С голой ж...й на ветру: выставил сервер 1С в DMZ и открыл порт 80, а как ещё??
Всем привет!
Был сегодня у клиента, необходимо было выполнить полную программу, от скачивания и установки Windows Server 2017, SQLExpress, 1C:Сервер и Apache, до переноса базы из файловой и проброса портов.
Есть удалённые пользователи. Для них стоят два правила на роутере:
51540 >>> 1540 на локальный адрес сервера
и
1540 >>>1540 на локальный адрес сервера
И ещё ip сервера стоит в разделе DMZ (без этого проброс портов почему-то не работает?).
На самом сервере база опубликована на Apache последней версии,
и при выключенном (в тестовых целях) брендмауэре удалённые пользователи успешно входили.
Потом включил брендмауэр, и пользователи, даже локальные, перестали входить в базу.
Начал по инструкциям добавлять правила для входящих подключений на порты 1433, 1540-1591.
Удалённые пользователи всё равно не могли подключиться.
Потом разрешил порт 80 для входящих подключений и всё заработало.
Вопрос:
Могу ли я спать спокойно? 80 порт на моих глазах был атакован (на компьютере с белым адресом и также стоящим в DMZ), и Касперский рапортовал об успешном отражении сетевой атаки.
А на серваке, понятное дело, никакого антивируса не стоит.
Что делать? Устанавливать ли антивирус на сервак? (Гилев пишет, что даже установленный и в пассивном режиме антивирь замедляет существенно работу сервера).
Можно ли как-то получше настроить брендмауэр?
Можно ли обойтись без выставления сервака в DMZ (белый адрес имеется)?
В офисе у клиента стоит роутёрчик Asus rtn-12 (простенький).
Буду рад любым сообщениям!
Спасибо и хорошего дня!
Был сегодня у клиента, необходимо было выполнить полную программу, от скачивания и установки Windows Server 2017, SQLExpress, 1C:Сервер и Apache, до переноса базы из файловой и проброса портов.
Есть удалённые пользователи. Для них стоят два правила на роутере:
51540 >>> 1540 на локальный адрес сервера
и
1540 >>>1540 на локальный адрес сервера
И ещё ip сервера стоит в разделе DMZ (без этого проброс портов почему-то не работает?).
На самом сервере база опубликована на Apache последней версии,
и при выключенном (в тестовых целях) брендмауэре удалённые пользователи успешно входили.
Потом включил брендмауэр, и пользователи, даже локальные, перестали входить в базу.
Начал по инструкциям добавлять правила для входящих подключений на порты 1433, 1540-1591.
Удалённые пользователи всё равно не могли подключиться.
Потом разрешил порт 80 для входящих подключений и всё заработало.
Вопрос:
Могу ли я спать спокойно? 80 порт на моих глазах был атакован (на компьютере с белым адресом и также стоящим в DMZ), и Касперский рапортовал об успешном отражении сетевой атаки.
А на серваке, понятное дело, никакого антивируса не стоит.
Что делать? Устанавливать ли антивирус на сервак? (Гилев пишет, что даже установленный и в пассивном режиме антивирь замедляет существенно работу сервера).
Можно ли как-то получше настроить брендмауэр?
Можно ли обойтись без выставления сервака в DMZ (белый адрес имеется)?
В офисе у клиента стоит роутёрчик Asus rtn-12 (простенький).
Буду рад любым сообщениям!
Спасибо и хорошего дня!
Найденные решения
Чет вообще не понял, что ты хотел сделать. Если ты подключаешься через вэб интерфейс или вэб клиентом, то тебе нужен только 80 порт, есть ты подключаешься через тонкий клиент, то тебе нужны порты 1540 и т.п. Что за база? Если на управляемых формах, то подключайся через вэб интерфейс. только порт лучше изменить. Сделай проброску, например внешнего 8080 на внутренний 80.
Судя по тому, что ты поднял апач, у тебя база на УФ. Порты 1540 тебе вообще не нужны. Только 80 порт нужен. А то, что он был атакован еще ничего не значит. Атакуется не порт, а приложение, которое слушает этот порт и выполняет какие-то действия
Судя по тому, что ты поднял апач, у тебя база на УФ. Порты 1540 тебе вообще не нужны. Только 80 порт нужен. А то, что он был атакован еще ничего не значит. Атакуется не порт, а приложение, которое слушает этот порт и выполняет какие-то действия
Остальные ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
Чет вообще не понял, что ты хотел сделать. Если ты подключаешься через вэб интерфейс или вэб клиентом, то тебе нужен только 80 порт, есть ты подключаешься через тонкий клиент, то тебе нужны порты 1540 и т.п. Что за база? Если на управляемых формах, то подключайся через вэб интерфейс. только порт лучше изменить. Сделай проброску, например внешнего 8080 на внутренний 80.
Судя по тому, что ты поднял апач, у тебя база на УФ. Порты 1540 тебе вообще не нужны. Только 80 порт нужен. А то, что он был атакован еще ничего не значит. Атакуется не порт, а приложение, которое слушает этот порт и выполняет какие-то действия
Судя по тому, что ты поднял апач, у тебя база на УФ. Порты 1540 тебе вообще не нужны. Только 80 порт нужен. А то, что он был атакован еще ничего не значит. Атакуется не порт, а приложение, которое слушает этот порт и выполняет какие-то действия
(2)Да, хочу чтобы удалённые пользователи подключались через тонкий клиент, поскольку веб-интерфейс какой-то.... кривоватый иногда в использовании.
И одновременно хочу дать возможность пользователям, по необходимости,
иметь возможность подключаться и через веб-интерфейс.
И ещё хочу понять, почему не работает удалённое подключение, если ip-сервера не записан в разделе DMZ (я так понимаю, что если DMZ - то это значит, что роутер вообще никак не защищает этот сервак, и справляться нужно только штатными средствами WinServer?)
А как сделать проброску, изменив порты? Я где-то у удалённого клиента тоже должен поставить строчку типа
217.33.55.156:8888/base ?
А на роутёре сделать проброс 8888 на 80 ?
И одновременно хочу дать возможность пользователям, по необходимости,
иметь возможность подключаться и через веб-интерфейс.
И ещё хочу понять, почему не работает удалённое подключение, если ip-сервера не записан в разделе DMZ (я так понимаю, что если DMZ - то это значит, что роутер вообще никак не защищает этот сервак, и справляться нужно только штатными средствами WinServer?)
А как сделать проброску, изменив порты? Я где-то у удалённого клиента тоже должен поставить строчку типа
217.33.55.156:8888/base ?
А на роутёре сделать проброс 8888 на 80 ?
уже была статья что http не безопасно использоваться используйте хотябы https, либо уберайте всё в vpn
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот