Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Доступ по rdp с определенных IP

SACRED

Ответ от SACRED,

 Поделиться

Вопрос

SACRED Продвинутый пользователь

SACRED

Опубликовано
Опубликовано

Всем привет, пытаюсь настроить доступ по rdp через интернет к компьютеру.  Порт пробросил в кинетике, все работает. У клиента статический IP, как сделать так чтобы кинетик пускал по RDP к компьютеру человека только с определенным IP ? 

Пытался в межсетевом экране настроить правило см скрин, и что интересно, все равно пускает всех и все по рдп. Или если настроен проброс через трансляцию сетевых адресов NAT то межсетевой экран уже не работает?

123.jpg

16 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано

Ты сначало правило это подправь - укажи конкретный ip, которому можно. А следом делай правило, которое все на rdp запрещает. И будет тебе счастье [emoji16][emoji23]

 

Кстати, народ. А списки адресов вводить не будут? Никто не знает? [emoji849]

 

Отправлено с моего SM-A520F через Tapatalk

 

 

 

 

  • 0
MDP Старожил

MDP

Опубликовано
Опубликовано
32 минуты назад, SACRED сказал:

Всем привет, пытаюсь настроить доступ по rdp через интернет к компьютеру.  Порт пробросил в кинетике, все работает. У клиента статический IP, как сделать так чтобы кинетик пускал по RDP к компьютеру человека только с определенным IP ? 

Пытался в межсетевом экране настроить правило см скрин, и что интересно, все равно пускает всех и все по рдп. Или если настроен проброс через трансляцию сетевых адресов NAT то межсетевой экран уже не работает?

123.jpg

опасную затею Вы хотите реализовать. Лучше настройте PPTP сервер, и подключайтесь по PPTP, далее уже соединяйтесь по RDP

  • 0
SACRED Продвинутый пользователь

SACRED

Опубликовано
  • Автор
Опубликовано
44 минуты назад, cbloner сказал:

Ты сначало правило это подправь - укажи конкретный ip, которому можно. А следом делай правило, которое все на rdp запрещает. И будет тебе счастье emoji16.pngemoji23.png

 

Кстати, народ. А списки адресов вводить не будут? Никто не знает? emoji849.png

 

Отправлено с моего SM-A520F через Tapatalk

 

 

 

 

данное правило сделано для проверки, при работе данного правила все равно пускает по RDP, хотя как я понимаю не должно.

  • 0
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано
37 минут назад, MDP сказал:

опасную затею Вы хотите реализовать. Лучше настройте PPTP сервер, и подключайтесь по PPTP, далее уже соединяйтесь по RDP

Тогда уж туннель между точками любой ;-) Слава богу Кинетик дает возможность делать их огромное множество... Сам еще все не попробовал ;-) Пока торчу IPSEC VPN ;-)

  • 0
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано
23 минуты назад, SACRED сказал:

данное правило сделано для проверки, при работе данного правила все равно пускает по RDP, хотя как я понимаю не должно.

Ну правильно, смотри:

1. Через NAT пробрасываешь 3389 на внутреннюю машину -> автоматом всем разрешено!

2. Через firewall запрещаешь все на 3389 -> всем сразу запрещено, но порт уже проброшен.

3. Перед запретом всем в firewall ставишь уже разрешающие правила, с определенным адресом -> получаешь желаемый список исключений!

Алгоритм предельно прост.

  • 0
SACRED Продвинутый пользователь

SACRED

Опубликовано
  • Автор
Опубликовано
15 минут назад, cbloner сказал:

Ну правильно, смотри:

1. Через NAT пробрасываешь 3389 на внутреннюю машину -> автоматом всем разрешено!

2. Через firewall запрещаешь все на 3389 -> всем сразу запрещено, но порт уже проброшен.

3. Перед запретом всем в firewall ставишь уже разрешающие правила, с определенным адресом -> получаешь желаемый список исключений!

Алгоритм предельно прост.

ох, ок.

1 пробросил через NAT

2 см скрин

Все равно пускает всех подряд.

222.jpg

  • 0
r13 Старожил

r13

Опубликовано
Опубликовано (изменено)
9 минут назад, SACRED сказал:

ох, ок.

1 пробросил через NAT

2 см скрин

Все равно пускает всех подряд.

222.jpg

Порт источника в файрволе поставьте "любой".

Изменено пользователем r13
  • 0
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано
24 минуты назад, r13 сказал:

Порт источника в файрволе поставьте "любой".

