GoldenLine
Zaloguj się
Adam K.

Adam K.

Temat: zabezpieczenie serwera przed dostępem zdalnym

Witam,
dostałem pod opiekę serwer z debianem mający dwa interfejsy, jeden z publicznym IP i drugi z wewnętrznym IP z takiej samej podsieci jak drugi komputer Win2k3.
Teraz potrzebuje dostać się poprzez ten publiczny IP na zdalny pulpit tego drugiego komputera. Wiem, że gdzieś ustawiony IP z którego można się łączyć. Czy orientujecie się gdzie to może być?
Nie mam żadnych wpisów w iptables, nic w /etc/hosts.allow ani przegrepowanie /etc/ w poszukiwaniu ip z którego się można łączyć nic nie daje.
Link do wypowiedziLink

konto usunięte

Temat: zabezpieczenie serwera przed dostępem zdalnym

najlepiej chyba ustawic polaczenie vpn hmm
to teraz takie modne hehe
Link do wypowiedziLink
Tomasz Grzelak

Tomasz Grzelak Data Networking
Specialist, Amway
Business Centre
Europe

Temat: zabezpieczenie serwera przed dostępem zdalnym

może i modne, ale w tym wypadku mozna prościej - ssh

załóżmy, że siedzimy przy komputerze A, na B jest gateway/router zdalnej sieci, na C jest wewnetrzny host docelowy z serwisem rdp

A --- ... inet... --- B --- C

wtedy na A wklepujemy (zakładam, że A to Linux, ale z PuttySSH też można taki motyw zrobić):

ssh -l <user> -L 3389:<IP(C)>:3389 <public_IP(B)>

np: ssh -l juzek -L 3389:10.0.0.1:3389 1.1.1.1

następnie w drugiej konsoli na A wklepujemy:

rdesktop localhost

i cieszymy się zdalnym pulpitem :)
Link do wypowiedziLink
K G

K G

Temat: zabezpieczenie serwera przed dostępem zdalnym

O ile dobrze zrozumiałem, kolega Adam wcale nie chce tworzyć połączenia, tylko odszukać konfigurację już istniejącego.

Skoro nie ma przekierowania w iptables, to może warto poszukać działającego VPN, albo SSH (zacząłbym od 'ps axw | grep -E "ipsec|vpn|ssh"').

--
Pozdrawiam,
Karol T. Gajowniczek
Link do wypowiedziLink
Tomasz Grzelak

Tomasz Grzelak Data Networking
Specialist, Amway
Business Centre
Europe

Temat: zabezpieczenie serwera przed dostępem zdalnym

Karol Tadeusz Gajowniczek:
O ile dobrze zrozumiałem, kolega Adam wcale nie chce tworzyć połączenia, tylko odszukać konfigurację już istniejącego.

Skoro nie ma przekierowania w iptables, to może warto poszukać działającego VPN, albo SSH (zacząłbym od 'ps axw | grep -E "ipsec|vpn|ssh"').

no ale ja chyba o ssh właśnie napisałem? ;)

zakładam (może optymistycznie), że przez ssh można wleźć z zewnątrz na serwer, zatem wtedy można dostać się do wewnętrznego kompa w opisany wyżej sposób.

a co do odszukania, z jakigo IP można się łączeyć na wewnętrzny komp, to też trzeba wleźć na serwer (np. przez ssh) i sobie to odszukać. Musi to zrobić osoba posiadająca dostęp do serwera, bo może to naprawdę siedzieć gdziekolwiek i tego się nie wymyśli. Dość oczywiste chyba...

W obu przypadkach ssh jest tutaj rozwiązaniem.
Jeśli źle rozumiem problem, to może autor wątku go nieco uściśli.
Link do wypowiedziLink

konto usunięte

Temat: zabezpieczenie serwera przed dostępem zdalnym

Teraz potrzebuje dostać się poprzez ten publiczny IP na zdalny pulpit tego drugiego komputera. Wiem, że gdzieś ustawiony IP z którego można się łączyć. Czy orientujecie się gdzie to może być?
Nie mam żadnych wpisów w iptables, nic w /etc/hosts.allow ani przegrepowanie /etc/ w poszukiwaniu ip z którego się można łączyć nic nie daje.

Najprosciej:

sudo find / -type f -exec fgrep -H tutaj_szukane_ip "{}" \;
Link do wypowiedziLink
Łukasz Ś.

Łukasz Ś. Alior Bank, T-Mobile
Usługi Bankowe

Temat: zabezpieczenie serwera przed dostępem zdalnym

Jeśli nie znajdziesz (bo np nie ma przekierowania na IPTABLES w twoim Debianie) to wpisz w konsoli np:
iptables -t nat -A PREROUTING -p tcp --dport 5900 -j DNAT --to-destination IP_w2k3

powyższa linijka pozwili Ci połączyć się z windą za pomocą VNC lub np:
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination IP_w2k3

natomiast ta linijka pozwoli Ci połączyć się właśnie z twoją windą za pomocą zdalnego pulpitu.
Będąc gdzieś poza lokalizacją podajesz adres publiczny czy to w VNC czy też w zdalnym pulpicie i połączy Cię z komputerem za firewallem (Twoim win2003).
Dobrze jest zadbać o zmianę portów ze standardowych na jakieś inne, przynajmniej tych wejściowych. Robi się to np tak:
iptables -t nat -A PREROUTING -p tcp --dport 5456 -j DNAT --to-destination IP_w2k3:3389

powyższa linijka pozwoli Ci połączyć się na zdalny pulpit logując się na publiczne IP ze zmienionym portem kierującym na standardowy port w windzie, czyli podajesz jako adres IP_zew:5456

i jeszcze access dla zdalnego IP z którego będziesz się łączył:
iptables -A FORWARD -d IP_w2k3 -s IP_zew_do_akceptacji -j ACCEPT

następnie eksportuj to gdzieś do jakiegoś pliku startowego i gotowe.

Pozdrawiam, lukasŁukasz Ślusarek edytował(a) ten post dnia 20.03.08 o godzinie 22:11
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Definicja niestandarowych z...




Wyślij zaproszenie do
Anuluj