Как подключиться к серверу Windows из вне?

[n60]

squid

Проверил. Всё по старому. Открыт только 80 Apache..

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[squid]

Код: Выделить всё

ps aux | grep natd
cat /etc/natd.conf
ipfw show
sockstat -4

[n60]

squid

Предыдущий пост удалил, ибо некорректно вставил данные. Вот корректный:

Код: Выделить всё

gateway# ps aux | grep natd
root   3814  0.0  0.5  1616  1144  ??  Ss    4:18PM   0:01.77 /sbin/natd -f /etc/natd.conf -n vr0

Код: Выделить всё

gateway# cat /etc/natd.conf
use_sockets yes
same_ports yes
unregistered_only yes
interface vr0
redirect_port tcp 192.168.1.250:3389 3389

Код: Выделить всё

gateway# ipfw show
00050 442963 109528878 divert 8668 ip4 from any to any via vr0
00100     80      4960 allow ip from any to any via lo0
00200      0         0 deny ip from any to 127.0.0.0/8
00300      0         0 deny ip from 127.0.0.0/8 to any
65000 466728 120567832 allow ip from any to any
65535     43      3031 deny ip from any to any

Код: Выделить всё

gateway# sockstat -4
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
ssh      sshd       3843  3  tcp4   192.168.1.252:22      192.168.1.213:2504
root     sshd       3840  3  tcp4   192.168.1.252:22      192.168.1.213:2504
root     natd       3814  3  div4   *:8668                *:*
root     sendmail   824   4  tcp4   127.0.0.1:25          *:*
root     sshd       818   3  tcp4   192.168.1.252:22      *:*
www      httpd      817   16 tcp4   *:80                  *:*
www      httpd      816   16 tcp4   *:80                  *:*
www      httpd      815   16 tcp4   *:80                  *:*
www      httpd      814   16 tcp4   *:80                  *:*
www      httpd      813   16 tcp4   *:80                  *:*
root     httpd      799   16 tcp4   *:80                  *:*
squid    squid      783   6  udp4   *:52985               *:*
squid    squid      783   18 tcp4   *:3128                *:*
squid    squid      783   19 udp4   *:3130                *:*
squid    squid      783   21 tcp4   192.168.1.252:3128    192.168.1.213:1098
squid    squid      783   22 tcp4   83.ХХХХ.ХХХ.ХХХ:63473  205.188.9.233:443
root     smbd       767   19 tcp4   *:445                 *:*
root     smbd       767   20 tcp4   *:139                 *:*
root     nmbd       763   6  udp4   *:137                 *:*
root     nmbd       763   7  udp4   *:138                 *:*
root     nmbd       763   8  udp4   192.168.1.252:137     *:*
root     nmbd       763   9  udp4   192.168.1.252:138     *:*
root     syslogd    648   7  udp4   *:514                 *:*

[squid]

а провайдер не мог закрыть порты все кроме веба ?

[Volkoff]

кстати а почему порт 3389? Виндовый терминальный клиент юзает 495 TCP вроде

[manefesto]

кстати а почему порт 3389? Виндовый терминальный клиент юзает 495 TCP вроде

http://www.google.ru/search?q=rdp+порт& ... =firefox-a

[n60]

squid

Созвонился - сказали что все открыто...

Короче втухаю я видимо с этим удаленным подключением.

[manefesto]

Честно говоря меня очень смутили последние две строки

Код: Выделить всё

gateway# ipfw show
00050 442963 109528878 divert 8668 ip4 from any to any via vr0
00100     80      4960 allow ip from any to any via lo0
00200      0         0 deny ip from any to 127.0.0.0/8
00300      0         0 deny ip from 127.0.0.0/8 to any
65000 466728 120567832 allow ip from any to any
65535     43      3031 deny ip from any to any

Выруби файрвол....

Код: Выделить всё

rc.conf:
firewall_enable="NO"

[n60]

Вырубил файерволл. Выполнил команду /etc/netstart

Результат:

Код: Выделить всё

gateway# ipfw show
00050 3690 294533 divert 8668 ip4 from any to any via vr0
00100    0      0 allow ip from any to any via lo0
00200    0      0 deny ip from any to 127.0.0.0/8
00300    0      0 deny ip from 127.0.0.0/8 to any
65000 4641 378116 allow ip from any to any
65535   43   3031 deny ip from any to any

Мобыть, надобно перезагрузить?

[manefesto]

пробуй...

