Файрвол по протоколу SSH
-
- Сообщения: 6
- Зарегистрирован: 12 ноя 2015, 16:54
Добрый день, столкнулся с такой задачей нужно дать доступ к RDP из внешней сети. На данный момент сам пользуюсь RDP с пробросом порта через ssh. Но нужно дать доступ для чужого человека, можно ли настроить файрвол с привязкой к аккаунту по ssh что бы чужой человек смог пробросить порт только к определенному IP во внутренней сети?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ну так пробросьте порт, а человеку дайте параметры
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 6
- Зарегистрирован: 12 ноя 2015, 16:54
Я тоже так думал, но мне говорят не все так просто, подключение по ssh с точки зрения сети это два независимых соединения
есть соединение между клиентом и микротиком и между микротиком и сервером, и с точки зрения сети они ни как не связанны, т.е. по соединению между микротиком и сервером нельзя понять к какому именно клиенту оно относится
есть соединение между клиентом и микротиком и между микротиком и сервером, и с точки зрения сети они ни как не связанны, т.е. по соединению между микротиком и сервером нельзя понять к какому именно клиенту оно относится
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
- Сообщения: 6
- Зарегистрирован: 12 ноя 2015, 16:54
если несложно расскажите подробнее откуда куда надо пробросить порт?
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
SSH туннелирование не требует проброса портов... Создайте пользователя с правами SSH only и дайте ему настройку для путти... Профит
-
- Сообщения: 6
- Зарегистрирован: 12 ноя 2015, 16:54
В этом и проблема, имея пользователя с правами SSH only или с урезанными правами, я не могу запретить изменять настройку пути.
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
А зачем запрещать изменять настройки путти?
сделайте батник, который запускает путти по шаблону:
start PUTTY.EXE -ssh -v -C -L 3390:192.168.0.1:3389 USER@8.8.8.8
timeout 5
mstsc /v:127.0.0.1:3390
=============
где 192.168.0.1 - внутренний адрес сервера, к которому нужно подключаться по рдп
где USER - имя пользователя SSH
где 8.8.8.8 - внешний адрес микротика
=============
Разместить батник в одной папке с путти.... после запуска батника запускаеца путти, а через 5 секунд запускается РДП клиент, который будет коннектица через SSH туннель
если чего не понятно - спрашивайте
============
У меня ко всему этому делу ещё и SSH сертификаты привязаны... Естественно у микротика не должен быть открыт SSH порт из внешки, что не безопасно.... Либо меняйте порт, либо можно что-то другое придумать поинтересней...
По поводу SSH туннелей есть отличный доклад http://mum.mikrotik.com/presentations/RU14/vadim.pdf
сделайте батник, который запускает путти по шаблону:
start PUTTY.EXE -ssh -v -C -L 3390:192.168.0.1:3389 USER@8.8.8.8
timeout 5
mstsc /v:127.0.0.1:3390
=============
где 192.168.0.1 - внутренний адрес сервера, к которому нужно подключаться по рдп
где USER - имя пользователя SSH
где 8.8.8.8 - внешний адрес микротика
=============
Разместить батник в одной папке с путти.... после запуска батника запускаеца путти, а через 5 секунд запускается РДП клиент, который будет коннектица через SSH туннель
если чего не понятно - спрашивайте
============
У меня ко всему этому делу ещё и SSH сертификаты привязаны... Естественно у микротика не должен быть открыт SSH порт из внешки, что не безопасно.... Либо меняйте порт, либо можно что-то другое придумать поинтересней...
По поводу SSH туннелей есть отличный доклад http://mum.mikrotik.com/presentations/RU14/vadim.pdf
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Может я чего то не понимаю, а зачем сложности то такие?
Есть интересная задача и бюджет? http://mikrotik.site
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Что-то я туплю сегодня... В чем вопрос-то?
В цепочке dstnat всё падающее на адрес роутера на ХХХ порт с помощью dst-nat направить на адрес машины, ждущей ssh подключения на 22 порт (ну или другой, по вашему усмотрению)
Надеюсь, в консольном варианте сами напишите?
Какие пользователь, какие права? Всё это уже на машине клиента настраивается. Маршрутизатор просто промаршрутизировал соединение и все... Вы попали на нужную машину и нужный порт.
А теперь поясните, в чем я ошибаюсь? Было дело, я туннель даже торрент загонял, после того, как послушал похвальбу не в меру ретивого админа о том, что он порезал все и всем. Чисто из вредности.
В цепочке dstnat всё падающее на адрес роутера на ХХХ порт с помощью dst-nat направить на адрес машины, ждущей ssh подключения на 22 порт (ну или другой, по вашему усмотрению)
Надеюсь, в консольном варианте сами напишите?
Какие пользователь, какие права? Всё это уже на машине клиента настраивается. Маршрутизатор просто промаршрутизировал соединение и все... Вы попали на нужную машину и нужный порт.
А теперь поясните, в чем я ошибаюсь? Было дело, я туннель даже торрент загонял, после того, как послушал похвальбу не в меру ретивого админа о том, что он порезал все и всем. Чисто из вредности.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...