ProHoster > Блог > administratio > Longinquus labor est in officio. RDP, Portus Pulsandi, Mikrotik: simplex et secure

Longinquus labor est in officio. RDP, Portus Pulsandi, Mikrotik: simplex et secure

Ob virus covid-19 pandemicum et quarentenam generalem in multis regionibus, una via ad multas societates ad operandum continuandum est remota accessus ad officinas per Internet. Multae sunt methodi relative tutae pro opere remoto - sed dantur scala quaestionis, quae necessaria est methodus quae simplex est cuilibet usuario coniungendi cum officio remotius et sine necessitate additis uncinis, explicationibus, taedis consultationibus ac diuturnis. mandatis. Haec methodus a multis administratoribus RDP amatur (Protocol remotus Desktop). Directe coniungens ad workstation per RDP quaestionem nostram optime solvit, excepto una magna musca in unguento - portum apertum RDP habendo in Interreti valde tuta est. Ideo infra simplicem sed certam defensionis rationem propono.Longinquus labor est in officio. RDP, Portus Pulsandi, Mikrotik: simplex et secure

Cum saepe occurramus parvas institutiones ubi Mikrotik machinationes interretiales adhibentur, infra ostendemus quomodo hoc in Mikrotik efficiendum sit, sed methodus tutelae Portus pulsandi facile in aliis altioribus classibus machinis cum similibus initus itineris occasus ac firewall

Breviter de Portus Pulsandi. Specimen tutelae externae retis cum Interreti coniuncta est, cum omnes facultates et portus ab extra per murum clauduntur. Et, licet iter cum tali firewall figurato nullo modo se gerit ad faclas extrinsecus venientes, eas audit. Ergo configurare potes iter itineris ut, cum certam (code) seriem retis in diversis portibus recipiat, eam pro IP unde fasciculi venerint, negat accessum ad quasdam facultates (portus, protocols, etc. .).

Nunc ad rem. Singulos descriptiones incendii in Mikrotik non dabo - Interreti huius fontium qualitas plena est. Specimen, firewall cuneos omnes ineuntes facis, sed 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Permittit commercium ineuntes e necessariis iam constitutis (constitutum, cognatum).
Nunc Portum Pulsantem in Mikrotik configuramus:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Nunc planius:

primum duo praecepta 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

prohibent fasciculos ineuntes ab IP inscriptionibus, quae notarat inter portum intuens;

Tertia regula:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

addit ip ad album exercituum, qui recte primum portum desideratum pulsant (19000);
Sequuntur quattuor regulae:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

portuum captionem efficiunt iis qui portus tuos scandere volentibus, et cum tales conatus deprehenduntur, IP per 60 minutas notant, in quibus primae duae regulae non dant tales exercituum facultatem rectos portuum pulsandi;

Regula altera:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ponit ip in indice permissorum pro 1 minutis (satis nexum statuere), cum secunda recta pulsatio fiat in portu desiderato (16000);

Proximum mandatum:

move [/ip firewall filter find comment=RemoteRules] 1

regulas nostras movet catena processus firewall, quia verisimile iam habebimus varias vetantes regulas conformatas, quae nostros noviter creatos ab operando impedient. Prima regula in Mikrotik a nulla incipit, sed in fabrica mea nulla a aedificato in regula occupata erat et eam movere impossibile erat - eam movebam ad 1. Itaque ad occasus nostros spectamus, ubi eam movere possumus. et indicant desideratus numerus.

Proxima occasum:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

prodire passim portum delectum 33890 ad portum RDP ordinarium 3389 et IP servo computatorii vel terminalis nobis opus est. Tales regulas pro omnibus facultatibus internis necessariis creamus, potius portuum externorum (et diversorum) non normarum constituendorum. Naturaliter IP facultatum internarum vel stabilis esse debet vel servo DHCP assignari.

Nunc Mikrotik noster configuratur et facili negotio opus est ad usorem coniungendi cum RDP interno nostro. Cum plerumque Fenestra utentes habemus, simplicem bat limam creamus et eam StartRDP.bat appellamus:

1.htm
1.rdp

itaque 1.htm codicem sequentem continet:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

hic duos nexus continet picturas imaginarias quae sita sunt in inscriptione my_router.sn.mynetname.net - hanc electronicam e Mikrotik DDNS systema accipimus postquam id in nostro Mikrotik enatavit: ad IP->Cloud menu - DDNS Enabled perscribe archa, preme Applica et effinge nomen dns itineris nostri. Sed hoc solum necessarium est cum IP itineris externi dynamica vel conformatio cum pluribus Internet provisoribus adhibetur.

Portus in prima pagina: 19000 respondet primo portu quo pulsare debes, secundo secundo respondet. Inter nexus brevis est instructio quae ostendit quid faciendum si subito nexus noster interrumpitur ob brevissimas retis quaestiones - paginam reficimus, portus RDP rescinditur pro 1 minutis et sessione nostra restituitur. Etiam textus inter img tagss facit parvam moram pro navigatro, quod reducit verisimilitudinem primi fasciculi traditi ad secundum portum (16000) - tantum nullae tales casus in duabus ebdomadibus usui fuerunt (30 populus).

Proxima fasciculus 1.rdp venit, quod unum pro omnibus vel separatim pro singulis usoribus configurare possumus (id est quod feci - facilius est extra XV minutas horas consumere quam pluribus horis consulentibus iis qui eam figurare non poterant) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

Una of the interesting settings here is use multimon:i:1 - hoc includit usum plurium monitorum - hoc aliqui indigent, sed in se ipsum non cogitant.

connexio generis:i:6 et networkautodetect:i:0 - cum maior pars interreti est supra 10 Mbit, tunc efficiet nexus generis 6 (retis localis 10 Mbit et supra) et networkautodetect disable, quia si defalta est (auto); tunc etiam rara parva latency Network automatice celeritas sessionis nostrae in inferiore celeritate diu ponit, quae notabiles moras in opere creare potest, praesertim in programmatibus graphicis.

disable wallpaper: i: I - disable the desktop picture
usoris:s:myuserlogin - usoris login indicamus, quia pars significant usorum nostrorum non noverunt suum login
domain: s: mydomain - indicant domain vel computatrum nomen

Sed si simpliciorem esse volumus negotium creandi nexum procedendi, uti etiam PowerShell - StartRDP.ps1 uti potest.

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Etiam pauca de cliente RDP in Fenestra: MS longam viam venit in optimizing protocollo et eius servitore et clientelae partibus, multas utilitates exsequentes - sicut cum ferramentis 3D operando, optimizing screen resolutio pro monitore tuo, multi-velamento; etc. Sed utique omnia in modum convenientiae retrorsum implentur et si client Fenestra 7 est et remota PC est Fenestra X, RDP operabitur utens protocollo versionis 10. Sed feliciter, RDP versiones renovare ad versiones recentiores potes - exempli gratia, potes versionem protocolli ab 7.0 (Fenestra 7.0) ad 7. Itaque, ad clientium commodum, versiones partis servientis augere debes, ac etiam nexus praebere ut novas clientium protocollo versiones RDP renovaas.

Quam ob rem technologiam simplicem et secundum quid securam habemus pro remoto nexu ad opus PC vel terminalem servientem. Sed ad tutiorem connexionem, Portus noster Knocking methodus difficilius per plures ordines magnitudinis oppugnari potest, additis portubus ad reprimendum - eadem ratione utens, portum ac 3,4,5,6... addere potes. hoc in casu, directa intrusio in retia tua fere impossibilis erit.

Apparatus ad conficiendam remotam coniunctionem RDP.

Source: www.habr.com

Add a comment