Noho ny valan'aretina covid-19 sy ny confinement ankapobeny any amin'ny firenena maro, ny hany fomba ahafahan'ny orinasa maro manohy miasa dia ny fidirana lavitra any amin'ny toeram-piasana amin'ny alΓ lan'ny Internet. Misy fomba maro azo antoka ho an'ny asa lavitra - fa raha jerena ny haavon'ny olana, ny ilaina dia fomba tsotra ho an'ny mpampiasa rehetra mifandray amin'ny birao lavitra ary tsy mila fanovana fanampiny, fanazavana, fifampidinihana mandreraka ary lava. toromarika. Ity fomba ity dia tian'ny mpitantana maro RDP (Remote Desktop Protocol). Ny fifandraisana mivantana amin'ny toeram-piasana amin'ny alΓ lan'ny RDP dia mamaha ny olanay, afa-tsy amin'ny lalitra lehibe iray ao anaty menaka - tsy azo antoka ny mitazona ny seranan-tsambo RDP ho an'ny Internet. Noho izany, eto ambany dia manolotra fomba fiarovana tsotra nefa azo antoka aho.
Satria matetika aho no mahita fikambanana madinika izay ampiasaina ho fifandraisana Internet ny fitaovana Mikrotik, dia hasehoko eto ambany ny fomba fampiharana izany amin'ny Mikrotik, fa ny fomba fiarovana ny Port Knocking dia azo ampiharina mora foana amin'ny fitaovana avo lenta hafa miaraka amin'ny fampandehanana ny router input mitovy ary firewall
Fohy momba ny Port Knocking. Ny fiarovana ivelany tsara indrindra amin'ny tambajotra mifandray amin'ny Internet dia rehefa mikatona avy any ivelany amin'ny alΓ lan'ny firewall ny loharano sy seranana rehetra. Ary na dia tsy mihetsika amin'ny packet avy any ivelany aza ny router manana firewall voarindra toy izany, dia mihaino azy ireo izy. Noho izany, azonao atao ny manitsy ny router ka rehefa mahazo filaharan'ny fonosana tambajotra amin'ny seranana samihafa izy (ny router) ho an'ny IP avy amin'ny toerana niavian'ny fonosana, dia mandΓ ny fidirana amin'ny loharano sasany (seranan-tsambo, protocols, sns). .).
Amin'izao fotoana izao. Tsy hanome famaritana amin'ny antsipiriany momba ny fametrahana firewall amin'ny Mikrotik aho - ny Internet dia feno loharano kalitao ho an'izany. Ny tsara indrindra, ny firewall dia manakana ny fonosana rehetra miditra, fa
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedMamela ny fifamoivoizana miditra avy amin'ny fifandraisana efa napetraka (naorina, mifandray).
Ankehitriny dia manamboatra Port Knocking amin'ny Mikrotik izahay:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389Amin'ny antsipiriany bebe kokoa izao:
fitsipika roa voalohany
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulesmandrara ny fonosana miditra avy amin'ny adiresy IP izay voarakitra anaty lisitra mainty nandritra ny fisavana seranan-tsambo;
Fitsipika fahatelo:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
manampy ip amin'ny lisitry ny mpampiantrano izay nanao ny fandonana voalohany marina tamin'ny seranana irina (19000);
Ireto fitsipika efatra manaraka ireto:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesmamorona seranan-tsambo fandrika ho an'ireo izay te-hijery ny seranan-tsambonao, ary rehefa hita ny fanandramana toy izany, dia manao lisitra mainty ny IP-ny mandritra ny 60 minitra, izay tsy hanomezan'ny lalΓ na roa voalohany ny fahafahana handondona ny seranana marina;
Fitsipika manaraka:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesmametraka ny ip ao amin'ny lisitry ny avela ho an'ny 1 minitra (efa ampy mba hanorina fifandraisana), satria ny faharoa nandondona marina dia natao teo amin'ny seranana (16000);
baiko manaraka:
move [/ip firewall filter find comment=RemoteRules] 1mampiakatra ny lalΓ nantsika amin'ny rojom-pikarakarana ny firewall, satria azo inoana fa efa manana fitsipika mandrara isan-karazany isika izay manakana ireo vao noforonina tsy hiasa. Ny fitsipika voalohany indrindra ao amin'ny Mikrotik dia manomboka amin'ny aotra, fa amin'ny fitaovana misy ahy zero dia nofehezin'ny fitsipika napetraka ary tsy azo atao ny mamindra izany - nafindrako ho 1. Noho izany, mijery ny toetsika isika - izay ahafahantsika mamindra izany ary manondro ny isa irina.
Fikirana manaraka:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389mandefa port 33890 voafantina kisendrasendra mankany amin'ny seranana RDP mahazatra 3389 sy ny IP an'ny solosaina na mpizara terminal ilaintsika. Mamorona fitsipika toy izany izahay ho an'ny loharanon-karena anatiny rehetra, indrindra ny fametrahana seranan-tsambo ivelany tsy manara-penitra (ary samy hafa). Mazava ho azy, ny IP an'ny loharanon-karena anatiny dia tsy maintsy static na omena amin'ny mpizara DHCP.
