ProHoster > Blog > Rêveberî > Karê dûr di nivîsgehê de. RDP, Port Knocking, Mikrotik: sade û ewledar

Karê dûr di nivîsgehê de. RDP, Port Knocking, Mikrotik: sade û ewledar

Ji ber pandemiya vîrusa Covid-19 û karantînaya giştî li gelek welatan, yekane riya ku gelek pargîdanî kar bikin, gihandina ji dûr a cîhên kar bi riya Înternetê ye. Ji bo xebata ji dûr ve gelek rêbazên bi ewledar hene - lê ji ber pîvana pirsgirêkê, rêbazek hêsan ji bo her bikarhênerek ku ji dûr ve bi nivîsgehê re were girêdan hewce ye û bêyî hewcedariya mîhengên zêde, ravekirin, şêwirdariyên bêzar û rêwerzên dirêj. Ev rêbaz ji hêla gelek rêveberên RDP (Protokola Sermaseya Dûr) ve tê hezkirin. Girêdana rasterast bi cîhê xebatê re bi riya RDP-ê bi îdeal pirsgirêka me çareser dike, ji xeynî firînek mezin di nav rûnê de - girtina porta RDP ji bo Înternetê pir ne ewle ye. Ji ber vê yekê, li jêr ez rêbazek parastinê ya hêsan lê pêbawer pêşniyar dikim.Karê dûr di nivîsgehê de. RDP, Port Knocking, Mikrotik: sade û ewledar

Ji ber ku ez pir caran rastî rêxistinên piçûk ên ku amûrên Mikrotik wekî gihîştina Înternetê têne bikar anîn, li jêr wê were destnîşan kirin ka meriv çawa vê yekê li Mikrotik bicîh tîne, lê rêbaza parastina Port Knocking bi hêsanî li ser cîhazên din ên pola bilind ên bi mîhengên routerê têketinê û dîwarê agir ên wekhev têne bicîh kirin. .

Bi kurtî li ser Port Knocking. Parastina derveyî ya îdeal a torgilokek ku bi Înternetê ve girêdayî ye ev e ku gava hemî çavkanî û port ji derve ji hêla dîwarê agir ve têne girtin. Û her çend routerek bi dîwarek wusa mîhengkirî re bi tu awayî bertek nade pakêtên ku ji derve têne, ew guh dide wan. Ji ber vê yekê, hûn dikarin routerê mîheng bikin da ku gava rêzek (kod) hin pakêtên torê li ser portên cihêreng were wergirtin, ew (rûter) ji bo IP-ya ku jê pakêt jê hatine, gihandina hin çavkaniyan qut dike (port, protokol, hwd.).

Niha ji bo karsaziyê. Ez ê li ser Mikrotik ravekirinek hûrgulî ya mîhengên dîwarê agir nekim - înternet ji bo vê yekê tijî çavkaniyên kalîteyê ye. Bi îdeal, firewall hemî pakêtên hatinî asteng dike, lê 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Destûrê dide seyrûsefera hatina ji girêdanên sazkirî, têkildar.
Naha me Port Knocking li ser Mikrotik saz kir:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Niha bi berfirehî:

du qaîdeyên yekem 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

pakêtên hatina ji navnîşanên IP-yê yên ku di dema şopandina portê de têne navnîşa reş têne qedexe kirin;

Rêbaza sêyemîn:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

ip-ê li navnîşa mêvandarên ku yekem rast li porta rast xistin (19000) zêde dike;
Çar qaîdeyên din ev in:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ji bo kesên ku dixwazin benderên we bişopînin, portên xefikê biafirînin, û ger hewildanên weha werin tespît kirin, ip-ya wan 60 hûrdeman reş bikin, di dema ku du qaîdeyên pêşîn dê fersendê nedin hosteyên weha ku li portên rast bixin;

Rêbaza Piştre:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ip-ê di navnîşa destûr de 1 hûrdem datîne (têra ku têkiliyek saz bike), ji ber ku lêdana duyemîn rast li porta xwestinê hate çêkirin (16000);

Fermana Piştre:

move [/ip firewall filter find comment=RemoteRules] 1

qaîdeyên me ber bi zincîra pêvajoya dîwarê agir ve hildiweşîne, ji ber ku bi îhtîmaleke mezin em ê jixwe qaîdeyên înkarê yên cihêreng hatine mîheng kirin ku dê pêşî li xebitandina yên me yên nû hatine afirandin bigire. Rêza yekem di Mikrotik de ji sifirê dest pê dike, lê li ser cîhaza min sifir ji hêla qaîdeyek çêkirî ve hatî dagir kirin û ne gengaz bû ku ew biguhezîne - min ew bar kir 1. Ji ber vê yekê, em li mîhengên xwe dinêrin - li ku derê hûn dikarin wê bar bikin û hejmara xwestî nîşan bide.

Mîhenga Piştre:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

portek 33890-a ku bi kêfî hatî hilbijartî dişîne porta RDP ya 3389-a asayî û ip-ya komputer an servera termînalê ku em hewce ne. Em ji bo hemî çavkaniyên navxweyî yên pêwîst qaîdeyên weha diafirînin, bi tercîhî portên derveyî ne-standard (û cihêreng) saz bikin. Bi xwezayî, ip-ya çavkaniyên navxweyî divê li ser servera DHCP an statîk be an sabît be.

