У меня есть школьная сеть, в которой есть один сервер ILS (система управления библиотекой) и около 10 компьютеров в компьютерной лаборатории. Все лабораторные сборки запускают XP pro и подключаются через серию концентраторов -> домашний маршрутизатор (сервер DHCP, сервер DNS, клиент pppoe) (да, это довольно маленькая школа) -> модем -> телефонная линия . Компоненты Complab должны быть подключены к сети, а на сервере ILS есть OPAC (онлайн-каталог общего доступа), к которому мне нужно иметь возможность удаленного доступа. Доступ к нему осуществляется с компьютера в локальной сети путем простого ввода имени хоста или IP-адреса сервера в адресную строку браузера, поэтому я думаю, что можно с уверенностью предположить, что он работает на порту 80, порт по умолчанию для всего веб-трафика. Мне также нужен удаленный доступ к общим ресурсам samba на сервере и удаленный доступ по ssh через PuTTY. Я планирую реализовать это путем перенаправления портов 80, 22 и любого другого порта, на котором работает самба (это нужно будет найти позже). Мой вопрос состоит из двух частей и предполагает, что внешний (глобальный) IP-адрес статический:
/ из http://google.com. Google получает этот запрос и отправляет обратно HTML-документ через порт 80. Вместо того, чтобы обращаться к лабораторному компьютеру A, он отправляется на сервер, на который был перенаправлен порт 80. Это, очевидно, проблема, поскольку лабораторный компьютер A не получил домашнюю страницу Google, чтобы он мог искать информацию.Это будет работать?
Частично.
Это безопасно? Под этим я подразумеваю, будет ли захват порта 80 саботировать доступ в Интернет для других компьютеров?
Перенаправить HTTP и SSH на маршрутизатор достаточно просто, и если вы постоянно обновляете свою библиотечную систему, это, вероятно, довольно безопасно.
Открыть SMB для Интернета будет непросто и довольно опасно с точки зрения безопасности. Если вам нужен удаленный доступ к SMB, я настоятельно рекомендую вам подумать о настройке какой-либо VPN вместо того, чтобы открывать SMB для Интернета.
Настройка переадресации портов не должна ничего нарушать исходящие запросы с ваших рабочих станций. Маршрутизаторы обычно выполняют преобразование адресов только в том случае, если запросы предназначены для внешнего адреса вашего маршрутизатора.
Это сработает. Когда Google ответит вам, он не отвечает на порт 80, а с исходного порта 80 на порт назначения> 1024, используемый компьютеромA в качестве исходного порта при отправке запроса.
В любом случае, часть NAT вашего маршрутизатора разработана так, чтобы работать так, как вы хотите.
Я согласен с Zoredache, что VPN - это лучший способ (я слышал хорошие отзывы об OpenVPN).
Тем не менее, вы можете использовать только portforward ssh и выполнять работу с компьютера, к которому у вас есть доступ по ssh (это быстро и очень просто).
/ Йохан
Вы говорите, что у него нет шифрования, но это нормально. Я все еще могу настроить аутентификацию со схемой ограничения доступа по имени пользователя и паролю. Это предотвратит публичный доступ к файлам в общих ресурсах SMB. Теперь единственная оставшаяся проблема, связанная с отсутствием шифрования, о которой я могу думать, заключается в том, что после того, как один из моих пользователей прошел аутентификацию и загружает данные удаленно, кто-то может перехватить незашифрованный трафик и прочитать его. Меня это не волнует. Это просто детская школьная работа, и ее не собираются использовать для передачи чего-либо чувствительного. Другой способ использования этой уязвимости - это перехват трафика и внедрение на его место другого поддельного трафика. Предположим, пользователь пытается загрузить файл A. MITM перехватывает трафик загрузки, крадет содержимое файла A и затем заменяет трафик некоторыми другими данными. Для меня это тоже не будет проблемой, потому что люди будут знать, что то, что они получили, не было тем файлом, которого они ожидали. Они бы знали, что что-то не так, и попробовали бы снова или просто не зависели бы от этого.
Ваш третий момент заключается в том, что реализация M $ - отстой. Теперь, исходя из того, что я считать Вы имеете в виду, что это не должно относиться ко мне. Видите ли, мой потенциальный SMB-сервер работает под управлением ubuntu linux, и только удаленные клиенты будут запускать окна. Это все еще вызывает беспокойство?
Что у меня осталось, так это то, что я открываю другие порты, которые, возможно, мне не нужны. Не могли бы вы быть более конкретными? Что на самом деле может быть худшим из этого?
Хорошо, спасибо за ваше время, это сделает мою жизнь намного проще.
P.S .: Прошу прощения, если мой вопрос не самый ясный, у меня было около 8 часов сна за последние 3 дня, так что я действительно бегаю, так сказать, пусто. Я очень старался сделать его максимально ясным и связным, но если у вас есть какие-либо вопросы, просто задайте их мне.