[n60]

Ребутнулся, результат прежний:

Код: Выделить всё

gateway# ipfw show
00050 2065 201911 divert 8668 ip4 from any to any via vr0
00100   16    992 allow ip from any to any via lo0
00200    0      0 deny ip from any to 127.0.0.0/8
00300    0      0 deny ip from 127.0.0.0/8 to any
65000 2369 252103 allow ip from any to any
65535  151  12392 deny ip from any to any

[manefesto]

вообщем давай в личку свой ipшник, вечером буду сканить твои порты....посмотрим....что у тебя открыто а что закрыто

[n60]

manefesto

Давай лучше тут. Во-первых и для наглядного пособия будет полезно таким же людям как и я, а во-вторых я начинаю кое что догонять..

Вобщем, я открыл ssh снаружи и теперь могу свободно подключаться по ssh. Фишка была в том, что я не разрешил доступ по ssh в /etc/inetd.conf а так же не прописал строку inetd_enable="YES" >> /etc/rc.conf. Этих манипуляций на сайте 2ip.ru проверка безопасности мне сообщила, что по-мимо 80-го порта, у меня открыт еще 22 (ssh). В связи с этим, в моей голове возник вопрос как мне открыть 3389 порт снаружи (учитывая то, что firewall_type="OPEN") и вообче, насколько это безопасно? И вообще, насколько безопасны мои манипуляции с открытием порта 22?

[manefesto]

ну могут просто методом перебора твой пароль всякие хацкеры подобрать(не верится если честно).

Но так как у тебя задачей стояло использование с любого ИПшника из внешнего мира, то это цена твоим пережиткам.

Лучше бы посмотреть конечно вот сюда
http://www.lissyara.su/?id=1472
http://www.lissyara.su/?id=1283

А доступ по rdp у тебя должен работать через nat.

Кстати ты уверен что твой терминальный сервер разрешает подключения извне ?

[n60]

manefesto

Спасибо за ссылки. Буду изучать...

ты уверен что твой терминальный сервер разрешает подключения извне ?
Чисто по имхо - должон. Но я не уверен. Если подскажешь где эти разрешения проверить буду тебе благодарен.

P/S: "Галка" "Включить удаленный доступ к этому компьютеру" - стоИт.

[manefesto]

Мдя....пробуй вообщем по статье настроить файрвол.... сделай по умолчанию без каких либо правил

Код: Выделить всё

ipfw allow from any to any

А оттуда уже плясать....

[n60]

manefesto

Я как раз таки нахожусь в стадии изучения ipfw. Очень много раз пробовал создавать правила - результат не важный, то 110 и 25 не работает (не допер еще как сделать связку natd+ipfw), то не работают порты **** (не помню номера) для доступа к панели наполнения сайта. В инете много инфы, но к сожалению, большинство информации тупо неработоспособно. К тому же с четкими пониманиями принципов работы ipfw у меня пока туго, поэтому я решил изучать статью с этого сайта. Статья разжевана хорошо, но очень уж гемморно-долго, мне половина из нее ненужна, учитывая специфику нашей организации.

Плюс, у меня на все про все осталось примерно сутки времени, ибо в пятницу я в командировку уезжаю и хотелось бы к этому времени настроить rdp. Конечно, мне кабину не свернут если что то полетит, ибо я не системный администратор, но тем не менее, простОи - это как правило потеря денях, и хотелось бы свести к минимуму период геморроя до появления кулибина.

Если есть время и желание, кинь сюда самый простой конфиг. Я его подредактирую под себя, затем copy-paste в какой нить firewall.conf и продолжим..

[manefesto]

http://forum.lissyara.su/viewtopic.php? ... ilit=+ipfw

[manefesto]

давай ipшник....помогу....

[squid]

давай ipшник....помогу....

так будет проще наверное

[n60]

Какой IP-шник? Парни, я просто мысль не улавливаю..

Нужны характеристики сети, или нужен удаленный доступ?

[manefesto]

Внешний ipшник, по которому можно подцепиться извне...
Ну соответственно логин и пароль....в личку....

Не бойся....мы не злые.....ничо не сломаем

[manefesto]

рапортую....при перезапуске ната машина ушла в даун.
В корне до этого обнаружил корку natd.core.
Ядро генерик...
буду бадать ipnat

[n60]

manefesto

обнаружил корку natd.core
Что это значит? Вернее, чем ентот момент плох..

буду бадать ipnat
Я только только с демоном natd (боле-мене) разобрался...
Кстати вот, всегда хотел спросить в чем такое глобальное различие natd от ipnat. Функцию т.н.з masquerading'а, как основную составляющую выполняют неплохо оба демона вроде бы..

[manefesto]

natd.core говорит что приложение упало(ошибка сигментации вроде называется).
Как вариант сделать через ipnat,можно попробовать завернуть на самом файрволе, или обновить систему, чтобы natd больше не падал.