https://m.opennet.dev/openforum/vsluhforumID1/97036.html Добрый день!<br><br>Посоветуйте решение - возникла такая задача:<br>у одной конторы есть основной канал с серым динамическим IP, куда ходят 95% трафика. Для особых нужд, решаемых с личного одобрения руководителя отдела, есть белый IP в соседнем здании. Между зданиями линк есть. На границе в обоих точках - FreeBSD+ipfw (FreeBSD1 и FreeBSD2). В основном сегменте несколько серверов, выделенных в отдельную подсеть и спрятанных от случайных кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал portknocking и ремап порта 3389 на левый. Как бы передать с FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего мира?<br>Немного сумбурно получилось... В Интернете пока решения не нашёл.<br> https://m.opennet.dev/openforum/vsluhforumID1/97036.html#22 Tue, 07 Nov 2017 15:36:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая <br>&gt;&gt;&gt; там уж "безопасность" :) <br>&gt;&gt; Ну, это уже головняк руководства - кого они нанимают и какую степень <br>&gt;&gt; ответственности они на него возлагают. Раз они ему доверяют - я <br>&gt;&gt; человеку даю доступ. Искать компромат на новых сотрудников - это уже <br>&gt;&gt; не моя компетенция.<br>&gt; Вы не можете организовать к нему VPN канал потому что он "нэ <br>&gt; хочэт". При этом говорите что определение его компетентности и прав в <br>&gt; вашей орагнизации не ваша компетенция...<br>&gt; Ну так откройте ему прокинутый порт 3389 и все.<br><br>Как ему прокинуть, если у него динамический IP? Давайте будем читать исходную задачу полностью, а не через строчку.<br><br>&gt; К чему весь это геморр с открытием портов по стуку? ради безопасности? <br>&gt; Она не в вашей комптенции. сами только что сказали.<br><br>Вернёмся ещё раз к прочтению исходной задачи. В мою задачу входит обеспечение безопасности сети. Но я не должен устраивать квест-тест новому сотр https://m.opennet.dev/openforum/vsluhforumID1/97036.html#21 Sat, 04 Nov 2017 19:07:25 GMT &gt; Поднимите VPN. Не изобретайте велосипедов.<br><br>это единственный правильный механизм, учитывая что 1С'ник тоже не на постоянном IP адресе, VPN'ом можно будет контролировать подключение этого работника и вслучае чего нагоняев...<br><br>а то что он не хочет ставить, это не отмазки. привыкли они у себя RDP запускать и работать белоручки<br><br><br> https://m.opennet.dev/openforum/vsluhforumID1/97036.html#20 Fri, 03 Nov 2017 11:43:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt; это не unix-way... Зато проще юзать и контролировать...<br>&gt;&gt;&gt;&gt; TeamViever у нас политикой разрешён только под присмотром админов, а программер получил <br>&gt;&gt;&gt;&gt; "добро" работать не только в рабочее время.<br>&gt;&gt;&gt; уж очень сложно получается, там могут вылезти другие "прелести" по безопасности <br>&gt;&gt; случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая <br>&gt;&gt; там уж "безопасность" :) <br>&gt; Ну, это уже головняк руководства - кого они нанимают и какую степень <br>&gt; ответственности они на него возлагают. Раз они ему доверяют - я <br>&gt; человеку даю доступ. Искать компромат на новых сотрудников - это уже <br>&gt; не моя компетенция.<br><br>Вы не можете организовать к нему VPN канал потому что он "нэ хочэт". При этом говорите что определение его компетентности и прав в вашей орагнизации не ваша компетенция...<br>Ну так откройте ему прокинутый порт 3389 и все.<br>К чему весь это геморр с открытием портов по стуку? ради безопасности? Она не в вашей комптенции. сами только что сказ https://m.opennet.dev/openforum/vsluhforumID1/97036.html#19 Fri, 03 Nov 2017 11:30:55 GMT &gt;&gt;&gt;&gt; Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно <br>&gt;&gt;&gt;&gt; это не unix-way... Зато проще юзать и контролировать...