Запрет доступа к серверу

1. Alex_Atuan 22.01.19 18:04 Сейчас в теме +0.2 $m
Доброго дня. Требуется совет. Есть Windows server 2012 r2 Standard, в организации есть белый ip по которому директор работает на сервере из дома. Необходимо в целях безопасности чтобы к серверу извне по рдп можно было подключаться только с двух ip адресов, ну и соответственно в локальной сети чтобы это можно было. Как это можно реализовать? При создании в брандмауэре двух правил на блокировку и разрешение определенных ip перевешивает правило блокировки,а если создаю только разрешающее правило,то подключаться могут все из внешки.
По теме из базы знаний
Вознаграждение за ответ
Показать полностью
Ответы
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
8. collider 23.01.19 06:30 Сейчас в теме
(1) У разрешающего правила перечислить только удалённые ip-адреса и локальную подсеть.
11. Alex_Atuan 23.01.19 10:26 Сейчас в теме
(8)я так и сделал, но это не помогает,возможно какие то другие правила дают доступ,но не пойму какие
13. collider 23.01.19 12:05 Сейчас в теме
(11) То есть, всё работет, пока не зайдёшь в правило и не ограничишь по IP?
Тогда убедись, что пишешь адрес именно в нижний список на той в кладке. Ещё можно проверить, правильно ли указан IP? там, откуда подключаются может быть динамический.
14. Alex_Atuan 23.01.19 13:19 Сейчас в теме
(13)я свой вносил,у меня статика,а вообще я имел ввиду что создаю два правила на входящих,блокировку любых и разрешение с 4-мя локальными ip и двумя внешними. правило блокировки перевешивает и сервер вообще становится не доступен ни по сети ни по рдп,оставляю только разрешающее правило и сервер становится доступен для любого ip. возможно есть какое то правило по умолчанию которое дает доступ любому ip?могу скинуть скрин или список правил которые включены в брандмауэре
17. collider 23.01.19 14:01 Сейчас в теме
(14) Конечно! Есть правила по умолчанию и новых создавать не надо. Просто включи те, которые уже есть.
19. Alex_Atuan 23.01.19 15:28 Сейчас в теме
(17)возможно какое то из правил и разрешает доступ
22. collider 23.01.19 15:40 Сейчас в теме
(19) Естественно! Выяснить, какое именно - очень просто. А потом в него
просто добавить разрешение из 8-го поста.
23. Alex_Atuan 23.01.19 16:56 Сейчас в теме
(22)Не получается,блокировка приоритетнее
Прикрепленные файлы:
25. collider 23.01.19 17:08 Сейчас в теме
(23) Никакую блокировку не надо. Просто включи эти три разрешающие правила и в них самих ограничь. Остальное, что делал для 3389, убери.
26. Alex_Atuan 23.01.19 17:10 Сейчас в теме
(25)Я же писал выше что если я создаю только разрешающее правило то это не прокатывает,доступ к серверу с любого ip идет
28. collider 23.01.19 17:12 Сейчас в теме
(26) Его не надо создавать. Его надо включать.
Давай удалёнку, за 5 минут сделаю.
29. Alex_Atuan 23.01.19 17:16 Сейчас в теме
(28) как оказалось благодаря помощи за доступ отвечали совершенно другие правилаю Большое спасибо Collider за помощь
collider; +1 Ответить
34. Alex_Atuan 23.01.19 21:32 Сейчас в теме
(28) я оказался не прав,при активации этих правил из внешки действительно доступ закрылся,но проблема в другом теперь,внутри локалки доступ пропал
41. collider 24.01.19 05:12 Сейчас в теме
(34) Локалку-то тоже надо обозначить. В те два правила добавь подсеть.
43. Alex_Atuan 24.01.19 10:07 Сейчас в теме
(41)самое интересное что когда я это сделал отвалилась внешка
44. collider 24.01.19 10:25 Сейчас в теме
(43) Ну я могу только гадать, как у тебя это вышло. Если хочешь, кинь в личку удалёнку, я ещё раз гляну.
45. Alex_Atuan 24.01.19 10:35 Сейчас в теме
(44)не могу написать в личку
57. vadimnemtsev 14.06.20 10:34 Сейчас в теме
(45) подскажите, все-таки получилось все корректно настроить?
58. vadimnemtsev 14.06.20 10:36 Сейчас в теме
(45) подскажите, все-таки получилось все корректно настроить?
2. Timur.V 78 22.01.19 19:11 Сейчас в теме
rdp - плохая идея, вас быстро поломают т.к. rdp ломают.
vpn + rdp = хорошая идея.

