ڪيترن ئي ملڪن ۾ Covid-19 وائرس جي وبائي مرض ۽ عام قرنطين جي ڪري، ڪيترن ئي ڪمپنين لاءِ ڪم جاري رکڻ جو واحد رستو انٽرنيٽ ذريعي ڪم جي جڳهن تائين ريموٽ رسائي آهي. ڏورانهين ڪم لاءِ ڪيترائي نسبتاً محفوظ طريقا آهن- پر مسئلي جي ماپ کي ڏسندي، ڪهڙي ضرورت آهي هڪ طريقو آهي جيڪو ڪنهن به صارف لاءِ آفيس سان دور دراز سان ڳنڍڻ لاءِ آسان آهي ۽ بغير اضافي سيٽنگن، وضاحتن، ڏکوئيندڙ صلاحن ۽ ڊگھي. هدايتون. اهو طريقو ڪيترن ئي منتظمين آر ڊي پي (ريموٽ ڊيسڪ ٽاپ پروٽوڪول) سان پيار ڪيو آهي. آر ڊي پي ذريعي سڌو ڪم اسٽيشن سان ڳنڍڻ مثالي طور اسان جو مسئلو حل ڪري ٿو، سواءِ عطر ۾ هڪ وڏي مک جي - انٽرنيٽ لاءِ آر ڊي پي پورٽ کليل رکڻ تمام غير محفوظ آهي. تنهن ڪري، هيٺ آئون تحفظ جو هڪ سادو پر قابل اعتماد طريقو پيش ڪريان ٿو.
جيئن ته آئون اڪثر ننڍين تنظيمن ۾ ايندو آهيان جتي Mikrotik ڊوائيسز انٽرنيٽ ڪنيڪشن جي طور تي استعمال ٿينديون آهن، هيٺ آئون ڏيکاريندس ته ان کي ڪيئن لاڳو ڪجي Mikrotik تي، پر Port Knocking تحفظ جو طريقو آسانيءَ سان ٻين اعليٰ درجي جي ڊوائيسز تي لاڳو ڪري سگهجي ٿو ساڳي ان پٽ روٽر سيٽنگن سان ۽ فائر وال
مختصر طور تي پورٽ نوڪنگ بابت. انٽرنيٽ سان ڳنڍيل نيٽ ورڪ جو مثالي خارجي تحفظ اهو آهي جڏهن سڀئي وسيلا ۽ بندرگاهن ٻاهران فائر وال ذريعي بند ڪيا وڃن. ۽ جيتوڻيڪ هڪ روٽر اهڙي ترتيب ڏنل فائر وال سان ڪنهن به طريقي سان رد عمل نه ڪندو آهي ٻاهران ايندڙ پيڪن تي، اهو انهن کي ٻڌي ٿو. تنهن ڪري، توهان روٽر کي ترتيب ڏئي سگهو ٿا ته جيئن اهو مختلف بندرگاهن تي نيٽ ورڪ پيڪيٽس جو هڪ مخصوص (ڪوڊ) تسلسل حاصل ڪري، اهو (راؤٽر) IP لاءِ جتان پيڪٽس آيا آهن، ڪجهه وسيلن تائين رسائي کي رد ڪري ٿو (پورٽس، پروٽوڪول وغيره. .)
هاڻي نقطي تي. مان Mikrotik تي فائر وال قائم ڪرڻ جي تفصيلي وضاحت نه ڏيندس - انٽرنيٽ ان لاءِ معياري ذريعن سان ڀريل آهي. مثالي طور تي، هڪ فائر وال سڀني ايندڙ پيڪن کي بلاڪ ڪري ٿو، پر
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedاڳ ۾ ئي قائم ڪيل (قائم ٿيل، لاڳاپيل) ڪنيڪشن مان ايندڙ ٽرئفڪ جي اجازت ڏئي ٿي.
