Обычно она выбирается автоматически, но вы можете этот процесс контролировать и делать так, как вам удобно.
А проще все это никак организовать нельзя?? RDP???
Ограничение скорости только wifi клиентам
-
- Сообщения: 28
- Зарегистрирован: 09 янв 2017, 11:39
gmx писал(а):Обычно она выбирается автоматически, но вы можете этот процесс контролировать и делать так, как вам удобно.
А проще все это никак организовать нельзя?? RDP???
у меня раньше так и было организованно:
роутер пробрасывал в мир порт для RDP
Теперь стоит роутер микротик который в сеть пробрасывает только порт 1701, а уже после можно по RDP.
Начитался на хабре про то как сервера не крупных фирм брутфорсили по RDP и удаляли 1С и просили денег.
ну а туннель все таки маломальски может защитить.
Кстати не подскажите как банить IP на 4 часа который не удачно подключается несколько раз?
теперь другая напасть у 192.168.1.0 маршрута метрика больше чем у 0.0.0.0 и компьютер на адрес 192.168.1.0 пытается пройти по 0.0.0.0 ну и сети не видно. командой metrica можно прописать не ниже чем у основного шлюза.
На тестовом компьютере 0.0.0.0 metrica равна 27
командой change можно поднять метрику вроде как, но не работает на 0.0.0.0
192.168.2.0 подсеть для l2tp клиентов
Код: Выделить всё
C:\Windows\system32>route print
===========================================================================
Список интерфейсов
22...........................VPN
12...e0 91 53 3d 6e 10 ......Atheros AR9285 Wireless Network Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.103 27
89.11.176.7 255.255.255.255 192.168.0.1 192.168.0.103 28
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.103 283
192.168.0.103 255.255.255.255 On-link 192.168.0.103 283
192.168.0.255 255.255.255.255 On-link 192.168.0.103 283
192.168.1.0 255.255.255.0 192.168.1.1 192.168.0.103 28
192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.20 21
192.168.2.0 255.255.255.0 192.168.2.1 192.168.2.20 21
192.168.2.20 255.255.255.255 On-link 192.168.2.20 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.103 283
224.0.0.0 240.0.0.0 On-link 192.168.2.20 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.103 283
255.255.255.255 255.255.255.255 On-link 192.168.2.20 276
===========================================================================
Постоянные маршруты:
Отсутствует
IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
12 281 fe80::/64 On-link
12 281 fe80::4d69:3336:f8cd:1854/128
On-link
1 306 ff00::/8 On-link
12 281 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует
-
- Модератор
- Сообщения: 3350
- Зарегистрирован: 01 окт 2012, 14:48
Банить не знаю, это только скриптами. Я не сильно в них большой спец. Тут у нас есть люди, которые на этом собаку съели.
А по поводу метрики: первое что приходит в голову - у VPN подключения нужно снять галочку "Шлюз по-умолчанию".
По поводу 1с и безопасности. На мой взгляд, если стоит свежая Windows Server (2008, 2012) ну или Linux Server, если все своевременно обновляется, если пользователям RDP давать минимальные права, а базы 1с периодически архивировать (архивацию-то никто не отменял), то взломать будет сильно проблематично. Точнее у заказчика взлома должно быть много денег...
А по поводу метрики: первое что приходит в голову - у VPN подключения нужно снять галочку "Шлюз по-умолчанию".
По поводу 1с и безопасности. На мой взгляд, если стоит свежая Windows Server (2008, 2012) ну или Linux Server, если все своевременно обновляется, если пользователям RDP давать минимальные права, а базы 1с периодически архивировать (архивацию-то никто не отменял), то взломать будет сильно проблематично. Точнее у заказчика взлома должно быть много денег...
-
- Сообщения: 28
- Зарегистрирован: 09 янв 2017, 11:39
gmx писал(а):Банить не знаю, это только скриптами. Я не сильно в них большой спец. Тут у нас есть люди, которые на этом собаку съели.
А по поводу метрики: первое что приходит в голову - у VPN подключения нужно снять галочку "Шлюз по-умолчанию".
По поводу 1с и безопасности. На мой взгляд, если стоит свежая Windows Server (2008, 2012) ну или Linux Server, если все своевременно обновляется, если пользователям RDP давать минимальные права, а базы 1с периодически архивировать (архивацию-то никто не отменял), то взломать будет сильно проблематично. Точнее у заказчика взлома должно быть много денег...
в том то и дело что мой основной шлюз имеет больший приоритет над маршрутом 192.168.1.0 через 192.168.1.1, и трафик пытается пройти через 0.0.0.0 и мой шлюз 192.168.0.1
Вопрос в том как приоритет маршрута 192.168.1.0 через 192.168.1.1 сделать привлекательнее для трафика
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
gmx писал(а):А проще все это никак организовать нельзя?? RDP???
