Удаленный рабочий стол: как разграничить пользователей внутренней сети и интернета #442676

Ситуация такая: Есть Win Server 2003, на нем установлен сервер терминалов. Созданы пользователи, имеющие право доступа к удаленному рабочему столу. Для пользователей локальной сети пароли достаточно просты (этого хватает с точки зрения инфобезопасности предприятия). Так же создан пользователь с такими же правами доступа к удаленному рабочему столу, но под ним вхожу только я через инет. Т.к. Port mapping осуществляется на роутере, то для сервера все эти входящие трафики одинаковы и считаются как входящие по локальной сети. Так вот, как оставив простыми пароли для локальных пользователей, запретить вход на терминал из интернета, а для одного пользователя, пароль которого сложный, вход под на терминал с инета разрешить? Возможно ли это как-то реализовать. Длинные, состоящие из набора букв и цифр пароли для пользователей локальной сети никак не приемлимы, возмущений километр. Большое спасибо.

впн

О. Сам и придумал. Может кому-то пригодится: На роутере делаем переадресацию порта не 3389, а какого-нибудь, известного только, например, мне. Пусть это будет порт 9999. На роутере переадресовываем порт 9999 на 3389 (RDP) и на локальный IP-сервера, и при подключении к рабочему столу указываем этот порт, а не 3389 как по умолчанию. Таким образом непросвященный про назначенный порт (9999) пользователь не сможет подключиться из инета к удаленному рабочему столу, а по локальной сети сможет.

Advanced Port Scaner может все

Тупее защиты в мире не придумано.

есть метода защиты - ты поочереди пытаешься законнектится на 3-4 каких-нить порта (естественно, указанных и в нужном порядке), после этого на 1 минуту для твоего ИП открывается возможность соединиться по нужному тебе порту

открой доступ к настройкам роутера из Интернета и просто каждый раз разрешай порт-маппинг для своего ай-пи, а потом запрещай. Только пароль на роутере не оставляй 'admin' :)

+1

vpn не всегда подходит... например если пользователь из дома выходит в инет через vpn провайдера

+ у меня разрешено только пределённым IP с внешки

А если мне необходимо иметь доступ к нескольким серверам (в разных впн), так прокатит? Это софт? Другого не придумал Ничего себе. Это у роутеров такая функция есть? А где ее копать? Примерно так я и думал сначала(включать/отключать переадрисацию), но не очень удобно каждый раз так делать, плюс вдруг забудешь отключить как-нибудь по запаре (человеческий фактор как-никак) как раз такая ситуация у меня и есть, в инет выхожу через одну из локальных городских сетей.

ssh пощупай

Жюри Шнобелевской премиии уже наблюдает за твоими избретениями для человечества :)

если маршрутизатор с линуксом, bash и iptables - то да:

автоматизируй этот процесс :) У роутера ведь наверняка есть доступ по telnet'у

да хоть через три впн

+ в венде в маршрутизации настраивается и авторизация и политика

а отсюда по-подробней...