Переназначение портов терминальника
Модератор: Модераторы
Сообщений: 2
• Страница 1 из 1
therion » 08 апр 2005, 11:10
Господа, помогите советом У меня следующая ситуация: стоит сервер Win2003 со своей службой терминалов, на нем 1С и прочее фуфло. Нужно обеспечить доступ паре удаленных клиентов ч/з инет. Инет на обоих концах пущен ч/з ISA Server 2k.
Все, как говорится, стандартно. Собрался я протянуть VPN. Однако выяснилось, что пропустить 47-й (GRE) протокол IP через наши DSL модемы невозможно (ну, то есть, возможно, но для этого надо отрубать встроенные Фаерволлы, чего даже с ISA делать не хочется). Пустил терминалы напрямую,путем публикации 3389-порта на внешнем интерфейсе ИСЫ. Соответственно, поимел большую проблему с безопасностью, т. к. утечка логина/пароля любого юзера может привести к неприятным последствиям. Для решения этой проблемы ограничил диапазон адресов удаленных клиентов в ISA адресом нашей удаленной сетки. Но такой подход тоже не устроил, т. к. периодически возникает потребность удаленно что-нибудь поадминить с разных IP адресов.
И вот тут возник глобальный вопрос: как ограничить подключение для конкретного клиента терминалов по его IP адресу? Т.е. хочется заиметь 1 юзерский аккаунт, которому можно подключаться с любого внешнего адреса, и кучу прочих, для которых подключение возможно только с определенных внешних адресов.
Винда таких возможностей вроде не предоставляет, поэтому зародился хитрый план: опубликовать еще один терминальник на другом порту, завести там одного юзера и ходить удаленно на него. Все уперлось в такую мелочь, как невозможность переназначения стандартными средствами портов как терм. сервера так и клиента ;-).
В связи с этим вопрос: кто-нибудь знает способ ограничить подключение для определенного клиента определенным IP или изменить порт, на котором работает TS в Win2k3 (TCP3389)?
Все, как говорится, стандартно. Собрался я протянуть VPN. Однако выяснилось, что пропустить 47-й (GRE) протокол IP через наши DSL модемы невозможно (ну, то есть, возможно, но для этого надо отрубать встроенные Фаерволлы, чего даже с ISA делать не хочется). Пустил терминалы напрямую,путем публикации 3389-порта на внешнем интерфейсе ИСЫ. Соответственно, поимел большую проблему с безопасностью, т. к. утечка логина/пароля любого юзера может привести к неприятным последствиям. Для решения этой проблемы ограничил диапазон адресов удаленных клиентов в ISA адресом нашей удаленной сетки. Но такой подход тоже не устроил, т. к. периодически возникает потребность удаленно что-нибудь поадминить с разных IP адресов.
И вот тут возник глобальный вопрос: как ограничить подключение для конкретного клиента терминалов по его IP адресу? Т.е. хочется заиметь 1 юзерский аккаунт, которому можно подключаться с любого внешнего адреса, и кучу прочих, для которых подключение возможно только с определенных внешних адресов.
Винда таких возможностей вроде не предоставляет, поэтому зародился хитрый план: опубликовать еще один терминальник на другом порту, завести там одного юзера и ходить удаленно на него. Все уперлось в такую мелочь, как невозможность переназначения стандартными средствами портов как терм. сервера так и клиента ;-).
В связи с этим вопрос: кто-нибудь знает способ ограничить подключение для определенного клиента определенным IP или изменить порт, на котором работает TS в Win2k3 (TCP3389)?
therion » 06 май 2005, 10:58
Всем спасибо за молчание, нашел ответы сам:
http://www.isaserver.org/tutorials/Publ ... Port_.html
http://www.isaserver.org/articles/2004pubts.html
http://www.isaserver.org/tutorials/Publ ... Port_.html
http://www.isaserver.org/articles/2004pubts.html
Сообщений: 2
• Страница 1 из 1
Вернуться в Терминальные серверы
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2