ИМХО, конечно, но сам давно стал закрывать RDP, так спокойнее ;) RDP торчит наружу только там, где ещё нет Микротика.
Serafimko писал(а):Код: Выделить всё
C:\Windows\system32>route print
===========================================================================
Список интерфейсов
22...........................VPN
12...e0 91 53 3d 6e 10 ......Atheros AR9285 Wireless Network Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.103 27
89.11.176.7 255.255.255.255 192.168.0.1 192.168.0.103 28
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.103 283
192.168.0.103 255.255.255.255 On-link 192.168.0.103 283
192.168.0.255 255.255.255.255 On-link 192.168.0.103 283
192.168.1.0 255.255.255.0 192.168.1.1 192.168.0.103 28
192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.20 21
192.168.2.0 255.255.255.0 192.168.2.1 192.168.2.20 21
192.168.2.20 255.255.255.255 On-link 192.168.2.20 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.103 283
224.0.0.0 240.0.0.0 On-link 192.168.2.20 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.103 283
255.255.255.255 255.255.255.255 On-link 192.168.2.20 276
===========================================================================
Постоянные маршруты:
Отсутствует
IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
12 281 fe80::/64 On-link
12 281 fe80::4d69:3336:f8cd:1854/128
On-link
1 306 ff00::/8 On-link
12 281 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует
Тут какая-то путаница. Зачем в 192.168.1.0 два маршрута, через 192.168.1.1 и 192.168.2.1?
Адрес 192.168.2.20 присвоен интерфейсу VPN, верно? Тогда "192.168.1.0 255.255.255.0 192.168.1.1" не нужен.
Покажите, на всякий случай, вывод ipconfig /all с того же хоста.
Кроме того, метрика в данном случае не так важна. При выборе дальнейшего маршрута сначала учитывается адрес назначения, а уже потом метрика.
К примеру, при наличии маршрутов "192.168.0.0 255.255.128.0 10.10.1.1 metric 5" и "192.168.0.0 255.255.255.0 10.10.2.2 metric 10" пакеты, предназначенные адресу 192.168.0.10, пойдут по второму, т.к. подсеть в маршруте более узкая.
Serafimko писал(а):Кстати не подскажите как банить IP на 4 часа который не удачно подключается несколько раз?
Если речь про RDP - где-то встречал, жаль, не смог обратить внимание получше.
Для начала можно ужесточить политику паролей - минимальная длина, сложность, количество ошибок ввода. Заблокируется не IP, а учётка на сервере ;)
-
- Сообщения: 28
- Зарегистрирован: 09 янв 2017, 11:39
Спасибо всем помогающим!
Я забыл в своих экспериментах удалять лишнее.
Оказалось все просто вот этот маршрут правильный 192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.20 21
tarcert показывает путь до 192.168.1.1 через 192.168.2.1
а из-за того что у меня весел этот маршрут ничего не работало 192.168.1.0 255.255.255.0 192.168.1.1 192.168.0.103 28
я накидал скриптик как мне подсказал gmx
rasdial.exe connection_name username password
route add 192.168.1.0 MASK 255.255.255.0 192.168.2.1
net use p: \\192.168.1.2\public
и вот команда net use не присоединяет сетевой диск
p.s. Ярлык этой же папки работает.
Я забыл в своих экспериментах удалять лишнее.
Оказалось все просто вот этот маршрут правильный 192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.20 21
tarcert показывает путь до 192.168.1.1 через 192.168.2.1
а из-за того что у меня весел этот маршрут ничего не работало 192.168.1.0 255.255.255.0 192.168.1.1 192.168.0.103 28
я накидал скриптик как мне подсказал gmx
rasdial.exe connection_name username password
route add 192.168.1.0 MASK 255.255.255.0 192.168.2.1
net use p: \\192.168.1.2\public
и вот команда net use не присоединяет сетевой диск
p.s. Ярлык этой же папки работает.
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Serafimko писал(а):у меня раньше так и было организованно:
роутер пробрасывал в мир порт для RDP
Теперь стоит роутер микротик который в сеть пробрасывает только порт 1701, а уже после можно по RDP.
Начитался на хабре про то как сервера не крупных фирм брутфорсили по RDP и удаляли 1С и просили денег.
ну а туннель все таки маломальски может защитить.
Это косяк админов, права у пользователей на сервере должны быть минимальными, а пароли длинными.
Да и отсутствие резервных копий это вообще нонсенс.
На сегодня выставлять наружу RDP без vpn я бы не рискнул.
Serafimko писал(а):Кстати не подскажите как банить IP на 4 часа который не удачно подключается несколько раз?
Если винда, то можно на AD банить пользователя при неоднократном неудачном вводе пароля.
