ProHoster > Блог > Захиргаа > Оффис дээр алсаас ажиллах. RDP, Порт тогших, Микротик: энгийн бөгөөд аюулгүй

Оффис дээр алсаас ажиллах. RDP, Порт тогших, Микротик: энгийн бөгөөд аюулгүй

Олон улс оронд COVID-19 вирусын тахал болон ерөнхий хорио цээрийн улмаас олон компаниуд үргэлжлүүлэн ажиллах цорын ганц арга зам бол ажлын байр руугаа интернетээр алсаас хандах явдал юм. Алсын зайнаас ажиллах харьцангуй аюулгүй аргууд байдаг боловч асуудлын цар хүрээг харгалзан аливаа хэрэглэгчдэд нэмэлт тохиргоо, тайлбар, уйтгартай зөвлөгөө, урт зааварчилгаагүйгээр алсын зайнаас оффис руу холбогдох энгийн арга хэрэгтэй болно. Энэ аргыг олон админ RDP (Remote Desktop Protocol) дуртай байдаг. RDP-ээр дамжуулан ажлын байртай шууд холбогдох нь бидний асуудлыг хамгийн сайн шийддэг, зөвхөн нэг том ялаанаас бусад тохиолдолд - RDP портыг интернетэд нээлттэй байлгах нь маш аюултай. Тиймээс би доороос хамгаалах энгийн боловч найдвартай аргыг санал болгож байна.Оффис дээр алсаас ажиллах. RDP, Порт тогших, Микротик: энгийн бөгөөд аюулгүй

Би Микротик төхөөрөмжийг интернетэд ашигладаг жижиг байгууллагуудтай байнга тааралддаг тул үүнийг Микротик дээр хэрхэн хэрэгжүүлэхийг доор харуулах болно, гэхдээ Порт тогших хамгаалалтын аргыг ижил төстэй оролтын чиглүүлэгчийн тохиргоо, галт хана бүхий бусад дээд зэрэглэлийн төхөөрөмжүүдэд хялбархан хэрэгжүүлдэг. .

Порт тогших тухай товчхон. Интернетэд холбогдсон сүлжээний хамгийн тохиромжтой гадаад хамгаалалт бол бүх нөөц, портууд гаднаас галт ханаар хаалттай байх явдал юм. Ийм тохируулсан галт хана бүхий чиглүүлэгч нь гаднаас ирж буй пакетуудад ямар ч хариу үйлдэл үзүүлэхгүй ч тэднийг сонсдог. Тиймээс та чиглүүлэгчийг тохируулж болно, ингэснээр сүлжээний багцын тодорхой (код) дарааллыг өөр портууд дээр хүлээн авах үед энэ нь (чиглүүлэгч) IP-д пакетууд ирсэн газраас тодорхой нөөцөд (порт, протокол, гэх мэт).

Одоо бизнес рүү. Би Mikrotik дээрх галт ханын тохиргооны нарийвчилсан тайлбарыг хийхгүй - Интернет нь үүнд зориулсан өндөр чанартай эх сурвалжаар дүүрэн байдаг. Хамгийн тохиромжтой нь галт хана нь ирж буй бүх пакетуудыг блоклодог, гэхдээ 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Тогтсон, холбогдох холболтоос ирж буй урсгалыг зөвшөөрдөг.
Одоо бид Микротик дээр Порт тогшихыг суулгасан:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Одоо илүү дэлгэрэнгүй:

эхний хоёр дүрэм 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

порт скан хийх явцад хар жагсаалтад орсон IP хаягуудаас ирж буй пакетуудыг хориглох;

Гурав дахь дүрэм:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

зөв портыг зөв тогшсон хостуудын жагсаалтад ip нэмдэг (19000);
Дараагийн дөрвөн дүрэм нь:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

