Использование межсетевого экрана Keenetic для управления доступом из Интернета к серверу локальной сети

В локальной сети размещен сервер, к которому требуется доступ из Интернета. Подключение к Интернету осуществляется через Keenetic. Нужно обеспечить доступ к серверу, используя подмену порта (маппинг) и ограничить возможность подключения к серверу только определенным хостам (по списку известных доверенных IP-адресов). Как правильно настроить Keenetic?



Рассмотрим пример конфигурации, когда в локальной сети установлен компьютер (терминальный сервер) с ОС Windows, к которому подключаются удаленные сеансы рабочего стола (Remote Desktop).

В локальной сети интернет-центра сервер, к которому требуется удаленно подключаться, имеет адрес 192.168.1.32. Этот компьютер нужно зарегистрировать и указать использовать постоянный (статический) IP-адрес, либо настроить вручную статические параметры IP на нем самом.

ws1-rdp-1.PNG

В нашем примере доступ в Интернет работает через интерфейс ISP (требуется публичный "белый" IP-адрес провайдера).

ws1-rdp-2.PNG

Настройте "маппинг" порта, когда сервер принимает подключения на порт с номером X, но обращаться к нему будут на порт с номером Y. Подмена порта может использоваться в случае блокировки распространенных номеров портов на стороне провайдера или если некоторые номера портов уже заняты.
В нашем примере подключения будут выполняться на порт 8128, в то время как служба RDP на сервере ожидает подключения по протоколу TCP по номеру порта 3389 (используется по умолчанию).

1. Для того, чтобы доступ из Интернета к RDP-серверу работал, нужно настроить правило трансляции NAT. В меню Безопасность > Трансляция сетевых адресов (NAT) добавьте правило.

ws1-rdp-3.png

Согласно этому правилу, обращения на адрес интерфейса ISP (это предоставленный провайдером публичный IP-адрес устройства в Интернете), по порту TCP/8128, будут перенаправлены в локальную сеть на компьютер 192.168.1.32 на порт TCP/3389.

ws1-rdp-4.PNG

Важно! Интерфейс, IP-адрес и Порт относятся к параметрам назначения входящего пакета на WAN-стороне преобразователя NAT. После преобразования, IP-адрес и порт назначения входящего в LAN-сегмент трафика будут изменены на указанные.

2. После применения правила NAT в сетевом экране интернет-центра будет автоматически разрешено устанавливать данные соединения. Далее настройте ограничение подключений по списку доверенных хостов, что обеспечит дополнительную безопасность сервера, помимо его собственных механизмов авторизации.

Важно! Настроенные пользователем правила сетевого экрана имеют высший приоритет над автоматическими, и выполняются в порядке их указания.

Нам нужно, чтобы определенные хосты смогли устанавливать RDP-подключение, а все остальные — нет. Сначала нужно указать разрешения для адресов этих хостов, а затем запретить все остальные.

а) Разрешающее правило.

Screen_Shot_2017-05-22_at_08.30.55.png

Данное правило разрешает подключение с IP-адреса 117.119.20.59. Если список доверенных хостов включает более одного адреса, аналогично нужно настроить правило для каждого из них.
В случае необходимости можно указать диапазон адресов. Для этого воспользуйтесь инструкцией «Настройка правил межсетевого экрана интернет-центра, в которых используется диапазон IP-адресов или портов».

б) Запрещающее правило.

Screen_Shot_2017-05-22_at_08.37.42.png

Пример списка правил имеет следующий вид:

ws1-rdp-5.PNG

Важно! Правила сетевого экрана выполняются после правил NAT. Поэтому, в качестве адреса и порта назначения нужно указывать LAN-адрес и порт назначения. Номер порта источника указывать не нужно, так как обычно трафик отправляется со случайного номера порта.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.