Amin'izao fotoana izao dia efa namboarina ny Mikrotik ary mila fomba fiasa mora ho an'ny mpampiasa mifandray amin'ny RDP anatiny. Satria manana mpampiasa Windows izahay, dia mamorona rakitra bat tsotra izahay ary miantso azy hoe StartRDP.bat:
1.htm
1.rdparaka izany 1.htm dia misy ity code manaraka ity:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
Π½Π°ΠΆΠΌΠΈΡΠ΅ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΡΡΡΠ°Π½ΠΈΡΡ Π΄Π»Ρ ΠΏΠΎΠ²ΡΠΎΡΠ½ΠΎΠ³ΠΎ Π·Π°Ρ
ΠΎΠ΄Π° ΠΏΠΎ RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">eto dia misy rohy roa mankany amin'ny sary an-tsaina izay hita ao amin'ny adiresy my_router.sn.mynetname.net - maka ity adiresy ity avy amin'ny rafitra DDNS Mikrotik izahay rehefa afaka izany ao amin'ny Mikrotiky: mandehana any amin'ny IP-> Cloud menu - jereo ny DDNS Enabled boaty, tsindrio Ampiharo ary kopia ny anaran'ny dns ny router. Saingy ilaina izany rehefa mavitrika ny IP ivelany an'ny router na ampiasaina amin'ny mpanome Internet maromaro.
Ny seranan-tsambo amin'ny rohy voalohany: 19000 dia mifanitsy amin'ny seranan-tsambo voalohany izay mila mandondΓ²na, amin'ny faharoa dia mifanitsy amin'ny faharoa. Eo anelanelan'ny rohy dia misy torolalana fohy mampiseho ny tokony hatao raha tapaka tampoka ny fifandraisantsika noho ny olana amin'ny tambajotra fohy - mamelombelona ny pejy isika, misokatra ho antsika mandritra ny 1 minitra ny seranan-tsambo RDP ary miverina amin'ny laoniny ny session. Ary koa, ny lahatsoratra eo anelanelan'ny img tags dia mamorona micro-delay ho an'ny navigateur, izay mampihena ny mety hisian'ny fonosana voalohany ho any amin'ny seranana faharoa (16000) - hatramin'izao dia tsy nisy tranga toy izany tao anatin'ny roa herinandro fampiasana (30). olona).
Avy eo dia tonga ny rakitra 1.rdp, izay azontsika amboarina ho an'ny rehetra na mitokana ho an'ny mpampiasa tsirairay (izany no nataoko - mora kokoa ny mandany 15 minitra fanampiny noho ny ora maromaro hifampidinika amin'ireo izay tsy mahafantatra izany)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainNy iray amin'ireo toe-javatra mahaliana eto dia ny fampiasana multimon:i:1 - anisan'izany ny fampiasana mpanara-maso marobe - misy olona mila an'izany, saingy tsy mieritreritra ny hamadika izany ho an'ny tenany.
karazana fifandraisana: i: 6 sy networkautodetect: i: 0 - satria ny ankamaroan'ny Internet dia mihoatra ny 10 Mbit, dia avelao ny karazana fifandraisana 6 (tambajotra eo an-toerana 10 Mbit sy ambony) ary esory ny networkautodetect, satria raha ny default dia (auto), dia na dia kely tsy fahita firy Network latency dia mametraka ho azy ny hafainganam-pandeha ho an'ny fotoam-pivoriana amin'ny hafainganam-pandeha ambany nandritra ny fotoana ela, izay mety hiteraka fahatarana tsikaritra eo amin'ny asa, indrindra fa amin'ny fandaharana sary.
disable wallpaper:i:1 - disable the desktop picture
username:s:myuserlogin - manondro ny fidirana amin'ny mpampiasa izahay, satria ny ampahany lehibe amin'ny mpampiasa anay dia tsy mahafantatra ny fidirany
domain:s:mydomain - manondro ny sehatra na anaran'ny solosaina
Fa raha te hanatsotra ny asa famoronana fomba fifandraisana isika dia afaka mampiasa PowerShell ihany koa - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890Kely ihany koa ny momba ny mpanjifa RDP ao amin'ny Windows: Nandroso lavitra ny MS tamin'ny fanatsarana ny protocol sy ny ampahany amin'ny mpizara ary ny mpanjifany, ny fampiharana ireo endri-javatra mahasoa maro - toy ny fiasana amin'ny hardware 3D, ny fanatsarana ny famahana ny efijery ho an'ny monitor-nao, ny efijery maro, Sns Saingy mazava ho azy, ny zava-drehetra dia ampiharina amin'ny fomba fampifanarahana mihemotra ary raha ny mpanjifa dia Windows 7 ary ny PC lavitra dia Windows 10, dia hiasa amin'ny alΓ lan'ny protocol version 7.0 ny RDP. Saingy soa ihany fa azonao atao ny manavao ny dikan-teny RDP amin'ny dikan-teny farany kokoa - ohatra, azonao atao ny manavao ny dikan-teny protocol amin'ny 7.0 (Windows 7) mankany 8.1. Noho izany, ho an'ny fanamorana ny mpanjifa dia mila mampitombo ny dikan'ny ampahany amin'ny mpizara ianao, ary manome rohy hanavao ny dikan-teny vaovao amin'ny mpanjifa protocol RDP.
Vokatr'izany dia manana teknolojia tsotra sy azo antoka izahay ho an'ny fifandraisana lavitra amin'ny PC miasa na mpizara terminal. Fa ho an'ny fifandraisana azo antoka kokoa, ny fomba Port Knocking dia mety ho sarotra kokoa ny manafika amin'ny alΓ lan'ny baiko maromaro, amin'ny fampidirana seranana hanamarina - amin'ny fampiasana lojika mitovy, azonao atao ny manampy 3,4,5,6... seranan-tsambo ary Amin'ity tranga ity, ny fidirana mivantana amin'ny tambajotrao dia saika tsy ho vita.
.
Source: www.habr.com