таны портуудыг сканнердах хүсэлтэй хүмүүст зориулсан трап портуудыг үүсгэх, хэрэв ийм оролдлого илэрсэн бол IP-ийг 60 минутын турш хар жагсаалтад оруулах бөгөөд эхний хоёр дүрэм нь ийм хостуудад зөв портуудыг тогших боломжийг олгохгүй;

Дараагийн дүрэм:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

IP-г зөвшөөрөгдсөн жагсаалтад 1 минутын турш оруулдаг (холболтыг бий болгоход хангалттай), учир нь хүссэн порт дээр хоёр дахь зөв тогшсон (16000);

Дараах тушаал:

move [/ip firewall filter find comment=RemoteRules] 1

нь бидний дүрмийг галт ханын боловсруулалтын гинжин хэлхээнд шилжүүлдэг, учир нь бид шинээр үүсгэсэн дүрмээ ажиллахаас сэргийлж өөр өөр үгүйсгэх дүрмүүдийг тохируулсан байх магадлалтай. Mikrotik-ийн хамгийн эхний дүрэм тэгээс эхэлдэг, гэхдээ миний төхөөрөмж дээр тэг нь суулгасан дүрэмд багтсан байсан бөгөөд үүнийг зөөх боломжгүй байсан - би үүнийг 1 рүү шилжүүлсэн. Тиймээс бид тохиргоогоо хардаг - та үүнийг хаана зөөж болно. мөн хүссэн дугаараа зааж өгнө үү.

Дараагийн тохиргоо:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

дур мэдэн сонгосон 33890 портыг ердийн RDP порт 3389 болон бидэнд хэрэгтэй компьютер эсвэл терминал серверийн IP руу дамжуулдаг. Бид шаардлагатай бүх дотоод нөөцөд зориулж ийм дүрмийг бий болгож, стандарт бус (болон өөр) гадаад портуудыг тохируулах нь дээр. Мэдээжийн хэрэг, дотоод нөөцийн IP нь DHCP сервер дээр статик эсвэл тогтмол байх ёстой.

Одоо манай Микротик тохиргоо хийгдсэн бөгөөд хэрэглэгч дотоод RDP-тэй холбогдохын тулд бидэнд энгийн журам хэрэгтэй байна. Бидэнд ихэвчлэн Windows хэрэглэгчид байдаг тул бид энгийн bat файл үүсгээд StartRDP.bat гэж нэрлэнэ.

1.htm
1.rdp

1.htm нь дараах кодыг агуулна.

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

Энэ нь my_router.sn.mynetname.net дээр байрлах төсөөлөлтэй зургуудын хоёр холбоосыг агуулдаг - бид энэ хаягийг Mikrotik DDNS системээс микротик дээр идэвхжүүлсний дараа авдаг: IP-> Cloud цэс рүү очно уу - DDNS Enabled хайрцгийг шалгана уу. Apply дээр дараад манай чиглүүлэгчийн dns нэрийг хуулна. Гэхдээ энэ нь чиглүүлэгчийн гадаад IP динамик эсвэл хэд хэдэн интернет үйлчилгээ үзүүлэгчийн тохиргоог ашиглах үед л шаардлагатай байдаг.

Эхний холбоос дахь порт: 19000 нь таны тогших шаардлагатай эхний порттой, хоёр дахь нь хоёр дахь порттой тохирч байна. Холбоосуудын хооронд богино сүлжээний асуудлаас болж бидний холболт гэнэт тасалдвал юу хийхийг харуулсан богино заавар байдаг - бид хуудсыг сэргээж, RDP порт 1 минутын турш бидэнд дахин нээгдэж, бидний сесс сэргээгдсэн. Мөн img хаягуудын хоорондох текст нь хөтчийн бичил саатал үүсгэдэг бөгөөд энэ нь эхний пакетыг хоёр дахь порт руу хүргэх магадлалыг бууруулдаг (16000) - хоёр долоо хоногийн турш ийм тохиолдол гараагүй байна (30). хүмүүс).