هاڻي اسان Mikrotik تي پورٽ ڇڪڻ کي ترتيب ڏيو ٿا:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389هاڻي وڌيڪ تفصيل ۾:
پهرين ٻه ضابطا
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulesIP پتي مان ايندڙ پيڪيٽس کي روڪيو جيڪي پورٽ اسڪيننگ دوران بليڪ لسٽ ڪيا ويا هئا؛
ٽيون اصول:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
ip کي ميزبانن جي لسٽ ۾ شامل ڪري ٿو جيڪو مطلوب پورٽ تي صحيح پهريون ڪال ڪيو (19000)؛
هيٺيان چار ضابطا:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesانھن لاءِ ٽريپ پورٽ ٺاھيو جيڪي توھان جي بندرگاھن کي اسڪين ڪرڻ چاھين ٿا، ۽ جڏھن اھڙيون ڪوششون معلوم ٿين ٿيون، اھي پنھنجي IP کي 60 منٽن لاءِ بليڪ لسٽ ڪندا آھن، جنھن دوران پھريون ٻه قاعدا اھڙي ھوسٽن کي صحيح بندرگاھ تي دستڪ ڏيڻ جو موقعو نه ڏيندا؛
اڳيون ضابطو:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesرکي ٿو ip کي اجازت وارن جي لسٽ ۾ 1 منٽ لاءِ (ڪافي آهي ڪنيڪشن قائم ڪرڻ لاءِ)، جڏهن ته ٻيو صحيح دڙو مطلوب بندرگاهه تي ٺاهيو ويو آهي (16000)؛
اڳيون حڪم:
move [/ip firewall filter find comment=RemoteRules] 1اسان جي قاعدن کي فائر وال پروسيسنگ زنجير تي منتقل ڪري ٿو، ڇو ته گهڻو ڪري اسان وٽ اڳ ۾ ئي مختلف پابنديون ضابطا ترتيب ڏنل هوندا جيڪي اسان جي نئين ٺاهيل کي ڪم ڪرڻ کان روڪيندا. ميڪروٽڪ ۾ پهريون قاعدو صفر کان شروع ٿئي ٿو، پر منهنجي ڊوائيس تي صفر هڪ تعمير ٿيل قاعدي تي قبضو ڪيو ويو هو ۽ ان کي منتقل ڪرڻ ناممڪن هو - مون ان کي 1 ڏانهن منتقل ڪيو. ان ڪري، اسان پنهنجي سيٽنگون ڏسون ٿا - اسان ان کي ڪٿي منتقل ڪري سگهون ٿا. ۽ مطلوب نمبر ظاهر ڪريو.
اڳيون سيٽنگ:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389هڪ بي ترتيب طور تي منتخب ٿيل بندرگاهه 33890 کي باقاعده RDP پورٽ 3389 ڏانهن ۽ ڪمپيوٽر يا ٽرمينل سرور جو IP جيڪو اسان کي گهربل آهي. اسان سڀ ضروري اندروني وسيلن لاءِ اهڙا قاعدا ٺاهيندا آهيون، ترجيحي طور تي غير معياري (۽ مختلف) خارجي بندرگاهن کي ترتيب ڏيڻ. قدرتي طور تي، اندروني وسيلن جو IP يا ته جامد هجي يا DHCP سرور کي لڳايو وڃي.
هاڻي اسان جو Mikrotik ترتيب ڏنو ويو آهي ۽ اسان کي صارف لاء اسان جي اندروني RDP سان ڳنڍڻ لاء هڪ آسان طريقيڪار جي ضرورت آهي. جيئن ته اسان وٽ اڪثر ونڊوز استعمال ڪندڙ آهن، اسان هڪ سادي بيٽ فائل ٺاهيندا آهيون ۽ ان کي سڏيندا آهيون StartRDP.bat:
1.htm
1.rdpمطابق 1.htm ھيٺ ڏنل ڪوڊ تي مشتمل آھي:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">هتي خيالي تصويرن لاءِ ٻه لنڪ آهن جيڪي ايڊريس my_router.sn.mynetname.net تي موجود آهن - اسان هن ايڊريس کي Mikrotik DDNS سسٽم مان وٺون ٿا ان کي فعال ڪرڻ کان پوءِ پنهنجي Mikrotik ۾: وڃو IP->Cloud مينيو - چيڪ ڪريو DDNS فعال باڪس، ڪلڪ ڪريو لاڳو ڪريو ۽ اسان جي روٽر جي ڊي اين ايس جو نالو نقل ڪريو. پر اهو صرف ضروري آهي جڏهن روٽر جو خارجي IP متحرڪ آهي يا ڪيترن ئي انٽرنيٽ فراهم ڪندڙن سان ترتيب ڏنل آهي.
پهرين لنڪ ۾ بندرگاهه: 19000 پهرين بندرگاهه سان ملندو آهي جنهن تي توهان کي دٻائڻو پوندو، ٻئي ۾ اهو ٻئي سان ملندو آهي. لنڪن جي وچ ۾ هڪ مختصر هدايت آهي جيڪا ڏيکاري ٿي ته ڇا ڪجي جيڪڏهن اوچتو اسان جو ڪنيڪشن مختصر نيٽ ورڪ جي مسئلن جي ڪري روڪيو وڃي - اسان پيج کي ريفريش ڪيو، آر ڊي پي پورٽ اسان لاءِ 1 منٽ لاءِ ٻيهر کوليو ويو ۽ اسان جو سيشن بحال ٿيو. انهي سان گڏ، img ٽيگ جي وچ ۾ متن برائوزر لاءِ مائڪرو ڊيلي ٺاهي ٿو، جيڪو پهرين پيڪٽ جي ٻئي بندرگاهه (16000) تائين پهچائڻ جو امڪان گهٽائي ٿو - ٻن هفتن جي استعمال ۾ اڃا تائين اهڙا ڪيس نه آهن (30. ماڻهو).
