RDP доступ извне

Eugene

@zar0ku1:

@Eugene:

Не плачь, жизнь прекрасна! объясни лучше в чём извращение.

Да не все нормально, давайте теперь всегда так делать
вместо чтобы разрешить 80 порт на ване, будет пробрасывать его в лан и разрешать

Вещи должны быть настолько простыми, насколько это возможно, но не проще этого
А. Эйнштейн

Где ж dvserg сказал про это? Он сказал

Хм.. а просто разрешить на WAN доступ к порту GUI без всяких портфорвардов на LAN не пробовали?

Т.е. подход "просто, насколько это возможно". -)

zar0ku1

@Eugene:

Где ж dvserg сказал про это? Он сказал

Хм.. а просто разрешить на WAN доступ к порту GUI без всяких портфорвардов на LAN не пробовали?

Т.е. подход "просто, насколько это возможно". -)

А ты считаешь этот подход неверным?

P.S. можем продолжить флуд в асе или джаббере

Eugene

@zar0ku1:

@Eugene:

Где ж dvserg сказал про это? Он сказал

Хм.. а просто разрешить на WAN доступ к порту GUI без всяких портфорвардов на LAN не пробовали?

Т.е. подход "просто, насколько это возможно". -)

А ты считаешь этот подход неверным?

P.S. можем продолжить флуд в асе или джаббере

Это не флуд, это поиск истины.
Я неправильно интерпретировал твой ответ. Я так понял, что тебе не понравился ответ dvserg'а. Приношу свои глубочайшие извинения.
Кстати, подход технически верный, но с точки зрения безопасности я бы поостерёгся…

fox

запретите все извне, да разрешите только pptp и все а там и rdp и все что хочишь ))

zar0ku1

@Eugene:

Это не флуд, это поиск истины.
Я неправильно интерпретировал твой ответ. Я так понял, что тебе не понравился ответ dvserg'а. Приношу свои глубочайшие извинения.
Кстати, подход технически верный, но с точки зрения безопасности я бы поостерёгся…

извинения приняты =) я тоже не заметил, что там про DvSerg

dvserg

@Eugene:

Кстати, подход технически верный, но с точки зрения безопасности я бы поостерёгся…

С точки зрения безопасности сама идея доступа к гую по Wan небезопасно хоть с форвардом хоть без-одно и то-же коромысло. Тогда уж лучше по заходить VPN..

zar0ku1

@dvserg:

С точки зрения безопасности сама идея доступа к гую по Wan небезопасно хоть с форвардом хоть без-одно и то-же коромысло. Тогда уж лучше по заходить VPN..

согласен, но чем отличается подбор впн юзера от подбора basic auth?

dvserg

@zar0ku1:

@dvserg:

С точки зрения безопасности сама идея доступа к гую по Wan небезопасно хоть с форвардом хоть без-одно и то-же коромысло. Тогда уж лучше по заходить VPN..

согласен, но чем отличается подбор впн юзера от подбора basic auth?

Длиной используемого ключа и методом шифрования. Базик зачастую останавливается на 6-8 символах.

zar0ku1

@dvserg:

длиной используемого ключа и методом шифрования. Базик зачастую останавливается на 6-8 символах.

ха-ха, это наверно у тебя, у меня стандартные пароли от 15 символов и про какой метод шифрования ты говоришь? если там тупо брутить?

@ToXaNSK:

А использование фильтра по ИП не увеличит безопасность.

правда?! попади в админку http://ssros.ru

Eugene

@zar0ku1:

@dvserg:

длиной используемого ключа и методом шифрования. Базик зачастую останавливается на 6-8 символах.

ха-ха, это наверно у тебя, у меня стандартные пароли от 15 символов и про какой метод шифрования ты говоришь? если там тупо брутить?

Тупо брутить на VPN никто не будет (если конечно не задаться целью взломать) - это сложнее технически, а вот порт 80 и 22 сканеров в сети хоть отбавляй.
@zar0ku1:

@ToXaNSK:

А использование фильтра по ИП не увеличит безопасность.

