rdp через ssh #722033

доброго времени суток! есть некий "офис" из нескольких компов (192.168.1.20, 21, ... ) + сервер терминалов 2003 (192.168.1.111) все станции воткнуты в роутер, на котором стоит прошивка dd wrt в порт wan роутера воткнут инет со статическим ip все компы ходят на сервер по rdp... задача : извне подключать к серверу терминалов для работы... понятное дело, что можно поставить форвадинг с wan на порт 3389 сервера терминалов или использовать dmz но тогда в логах сразу станет видно, как боты пытаюсь подобрать логин-пароль к какой-нибудь учётке хочется обезопасить сервер для доступа извне и завернуть внешний rdp-трафик в защищённый канал ssh как это сделать?

поставить 2008 сервер - там безопасность рдп можно настраивать гораздо шире

Поднимаешь openssh сервер. делаешь проброс порта 22 на какой-нибудь икзотический к примеру 8001. Потом подключаешься к rpd через этот ssh сервер.

А в чем проблема? заведи нужных пользователей да подключайся.

Поставь нестандартный порт

зачем вообще так делать? правильно через vpn

потом я вот думал на роутере поставить sshd-сервер чтобы извне можно было подключаться по рдп к серверу но тогда возникает вопрос на удалённой машине извне создаю туннель до роутера через putty как трафик по rdp оставить в туннеле, а остальной в него не шёл ?

с мегасложными паролями ?

боты же перебирают и порты

хочется создать туннель до роутреа а далее в mstsc вбить 192.168.1.111 и подключиться к серверу

видел статьи типа : но там весь трафик идёт через удалённый роутер

Ну можешь и с мегасложными паролями, хотя проще и безопасней по ключам.

Дык он там уже стоит, нафига его ставить? "как трафик по rdp оставить в туннеле, а остальной в него не шёл ?" - очень просто. Когда тоннель делаешь на putty пробрасывай удаленный порт RDP на какой нибудь  порт на localhost. Подключаться будешь localhost:нужный_порт.

, - смена номера порта на нестандартный это абсолютно бесполезное занятие. Чисто поразвлечься. Безопасности это никак не добавляет.

в 2003 это есть ?

а vpn аутентификация только по логин-паролю ?

localhost в твоём предложении  это кто ?

127.0.0.1

А при чем тут 2003? Ты вроде спрашивал про ssh

как пробросить удалённый порт на локальный не совсем понял

так в 3 что ты посоветовал

Завести нужных пользователей, сделать им ключи или пароли и подключаться.

на сервере терминалов есть уже нужные пользователи сервер терминалов мне сделать наружу ?

Какой нафиг сервер терминалов? ты в написал что у тебя есть роутер с dd-wrt и ты хочешь поднять на нем ssh и ходить через него в терминал Так вот заходишь на роутер, заводишь пользователей, по паролю или с ключами как удобней  на sshd и подключаешься.

где заводить пароли ?

*пользователей

+ не нашёл где

В консоли вестимо.

это как ?

значит так. берешь древнюю как кал мамонта тачку, втыкаешь в нее 2 сетевки, в одну втыкаешь интернет, во вторую пихаешь роутер, и ставишь на нее далее настраиваешь на нем vpn, заводишь пользователей и пароли для них и пробрасываешь впн в роутер.

telnet как же еще.

ищу пример, как +создать+пользователей -- ничего найти не могу

это лишнее

Ну.. Вообще то ssh работает с системными пользователями. DD-WRT это банальный линукс. Соотвественно стандартные команды линукс шелла. А по поводу настройки ssh на dd-wrt вот -

я всегда знал что одинэсники любят правой булкой выключателем под потолком щелкать

Это как?

видимо стоя на руках

понял пусть usr1 usr2 usr3 удалённые пользователи, которые будут подключаться к роутеру извне по ключу как тогда запретить юзеру root соединяться извне, а оставить доступ к консоли роутере внутри?

А если запретить ICMP, то по ключу можно будет достучатся до роутера ? Если да, то почему бы не блочить ICMP ?

так я хочу, чтобы root по ключу или логину-паролю по wan был не доступен, а внутри сети по lan был доступен по логин-паролю

а если отключить ICMP, то как управлять роутером внутри сети ?