اڳيان اچي ٿو 1.rdp فائل، جنهن کي اسين هر ڪنهن لاءِ يا الڳ الڳ هر هڪ صارف لاءِ ترتيب ڏئي سگهون ٿا (اهو ئي آهي جيڪو مون ڪيو آهي - ڪيترن ئي ڪلاڪن کان وڌيڪ 15 منٽ خرچ ڪرڻ آسان آهي انهن ماڻهن سان صلاح ڪرڻ جيڪي ان کي سمجهي نه سگهيا آهن)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainهتي جي دلچسپ سيٽنگن مان هڪ آهي multimon:i:1 استعمال ڪريو - هن ۾ ڪيترن ئي مانيٽر جو استعمال شامل آهي - ڪجهه ماڻهن کي اها ضرورت آهي، پر اهي ان کي پاڻ تي ڦيرائڻ جو نه سوچيو.
ڪنيڪشن جو قسم:i:6 ۽ networkautodetect:i:0 - ڇاڪاڻ ته انٽرنيٽ جي اڪثريت 10 Mbit کان مٿي آهي، پوءِ ڪنيڪشن ٽائپ 6 (مقامي نيٽ ورڪ 10 Mbit ۽ مٿي) کي فعال ڪريو ۽ نيٽ ورڪ آٽو ڊيٽڪٽ کي غير فعال ڪريو، ڇو ته جيڪڏهن ڊفالٽ (آٽو) آهي، پوءِ به هڪ ناياب ننڍو نيٽ ورڪ ليٽينس خود بخود اسان جي سيشن جي رفتار کي گهٽ وقت تائين مقرر ڪري ٿو، جيڪا ڪم ۾ قابل ذڪر دير پيدا ڪري سگهي ٿي، خاص ڪري گرافڪس پروگرامن ۾.
وال پيپر کي غير فعال ڪريو:i:1 - ڊيسڪ ٽاپ تصوير کي غير فعال ڪريو
صارف جو نالو:s:myuserlogin - اسان صارف جي لاگ ان جي نشاندهي ڪريون ٿا، ڇو ته اسان جي استعمال ڪندڙن جو ھڪڙو وڏو حصو پنھنجي لاگ ان کي نه ڄاڻندا آھن
domain:s:mydomain - ڊومين يا ڪمپيوٽر جو نالو ظاهر ڪريو
پر جيڪڏهن اسان ڪنيڪشن جي طريقيڪار ٺاهڻ جي ڪم کي آسان ڪرڻ چاهيون ٿا، اسان پڻ استعمال ڪري سگهون ٿا PowerShell - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890ونڊوز ۾ آر ڊي پي ڪلائنٽ بابت پڻ ٿورڙو: MS پروٽوڪول ۽ ان جي سرور ۽ ڪلائنٽ حصن کي بهتر ڪرڻ ۾ هڪ ڊگهو رستو اختيار ڪيو آهي، ڪيترن ئي ڪارآمد خاصيتن کي لاڳو ڪرڻ - جهڙوڪ هارڊويئر 3D سان ڪم ڪرڻ، توهان جي مانيٽر لاءِ اسڪرين ريزوليوشن کي بهتر ڪرڻ، ملٽي اسڪرين، وغيره پر يقينن، هر شي کي پسمانده مطابقت واري موڊ ۾ لاڳو ڪيو ويو آهي ۽ جيڪڏهن ڪلائنٽ آهي Windows 7 ۽ ريموٽ پي سي آهي Windows 10، پوء RDP پروٽوڪول ورزن 7.0 استعمال ڪندي ڪم ڪندو. پر خوشقسمتيءَ سان، توھان RDP ورجن کي وڌيڪ تازو ورزن ۾ اپڊيٽ ڪري سگھو ٿا - مثال طور، توھان پروٽوڪول ورجن کي 7.0 (ونڊوز 7) کان 8.1 تائين اپ گريڊ ڪري سگھو ٿا. تنهن ڪري، گراهڪن جي سهولت لاء، اهو ضروري آهي ته سرور جي حصي جي نسخن کي ممڪن حد تائين وڌايو وڃي، ۽ RDP پروٽوڪول ڪلائنٽ جي نئين نسخن کي اپڊيٽ ڪرڻ لاء لنڪ پڻ مهيا ڪن.
نتيجي طور، اسان وٽ ڪم پي سي يا ٽرمينل سرور سان ريموٽ ڪنيڪشن لاءِ هڪ سادي ۽ نسبتاً محفوظ ٽيڪنالاجي آهي. پر وڌيڪ محفوظ ڪنيڪشن لاءِ، اسان جي پورٽ نوڪنگ جو طريقو ڪيترن ئي آرڊرن جي شدت سان حملو ڪرڻ لاءِ وڌيڪ ڏکيو ٿي سگهي ٿو، چيڪ ڪرڻ لاءِ بندرگاهن کي شامل ڪرڻ سان- ساڳي منطق کي استعمال ڪندي، توهان 3,4,5,6... بندرگاهن شامل ڪري سگهو ٿا ۽ انهي صورت ۾، توهان جي نيٽ ورڪ ۾ سڌي مداخلت تقريبا ناممڪن ٿي ويندي.
.
جو ذريعو: www.habr.com