• Спрятать RDP сервер... а как?

    @Sukubus
    Я уже лет 5 занимаюсь подобной работой для бухгалтерий и могу сказать, что у вы много чего делаете не так
    1) сервер в РФ сразу идёт лесом, т.к. любой обэп или отдел к сможет легко нагнуть вашего хостера. Сервер должен находиться в Европе. Причем некоторые типа хэцнера тоже сотрудничают с нашими и просто могут закрыть вам доступ.
    2) скорее всего ваш сервер сидит в интернете что называется голой опой(порт rdp открыт). И даже если вы измените порт рдп, то он все равно просканиваться ботами и у вас постоянно будет идти подбор паролей. В качестве временного решения можно получить на работе постоянный ip у провайдера и настроить фаерволл сервера на подключение по rdp с этого ip. Но это отменит возможность подключения с разных мест... Best practics - это использование варитуальных машин на сервере, которые будут сидеть за виртуальным роутером. Далее делается шифрованный туннель между роутером в вашем офисе и виртуальным роутером и подключаются люди по рдп уже внутри этого туннеля по серым ip-адресам. Я предпочитаю использовать оборудование mikrotik. Виртуалки также удобны тем, что их легко можно бэкапить, а также переносить на другие сервера в случае расширения.
    Ответ написан
    3 комментария
  • Спрятать RDP сервер... а как?

    @dronmaxman
    VoIP Administrator
    Что тут сложного? Достаточно 2х правил в iptables. Минус конечно есть - не будет видно IP клиента, на терминальном сервере все будут сидеть с IP VPS сервера (WAN_IP).

    RDP_IP='192.43.76.78'
    WAN_IP='54.23.45.43'
    WAN_INTERFACE=ens33
    SRC_PORT_FORWARD=3389
    DST_PORT_FORWARD=3389
    echo 1 > /proc/sys/net/ipv4/ip_forward
    sudo iptables -t nat -A PREROUTING -i $WAN_INTERFACE -p tcp  --dport $SRC_PORT_FORWARD -j DNAT --to-destination $RDP_IP
    sudo iptables -t nat -A POSTROUTING -d $RDP_IP -p tcp  --dport $DST_PORT_FORWARD -j SNAT --to-source $WAN_IP
    Ответ написан
    1 комментарий