په ډیری هیوادونو کې د کوویډ - 19 ویروس ناروغۍ او عمومي قرنطین له امله ، د ډیری شرکتونو لپاره کار ته دوام ورکولو یوازینۍ لار د انټرنیټ له لارې کاري ځایونو ته لرې لاسرسی دی. د ریموټ کار لپاره ډیری نسبتا خوندي میتودونه شتون لري - مګر د ستونزې کچې ته په پام سره ، هغه څه ته اړتیا ده چې د هر کارونکي لپاره ساده ده چې دفتر سره په لیرې توګه وصل شي او پرته له اضافي ترتیباتو ، توضیحاتو ، ستړي مشورو او اوږدمهاله اړتیاو ته اړتیا لري. لارښوونې دا میتود د ډیری مدیرانو RDP (ریموټ ډیسټاپ پروتوکول) لخوا خوښ شوی. د RDP له لارې د کار سټیشن سره مستقیم وصل کول په مثالي ډول زموږ ستونزه حل کوي ، پرته لدې چې په مرهم کې یو لوی مچ - د انټرنیټ لپاره د RDP بندر خلاص ساتل خورا غیر خوندي دي. له همدې امله ، لاندې زه د محافظت ساده مګر معتبر میتود وړاندیز کوم.
څنګه چې زه ډیری وختونه د کوچني سازمانونو سره مخ کیږم چیرې چې د مایکروټیک وسیلې د انټرنیټ اتصال په توګه کارول کیږي ، لاندې به زه وښیم چې دا په مایکروټیک کې پلي کول څنګه دي ، مګر د پورټ نوک کولو محافظت میتود په اسانۍ سره په نورو لوړې درجې وسیلو کې د ورته ان پټ روټر ترتیباتو سره پلي کیدی شي او فایروال
په لنډه توګه د پورټ نوکنګ په اړه. د انټرنیټ سره وصل شوي شبکې مثالی بهرنی محافظت هغه وخت دی چې ټولې سرچینې او بندرونه د اور وژونکي لخوا له بهر څخه وتړل شي. او که څه هم د داسې ترتیب شوي فایروال سره روټر په هیڅ ډول له بهر څخه راوتونکو کڅوړو ته عکس العمل نه ښیې ، دا دوی ته غوږ نیسي. له همدې امله ، تاسو کولی شئ روټر تنظیم کړئ نو کله چې دا په مختلف بندرونو کې د شبکې پاکټونو یو ټاکلی (کوډ) ترتیب ترلاسه کوي ، نو دا (روټر) د IP لپاره له کوم ځای څخه چې پاکټونه راغلي ، ځینې سرچینو ته لاسرسی ردوي (بندرونه ، پروتوکولونه او نور. .)
اوس ټکي ته. زه به په مایکروټیک کې د فایر وال تنظیم کولو تفصيلي توضیحات نه ورکوم - انټرنیټ د دې لپاره د کیفیت سرچینو څخه ډک دی. په عین حال کې، د اور وژونکي ټول راتلونکی پاکټونه بندوي، مګر
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedد لا دمخه رامینځته شوي (تاسیس شوي ، اړونده) اړیکو څخه راتلونکي ترافیک ته اجازه ورکوي.
