Помогите в направлении решения проблемы безопасности проброса портов

Базовая функциональность RouterOS
wan
Сообщения: 87
Зарегистрирован: 20 авг 2017, 13:43

Помогите в направлении решения проблемы безопасности проброса портов

Сообщение wan »

Доброго времени суток, Уважаемые!
Я не очень хорошо соображаю во всем этом деле с безопасностью, но очень хочется.
Имеется на работе МТ, служит в качестве основного маршрутизатора локальной сети и выступает пограничной точкой выхода(белый адрес) в интернет для клиентов сети.
Избранным клиентам нужен доступ к своим рабочим компьютерам из интернета, т.е. из дома поработать по ночам.
Проброс на порт 3389 сделать не сложная задача - сделано. Например:

Код: Выделить всё

/ip firewall nat add chain=dstnat dst-address=62.105.28.200 protocol=tcp dst-port=9090 in-interface=WAN action=netmap to-addresses=192.168.1.100 to-ports=3389
Чего хотелось бы: как-то защититься от перебора паролей со стороны неблагонадежных "китайцев" и привязать такие соединения к чему-то конкретному. Для себя нашел выход разрешить доступ от конкретного ip-адреса, НО!!!! у меня то дома белый адрес есть, а вот у пользователей простая динамика.

Смотрел по логам в момент соединения, пытался вычислить мак-адреса, но мак входящий всегда один и он от циски провайдера, который раздает организации интернет. Этот вариант отпал сам собой.
И еще проблема в том, что пользователи не смогут ничего настроить самостоятельно дома, а хочется "добра и света" в области безопасности.

Направьте в нужное русло пожалуйста.

С Уважением, Владимир.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Помогите в направлении решения проблемы безопасности проброса портов

Сообщение Chupaka »

Ну, в целом лучше всё же поднимать у пользователей VPN-тоннель на рабочий МТ. Это дело, вроде как, должно нормально скриптоваться :)

Если нет - тогда Port Knocking. Например, в отданный пользователю батник записаны две команды ping на сервер с разным размером пакета. Роутер когда их видит - добавляет адрес источника в разрешённые, с которых можно уже и 3389 принимать.
wan
Сообщения: 87
Зарегистрирован: 20 авг 2017, 13:43

Re: Помогите в направлении решения проблемы безопасности проброса портов

Сообщение wan »

Chupaka писал(а): 04 окт 2018, 18:53 Ну, в целом лучше всё же поднимать у пользователей VPN-тоннель на рабочий МТ. Это дело, вроде как, должно нормально скриптоваться :)
ну в этом то и проблема, там, извиняюсь, бабушки по 50+ лет, которые 5 лет назад компьютеры увидели и до сих пор в шоке пребывают
Chupaka писал(а):Если нет - тогда Port Knocking. Например, в отданный пользователю батник записаны две команды ping на сервер с разным размером пакета. Роутер когда их видит - добавляет адрес источника в разрешённые, с которых можно уже и 3389 принимать.
вот про это где можно почитать? или пример какой такого батника посмотреть? Буду очень признателен

UPDATE: нашел, спасибо огромное за указание правильного маршрута

Удачи в сети