Файрвол по протоколу SSH

Обсуждение ПО и его настройки
lissyara
Сообщения: 6
Зарегистрирован: 12 ноя 2015, 16:54

Добрый день, столкнулся с такой задачей нужно дать доступ к RDP из внешней сети. На данный момент сам пользуюсь RDP с пробросом порта через ssh. Но нужно дать доступ для чужого человека, можно ли настроить файрвол с привязкой к аккаунту по ssh что бы чужой человек смог пробросить порт только к определенному IP во внутренней сети?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну так пробросьте порт, а человеку дайте параметры


Есть интересная задача и бюджет? http://mikrotik.site
lissyara
Сообщения: 6
Зарегистрирован: 12 ноя 2015, 16:54

Я тоже так думал, но мне говорят не все так просто, подключение по ssh с точки зрения сети это два независимых соединения

есть соединение между клиентом и микротиком и между микротиком и сервером, и с точки зрения сети они ни как не связанны, т.е. по соединению между микротиком и сервером нельзя понять к какому именно клиенту оно относится


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ничего не понял


Есть интересная задача и бюджет? http://mikrotik.site
lissyara
Сообщения: 6
Зарегистрирован: 12 ноя 2015, 16:54

если несложно расскажите подробнее откуда куда надо пробросить порт?


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

SSH туннелирование не требует проброса портов... Создайте пользователя с правами SSH only и дайте ему настройку для путти... Профит


lissyara
Сообщения: 6
Зарегистрирован: 12 ноя 2015, 16:54

В этом и проблема, имея пользователя с правами SSH only или с урезанными правами, я не могу запретить изменять настройку пути.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

А зачем запрещать изменять настройки путти?
сделайте батник, который запускает путти по шаблону:

start PUTTY.EXE -ssh -v -C -L 3390:192.168.0.1:3389 USER@8.8.8.8
timeout 5
mstsc /v:127.0.0.1:3390


=============
где 192.168.0.1 - внутренний адрес сервера, к которому нужно подключаться по рдп
где USER - имя пользователя SSH
где 8.8.8.8 - внешний адрес микротика
=============
Разместить батник в одной папке с путти.... после запуска батника запускаеца путти, а через 5 секунд запускается РДП клиент, который будет коннектица через SSH туннель
если чего не понятно - спрашивайте
============
У меня ко всему этому делу ещё и SSH сертификаты привязаны... Естественно у микротика не должен быть открыт SSH порт из внешки, что не безопасно.... Либо меняйте порт, либо можно что-то другое придумать поинтересней...
По поводу SSH туннелей есть отличный доклад http://mum.mikrotik.com/presentations/RU14/vadim.pdf


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Может я чего то не понимаю, а зачем сложности то такие? :nez-nayu:


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Что-то я туплю сегодня... В чем вопрос-то?
В цепочке dstnat всё падающее на адрес роутера на ХХХ порт с помощью dst-nat направить на адрес машины, ждущей ssh подключения на 22 порт (ну или другой, по вашему усмотрению)
Надеюсь, в консольном варианте сами напишите?
Какие пользователь, какие права? Всё это уже на машине клиента настраивается. Маршрутизатор просто промаршрутизировал соединение и все... Вы попали на нужную машину и нужный порт.
А теперь поясните, в чем я ошибаюсь? Было дело, я туннель даже торрент загонял, после того, как послушал похвальбу не в меру ретивого админа о том, что он порезал все и всем. Чисто из вредности.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить