidhichte air frithealaiche DHCP.

A-nis tha ar Mikrotik air a rèiteachadh agus feumaidh sinn dòigh-obrach sìmplidh airson an neach-cleachdaidh ceangal ris an RDP a-staigh againn. Leis gu bheil luchd-cleachdaidh Windows againn sa mhòr-chuid, bidh sinn a’ cruthachadh faidhle ialtagan sìmplidh agus ag ainmeachadh StartRDP.bat:

1.htm
1.rdp

fa leth tha an còd a leanas ann an 1.htm:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

tha dà cheangal ann gu dealbhan mac-meanmnach a tha suidhichte aig my_router.sn.mynetname.net - bheir sinn an seòladh seo bhon t-siostam Mikrotik DDNS às deidh dhuinn a chomasachadh nar Mikrotik: rachaibh chun chlàr IP-> Cloud - thoir sùil air a’ bhogsa sgrùdaidh DDNS Enabled, cliog Cuir a-steach agus dèan lethbhreac den ainm dns den router againn. Ach chan eil seo riatanach ach nuair a tha ip taobh a-muigh an router fiùghantach no nuair a thèid rèiteachadh le grunn sholaraichean eadar-lìn a chleachdadh.

Tha am port anns a 'chiad cheangal: 19000 a' freagairt ris a 'chiad phort air am feum thu a bhith a' leagail, anns an dàrna fear, fa leth, chun an dàrna fear. Eadar na ceanglaichean tha stiùireadh goirid a sheallas dè a nì thu ma thèid briseadh a-steach don cheangal againn gu h-obann air sgàth duilgheadasan lìonra goirid - bidh sinn ag ùrachadh na duilleige, bidh am port RDP a’ fosgladh dhuinn airson 1 mhionaid agus thèid an seisean againn ath-nuadhachadh. Cuideachd, tha an teacsa eadar na tagaichean img a’ cruthachadh meanbh-mhill airson a’ bhrobhsair, a lughdaicheas an coltas gun tèid a’ chiad phacaid a lìbhrigeadh don dàrna port (16000) - gu ruige seo cha robh cùisean mar sin ann an dà sheachdain de chleachdadh (30). daoine).

An uairsin thig am faidhle 1.rdp, as urrainn dhuinn fear a rèiteachadh dha na h-uile no fa leth airson gach neach-cleachdaidh (rinn mi seo - tha e nas fhasa 15 mionaidean a bharrachd a chaitheamh na beagan uairean a thìde a ’bruidhinn ris an fheadhainn nach b’ urrainn obrachadh a-mach)

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

De na suidheachaidhean inntinneach an seo tha cleachdadh multimon: i: 1 - tha seo a’ toirt a-steach cleachdadh ioma sgrùdairean - tha feum aig cuid air seo, ach cha smaoinich iad fhèin air a thionndadh air.

seòrsa ceangail: i: 6 agus lìonra fèin-lorg: i: 0 - leis gu bheil a’ mhòr-chuid den eadar-lìn os cionn 10 Mbps, an uairsin tionndaidh air seòrsa ceangail 6 (lìonra ionadail 10 Mbps agus gu h-àrd) agus cuir dheth lìonra fèin-lorg, oir ma tha e gu bunaiteach (fèin-ghluasadach) , an uairsin bidh eadhon latency lìonra beag tearc gu fèin-ghluasadach a’ suidheachadh ar seisean gu astar slaodach airson ùine mhòr, a dh ’fhaodadh dàil follaiseach a chruthachadh san obair, gu sònraichte ann am prògraman grafaiceachd.

cuir à comas pàipear-balla: i: 1 - cuir à comas an dealbh deasg
ainm neach-cleachdaidh: s: myuserlogin - bidh sinn a’ sònrachadh logadh a-steach an neach-cleachdaidh, leis nach eil fios aig pàirt chudromach den luchd-cleachdaidh againn an logadh a-steach aca
àrainn: s: mydomain - sònraich an àrainn no ainm coimpiutair

Ach ma tha sinn airson ar gnìomh a dhèanamh nas sìmplidhe airson modh ceangail a chruthachadh, is urrainn dhuinn PowerShell a chleachdadh cuideachd - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Cuideachd beagan mun neach-dèiligidh RDP ann an Windows: Tha MS air a thighinn air slighe fhada ann a bhith a’ dèanamh an fheum as fheàrr den phròtacal agus na pàirtean frithealaiche is teachdaiche aige, air mòran fheartan feumail a chuir an gnìomh - leithid a bhith ag obair le bathar-cruaidh 3D, a’ dèanamh an fheum as fheàrr de rùn sgrion airson do sgrùdaire, ioma-sgàilean, Agus mar sin air adhart. Ach gu dearbh, tha a h-uile càil air a chuir an gnìomh ann am modh co-chòrdalachd air ais, agus ma tha an neach-dèiligidh Windows 7, agus tha am PC iomallach Windows 10, an uairsin obraichidh RDP a’ cleachdadh protocol dreach 7.0. Ach is e a ’bhuannachd a th’ ann gun urrainn dhut dreachan RDP ùrachadh gu dreachan nas ùire - mar eisimpleir, faodaidh tu an dreach protocol ùrachadh bho 7.0 (Windows 7) gu 8.1. Mar sin, airson goireasachd luchd-dèiligidh, feumar na dreachan den phàirt frithealaiche a mheudachadh cho mòr ‘s as urrainn, a bharrachd air ceanglaichean tuiteam gus ùrachadh gu dreachan ùra de luchd-dèiligidh protocol RDP.

Mar thoradh air an sin, tha teicneòlas sìmplidh agus an ìre mhath tèarainte againn airson ceangal aig astar ri PC no frithealaiche crìochnachaidh. Ach airson ceangal nas tèarainte, faodaidh an dòigh Port Knocking againn a bhith nas duilghe ionnsaigh a thoirt le grunn òrdughan meudachd, le bhith a’ cur puirt a-steach airson sgrùdadh - faodaidh tu 3,4,5,6 a chuir ris ... port a rèir an aon reusanachadh. , agus sa chùis seo bidh e cha mhòr do-dhèanta a dhol a-steach don lìonra agad.

Faidhlichean bàn airson ceangal iomallach ri RDP a chruthachadh.

Source: www.habr.com

Obair aig astar san oifis. RDP, Port Knocking, Mikrotik: sìmplidh agus tèarainte

Cuir beachd ann freagairt a chur dheth