правда?! попади в админку http://ssros.ru

Как "фильтр по ИП" связан с "попади в админку" я тебя умоляю?!
Использование фильтра по ИП увеличит безопасность. Точка.

dvserg

А переход на https увеличит ее еще больше ::)

zar0ku1

@ToXaNSK:

Кто сказал, что админка должна быть на 80/443 порту а SSH на 22!?
У меня не так плюс фильтр по ИП.

+1, поддерживаю целиком и полностью!

@dvserg:

А переход на https увеличит ее еще больше ::)

чем же? https защищает только от mim атак, или нет?
что с http, что с https формочка ввода пароля одна

@Eugene:

Как "фильтр по ИП" связан с "попади в админку" я тебя умоляю?!
Использование фильтра по ИП увеличит безопасность. Точка.

тем что четко прописано с каких айпи туда можно попасть, тоже самое тебе никто не запрещает прописать в pfsense

dvserg

@zar0ku1:

@dvserg:

А переход на https увеличит ее еще больше ::)

чем же? https защищает только от mim атак, или нет?
что с http, что с https формочка ввода пароля одна

:o Думаю есть повод почитать про https, vpn.. Ты в курсе как передаются твои пароли в HTTP протоколе и что такое сниффер? Весь вопрос в шифровании трафика, другой вопрос если это Неуловимый Джо (как в анекдоте).

zar0ku1

@dvserg:

:o Думаю есть повод почитать про https, vpn.. Ты в курсе как передаются твои пароли в HTTP протоколе и что такое сниффер? Весь вопрос в шифровании трафика, другой вопрос если это Неуловимый Джо (как в анекдоте).

ты путаешь, мы говорим сейчас о разных вещах, я про mitm вообще не говорю

представь ты заходишь на сайт и видишь форму: Логин и пароль - твои действия? если ты говоришь что пароль обычно 6-8 символов

TU

@ToXaNSK:

Кто сказал, что админка должна быть на 80/443 порту а SSH на 22!?
У меня не так плюс фильтр по ИП.
Ну это все ОФФтоп, автор топика то разобрался с РДП!?

еще нет, небыло пока возможности в офис попасть!(((
дорога не лежит туда до понедельника, да и в выходные он закрыт.
есть только доступ в ssh

кстати, в плане секьюрности согласен с использованием впн по-надежнее будет
проблема вся в том, что не могу пока с простыми правилами разобраться, не то что впн сервер поднять на маршрутнике и получить етот чертов доступ к рдп

если ваще все ети действия реальны через терминал, подскажите что и как, а то самостоятельно лезти туда "сыкотно", не хочется накосячить сильно, да и нет желания потом тащиться с самому открытию офиса и колдовать потом над маршрутником черт знает сколько времени, не говоря уже о стоящих за спиной и постоянно интерисующихся - "СКОРО НЕТ?!"

dvserg

Включи тогда HTTPS. Не ВПН конечно, но твоего пароля проснифить тяжеловато будет

TU

@dvserg:

Включи тогда HTTPS. Не ВПН конечно, но твоего пароля проснифить тяжеловато будет

да толку мне сейчас от етого нету))))
не могу я по WAN зайти на маршрутник

Arlekin_s

@zar0ku1:

GUI нет, есть вебинтерфейс

правило:
firewall -> NAT

скрин: http://img509.imageshack.us/img509/9994/gwradio27firewallnatpor.png

почему то у меня не работает RDP настроенное по вашему скрину.. может надо  чтото в правилах ЛАНа написать или в ВАНе.. они у меня стоят по дефолту…

dvserg

На Lan/Wan пропишите правило:
Pass
Proto tcp
from any port any
to any port MS RDP (3389)

mole

@Arlekin_s:

почему то у меня не работает RDP настроенное по вашему скрину.. может надо  чтото в правилах ЛАНа написать или в ВАНе.. они у меня стоят по дефолту…

у меня в свое время не работало, потому что, как оказалось, на терминальном сервере разрешены по умолчанию подключения только из внутренней сети