Можно создать подсеть и для всех кто в неё входит - разрешать доступ на сервер.
9. markw 23.01.19 09:05 Сейчас в теме
(2)
идея, вас быстро поломают т.к. rdp ломают.
vpn + rdp = хороша

Это оптимальное решение, если не хочется сюрпризов. Из относительно недорогих, но относительно мощных, но не домашних железных роутеров, держащих VPN: D-link DFL-260E. На паре таких можно поднять постоянно работающий тоннель сеть-сеть. Или в качестве удаленного DIR-140. Или как дальше предлагают с Mikrotik (кмк на любителя).
15. Alex_Atuan 23.01.19 13:23 Сейчас в теме
(9)насчет межсетевых экранов это в данный момент не вариант,необходимо пока ограничить доступ именно средствами сервера,впн,брандмауэр,возможно что то еще
42. user1135946 24.01.19 09:29 Сейчас в теме
(2)
rdp - плохая идея, вас быстро поломают т.к. rdp ломают.
vpn + rdp = хорошая идея.


Поддерживаю! У самих так.
3. kumi2012 102 22.01.19 19:42 Сейчас в теме
6. Alex_Atuan 22.01.19 23:33 Сейчас в теме
4. senshkr 13 22.01.19 21:38 Сейчас в теме
Добавьте правила межсетевого экрана на роутере.

Например, у меня ZyXEL Keenetic Ultra:
иконка(кнопка) снизу "Безопасность" - закладка "Межсетевой экран" - кнопка "Добавить правило"
АдресИсточника АдресНазначения ПортИсточника ПортНазначения Разрешить/Запретить
5. Alex_Atuan 22.01.19 23:33 Сейчас в теме
попробую с впн и с межсетевым экраном и завтра отпишусь
7. 24rus 125 23.01.19 04:20 Сейчас в теме
У вас Сервер в интернет подключен напрямую, без роутера ? Если так то это очень плохое решение!
По хорошему нужен роутер, как вариант "Mikrotik", при его грамотной настройки, возможно поднять VPN на нем, или прописать конкретные IP адреса для подключения по RDP (но это при условии постоянного белого IP с другой стороны).
p.s. Для многих фирм делал настройку фаервола: при более 5 подключениях на RDP в течении 1 минуты, блокировка по IP на 1 час.
10. Alex_Atuan 23.01.19 10:22 Сейчас в теме
(7)нет конечно,сервер в локалке,роутер обычный ростелекомовский который ставят при подключении
12. 24rus 125 23.01.19 10:28 Сейчас в теме
(10)
Доступ есть на роутер ростелекома ? если да надо смотреть его конфу, может он также умеет, как VPN сервер работать.
16. Alex_Atuan 23.01.19 13:28 Сейчас в теме
(12)зашел сейчас,в настройках роутера есть вкладка межсетевой экран,но как настроить фильтрацию и разрешения/запреты я если честно не знаю
33. bogena 23.01.19 18:08 Сейчас в теме
(10) Кстати, эти родные роутеры от ростелекома - зло в плане безопасности. Проверьте ваш IP с помощью routerscan - возможно, роутер уязвим. Или напишите мне его в личку, отпишусь вам
18. senshkr 13 23.01.19 15:15 Сейчас в теме
Как на конкретном роутере правила создать, лучше всего загуглить.
Вот основные понятия:
Адрес источника - адрес компа, откуда производится обращение. Если у него нет выделенного адреса, можно узнать у провайдера, через которого тот комп входит в сеть, диапазон и маску.
Адрес назначения - адрес Вашего сервера во внутренней сети.
Порт RDP 3389.