Если на маршрутизаторе, именно rdp и не удачные авторизации - никак, точнее очень сложно.
Можно, как вариант, блокировать при нескольких попытках установить соединение.
Пример блокировки от перебора портов и подбора логина:
Код: Выделить всё
/ip firewall filter
add action=drop chain=input src-address-list=BruteForce_blacklist
add action=add-src-to-address-list address-list=BruteForce_blacklist address-list-timeout=1w chain=input connection-state=new in-interface=wan src-address-list=BruteForce2
add action=add-src-to-address-list address-list=BruteForce2 address-list-timeout=1m chain=input connection-state=new in-interface=wan src-address-list=BruteForce1
add action=add-src-to-address-list address-list=BruteForce1 address-list-timeout=1m chain=input connection-state=new dst-port=20,21,22,23,80,8291 in-interface=wan protocol=tcp src-address-list=!ManageIP
Работает так: при попытке установить новое соединение на порты 20,21,22,23,80,8291 заносим на 1 минуту в список BruteForce1. Если в течении минуты была вторая попытка уже на любой порт установить соединение, то заносим в список BruteForce2, и если в течении минуты была третья попытка установить соединение то заносим в список BruteForce_blacklist на неделю. И правилом все адреса из этого списка дропаем.
ManageIP список адресов которые не блокируются никогда.
В твоем случае надо input на forward менять и порт 3389.
Легкой правкой можно увеличить кол-во попыток под себя
Александр
-
- Сообщения: 28
- Зарегистрирован: 09 янв 2017, 11:39
algerka писал(а):Serafimko писал(а):у меня раньше так и было организованно:
роутер пробрасывал в мир порт для RDP
Теперь стоит роутер микротик который в сеть пробрасывает только порт 1701, а уже после можно по RDP.
Начитался на хабре про то как сервера не крупных фирм брутфорсили по RDP и удаляли 1С и просили денег.
ну а туннель все таки маломальски может защитить.
Это косяк админов, права у пользователей на сервере должны быть минимальными, а пароли длинными.
Да и отсутствие резервных копий это вообще нонсенс.
На сегодня выставлять наружу RDP без vpn я бы не рискнул.Serafimko писал(а):Кстати не подскажите как банить IP на 4 часа который не удачно подключается несколько раз?
Если винда, то можно на AD банить пользователя при неоднократном неудачном вводе пароля.
Если на маршрутизаторе, именно rdp и не удачные авторизации - никак, точнее очень сложно.
Можно, как вариант, блокировать при нескольких попытках установить соединение.
Пример блокировки от перебора портов и подбора логина:Код: Выделить всё
/ip firewall filter
add action=drop chain=input src-address-list=BruteForce_blacklist
add action=add-src-to-address-list address-list=BruteForce_blacklist address-list-timeout=1w chain=input connection-state=new in-interface=wan src-address-list=BruteForce2
add action=add-src-to-address-list address-list=BruteForce2 address-list-timeout=1m chain=input connection-state=new in-interface=wan src-address-list=BruteForce1
add action=add-src-to-address-list address-list=BruteForce1 address-list-timeout=1m chain=input connection-state=new dst-port=20,21,22,23,80,8291 in-interface=wan protocol=tcp src-address-list=!ManageIP
Работает так: при попытке установить новое соединение на порты 20,21,22,23,80,8291 заносим на 1 минуту в список BruteForce1. Если в течении минуты была вторая попытка уже на любой порт установить соединение, то заносим в список BruteForce2, и если в течении минуты была третья попытка установить соединение то заносим в список BruteForce_blacklist на неделю. И правилом все адреса из этого списка дропаем.
ManageIP список адресов которые не блокируются никогда.
В твоем случае надо input на forward менять и порт 3389.
Легкой правкой можно увеличить кол-во попыток под себя
Спасибо большое!
Я настроил Тунель и это единственный порт который висит наружу вот к нему ваш скрипт и прикручу на 3 попытки )
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Serafimko писал(а):Я настроил Тунель и это единственный порт который висит наружу вот к нему ваш скрипт и прикручу на 3 попытки )
Можно пойти ещё дальше - открывать порт 1701 только после простукивания (метод называется Port Knocking). L2TP тоже брутфорсят...
-
- Сообщения: 28
- Зарегистрирован: 09 янв 2017, 11:39
DmNuts писал(а):Serafimko писал(а):Я настроил Тунель и это единственный порт который висит наружу вот к нему ваш скрипт и прикручу на 3 попытки )
Можно пойти ещё дальше - открывать порт 1701 только после простукивания (метод называется Port Knocking). L2TP тоже брутфорсят...
ну с использованием выше написанного скрипта шанс будет стремится к нулю
тем более что у нас настроен L2TP\Ipsec а это значит один постоянный ключ + логин L2TP и пароль к ней