اوس موږ په مایکروټیک کې د پورټ نوکنګ تنظیم کوو:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389اوس په تفصیل سره:
لومړی دوه قواعد
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulesد IP پتې څخه د راتلونکو کڅوړو مخه ونیسئ کوم چې د پورټ سکین کولو پرمهال تور لیست شوي وو؛
دریمه قاعده:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
ip د کوربه توب لیست ته اضافه کوي چې په مطلوب بندر کې یې سم لومړی ټک کړی (19000)؛
لاندې څلور قواعد:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesد هغو کسانو لپاره د جال بندرونه رامینځته کړئ څوک چې غواړي ستاسو بندرونه سکین کړي ، او کله چې دا ډول هڅې وموندل شي ، دوی د 60 دقیقو لپاره خپل IP تور لیست کوي ، چې په جریان کې به لومړي دوه مقررات دا ډول کوربه ته فرصت ورنکړي چې سم بندرونه ټک کړي؛
راتلونکی قاعده:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesip د 1 دقیقو لپاره د اجازه ورکړل شوي لیست کې ځای په ځای کوي (د پیوستون رامینځته کولو لپاره کافي) ، ځکه چې دوهم درست ټک په مطلوب بندر کې رامینځته شوی (16000)؛
بل حکم:
move [/ip firewall filter find comment=RemoteRules] 1زموږ مقررات د فایروال پروسس کولو سلسله پورته کوي، ځکه چې ډیری احتمال به موږ دمخه مختلف ممنوع مقررات ترتیب کړي وي چې زموږ نوي رامینځته شوي د کار کولو مخه ونیسي. په مایکروټیک کې لومړی قاعده له صفر څخه پیل کیږي ، مګر زما په وسیله صفر د یو جوړ شوي قاعدې لخوا نیول شوی و او د هغې حرکت کول ناممکن وو - ما دا 1 ته لیږدول. نو موږ خپل ترتیبات ګورو - چیرې چې موږ کولی شو دا حرکت وکړو او مطلوب شمیره په ګوته کړئ.
راتلونکی ترتیب:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389په تصادفي ډول ټاکل شوي پورټ 33890 منظم RDP پورټ 3389 ته او د کمپیوټر یا ټرمینل سرور IP ته چې موږ ورته اړتیا لرو. موږ د ټولو اړینو داخلي سرچینو لپاره دا ډول مقررات رامینځته کوو ، په غوره توګه غیر معیاري (او مختلف) بهرني بندرونه تنظیم کوو. په طبیعي توګه، د داخلي سرچینو IP باید یا هم جامد وي یا د DHCP سرور ته ورکړل شي.
اوس زموږ مایکروټیک ترتیب شوی او موږ د کارونکي لپاره زموږ داخلي RDP سره وصل کولو لپاره اسانه طرزالعمل ته اړتیا لرو. څرنګه چې موږ ډیری د وینډوز کاروونکي لرو، موږ یو ساده بټ فایل جوړوو او د StartRDP.bat په نوم یې غږ کوو:
1.htm
1.rdpپه دې اساس 1.htm لاندې کوډ لري:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">دلته د خیالي عکسونو دوه لینکونه شتون لري چې په پته کې موقعیت لري my_router.sn.mynetname.net - موږ دا پته د مایکروټیک DDNS سیسټم څخه اخلو وروسته له دې چې دا زموږ مایکروټیک کې فعاله کړو: IP-> کلاوډ مینو ته لاړشئ - د DDNS فعال شوی چیک کړئ په بکس کې، په پلي کولو کلیک وکړئ او زموږ د روټر د dns نوم کاپي کړئ. مګر دا یوازې اړین دی کله چې د روټر بهرنۍ IP متحرک وي یا د ډیری انټرنیټ چمتو کونکو سره ترتیب کارول کیږي.
په لومړي لینک کې بندر: 19000 د لومړي بندر سره مطابقت لري چې تاسو یې ټکولو ته اړتیا لرئ، په دویم کې دا د دویم سره مطابقت لري. د لینکونو ترمینځ یو لنډ لارښود شتون لري چې ښیې څه باید وکړو که چیرې ناڅاپه زموږ اړیکه د لنډې شبکې ستونزو له امله مداخله شي - موږ پاڼه تازه کوو ، د RDP بندر زموږ لپاره د 1 دقیقې لپاره خلاص شوی او زموږ سیشن بحال شوی. همچنان ، د img ټګونو ترمینځ متن د براوزر لپاره مایکرو ځنډ رامینځته کوي ، کوم چې دوهم بندر (16000) ته د لومړۍ کڅوړې سپارلو احتمال کموي - تر دې دمه په دوه اونیو کارولو کې داسې پیښې ندي رامینځته شوي (30) خلک).