Теперь о главном, может и то, что Вы делали сначала получится.
Межсетевой экран(файервол, брандмауэр) просматривает правила сверху вниз. Доходит до первого правила, которое возможно применить(совпало условие) и выполняет заданное действие(разрешить/запретить) правила, расположенные ниже, не просматриваются.
Вы задали правила в следующем порядке: запрет для всех, разрешение одному, разрешение другому. Первое условие, которое подошло - для всех. Действие - запрет. Остальные условия в этом обращении не работают.
Надо задавать сначала разрешающие правила для конкретных адресов, а потом - запрет всем остальным.
Удачи.
user774630; lefthander; +2 Ответить
20. Alex_Atuan 23.01.19 15:30 Сейчас в теме
(18) вот это я сейчас и попробую)спасибо)
21. Alex_Atuan 23.01.19 15:30 Сейчас в теме
24. bogena 23.01.19 17:06 Сейчас в теме
А у вашего директора дома тоже белый IP? Как уже писали выше, предпочтительнее всего VPN.
Если нет времени/желания/знаний/полномочий возиться с настройкой сетей, то можно хотя бы поставить на сервер программку rdpguard. Она запускается как сервис и мониторит события аудита. Можно блокировать ip после n неправильных паролей за X часов (как failtoban), создавать черные и белые списки. У меня на некоторых серверах уже несколько лет работает, норм всё. Есть на просторах интернета и с лекарством.
27. Alex_Atuan 23.01.19 17:11 Сейчас в теме
(24)у директора тоже белый,если с брандмауэром такая ерунда остается только впн или в настройках роутера ограничивать
31. bogena 23.01.19 18:01 Сейчас в теме
(27) Если хотите, могу фаерволл настроить за 5 минут. Мой скайп boldirev_ga
32. bogena 23.01.19 18:03 Сейчас в теме
(31) но в (18) вам всё правильно написали.
35. Alex_Atuan 23.01.19 21:35 Сейчас в теме
(32)но это оказалось не так,правило блокировки все равно приоритетнее разрешающего правила где бы оно не стояло до или после
37. bogena 23.01.19 21:42 Сейчас в теме
38. Alex_Atuan 23.01.19 21:57 Сейчас в теме
(37)я скрин скидывал в котором правило блокировки стоит ниже разрешающего правила и досткпа нет совсем ни из внешки ни по сети
39. bogena 23.01.19 22:50 Сейчас в теме
(38) Извиняюсь, совсем отвык от виндового фаера, вы правы, запрещающие имеют приоритет.
В нём вообще нет порядковых номеров у правил) А то, что одни выше других -это просто отсортированы. Дикие люди...
Смотрите, там есть общая политика - блокировать все входящие. Если она включена, то вам надо добавить только разрешающее правило для 3389.
Можно ещё в пробросе портов на роутере (или в фаерволе) настроить разрешенные IP, благо их всего 2.
Про роутер читали сообщение? Проверили его?
40. Alex_Atuan 23.01.19 23:33 Сейчас в теме
(39)проверить в смысле настроить правила в межсетевом экране?
52. bogena 27.01.19 19:36 Сейчас в теме
(40)Нет, я про уязвимости. Есть сканер - RouterScan. Запустите его, или дайте мне ip, проверю
30. 1cprogr_nsk 106 23.01.19 17:36 Сейчас в теме
Самый лучший вариант, блокировать на уровне железа, т.е. в роутере создать правило на фильтрацию IP, но не все роутеры это могут. Как вариант поставить на сервак прокси, вот простенькая 3proxy, но для неё нужно 2 сетевых интерфейса.
36. Alex_Atuan 23.01.19 21:36 Сейчас в теме
(30)если с брандауэром не получится решить то так наверное и поступлю
46. meriferi 24.01.19 12:32 Сейчас в теме
Чтобы отфильтровать внешние подключения по IP-адресам, нужно в список Удаленный IP-адрес прописать все IP-адреса, диапазоны адресов и подсети, с которых будет разрешено подключение к этому компьютеру по RDP.
47. Ditron 184 24.01.19 14:43 Сейчас в теме
Создайте групповую политику!
48. Ditron 184 24.01.19 14:44 Сейчас в теме
А еще лучше закрыть доступ и директору поднять дома ВПН клиент, а там где стоит сервер поднять ВПН сервер (лучше на микротике)
49. Alex_Atuan 24.01.19 18:16 Сейчас в теме
(48)я так и планирую сделать,только впн поднимать буду не на микротике а стандартными средства сервера,т.к задача была именно в том чтобы ограничить доступ средствами сервера без дополнительных затрат,да и устанавливать микротик в магазине с локалкой из 4 пк не вижу смысла
50. Ditron 184 24.01.19 19:27 Сейчас в теме
(49)ну это уже дело такое, я бы железяку поставил, так надежнее, да и микротик необязательно дорогой покупать
51. Alex_Atuan 25.01.19 16:29 Сейчас в теме
(50)Ну может быть со временем мы и дойдем до этого
53. Indgo 338 01.02.19 14:22 Сейчас в теме
Эти настройки надо делать на роутере, а не на сервере. В натсройках пропброски портов (Nat) прописываете белый лист IP. и все. На Сервере ничего делать не надо. А так точно ломанут
54. bogena 20.02.19 10:02 Сейчас в теме
(53) да можно и на сервере, почему бы и нет.
55. hercares 22.02.19 00:30 Сейчас в теме
Если нет времени/желания/знаний/полномочий возиться с настройкой сетей, то можно хотя бы поставить на сервер программку rdpguard

Спасибо за ссылку на эту программу, очень востребовано для удаленки без vpn. И разумеется, железный роутер типа Mikrotik приоритетнее чем фаервол сервера. Год работал с Kerio Control, как с виртуалкой, за неимением микротика, неплохо защищает
56. bogena 03.03.19 00:01 Сейчас в теме
(55) Да, очень полезная прога. Сам юзаю на нескольких серверах. Надо только не забывать белые списки делать)
Оставьте свое сообщение
Вакансии
Программист 1С
Москва
зарплата от 180 000 руб. до 220 000 руб.
Полный день

Аналитик 1С / Бизнес-аналитик
Нижний Новгород
зарплата от 100 000 руб. до 250 000 руб.
Временный (на проект)

Программист 1С
Москва
зарплата от 250 000 руб.
Полный день

Программист 1C
Волгоград
зарплата от 200 000 руб.
Полный день

Аналитик
Санкт-Петербург
зарплата от 200 000 руб. до 250 000 руб.
Полный день