<br>&gt;&gt;&gt; TeamViever у нас политикой разрешён только под присмотром админов, а программер получил <br>&gt;&gt;&gt; "добро" работать не только в рабочее время.<br>&gt;&gt; уж очень сложно получается, там могут вылезти другие "прелести" по безопасности <br>&gt; случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая <br>&gt; там уж "безопасность" :) <br><br>Ну, это уже головняк руководства - кого они нанимают и какую степень ответственности они на него возлагают. Раз они ему доверяют - я человеку даю доступ. Искать компромат на новых сотрудников - это уже не моя компетенция.<br> https://m.opennet.dev/openforum/vsluhforumID1/97036.html#18 Fri, 03 Nov 2017 10:28:41 GMT &gt;&gt;&gt; Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно <br>&gt;&gt;&gt; это не unix-way... Зато проще юзать и контролировать...<br>&gt;&gt; TeamViever у нас политикой разрешён только под присмотром админов, а программер получил <br>&gt;&gt; "добро" работать не только в рабочее время.<br>&gt; уж очень сложно получается, там могут вылезти другие "прелести" по безопасности <br><br>случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая там уж "безопасность" :)<br><br> https://m.opennet.dev/openforum/vsluhforumID1/97036.html#17 Thu, 02 Nov 2017 18:59:36 GMT &gt;&gt; Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно <br>&gt;&gt; это не unix-way... Зато проще юзать и контролировать...<br>&gt; TeamViever у нас политикой разрешён только под присмотром админов, а программер получил <br>&gt; "добро" работать не только в рабочее время.<br><br> уж очень сложно получается, там могут вылезти другие "прелести" по безопасности <br><br> https://m.opennet.dev/openforum/vsluhforumID1/97036.html#16 Thu, 02 Nov 2017 15:01:10 GMT &gt; Дался вам этот portknocking... У него изначально другие цели были.<br>&gt; На FreeBSD2 сделайте проброс GRE и TCP/1723 на FreeBSD1. На FreeBSD1 поднимите <br>&gt; любой VPN. Поставьте fail2ban для кулхацкеров. Там-же на FreeBSD1 сделайте файрвол, <br>&gt; который будет пускать только на ваш 1С сервер по RDP для <br>&gt; этого vpn интерфейса.<br>&gt; Раздача маршрутов в pptp делается опциями DHCPINFORM. М$ работает с 249 опцией, <br>&gt; остальной мир с 121 опцией. Туториалов по настройке PPTP+DHCP в сети <br>&gt; достаточно.<br><br>Спасибо, почитаю.<br> https://m.opennet.dev/openforum/vsluhforumID1/97036.html#15 Thu, 02 Nov 2017 14:58:50 GMT &gt; Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно <br>&gt; это не unix-way... Зато проще юзать и контролировать...<br><br>TeamViever у нас политикой разрешён только под присмотром админов, а программер получил "добро" работать не только в рабочее время.<br> https://m.opennet.dev/openforum/vsluhforumID1/97036.html#14 Thu, 02 Nov 2017 14:54:57 GMT &gt;[оверквотинг удален]<br>&gt; Ну, материальные и временнЫе вопросы сотрудничества с программером я не курирую... Это <br>&gt; уж они как-то сами там с начальством (моим непосредственным или ещё <br>&gt; каким) договариваются... Если он, например, блуждающий фрилансер, работающий из кафе - <br>&gt; это сейчас считается его правом... Я portknocking и проброс порта протестировал <br>&gt; - наш пров пропускает, у меня работает. Если в каком-то кафе <br>&gt; рубят - это проблемы будут не мои, а программера: пусть идёт <br>&gt; в другое кафе.<br>&gt;&gt; В качестве средства организации VPN можно также порекомендовать поднять IPSEC (L2TP) <br>&gt; IPSEC, если я правильно помню, очень "не любит" маскарадинга и хочет заранее <br>&gt; определиться с адресами на концах. Или я с чем-то другим путаю? <br><br>Дался вам этот portknocking... У него изначально другие цели были.<br>На FreeBSD2 сделайте проброс GRE и TCP/1723 на FreeBSD1. На FreeBSD1 поднимите любой VPN. Поставьте fail2ban для кулхацкеров. Там-же на FreeBSD1 сделайте файрвол, который будет пускать только на ваш 1С сер