Jak otevřít přístup k serveru. Jak se přihlásit pomocí externí IP adresy z lokální sítě pro MikroTik

Pozornost! Při vzdáleném vytváření pravidel pro blokování přístupu k serveru přes IP byste měli být opatrní! Neblokujte se náhodou ;-)

Otevřete sekci správy místní politika bezpečnostní ( Místní zabezpečení Politika). Chcete-li to provést, klepněte na nabídku Start => Nástroje pro správu => Místní zásady zabezpečení.

V zobrazeném okně klikněte pravým tlačítkem myši na větev "Zásady zabezpečení IP jsou zapnuty místní počítač» (Zásady zabezpečení IP na místním počítači). Z kontextové nabídky vyberte "Přidat zásady zabezpečení" (Vytvořte bezpečnostní politiku).



Spustí se Průvodce vytvořením nové zásady zabezpečení. Klikněte "Dále" (další).



V dalším kroku zadejte název nové zásady. Například "Blokování nežádoucích IP adres". Popis je volitelný. Klikněte "Dále" (další).



Pak odstranit volba "Aktivovat výchozí pravidlo" (Aktivujte výchozí pravidlo odpovědi) a stiskněte "Dále" (další).



Na poslední krok nechte vše tak, jak je, a klikněte na tlačítko "připraven" (Dokončit).



Otevře se okno vlastností vytvořené zásady. Na kartě "pravidla" (Pravidla), zrušte zaškrtnutí této možnosti "Použít průvodce" (Použijte Průvodce přidáním) a klikněte na tlačítko "Přidat" (Přidat).


Objeví se okno "Nové parametry pravidla" (Vlastnosti nového pravidla). Na kartě "Filtr IP adres" (Seznam filtrů IP) klikněte na tlačítko "Přidat" (Přidat).


V okně, které se objeví, v poli "Název" (název) Zadejte název skupiny IP adres, které chcete blokovat. Například: "Blokovat útok". Zrušte zaškrtnutí této možnosti "Použít průvodce" (Použijte Průvodce přidáním) a klikněte na tlačítko "Přidat" (Přidat).



V okně vlastností filtru IP na záložce "adresy" (Adresy) V kapitole "Zdroj" (Adresa zdroje) odejít "Moje IP adresa" (Moje IP adresa).

V kapitole "Destinace" (Cílová adresa) vybrat "Konkrétní IP adresa" (Konkrétní IP adresa) nebo "Podsíť" (Konkrétní podsíť IP) a zadejte IP adresy, kterým chcete odepřít přístup k serveru.

Volba "Zrcadlo" (Zrcadlově) nechte to být.


Na kartě "Protokol" (Protokol) můžete vybrat protokol, pro který bude filtr použit. Ve výchozím nastavení bude filtr použit pro všechny protokoly.


Na kartě "Popis" (Popis) můžete zadat popis filtru. Tento popis bude použit v seznamu filtrů, aby vám později usnadnil hledání filtru. Jako popis je nejlepší zadat IP adresu, která má být blokována.


Klikněte na tlačítko "OK" k vytvoření filtru. Vrátíš se z okna "Seznam IP filtrů" (Seznam filtrů IP), ve kterém se objeví nově vytvořený filtr.



Klikněte na tlačítko "OK" zavřete seznam filtrů IP. Vrátíš se z okna "Nové parametry pravidla" (Vlastnosti nového pravidla). Nově vytvořený seznam se objeví v seznamu seznamů IP filtrů. Vyberte to.


Přejděte na kartu "akce" (Akce filtru). Zrušte zaškrtnutí této možnosti "Použít průvodce" (Použijte Průvodce přidáním) a klikněte na tlačítko "Přidat" (Přidat).


V okně, které se zobrazí, na kartě "Ochrana" (Bezpečnostní metody) nastavte možnost "Blok" (Blok).


Přejděte na kartu "Všeobecné" (Všeobecné) a v terénu "Název" (název) zadejte název akce. Například: "Blok".


Klikněte na tlačítko "OK". Nově vytvořená akce se objeví v seznamu akcí. Vyberte to.


Klikněte na tlačítko "OK".

To je vše, politika byla vytvořena. Chcete-li ji aktivovat, klikněte pravým tlačítkem na název zásady a vyberte z kontextové nabídky "Aktivovat" (Přiřadit).



Podobně prostřednictvím kontextové nabídky můžete vytvořenou politiku deaktivovat.

Nechtěné můžete snadno přidat do vlastností vytvořené politiky. IP adresy.

Počítač můžete připojit k serveru přes internet pomocí VPN (Virtual Private Network). To vám umožní správně distribuovat zdroje vzdálené sítě a také nakonfigurovat server ve správném pořadí.

