URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4020
[ Назад ]

Исходное сообщение
"iptables, доступ для человека с динамическими адресами"
Отправлено square skull , 17-Окт-08 12:49

Добрый всем день. Вопрос состоит вот в чём. Есть некто, кто хочет иметь доступ в офисную сеть со своего домашнего компа(если точнее то только RDP на машину в локалке), но сложность в том что сидит он со стрима, соответственно адреса назначаются динамически при чём диапазоны адресов достаточно велики, пока у меня мысль только одна - фильтровать по MAC адресу:
iptables -A INPUT -p tcp -s xx.xx.xx.xx/xx -d yy.yy.yy.yy/32 -m mac --mac-source zz:zz:zz:zz:zz:zz --dport 3389 --syn -j ACCEPT
Сразу скажу поднимать VPN нет желания, просто шкурка не стоит выделки, хотелось бы всё сделать при минимальном затрате труда. Если у кого какие мысли есть на этот счёт есть, подскажите плз, ну или кажите вектор в какую сторону смотреть. Т.е. какие ещё варианты фильтрации можно придумать ?
Заранне спасибо.

Содержание

iptables, ибо человека,Andrey Mitrofanov, 13:02 , 17-Окт-08
- iptables, ибо человека,square skull, 15:46 , 17-Окт-08
iptables, доступ для человека с динамическими адресами,Square, 13:21 , 17-Окт-08
- iptables, доступ для человека с динамическими адресами,SDenis, 13:39 , 17-Окт-08

Сообщения в этом обсуждении

"iptables, ибо человека"
Отправлено Andrey Mitrofanov , 17-Окт-08 13:02

>хочет иметь доступ в офисную сеть со своего домашнего компа
>адреса назначаются динамически
>у меня мысль только одна - фильтровать по MAC адресу:
Ну, во-первых, так не получится, потому что "его" (как и все др.из Интернета) пакеты приходят с MAC-а твоего внешненго роутера (модема, циски или т.п.). Угадай почему...
>Сразу скажу поднимать VPN нет желания, просто шкурка не стоит выделки, хотелось
>бы всё сделать при минимальном затрате труда. Если у кого какие
>мысли есть на этот счёт есть, подскажите плз, ну или кажите
port knocking
Заранее пожалуйста.
>Заранне спасибо.

"iptables, ибо человека"
Отправлено square skull , 17-Окт-08 15:46

>[оверквотинг удален]
>т.п.). Угадай почему...
>
>>Сразу скажу поднимать VPN нет желания, просто шкурка не стоит выделки, хотелось
>>бы всё сделать при минимальном затрате труда. Если у кого какие
>>мысли есть на этот счёт есть, подскажите плз, ну или кажите
>
>port knocking
>
>Заранее пожалуйста.
>>Заранне спасибо.
Про MAC спупил конечно, сории )

"iptables, доступ для человека с динамическими адресами"
Отправлено Square , 17-Окт-08 13:21

>Добрый всем день. Вопрос состоит вот в чём. Есть некто, кто хочет
>иметь доступ в офисную сеть со своего домашнего компа(если точнее то
>только RDP на машину в локалке),
Опубликовать 3389 порт его машины из локалки на нестандартном порту... куда-то вверх диапазона 57000+
или
организовать vpn тоннель через sshd.
человек соответственно будет цеплятся к своему ремотедесктопу как к localhost:3389 через putty

"iptables, доступ для человека с динамическими адресами"
Отправлено SDenis , 17-Окт-08 13:39

>[оверквотинг удален]
>>только RDP на машину в локалке),
>
>Опубликовать 3389 порт его машины из локалки на нестандартном порту... куда-то вверх
>диапазона 57000+
>
>или
>
>организовать vpn тоннель через sshd.
>человек соответственно будет цеплятся к своему ремотедесктопу как к localhost:3389 через putty
>
Как вариант - подними OpenVPN