1. Пробрасываем RDP:

1.jpg.483a986c84e70c7a3b26c2b480d6cb8b.jpg

2.jpg.c5452b68d31a7bf2f89e2fc367f614d3.jpg

2. Добавляем правили в firewall:

3.jpg.072a318a1222b29f6f3dcb60663111bb.jpg

1 - Разрешающее, 2 - полный запрет на порт 3389

Вот детально каждое правило:

4.jpg.b94c780540a9558950438aabe35213a3.jpg

5.jpg.eed68307e4ba2d24b31cab66b7b2df1b.jpg

Проверил тока что с планшета, вбил свой IP от мобильной сети.

Пока не добавил разрешающее - ну не пускает он! ;-)

P.S. может дело в версии прошивки?

  • 0
SACRED Продвинутый пользователь

SACRED

Опубликовано
  • Автор
Опубликовано
26 минут назад, r13 сказал:

Порт источника в файрволе поставьте "любой".

Поставил, все тоже самое, всех пускает.

  • 0
SACRED Продвинутый пользователь

SACRED

Опубликовано
  • Автор
Опубликовано
Только что, cbloner сказал:

1. Пробрасываем RDP:

1.jpg.483a986c84e70c7a3b26c2b480d6cb8b.jpg

2.jpg.c5452b68d31a7bf2f89e2fc367f614d3.jpg

2. Добавляем правили в firewall:

3.jpg.072a318a1222b29f6f3dcb60663111bb.jpg

1 - Разрешающее, 2 - полный запрет на порт 3389

Вот детально каждое правило:

4.jpg.b94c780540a9558950438aabe35213a3.jpg

5.jpg.eed68307e4ba2d24b31cab66b7b2df1b.jpg

Проверил тока что с планшета, вбил свой IP от мобильной сети.

Пока не добавил разрешающее - ну не пускает он! ;-)

P.S. может дело в версии прошивки?

Спасибо, щас папробую, версия последняя.

  • 0
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано
28 минут назад, r13 сказал:

Порт источника в файрволе поставьте "любой".

Думаю как раз в этом дело.

  • Спасибо 1
  • 0
r13 Старожил

r13

Опубликовано
Опубликовано
3 минуты назад, SACRED сказал:

Поставил, все тоже самое, всех пускает.

А откуда заходите?

Зы для чистоты еще соединения надо бы сбросить( уже установленные tcp сессии пропускаются)

  • Спасибо 1
  • 0
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано

Сессии - это да! ;-)

Слушай, не знаешь где у кинетика DNS кэш грохнуть не перегружая его. Поменял ip для FQDN... а перегружать не охота, а кинетик зараза, в IPSEC лезет на старый IP $-)  

  • 0
SACRED Продвинутый пользователь

SACRED

Опубликовано
  • Автор
Опубликовано

Ребят, спасибо большое, заработало.

Теперь другой вопрос ))) Также проброшены порты 3390, 3391 для которых данное правило не нужно )))  Создал правило см. скрин. Но увы не помогает. Я так подразумеваю что из за того что порт источника у всех 3389. Это возможно как то решить?

222.jpg

  • 0
r13 Старожил

r13

Опубликовано
Опубликовано (изменено)

 

4 минуты назад, SACRED сказал:

Ребят, спасибо большое, заработало.

Теперь другой вопрос ))) Также проброшены порты 3390, 3391 для которых данное правило не нужно )))  Создал правило см. скрин. Но увы не помогает. Я так подразумеваю что из за того что порт источника у всех 3389. Это возможно как то решить?

222.jpg

Порт источника не важен(он как правило случайный), файрволл работает с портом приемника после трансляции, от этого и отталкивайтесь формируя правила в файрволе.

Изменено пользователем r13
  • 0
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано
Ребят, спасибо большое, заработало.
Теперь другой вопрос ))) Также проброшены порты 3390, 3391 для которых данное правило не нужно )))  Создал правило см. скрин. Но увы не помогает. Я так подразумеваю что из за того что порт источника у всех 3389. Это возможно как то решить?
222.jpg.ff241c3384a26ffa918da1f68153e935.jpg
Если я тебя правильно понял, то тебе в клиенте rdp, для подключения по нестандартным портам, надо просто указывать ip-адрес:порт.
И тогда rdp клиент полезет конектиться на нужный порт.
Ну и правила перенаправления и фильтрации под каждый порт (диапазон портов) на кинетике сделаешь.
Правда на серваке у тебя должно быть запущено несколько серверов терминала, каждый из которых слушает свой порт!

Отправлено с моего SM-A520F через Tapatalk

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю