У меня есть удаленный офис, в котором есть компьютеры, которые не имеют постоянного доступа в Интернет, однако мне нужно будет периодически получать удаленный доступ к компьютерам, для которых я планирую использовать VNC.
Как правильно убедиться, что у компьютеров нет доступа в Интернет, кроме моих входящих подключений VNC?
Моя первая мысль здесь заключалась в том, чтобы настроить маршрутизатор впереди них, чтобы маршрутизатор разрешал только ARP / DNS и порт (ы) VNC 5000 + N и блокировал все остальные порты на входе и выходе. Было бы это эффективным решением?
Насколько мне известно, оставить порт VNC открытым для мира (0.0.0.0/0) небезопасно и взломать.
Что вы можете сделать:
Установите брандмауэр и настройте NAT, что позволит вам получить доступ к сети через порт VNC, но только для одного определенного IP-адреса (а не для всего мира).
Настройте VPN-сервер, который позволит вам подключаться ко всем хостам в сети после подключения к нему.
Используя оба решения, вы можете ограничить доступ пользователей к Интернету и разрешить доступ к определенным службам в сети.
Моя обычная установка в этих случаях - установить перед сетью маршрутизатор, к которому вы можете подключиться по SSH, а затем использовать переадресацию порта SSH только тогда, когда вам нужен доступ к внутренним компьютерам.
Такие маршрутизаторы, как Mikrotik или Ubiquiti, имеют такую возможность и обычно действительно доступны по цене. При такой настройке у вас могут быть компьютеры, которые вы хотите отключить от Интернета, получая только IP-адреса по DHCP и не IP для шлюза. Таким образом, они смогут общаться с другими компьютерами в той же сети, но не имеют доступа к Интернету.
Когда вам нужно получить доступ к этим внутренним компьютерам из внешнего мира, вы подключаетесь к маршрутизатору по SSH и используете переадресацию локального порта, примерно так:
user@admin-computer:~$ ssh router.company.com -f -L 5900:<no-inet-pc1-ip>:5900
и после входа в систему с вашим пользователем / паролем SSH вы запускаете свой клиент VNC и подключаетесь к 127.0.0.1 через стандартный порт 5900, и вы достигнете внутреннего ПК (который имеет no-inet-pc1-ip IP-адрес) на порту VNC. Это будет работать даже без шлюза на внутренних ПК, потому что соединение с их точки зрения исходит от маршрутизатора, а не от вашего удаленного компьютера. admin-computer
Если вы настроили SSH с аутентификацией с открытым ключом (настоятельно рекомендуется) и используете нестандартный порт для SSH на маршрутизаторе (чтобы избежать непрерывного сканирования, которое происходит с портом 22), вы получите доступную, безопасную и автоматизируемую настройку без необходимости настраивать VPN. o сложный межсетевой экран.
Надеюсь, поможет!
Можете ли вы просто дать им поддельные записи DNS и оставить всю информацию IP / подсети / шлюза нетронутой? Это нарушит их попытки просмотра, но оставит маршрутизируемый трафик. Плохой DNS нарушит исправление и, возможно, другие приложения, но вы можете легко включить и выключить его.