none
Доступ к терминалке извне, но только избранным RRS feed

  • Вопрос

  • Здравствуйте! 
    Имеется server 2008 R2 в качестве шлюза, он же контроллер домена. К примеру, через RRAS порт 12635 прокинут на server 2003 rdp3389, внешние пользователи подключаются на него. По факту доступ к терминалке есть у группы пользователей удаленных рабочих столов.

    Есть задача ограничить доступ извне определенным лицам/группе лиц. При этом эта группа лиц должна иметь возможность подключаться к терминалке, находясь в локальной сети.
    Пока склоняюсь к варианту с pptp и выдачей логинов/паролей под запись.
    Но можно ли групповыми политиками разрешить доступ к пробрасываемому порту определенным пользователям? например, на шлюзе дать доступ к порту 12635 только лишь конкретной группе пользователей

    Пытался на шлюзе в брандмауэре создать правило для входящих подключений к этому порту 12635 и разрешить конкретной группе, чтобы после подключения проходила проверка и только доверенных лиц пускало извне на переадресуемый порт, но оно не работает. Извне по прежнему подключаются все из группы удаленных рабочих столов, минуя это правило.

    Для windows 2008 есть RDP Gateway, но у меня ведь server2003


    16 декабря 2013 г. 14:20

Ответы

  • нет, на файрволе нет авторизации по пользователю, так как он работает на уровне tcp/ip в котором не предусмотрена аутентификация трафика. это возможно только при инкапсуляции трафика в канал более высокого уровня, например в vpn по pptp, l2tp, sstp или ssl с помощью rdg.
    как вариант, поставить в терминале всем логонскрипт который будет проверять ip адрес клиента и делать логоф сессии если адрес не из локалки.

    • Помечено в качестве ответа V.Uspensky 17 декабря 2013 г. 14:35
    16 декабря 2013 г. 17:03

Все ответы

  • нет, на файрволе нет авторизации по пользователю, так как он работает на уровне tcp/ip в котором не предусмотрена аутентификация трафика. это возможно только при инкапсуляции трафика в канал более высокого уровня, например в vpn по pptp, l2tp, sstp или ssl с помощью rdg.
    как вариант, поставить в терминале всем логонскрипт который будет проверять ip адрес клиента и делать логоф сессии если адрес не из локалки.

    • Помечено в качестве ответа V.Uspensky 17 декабря 2013 г. 14:35
    16 декабря 2013 г. 17:03
  • нет, на файрволе нет авторизации по пользователю, так как он работает на уровне tcp/ip в котором не предусмотрена аутентификация трафика. это возможно только при инкапсуляции трафика в канал более высокого уровня, например в vpn по pptp, l2tp, sstp или ssl с помощью rdg.
    как вариант, поставить в терминале всем логонскрипт который будет проверять ip адрес клиента и делать логоф сессии если адрес не из локалки.

    спасибо за ответ

    что ж, все же тогда буду копать в сторону rdg. оказывается, его можно направить с 2008го в сторону 2003го


    17 декабря 2013 г. 14:35
  • А почему не установить на сервере c W2K8R2 RDS Gateway? И там правилами CAP определить пользователей которые могут соединяться извне? И проброс не надо делать. Но только вам придётся сертификатами в таком случае защитить всё это хозяйство, а для этого их надо будет установить на внешних машинах допущенных пользователей.


    MCSA: Messaging

    • Предложено в качестве ответа DKu 17 декабря 2013 г. 14:45
    17 декабря 2013 г. 14:43
  • Ну вот, вы и сами догадались.


    MCSA: Messaging

    17 декабря 2013 г. 14:45
  • А почему не установить на сервере c W2K8R2 RDS Gateway? И там правилами CAP определить пользователей которые могут соединяться извне? И проброс не надо делать. Но только вам придётся сертификатами в таком случае защитить всё это хозяйство, а для этого их надо будет установить на внешних машинах допущенных пользователей.


    MCSA: Messaging

    ну, вариантов-то у меня было не так уж и много, честно говоря. этот самым логичным кажется.

    спасибо за ответ

    17 декабря 2013 г. 16:03