Как настроить обратный прокси для rdp?

Question

[alexkompozitov]

Доброго времени суток, форумчане!
Я хочу скрыть свой бекэнд за файрволлом. Вот структура:

1. пользователь подключается к 1.2.3.4
   
2. сервер с айпи 1.2.3.4 отправляет трафик на сервер 5.6.7.8
   
3. сервер 5.6.7.8 допускает трафик только если он отправлен с 1.2.3.4
   

В общем, схема простая. Я решил использовать Nginx Proxy Manager.


подскажите, где ошибаюсь?

Comments

[IvanU7n]

rdp на порт ssh? тут явно что-то не так

[alexkompozitov]

IvanU7n, все так) специально поставил в регедите.

[Valentin Barbolin]

ты в портах не ошибся? rdp использует 3389.

Вообще должно работать, через ProxyManager не настраивал, но nginx так умеет.

[Alexey Dmitriev]

Разницу между привилегированными и непривилегированными портами понимаете?
В настройках RDP сервера использование дополнительно UDP протокола отключено?

[alexkompozitov]

Alexey Dmitriev, отключено.
разницу не понимаю и слышу первый раз

Answer 1

[alexkompozitov]

самый простой вариант - использование Windows Server для этого.
Форвардить трафик в моей ситуации оказалось проще всего через netsh.
Формат команды, который подошел мне:
netsh interface portproxy add v4tov4 listenport=какой_порт_принимает_прокси listenaddress=айпи_сервера_с_обратным_прокси connectport=порт_для_форварда connectaddress=айпи_куда_форвардить

стоит заранее открыть порт в файрволле.
понимаю, что windows не любят, но для меня задача оказалась проще.

Плюсы решения:
1) Простота для выполнения
2) Базовая защита Windows
Минусы решения:
1) Отсутствие тонкой настройки firewall на Windows (рейтлимит, например)
2) Windows крайне желательно настроить. Советую MemReduct, чтобы сервер уместился в комфортный 1гб

Вот и все, спасибо всем помогающим и направляющим!

p.s: для linux:
сначала /etc/sysctl.conf
туда добавить строчку
net.ipv4.ip_forward = 1
потом:
root@2950685-gs12047:~# iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination айпи:порт
root@2950685-gs12047:~# iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
root@2950685-gs12047:~# iptables -t nat -A POSTROUTING -j MASQUERADE
root@2950685-gs12047:~# ufw allow 3389
Rules updated
Rules updated (v6)
root@2950685-gs12047:~# sudo sysctl -p
net.ipv4.ip_forward = 1
root@2950685-gs12047:~#

все канец

Comments

[alexkompozitov]

я неправильно указал ТЗ. Надеюсь, те, кто пытались повторить мои цели - нашли ответ

Я хотел защитить сервер с виндой, т.е. все программы, которые там работают, должны работать всегда, а доступ к серверу необязателен в случае ddos-атаки.
"сервер 5.6.7.8 допускает трафик только если он отправлен с 1.2.3.4"
Понимаю, что ТЗ было непонятно многим

Answer 2

[ky0]

Вам нужен форвард порта + ограничение по IP на хосте с RDP, а не nginx.

Comments

[alexkompozitov]

вот форвард порта и является проблемой. выше скрин, не понимаю :(

p.s. с ограничением скопа в файрволле уже все работает, я просто приложил структуру

[ky0]

alexkompozitov, форвард порта не с помощью непонятной вебморды, а прямо на фаерволле, как это обычно и делается - с помощью iptables или что там у вас.

[alexkompozitov]

ky0, я еще давно пытался.
можете уделить пару минут, и написать примерный конфиг, который будет форвардить трафик, приходящий на 333 порт в 46.29.239.146:22?

у меня никак не получалось.

[MVV]

Вам нужен форвард порта

ky0, не обязательно. Для RDP еще есть вариант работы поверх HTTPS, для этого на сервере нужно устаовить роль Remote Desktop Gateway

[ky0]

MVV, ну, это какие-то виндячьи дебри. У человека проблема с форвардом порта - я ему и объясняю, что никакие nginx`ы ему для этого не нужны.

[pfg21]

RDP работает поверх TCP (костыли в топку :) )
nginx работает с протоколом HTTP(S)
тебе надо "пробросить порт" это уровень TCP.
nginx не умеет работать с TCP, он работает только с HTTP(S)
пробросом порта TCP занимается фаерволл (точнее пакетный фильтр, но пофих до тонкостей)
какая операционка стоит на 1.2.3.4 ??

[MVV]

RDP работает поверх TCP (костыли в топку :) )

pfg21, это не костыли, а штатная возможность.
Она, кстати, позволяет много чего дополнительного, когда серверов RD Host много. Впрочем, это - не случай автора. А автору, возможно, хватит проброса порта. А может - и нет: лн как-то не слишком поделился причиной, по которой он хочет использовать аж целых два сервера.

[MVV]

ну, это какие-то виндячьи дебри.

ky0, это для вас они дебри. Потому что вас этому не учили и вы просто не умеете их готовить. А для администратора Windows - это штатная возможность системы.

[AUser0]

pfg21, эммм, позвольте поправить, NGINX-овский stream как раз для банального forwarding-а входящего трафика на указанный IP:port.

Порт нужно указать RDP-шный, а не SSH-ный, однако. Но автор вопроса этот момент принципиально игнорирует.

[alexkompozitov]

AUser0, 22 порт это порт моего рдп.

[alexkompozitov]

pfg21, на сервере, где будет потенциальный лоад балансер, установлена ubuntu 20.04.
смею предположить, предложите iptables?

[pfg21]

alexkompozitov, так-то лоадбалансер лишь надстройка над пакетным фильтром в ядре системы. раньше когда пакетный фильтр в линуксе был iptables, можно было сказать да, сейчас пакетный фильтр в современном ядре nftables, так что скажу нет :) в 20.04 не знаю что конкретно.

[AUser0]

alexkompozitov,

22 порт это порт моего рдп.

На самом сервере проверяли, точно RDP на 22-ой порт перешёл?

На промежуточном сервере tcpdump показывает трафик до RDP-шного сервера?
Не только входящий, но и тот самый, пересылаемый NGINX-ом уже на RDP сервер назначения.

[alexkompozitov]

AUser0, да, рдп точно на 22 порте.
tcpdump не проверял, сейчас гляну

Answer 3

[Quqas]

nginx [engine x] — это HTTP-сервер и обратный прокси-сервер, а также TCP/UDP прокси-сервер общего назначения

rdp (без шлюза) никак не http(s)
для tcp "обратного" прокся не заявлено

подскажите, где ошибаюсь?

в ТЗ

Comments

[alexkompozitov]

а что насчет stream? вроде как и считается, что он нужен для tcp. это не так?

[Quqas]

alexkompozitov, ну так сам определись прокси он или "прикидывается" маршрутизатором?

в любом случае под вопрос не подходит

либо rdp сервак видит истинный адрес клиента

либо "видит" адрес nginx но тогда связи не будет. потому что rdp сервак будет "отвечать" именно nginx а тот в душе не знает что с этим делать