بیا د 1.rdp فایل راځي، کوم چې موږ کولی شو یو د هرچا لپاره یا په جلا توګه د هر کارونکي لپاره تنظیم کړو (دا هغه څه دي چې ما وکړل - د څو ساعتونو په پرتله د 15 دقیقو اضافي مصرف کول اسانه دي د هغو کسانو سره مشوره کول چې دا یې نه پوهیږي)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainدلته یو له زړه پورې ترتیباتو څخه د ملټيمون کارول دي: i: 1 - پدې کې د ډیری مانیټرونو کارول شامل دي - ځینې خلک دې ته اړتیا لري ، مګر دوی پخپله د دې بدلولو فکر نه کوي.
د پیوستون ډول:i:6 او networkautodetect:i:0 - ځکه چې د انټرنیټ ډیری برخه له 10 Mbit څخه پورته ده، نو د ارتباط ډول 6 فعال کړئ (ځایی شبکه 10 Mbit او پورته) او د شبکې آټوډیټ غیر فعال کړئ، ځکه چې که ډیفالټ (آټو) وي، بیا حتی یو نادر کوچنی شبکه ځنډ په اتوماتيک ډول زموږ د ناستې سرعت په ټیټ سرعت کې د اوږدې مودې لپاره تنظیموي ، کوم چې کولی شي په کار کې د پام وړ ځنډ رامینځته کړي ، په ځانګړي توګه په ګرافیک برنامو کې.
وال پیپر غیر فعال کړئ: i: 1 - د ډیسټاپ عکس غیر فعال کړئ
د کارن نوم:s:myuserlogin - موږ د کارونکي ننوت ته اشاره کوو، ځکه چې زموږ د کاروونکو یوه مهمه برخه د دوی ننوت نه پوهیږي
domain:s:mydomain - د ډومین یا کمپیوټر نوم په ګوته کړئ
مګر که موږ غواړو د اتصال طرزالعمل رامینځته کولو دنده ساده کړو ، نو موږ هم کولی شو PowerShell - StartRDP.ps1 وکاروو
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890په وینډوز کې د RDP پیرودونکي په اړه هم یو څه: MS د پروتوکول او د دې سرور او پیرودونکي برخو اصلاح کولو کې خورا اوږده لاره موندلې ، ډیری ګټورې ب featuresې پلي کوي - لکه د هارډویر 3D سره کار کول ، ستاسو د مانیټر لپاره د سکرین ریزولوشن اصلاح کول ، ملټي سکرین ، etc مګر البته ، هرڅه د شاته مطابقت حالت کې پلي کیږي او که چیرې پیرودونکي وینډوز 7 وي او ریموټ کمپیوټر وینډوز 10 وي ، نو RDP به د پروتوکول نسخه 7.0 په کارولو سره کار وکړي. مګر خوشبختانه ، تاسو کولی شئ د RDP نسخې نورو وروستي نسخو ته تازه کړئ - د مثال په توګه ، تاسو کولی شئ د پروتوکول نسخه له 7.0 (وینډوز 7) څخه 8.1 ته لوړ کړئ. له همدې امله، د پیرودونکو د اسانتیا لپاره، تاسو اړتیا لرئ چې د سرور برخې نسخې اعظمي کړئ، او همدارنګه د RDP پروتوکول مراجعینو نوي نسخو ته د تازه کولو لپاره لینکونه چمتو کړئ.
د پایلې په توګه، موږ د کار کمپیوټر یا ترمینل سرور سره د ریموټ اتصال لپاره ساده او نسبتا خوندي ټیکنالوژي لرو. مګر د لا خوندي پیوستون لپاره، زموږ د پورټ نوک کولو طریقه کیدای شي د څو لویو امرونو لخوا برید کول ستونزمن کړي، د چک کولو لپاره د بندرونو په اضافه کولو سره - د ورته منطق په کارولو سره، تاسو کولی شئ 3,4,5,6 ... بندر اضافه کړئ او په دې حالت کې، ستاسو شبکې ته مستقیم مداخله به تقریبا ناممکن وي.
.
سرچینه: www.habr.com