Naha Mikrotik-a me hatî mîheng kirin û ji bo ku bikarhêner bi RDP-ya meya navxweyî ve girêbide pêvajoyek hêsan hewce dike. Ji ber ku em bi gelemperî bikarhênerên Windows-ê hene, em pelek batek hêsan diafirînin û navê wê dikin StartRDP.bat:

1.htm
1.rdp

bi rêzdarî 1.htm koda jêrîn dihewîne:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

ew du lînkên wêneyên xeyalî yên ku li my_router.sn.mynetname.net-ê ne hene - em vê navnîşanê ji pergala Mikrotik DDNS digirin piştî ku wê di Mikrotik-a xwe de çalak bikin: biçin menuya IP-> Cloud - qutiya kontrolê ya DDNS Enabled kontrol bikin, Bikirtînin Serlêdan û navê dns ya routerê me kopî bikin. Lê ev tenê gava ku ip-ya derveyî ya routerê dînamîk be an veavakirinek bi çend pêşkêşkerên Înternetê re were bikar anîn hewce ye.

Porta di zencîreya yekem de: 19000 bi porta yekem a ku hûn hewce ne ku lê bixin, di ya duyemîn de, bi rêzê, bi ya duyemîn re têkildar e. Di navbera girêdanan de rêwerzek kurt heye ku destnîşan dike ku heke ji nişkê ve girêdana me ji ber pirsgirêkên torê yên kurt qut bibe çi bikin - em rûpelê nûve dikin, porta RDP 1 hûrdem ji me re ji nû ve vedibe û danişîna me ji nû ve tê sererast kirin. Di heman demê de, nivîsa di navbera etîketên img de ji bo gerokê mîkro-derengiyek çêdike, ku ev îhtîmala ku pakêta yekem berbi porta duyemîn (16000) were radest kirin kêm dike - heya nuha di du hefteyên karanîna de bûyerên weha tune ne (30 gel).

Dûv re pelê 1.rdp tê, ku em dikarin yek ji bo hemî an jî ji bo her bikarhênerek veqetandî mîheng bikin (min ev kir - hêsantir e ku meriv 15 hûrdeman zêde ji çend demjimêran derbas bike ji bo şêwirmendiya kesên ku nikarîbûn wê fêm bikin) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

ji mîhengên balkêş ên li vir karanîna multimon e: i: 1 - ev tê de karanîna gelek çavdêran jî heye - hinan pêdiviya vê yekê ne, lê ew bixwe nafikirin ku wê vekin.

Tîpa pêwendiyê: i: 6 û torê-otodetect: i: 0 - ji ber ku pirraniya Înternetê li jor 10 Mbps e, wê hingê celebê girêdanê 6 (tora herêmî 10 Mbps û jortir) veke û torê-otodetectê qut bike, ji ber ku heke bi xweber (oto) , wê hingê tewra derengiya torê ya piçûktir bixweber danişîna me ji bo demek dirêj bi lezek hêdî saz dike, ku dikare di kar de derengiyên berbiçav çêbike, nemaze di bernameyên grafîkê de.

tabloya dîwarê neçalak bike: i: 1 - wêneyê sermaseyê neçalak bike
navê bikarhêner:s:myuserlogin - em têketina bikarhêner diyar dikin, ji ber ku beşek girîng ji bikarhênerên me têketina xwe nizanin
domain:s:mydomain - domain an navê kompîturê diyar bike

Lê heke em dixwazin peywira xwe ya çêkirina pêvajoyek pêwendiyê hêsan bikin, wê hingê em dikarin PowerShell jî bikar bînin - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Di heman demê de piçek di derbarê xerîdarê RDP-ê de di Windows-ê de: MS di xweşbînkirina protokolê û server û beşên xerîdar ên wê de rêyek dirêj derbas kiriye, gelek taybetmendiyên kêrhatî bicîh kiriye - wek xebata bi hardware 3D, xweşbînkirina çareseriya ekranê ji bo çavdêriya we, pir-ekran, wate ya vê çîye. Lê bê guman, her tişt di moda lihevhatina paşverû de tête bicîh kirin, û heke xerîdar Windows 7 be, û PC-ya dûr Windows 10 e, wê hingê RDP dê bi karanîna guhertoya protokola 7.0 bixebite. Lê feyde ev e ku hûn dikarin guhertoyên RDP-yê bi guhertoyên nûtir nûve bikin - mînakî, hûn dikarin guhertoya protokolê ji 7.0 (Windows 7) berbi 8.1-ê nûve bikin. Ji ber vê yekê, ji bo rehetiya xerîdaran, pêdivî ye ku guhertoyên beşa serverê bi qasî ku gengaz were zêdekirin, û her weha zencîreyan davêjin da ku li guhertoyên nû yên xerîdarên protokola RDP nûve bikin.

Wekî encamek, me ji bo girêdana ji dûr ve bi PC-ya karker an serverek termînalê re teknolojiyek hêsan û bi ewledar heye. Lê ji bo pêwendiyek bi ewletir, rêbaza meya Port Knocking dikare ji hêla çend rêzikên mezinahî ve êrîşkirina dijwartir bibe, bi lê zêdekirina benderan ji bo kontrolê - hûn dikarin li gorî heman mantiqê 3,4,5,6 ... portek lê zêde bikin. , û di vê rewşê de destwerdanek rasterast di tora we de dê hema hema ne gengaz be.

Pelên vala ji bo afirandina pêwendiyek dûr a RDP.

Source: www.habr.com

Add a comment