|
rdp через ssh | ||
|---|---|---|---|
|
0
zak555
05.10.14
✎
16:02
|
доброго времени суток!
есть некий "офис" из нескольких компов (192.168.1.20, 21, ... ) + сервер терминалов 2003 (192.168.1.111) все станции воткнуты в роутер, на котором стоит прошивка dd wrt в порт wan роутера воткнут инет со статическим ip все компы ходят на сервер по rdp... задача : извне подключать к серверу терминалов для работы... понятное дело, что можно поставить форвадинг с wan на порт 3389 сервера терминалов или использовать dmz но тогда в логах сразу станет видно, как боты пытаюсь подобрать логин-пароль к какой-нибудь учётке хочется обезопасить сервер для доступа извне и завернуть внешний rdp-трафик в защищённый канал ssh как это сделать? |
||
|
1
FN
05.10.14
✎
16:29
|
поставить 2008 сервер - там безопасность рдп можно настраивать гораздо шире
|
||
|
2
DjSpike
05.10.14
✎
16:32
|
Поднимаешь openssh сервер. делаешь проброс порта 22 на какой-нибудь икзотический к примеру 8001. Потом подключаешься к rpd через этот ssh сервер.
http://s020.radikal.ru/i704/1410/75/cbfc980ee534.png |
||
|
3
Jump
05.10.14
✎
16:41
|
(0)А в чем проблема? заведи нужных пользователей да подключайся.
|
||
|
4
Defender aka LINN
05.10.14
✎
16:43
|
(0) Поставь нестандартный порт
|
||
|
5
zulu_mix
05.10.14
✎
16:47
|
зачем вообще так делать? правильно через vpn
|
||
|
6
zak555
05.10.14
✎
16:50
|
(1) потом
(2) я вот думал на роутере поставить sshd-сервер чтобы извне можно было подключаться по рдп к серверу но тогда возникает вопрос на удалённой машине извне создаю туннель до роутера через putty как трафик по rdp оставить в туннеле, а остальной в него не шёл ? |
||
|
7
zak555
05.10.14
✎
16:50
|
(3) с мегасложными паролями ?
|
||
|
8
zak555
05.10.14
✎
16:51
|
(4) боты же перебирают и порты
|
||
|
9
zak555
05.10.14
✎
16:56
|
хочется создать туннель до роутреа
а далее в mstsc вбить 192.168.1.111 и подключиться к серверу |
||
|
10
zak555
05.10.14
✎
17:21
|
|||
|
11
Jump
05.10.14
✎
17:39
|
(7)Ну можешь и с мегасложными паролями, хотя проще и безопасней по ключам.
|
||
|
12
Jump
05.10.14
✎
17:42
|
(6)Дык он там уже стоит, нафига его ставить?
"как трафик по rdp оставить в туннеле, а остальной в него не шёл ?" - очень просто. Когда тоннель делаешь на putty пробрасывай удаленный порт RDP на какой нибудь порт на localhost. Подключаться будешь localhost:нужный_порт. |
||
|
13
Jump
05.10.14
✎
17:43
|
(2), (4) - смена номера порта на нестандартный это абсолютно бесполезное занятие. Чисто поразвлечься.
Безопасности это никак не добавляет. |
||
|
14
zak555
05.10.14
✎
17:48
|
(11) в 2003 это есть ?
|
||
|
15
zak555
05.10.14
✎
17:50
|
а vpn аутентификация только по логин-паролю ?
|
||
|
16
zak555
05.10.14
✎
17:51
|
(12) localhost в твоём предложении это кто ?
|
||
|
17
Jump
05.10.14
✎
18:16
|
(16)127.0.0.1
|
||
|
18
Jump
05.10.14
✎
18:17
|
(14)А при чем тут 2003? Ты вроде спрашивал про ssh
|
||
|
19
zak555
05.10.14
✎
18:19
|
(17) как пробросить удалённый порт на локальный
не совсем понял |
||
|
20
zak555
05.10.14
✎
18:20
|
(18) так в 3 что ты посоветовал
|
||
|
21
Jump
05.10.14
✎
18:22
|
(20)Завести нужных пользователей, сделать им ключи или пароли и подключаться.
|
||
|
22
zak555
05.10.14
✎
18:24
|
(21) на сервере терминалов есть уже нужные пользователи
сервер терминалов мне сделать наружу ? |
||
|
23
Jump
05.10.14
✎
18:50
|
(22)Какой нафиг сервер терминалов?
ты в (0) написал что у тебя есть роутер с dd-wrt и ты хочешь поднять на нем ssh и ходить через него в терминал Так вот заходишь на роутер, заводишь пользователей, по паролю или с ключами как удобней на sshd и подключаешься. |
||
|
24
zak555
05.10.14
✎
19:02
|
(23) где заводить пароли ?
|
||
|
25
zak555
05.10.14
✎
19:02
|
*пользователей
|
||
|
26
zak555
05.10.14
✎
19:10
|
+ (25) не нашёл где
|
||
|
27
Jump
05.10.14
✎
19:11
|
(26)В консоли вестимо.
|
||
|
28
zak555
05.10.14
✎
19:19
|
это как ?
|
||
|
29
zulu_mix
05.10.14
✎
19:41
|
значит так. берешь древнюю как кал мамонта тачку, втыкаешь в нее 2 сетевки, в одну втыкаешь интернет, во вторую пихаешь роутер, и ставишь на нее http://en.wikipedia.org/wiki/PfSense
далее настраиваешь на нем vpn, заводишь пользователей и пароли для них и пробрасываешь впн в роутер. |
||
|
30
Jump
05.10.14
✎
19:51
|
(28)telnet как же еще.
|
||
|
31
zak555
05.10.14
✎
20:31
|
(30) ищу пример, как https://www.google.ru/search?q=dd+wrt+настройка+sshd+создать+пользователей -- ничего найти не могу
|
||
|
32
zak555
05.10.14
✎
20:31
|
(29) это лишнее
|
||
|
33
Jump
05.10.14
✎
20:45
|
(31)Ну..
Вообще то ssh работает с системными пользователями. DD-WRT это банальный линукс. Соотвественно стандартные команды линукс шелла. А по поводу настройки ssh на dd-wrt вот - http://www.dd-wrt.com/wiki/index.php/Telnet/SSH_and_the_Command_Line |
||
|
34
zulu_mix
05.10.14
✎
20:55
|
я всегда знал что одинэсники любят правой булкой выключателем под потолком щелкать
|
||
|
35
Jump
05.10.14
✎
21:04
|
(34)Это как?
|
||
|
36
zulu_mix
05.10.14
✎
21:17
|
(35) видимо стоя на руках
|
||
|
37
zak555
06.10.14
✎
08:01
|
(33)
понял пусть usr1 usr2 usr3 удалённые пользователи, которые будут подключаться к роутеру извне по ключу как тогда запретить юзеру root соединяться извне, а оставить доступ к консоли роутере внутри? |
||
|
38
Trotter
06.10.14
✎
08:15
|
(37) А если запретить ICMP, то по ключу можно будет достучатся до роутера ? Если да, то почему бы не блочить ICMP ?
|
||
|
39
zak555
06.10.14
✎
08:23
|
(38) так я хочу, чтобы root по ключу или логину-паролю по wan был не доступен, а внутри сети по lan был доступен по логин-паролю
|
||
|
40
zak555
06.10.14
✎
08:27
|
а если отключить ICMP, то как управлять роутером внутри сети ?
|
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|