ProHoster > blog > Utawala > Kazi ya mbali katika ofisi. RDP, Kugonga Bandari, Mikrotik: rahisi na salama

Kazi ya mbali katika ofisi. RDP, Kugonga Bandari, Mikrotik: rahisi na salama

Kwa sababu ya janga la virusi vya covid-19 na karantini ya jumla katika nchi nyingi, njia pekee ya kampuni nyingi kuendelea kufanya kazi ni ufikiaji wa mbali wa maeneo ya kazi kupitia Mtandao. Kuna njia nyingi salama kwa kazi ya mbali - lakini kwa kuzingatia ukubwa wa shida, njia rahisi kwa mtumiaji yeyote kuunganishwa kwa mbali na ofisi inahitajika na bila hitaji la mipangilio ya ziada, maelezo, mashauriano ya kuchosha na maagizo marefu. Njia hii inapendwa na wasimamizi wengi wa RDP (Itifaki ya Eneo-kazi la Mbali). Kuunganisha moja kwa moja mahali pa kazi kupitia RDP hutatua tatizo letu, isipokuwa nzi mmoja mkubwa kwenye mafuta - kuweka lango la RDP wazi kwa Mtandao si salama sana. Kwa hiyo, hapa chini ninapendekeza njia rahisi lakini ya kuaminika ya ulinzi.Kazi ya mbali katika ofisi. RDP, Kugonga Bandari, Mikrotik: rahisi na salama

Kwa kuwa mara nyingi mimi hukutana na mashirika madogo ambapo vifaa vya Mikrotik hutumiwa kama ufikiaji wa Mtandao, hapa chini itaonyeshwa jinsi ya kutekeleza hili kwenye Mikrotik, lakini njia ya ulinzi ya Kugonga Bandari inatekelezwa kwa urahisi kwenye vifaa vingine vya hali ya juu vilivyo na mipangilio sawa ya kipanga njia na ngome. .

Kwa kifupi kuhusu Kugonga Bandari. Ulinzi bora wa nje wa mtandao uliounganishwa kwenye Mtandao ni wakati rasilimali zote na bandari zimefungwa kutoka nje na firewall. Na ingawa kipanga njia kilicho na firewall iliyosanidiwa haifanyi kwa njia yoyote kwa pakiti zinazotoka nje, inazisikiliza. Kwa hiyo, unaweza kusanidi router ili wakati mlolongo fulani (msimbo) wa pakiti za mtandao unapokelewa kwenye bandari tofauti, ni (router) ya IP kutoka ambapo pakiti zilitoka hukata upatikanaji wa rasilimali fulani (bandari, itifaki, nk). na kadhalika.).

Sasa kwa biashara. Sitafanya maelezo ya kina ya mipangilio ya firewall kwenye Mikrotik - Mtandao umejaa vyanzo vya ubora wa juu kwa hili. Kwa kweli, firewall inazuia pakiti zote zinazoingia, lakini 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Inaruhusu trafiki inayoingia kutoka kwa miunganisho iliyoanzishwa, inayohusiana.
Sasa tunaanzisha Kugonga Bandari kwenye Mikrotik:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Sasa kwa undani zaidi:

sheria mbili za kwanza 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

piga marufuku pakiti zinazoingia kutoka kwa anwani za IP ambazo zimeorodheshwa wakati wa kuchanganua bandari;

Kanuni ya tatu:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

inaongeza ip kwenye orodha ya majeshi ambayo yalifanya kugonga sahihi kwanza kwenye bandari sahihi (19000);
Sheria nne zifuatazo ni:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

tengeneza bandari za mtego kwa wale wanaotaka kukagua bandari zako, na ikiwa majaribio kama hayo yamegunduliwa, orodhesha ip yao kwa dakika 60, wakati ambapo sheria mbili za kwanza hazitawapa wenyeji kama hao fursa ya kugonga bandari sahihi;

Kanuni ifuatayo:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

huweka ip kwenye orodha inayoruhusiwa kwa dakika 1 (kutosha kuanzisha uunganisho), kwani kugonga kwa pili sahihi kulifanywa kwenye bandari inayotakiwa (16000);

Amri ifuatayo:

move [/ip firewall filter find comment=RemoteRules] 1

husogeza sheria zetu juu ya msururu wa uchakataji wa ngome, kwa kuwa kuna uwezekano mkubwa kuwa tayari tutakuwa na sheria tofauti za kukana zilizosanidiwa ambazo zitazuia zile zetu mpya kufanya kazi. Utawala wa kwanza kabisa katika Mikrotik huanza kutoka sifuri, lakini kwenye kifaa changu sifuri ilikuwa inachukuliwa na utawala uliojengwa na haikuwezekana kuihamisha - niliihamisha hadi 1. Kwa hiyo, tunaangalia mipangilio yetu - ambapo unaweza kuihamisha. na onyesha nambari inayotaka.

Mpangilio unaofuata:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

hupeleka mbele bandari iliyochaguliwa kiholela 33890 hadi bandari ya kawaida ya RDP 3389 na ip ya kompyuta au seva ya terminal tunayohitaji. Tunaunda sheria kama hizo kwa rasilimali zote muhimu za ndani, ikiwezekana kuweka bandari za nje zisizo za kawaida (na tofauti). Kwa kawaida, ip ya rasilimali za ndani lazima iwe static au fasta kwenye seva ya DHCP.