Дараа нь 1.rdp файл гарч ирдэг бөгөөд бид үүнийг бүгдийг нь эсвэл хэрэглэгч бүрт тусад нь тохируулах боломжтой (би үүнийг хийсэн - үүнийг олж чадаагүй хүмүүстэй хэдэн цаг зөвлөлдөхөөс илүү 15 минут зарцуулах нь илүү хялбар байдаг) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

Энд байгаа сонирхолтой тохиргоонуудын нэг нь multimon ашиглах явдал юм: i: 1 - үүнд олон монитор ашиглах шаардлагатай - заримд нь энэ хэрэгтэй, гэхдээ тэд өөрсдөө үүнийг асаах талаар бодохгүй байна.

холболтын төрөл: i: 6 ба networkautodetect: i: 0 - Интернэтийн дийлэнх нь 10 Mbps-ээс дээш хурдтай байгаа тул холболтын төрлийг 6 (дотоод сүлжээ 10 Mbps ба түүнээс дээш) асааж, сүлжээний автомат илрүүлэхийг унтраа, учир нь өгөгдмөлөөр (автоматаар) , дараа нь ховор жижиг сүлжээний хоцролт хүртэл бидний сессийг удаан хугацаанд автоматаар удаашруулдаг бөгөөд энэ нь ажил, ялангуяа график программуудад мэдэгдэхүйц саатал үүсгэдэг.

дэлгэцийн зургийг идэвхгүй болгох: i: 1 - ширээний зургийг идэвхгүй болгох
хэрэглэгчийн нэр: s: myuserlogin - манай хэрэглэгчдийн нэлээд хэсэг нь нэвтрэх эрхээ мэддэггүй тул бид хэрэглэгчийн нэвтрэх эрхийг зааж өгдөг.
domain:s:mydomain - домэйн эсвэл компьютерийн нэрийг зааж өгнө

Гэхдээ хэрэв бид холболтын процедурыг бий болгох ажлыг хялбарчлахыг хүсвэл PowerShell - StartRDP.ps1 ашиглаж болно.

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Мөн Windows дахь RDP клиентийн талаар бага зэрэг: MS нь протокол, түүний сервер, клиент хэсгүүдийг оновчтой болгоход урт замыг туулж, 3D техник хангамжтай ажиллах, дэлгэцийнхээ дэлгэцийн нягтралыг оновчтой болгох, олон дэлгэц, гэх мэт. Гэхдээ мэдээжийн хэрэг бүх зүйл хойшлогдсон нийцтэй горимд хэрэгждэг бөгөөд хэрэв үйлчлүүлэгч нь Windows 7, алсын компьютер нь Windows 10 бол RDP протоколын 7.0 хувилбарыг ашиглан ажиллах болно. Гэхдээ давуу тал нь та RDP хувилбаруудыг илүү сүүлийн үеийн хувилбарууд руу шинэчлэх боломжтой - жишээлбэл, протоколын хувилбарыг 7.0 (Windows 7) -аас 8.1 болгон шинэчлэх боломжтой. Тиймээс үйлчлүүлэгчдийн тав тухыг хангах үүднээс серверийн хэсгийн хувилбаруудыг аль болох нэмэгдүүлэх, мөн RDP протоколын клиентүүдийн шинэ хувилбар руу шинэчлэх холбоосыг хасах шаардлагатай.

Үүний үр дүнд бид ажиллаж байгаа компьютер эсвэл терминал сервертэй алсаас холбогдох энгийн бөгөөд харьцангуй аюулгүй технологитой болсон. Гэхдээ илүү найдвартай холболтын хувьд манай Порт тогших аргыг шалгахын тулд портуудыг нэмж, хэд хэдэн дарааллаар дайрахад илүү хэцүү болгож болно - та ижил логикийн дагуу 3,4,5,6 ... порт нэмж болно. , мөн энэ тохиолдолд таны сүлжээнд шууд халдах нь бараг боломжгүй болно.

RDP руу алсаас холболт үүсгэх хоосон файлууд.

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх