Ig Aron: Ограничение доступа через RDP
Ig Aron
Member
Автор темы
33/810 ответов
21 год на iXBT, с марта 2003
Чаще пишет Р Р† "Моб. телефоны" (38%)
Россия, Санкт-Петербург
Инфо Ответить
Ig Aron MemberАвтор темы
13 лет назад / 30 января 2012 20:13
Есть сервер под Win2008 на который заходят пользователи по RDP, в том числе из интернета через роутер с настроенным пробросом порта. Необходимо как-то ограничить доступ пользователей снаружи, что бы кто-то мог заходить и через интернет, а кто только из локалки.
vinni
Advanced Member
2479/9663 ответов
19 лет на iXBT, с сентября 2005
Чаще пишет Р Р† "Сети" (46%)
Инфо Ответить
v
vinni Advanced Member
13 лет назад / 30 января 2012 21:33
Просто так не получится.
Или писать логон-скрипт, который проверяет адрес и если нет, то завершает сеанс.
По мне - использование тунелирования на внешнем интерфейсе. VPN, SSH, Stunnel - на вкус и цвет... Соотв., тем кому снаружи можно, даются учётные данные для туннеля (или просто в св.уч.записи разрешается штатный удалённый доступ).

Самый "тупой" вариант - прокинуть N'ое кол-во индивидуальных 5-значных портов (каждому внешнему юзеру свой внешний порт), соотв. знание номера порта - это некий "код доступа". Но это небезопасно. Точнее, равно безопасности варианта с одним портом.
Ethril
Member
428/1354 ответов
22 года на iXBT, с декабря 2002
Чаще пишет Р Р† "Администрирование" (49%)
Россия, St.-Petersburg
Инфо Ответить
Ethril Member
13 лет назад / 30 января 2012 22:24
Ig Aron
Можно привязывать к сетевым интерфейсам ACL на терминальные соединения.
Соответственно, если терминальник виртуализован, то требуется одна перезагрузка и 5 минут на добавление сетевого интерфейса и настройку на нём терминальных ACL.
В результате у вас получится терминальник с двумя (или сколько вам нужно групп юзеров с различными настройками безопасности) сетевыми интерфейсами. Один - проброшен в инет. Доступ на него разрешён только членам определённой security-группы. Второй - торчит внутрь. Доступ на него разрешён всем.
Несложными манипуляциями с DNS можно добиться одинакового имени для подключения как изнутри сети, так и снаружи, и, тем самым, прозрачности решения для юзеров.
vinni
Advanced Member
2480/9664 ответов
19 лет на iXBT, с сентября 2005
Чаще пишет Р Р† "Сети" (46%)
Инфо Ответить
v
vinni Advanced Member
13 лет назад / 30 января 2012 23:22
Ethril
Интересно... Это особенность 2008ого? Где смотреть?
Ethril
Member
429/1355 ответов
22 года на iXBT, с декабря 2002
Чаще пишет Р Р† "Администрирование" (49%)
Россия, St.-Petersburg
Инфо Ответить
Ethril Member
13 лет назад / 30 января 2012 23:46
vinni
под рукой только 2008R2, но в 2008 и 2003R2 аналогичный функционал точно есть
В Remote Desktop Session Host Configuration делаем новый Connection, во вкладке Network Adapter привязываем его к нужному сетевому интерфейсу, во вкладке Security даём доступ нужным Security-группам.
Фактически фокус полезен только в сочетании с виртуализацией (которая позволяет легко добавлять сколько надо сетевых интерфейсов).
vinni
Advanced Member
2481/9665 ответов
19 лет на iXBT, с сентября 2005
Чаще пишет Р Р† "Сети" (46%)
Инфо Ответить
v
vinni Advanced Member
13 лет назад / 30 января 2012 23:51
Ethril
Механизм связан с проверкой подлинности на уровне сети?
Если нет, то неавторизованный пользователь, по идее, увидит логон-скрин, введёт свои "креденциалии" и только после этого будет допущен или послан, да?

Добавление от 30.01.2012 23:53:

Ethril
Фактически фокус полезен только в сочетании с виртуализацией
Ну почему, если так, то и с vlanизацией можно успешно применять

Добавление от 31.01.2012 00:03:

Ethril
под рукой только 2008R2, но в 2008 и 2003R2 аналогичный функционал точно есть
В Remote Desktop Session Host Configuration делаем новый Connection

Я как-то не задумывался за ненадобностью, что там можно создать новое подключение. То что привязка к интерфейсу есть - знаю, а вот что можно сделать несколько - не знал.
merlin1979
Member
90/108 ответов
14 лет на iXBT, с марта 2010
Чаще пишет Р Р† "Администрирование" (88%)
Беларусь
Инфо Ответить
m
merlin1979 Member
13 лет назад / 03 февраля 2012 13:08
vinni
В Remote Desktop Session Host Configuration делаем новый Connection
делал так же (и использую сейчас) только менял в реестре порт
из инета идут на один порт (локальным - нельзя), внутрение на другой (из инета получают отлуп)
vinni
Advanced Member
2501/9693 ответов
19 лет на iXBT, с сентября 2005
Чаще пишет Р Р† "Сети" (46%)
Инфо Ответить
v
vinni Advanced Member
13 лет назад / 03 февраля 2012 13:10
Ethril, merlin1979, Бум знать
Artu
unregistered
Ответить
A
Artu unregistered
12 лет назад / 30 января 2013 15:10
здравствуйте,
по теме... добавляя второй сетевой интерфейс и добавляя второе соединение в Remote Desktop Session Host Configuration, IP адреса на обоих сетев.интерфейсах могут быть из одной подсети? например 192.168.0.1 и 192.168.0.2.
А то я настроил, сконфигурировал секъюрити группы. подключился извне. netstat на сервере показывает, что подключение извне висит на интерфейсе 192.168.0.2, а в "диспетчере служб удалённых рабочих столов" по имени пользователя вижу что я подключился через RDP-соединение1(в настройках которого выставлено использовать интерфейс с ip 192.168.0.1).
есть какие-либо соображения?
Ethril
Member
643/1649 ответов
22 года на iXBT, с декабря 2002
Чаще пишет Р Р† "Администрирование" (49%)
Россия, St.-Petersburg
Инфо Ответить
Ethril Member
12 лет назад / 30 января 2013 15:42
Artu
IP адреса на обоих сетев.интерфейсах могут быть из одной подсети? например 192.168.0.1 и 192.168.0.2

Могут. У меня из одной, работает.
Artu
unregistered
Ответить
A
Artu unregistered
12 лет назад / 30 января 2013 15:57
to Ethril
спасибо за такой оперативный ответ!

тогда странно как то себя ведёт эта служба может всё это хозяйство нужно перезагрузить... попробую ночером.
gfg
заблокирован в конференции
295/495 ответов
12 лет на iXBT, с июля 2012
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
g
gfg заблокирован в конференции
12 лет назад / 30 января 2013 16:44
Artu
По замыслу МС для разграничения доступа используется Шлюз удалённых раб. столов и соответствующие политики. Это логичнее, чем жонглировать листенерами.
Вы не забыли разные порты назначить?
Artu
unregistered
Ответить
A
Artu unregistered
12 лет назад / 30 января 2013 17:13
gfg
в идеале я бы второй интерфейс вообще вынес в другую подсеть, разрулил бы виланами. только "рутер" не позволяет.
для второго "RDP-соединения" в реестре назначил другой порт. только что-то не реагирует он на это. может нужно перегрузить. хотя изменения в реестре вроде как сразу вступают в силу.

Добавление от 31.01.2013 10:19:

Разобрался... поправил правила в файрволе. Схема с двумя интерфейсами работает.
Artu
unregistered
Ответить
A
Artu unregistered
12 лет назад / 20 февраля 2013 09:36
Какая-то болячка появилась. Подключаюсь в локалке к первому интерфейсу по RDP, соединение работает, но медленно подключается. задержка заметна по сравнению с временем подключения когда не было второго сетевого интерфейса. В чём может быть проблема? Кто-нибудь сталкивался?
Станислав
Member
1204/1521 ответов
21 год на iXBT, с мая 2003
Чаще пишет Р Р† "Администрирование" (80%)
Инфо Ответить
С
Станислав Member
12 лет назад / 20 февраля 2013 13:58
Если безопасность критична, то при таких нуждах я бы посоветовал рассмотреть продукт MS UAG 2010 (или какой он там сейчас). Продукт дорогостоящий, но для компании вполне подъемные деньги. Ну или юзать DirectAccess и настраивать политику двойной аутентификации, что снаружи могут подключаться только те, кто прошел аутентификацию по смарт-карте. вполне годное решение, разве что по деньгам тоже несколько вызывающее трепет
Musik
Expert
2951/4870 ответов
17 лет на iXBT, с декабря 2007
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
M
Musik Expert
12 лет назад / 20 февраля 2013 17:22
Artu
медленно подключается
Если оба интерфейса в одной сети, то это ожидалось. Как теперь сервер подключен? Для решения исходной задачи можно порекомендовать рассмотрение связки TS Gateway+NPS.
Artu
unregistered
Ответить
A
Artu unregistered
12 лет назад / 25 февраля 2013 10:42
Musik
сейчас сервер подключен двумя интерфейсами к сетке. IP из одной подсети. топология сети не айс. натыкано куча неуправляемых свитчей. досталась такая. исправляю. если не получится выбить нормальный роутер (нарезать виланы, прокинуть транками), думаю поставить машинку с линуксом и на ней уже ваять.

TS Gateway+NPS - почитаю.
Ваш ответ:

Список кодов форума
Список всех смайликов закрепить окно ответа
Нет значка Нет значка Р’РѕС‚ тут! Лампочка Восклицание Р’РѕРїСЂРѕСЃ Класс! Улыбка Злость Огорчение РџРѕРіРѕРІРѕСЂРёРј? Краснею Подмигивание Ругаю РћРґРѕР±СЂСЏСЋBIUdelSxsupxsuboffsp spoilerqurlimgvideo• list1. list1 codeprecenter-hr-rusQWE→ЙЦУ
файлыочистить
Ваше имя: Авторизуйтесь Предпросмотр В полную форму
вставить выделенную цитату в окно ответа
Если Вы считаете это сообщение ценным для дискуссии (не обязательно с ним соглашаться), Вы можете поблагодарить его автора, а также перечислить ему на счет некоторую сумму со своего баланса (при отзыве благодарности перечисленная сумма не будет вам возвращена).
Также вы можете оценить сообщение как неудачное.
В течение суток можно 20 раз оценить сообщения разных участников (купите Premium-аккаунт, либо оплачивайте оценки сверх лимита).
Если Вы считаете это сообщение ценным для дискуссии (не обязательно с ним соглашаться), Вы можете поблагодарить его автора, а также перечислить ему на счет некоторую сумму со своего баланса (при отзыве благодарности перечисленная сумма не будет вам возвращена).
Также вы можете оценить сообщение как неудачное.
В течение суток можно 20 раз оценить сообщения разных участников (купите Premium-аккаунт, либо оплачивайте оценки сверх лимита).
Опрос «iXBT Brand 2024 - Выбор читателей»

"iXBT Brand 2024" - Выбор читателей в номинации "iXBT Brand 2024 - Выбор читателей в номинации "x86, ARM, MIPS -совместимые процессоры (CPU) для настольных ПК"":

Новости iXBT.com
00:07Это GeForce RTX 50, у которой есть спойлеры для направления потоков воздуха, прямо как у спортивных авто. Manli показала карты Gallardo Racing
23:59вчераГипотеза о «правосторонних» нейтрино предлагает объяснение преобладания материи и существования тёмной материи
23:58вчераТриллион звёзд в объективе: «Хаббл» создал беспрецедентную панораму галактики Андромеда
23:58вчера«Горячий» Kia Sportage Ace/R со 160-сильным мотором и «автоматом» заметно подешевел в России — он дешевле «китайцев» Jaecoo J7 и Geely Atlas
23:56вчераAMD не ожидала, что GeForce RTX 50 будут такими дешёвыми. Это одна из причин, почему Radeon RX 9070 до сих пор полноценно не представили
23:52вчераИзотопный анализ лунных образцов опровергает теорию столкновения Земли с Тейей
23:49вчераИлон Маск может купить... Intel? Сообщается, что он участвует в новом раунде переговоров
23:45вчераНеравные близнецы: протопланетные диски двойной звезды DF Tau развиваются по-разному
23:42вчераВ России нашли пять седанов ценой до 2 млн рублей. Что это за машины?
23:21вчераАльтернатива Lexus RX от самой Toyota. В России начали продавать полноприводный кроссовер Toyota Crown Signia 2025, цена не шокирует
Новые фото на ixbt.photo
Отключите эту колонку в личном кабинете.