Sasa Mikrotik yetu imesanidiwa na tunahitaji utaratibu rahisi kwa mtumiaji kuunganisha kwenye RDP yetu ya ndani. Kwa kuwa tuna watumiaji wa Windows, tunaunda faili rahisi ya popo na kuiita StartRDP.bat:

1.htm
1.rdp

kwa mtiririko huo 1.htm ina nambari ifuatayo:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
Π½Π°ΠΆΠΌΠΈΡ‚Π΅ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ страницу для ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½ΠΎΠ³ΠΎ Π·Π°Ρ…ΠΎΠ΄Π° ΠΏΠΎ RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

ina viungo viwili vya picha za kufikiria ambazo ziko kwenye my_router.sn.mynetname.net - tunachukua anwani hii kutoka kwa mfumo wa Mikrotik DDNS baada ya kuiwezesha kwenye Mikrotik yetu: nenda kwenye IP-> menyu ya Wingu - angalia kisanduku cha kuteua Kimewezeshwa na DDNS, bonyeza Tuma na unakili jina la dns la kipanga njia chetu. Lakini hii ni muhimu tu wakati ip ya nje ya router ina nguvu au usanidi na watoa huduma kadhaa wa mtandao hutumiwa.

Bandari katika kiungo cha kwanza: 19000 inalingana na bandari ya kwanza ambayo unahitaji kubisha, kwa pili, kwa mtiririko huo, kwa pili. Kati ya viungo kuna maagizo mafupi ambayo yanaonyesha nini cha kufanya ikiwa muunganisho wetu umeingiliwa ghafla kwa sababu ya shida fupi za mtandao - tunasasisha ukurasa, bandari ya RDP inafungua tena kwa dakika 1 na kikao chetu kinarejeshwa. Pia, maandishi kati ya vitambulisho vya img huunda ucheleweshaji mdogo kwa kivinjari, ambayo hupunguza uwezekano wa pakiti ya kwanza kupelekwa kwenye bandari ya pili (16000) - hadi sasa hakujakuwa na kesi kama hizo katika wiki mbili za matumizi (30). watu).

Inayofuata inakuja faili ya 1.rdp, ambayo tunaweza kusanidi moja kwa wote au kando kwa kila mtumiaji (nilifanya hivi - ni rahisi kutumia dakika 15 zaidi kuliko masaa machache kushauriana na wale ambao hawakuweza kubaini) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

ya mipangilio ya kuvutia hapa ni matumizi ya multimon: i: 1 - hii inajumuisha matumizi ya wachunguzi wengi - wengine wanahitaji hili, lakini wao wenyewe hawatafikiri kugeuka.

aina ya unganisho: i: 6 na networkautodetect: i: 0 - kwa kuwa mtandao mwingi uko juu ya Mbps 10, kisha washa aina ya unganisho 6 (mtandao wa ndani 10 Mbps na hapo juu) na uzima networkautodetect, kwa sababu ikiwa kwa chaguo-msingi (otomatiki) , basi hata latency ndogo ya mtandao huweka moja kwa moja kikao chetu kwa kasi ya polepole kwa muda mrefu, ambayo inaweza kuunda ucheleweshaji unaoonekana katika kazi, hasa katika programu za graphics.

Lemaza Ukuta: i: 1 - zima picha ya eneo-kazi
jina la mtumiaji:s:myuserlogin - tunabainisha kuingia kwa mtumiaji, kwa kuwa sehemu kubwa ya watumiaji wetu hawajui kuingia kwao.
domain:s:mydomain - taja jina la kikoa au kompyuta

Lakini ikiwa tunataka kurahisisha kazi yetu ya kuunda utaratibu wa kuunganisha, basi tunaweza pia kutumia PowerShell - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Pia kidogo juu ya mteja wa RDP katika Windows: MS imetoka mbali katika kuboresha itifaki na seva yake na sehemu za mteja, imetekeleza vipengele vingi muhimu - kama vile kufanya kazi na vifaa vya 3D, kuboresha azimio la skrini kwa ufuatiliaji wako, skrini nyingi, Nakadhalika. Lakini bila shaka, kila kitu kinatekelezwa katika hali ya utangamano wa nyuma, na ikiwa mteja ni Windows 7, na PC ya mbali ni Windows 10, basi RDP itafanya kazi kwa kutumia toleo la itifaki 7.0. Lakini faida ni kwamba unaweza kusasisha matoleo ya RDP kwa matoleo ya hivi karibuni zaidi - kwa mfano, unaweza kuboresha toleo la itifaki kutoka 7.0 (Windows 7) hadi 8.1. Kwa hiyo, kwa urahisi wa wateja, ni muhimu kuongeza matoleo ya sehemu ya seva iwezekanavyo, pamoja na kuacha viungo ili kuboresha matoleo mapya ya wateja wa itifaki ya RDP.

Kwa hivyo, tuna teknolojia rahisi na salama kiasi ya muunganisho wa mbali kwa Kompyuta inayofanya kazi au seva ya terminal. Lakini kwa muunganisho salama zaidi, njia yetu ya Kugonga Bandari inaweza kufanywa kuwa ngumu zaidi kushambulia kwa maagizo kadhaa ya ukubwa, kwa kuongeza bandari ili kuangalia - unaweza kuongeza 3,4,5,6 ... bandari kulingana na mantiki sawa. , na katika kesi hii kuingilia moja kwa moja kwenye mtandao wako itakuwa karibu haiwezekani.

Faili tupu za kuunda muunganisho wa mbali kwa RDP.

Chanzo: mapenzi.com

Kuongeza maoni