Restringir o acesso à rede para o computador remoto

Navegue suas respostas
1

Eu tenho um escritório remoto que tem alguns computadores que não podem ter acesso regular à Internet, no entanto, precisarei acessar periodicamente os computadores remotamente para os quais pretendo usar o VNC.

O que é uma boa maneira de garantir que os computadores não tenham acesso à Internet, exceto minhas conexões VNC de entrada?

Meu primeiro pensamento aqui seria configurar um roteador à frente deles para que o roteador só permita ARP / DNS e as portas VNC 5000 + N, e bloqueie todas as outras entradas e saídas. Isso seria uma solução eficaz?

    
por Tyler Durden 02.11.2017 / 13:50

3 respostas

3

Até onde eu sei, deixar a porta VNC aberta para o mundo (0.0.0.0/0) é não segura e hackável.

Coisas que você pode fazer:

  1. Instale um firewall e configure o NAT - permitindo que você acesse a rede através da porta VNC, mas apenas para um IP específico (e não para o mundo).

  2. Configure um servidor VPN que permitirá acessar todos os hosts da rede quando você estiver conectado a ele.

Usando ambas as soluções, você pode limitar o acesso dos usuários à Internet e permitir o acesso a serviços específicos dentro da rede.

    
por 02.11.2017 / 13:59
0

Você pode simplesmente dar entradas de DNS falsas e deixar intactas todas as informações de IP / sub-rede / Gateway? Isso interromperá as tentativas de navegação, mas deixará o tráfego roteável. O DNS incorreto vai quebrar o patch e provavelmente outros aplicativos, mas você pode facilmente ligar e desligar.

    
por 02.11.2017 / 19:27
0

Minha configuração usual nesses casos é ter um roteador na frente da rede em que você possa fazer o SSH e, em seguida, usar a porta SSH somente quando precisar acessar os computadores internos.

Roteadores como Mikrotik ou Ubiquiti têm essa capacidade e geralmente são realmente acessíveis. Em tal configuração, você poderia ter os computadores que você deseja manter fora da Internet obter apenas endereços IP por DHCP e nenhum IP para um gateway. Dessa forma, eles poderão se comunicar com outros computadores na mesma rede, mas não terão acesso à Internet.

Quando você precisar acessar esses computadores internos do mundo externo, conecte o SSH ao roteador e use a porta local para a frente, algo assim:

user@admin-computer:~$ ssh router.company.com -f -L 5900:<no-inet-pc1-ip>:5900

e após o login com seu usuário / senha SSH, você inicia seu cliente VNC e conecta-se a 127.0.0.1 na porta padrão 5900 e você alcançará o PC interno (que tem no-inet-pc1-ip endereço IP) no VNC porta. Isso funcionará mesmo sem um gateway nos PCs internos porque a conexão do ponto de vista deles vem do roteador, não do seu controle remoto admin-computer

Se você configurar o SSH com autenticação de chave pública (altamente recomendado) e usar porta não padrão para SSH no roteador (para evitar a varredura contínua que acontece na porta 22), você terá uma configuração acessível, segura e automática sem ter configurar VPNs o firewall complexo.

Espero que ajude!

    
por 13.11.2017 / 02:49

Tags

Monitorando pacotes descartados pelo kernel grep não funciona em pasta particular em centos?