Instrukce

  • Nakonfigurujte systém Windows tak, aby se správně připojoval k serveru. Obvykle software potřebný pro vytvoření VPN, který je součástí operačního systému Windows Server. Je lepší jej nainstalovat, abyste nekupovali žádné další síťové vybavení.
  • Spusťte Windows Server a klikněte na tlačítko Start, vyberte Programy, Nástroje pro správu a Průvodce konfigurací serveru. OTEVŘENO " Vzdálený přístup/VPN-North" v seznamu služeb.
  • Klikněte na kruh nalevo od virtuální priváty síť VPN a NAT“. Vyberte síťový adaptér, který připojuje váš počítač k internetu, je-li k dispozici.
  • Vyberte možnost pro automatické přiřazení IP adresy. Chcete-li přejít na stránku Správa více serverů vzdáleného přístupu, vyberte možnost Ne, použijte směrování a vzdálený přístup k ověření požadavků na připojení.
  • Klikněte na tlačítko Start, vyberte Programy, Nástroje pro správu a otevřete Aktivní uživatelé a počítače." Přejděte do části „Vzdálený přístup“ a přejděte na kartu „Vlastnosti“. Zadejte „Povolit přístup“ pro každého z uživatelů, kterým chcete povolit přístup k serveru přes VPN.
  • Přejděte na název počítače, který se chcete připojit k serveru přes Internet. Stiskněte tlačítko "Start", otevřete "Ovládací panely", poté "Síť a Internet", "Centrum sítí a přepínání" a "Nastavit nové připojení nebo síť".
  • Vyberte „Workplace Connection“, „Use My Internet Connection“ a zadejte IP adresu routeru pro připojení k serveru. Chcete-li tuto adresu zjistit, otevřete konfigurační stránku routeru.
  • Zadejte své uživatelské jméno a heslo pro účet, přes který se přistupuje k VPN. Pro připojení k serveru použijte připojení VPN.
    • Ohodnoťte článek!

    Postup pro otevření přístupu k serveru zahrnuje poskytnutí přístupu k vybrané síťové složce nebo sdílení složky. Problém se řeší standardní prostředky OS Windows a nevyžaduje žádné další software. V tomto případě uvažujeme o systému Windows Server 2003.

    Instrukce

    Vyvolejte hlavní systémovou nabídku kliknutím na tlačítko „Start“ a přejděte na „Všechny programy. Rozbalte odkaz "Standardní" a spusťte aplikaci " Průzkumník Windows" Najděte složku, které chcete udělit přístup, a kliknutím vyvolejte její kontextovou nabídku pravé tlačítko myši. Vyberte "Vlastnosti" a použijte zaškrtávací políčko v řádku "Otevřít". obecný přístup do této složky“ v dialogovém okně, které se otevře.

    Zadejte požadovaný název pro ten, který vytváříte. síťový zdroj v řádku „Sdílet“ a zaškrtněte políčko v řádku „Maximální možné“ v části „Omezení uživatele“. Kliknutím na tlačítko "Oprávnění" přidáte uživatele, kteří mají přístup k vybrané složce, a použijte příkaz "Přidat". Vyberte požadovaného uživatele ze seznamu v novém dialogovém okně a pomocí zaškrtávacího políčka definujte přístupová práva:

    Plný přístup;
    - změna;
    - čtení.

    Svou volbu potvrďte kliknutím na OK.

    Upozorňujeme, že po kliknutí na tlačítko „Upřesnit“ můžete provést pokročilá nastavení oprávnění pro přístupová práva. Zrušte zaškrtnutí řádku "Povolit dědičnost...", protože jinak vybraný uživatel získá práva z vyšší úrovně (obvykle z disku, kde jsou všichni standardně nastaveni na "Pouze pro čtení"). Použijte zaškrtávací políčko v řádku „Nahradit oprávnění“ a potvrďte uložení provedených změn kliknutím na tlačítko „Použít“. Je třeba mít na paměti, že čas, který může proces přidělení práv trvat, nezávisí na velikosti, ale na počtu souborů ve složce. Proto to může trvat poměrně dlouhou dobu. Počkejte na dokončení procesu a opakujte výše uvedený postup pro každého uživatele nebo skupinu uživatelů, kterým je třeba udělit přístup k serveru.

    Jen málo uživatelů ví, že je možné nastavit domácí lokální síť tak, aby všechny počítače v ní zahrnuté měly přístup k internetu bez pořizování drahého vybavení.


    Budete potřebovat

    Instrukce

    Nejprve vyberte počítač, který bude přímo připojen k internetu. V tomto případě je nainstalován operační systém Windows Vista. Pokud má tento počítač pouze jeden síťový adaptér, zakupte si druhou síťovou kartu. Bude potřeba propojit dva počítače do lokální sítě.

    Kupte si síťový kabel požadované délky. Spojte se pomocí něj navzájem síťové karty oba počítače. Připojte kabel poskytovatele k druhému síťovému adaptéru vybraného počítače. Způsob získání přístupu k internetu (přes LAN port nebo DSL modem) je v tomto případě zcela nepodstatný.

    Zapněte první počítač. Otevřete seznam dostupných síťová připojení. Vyberte síťový adaptér, který je připojen k druhému počítači. Otevřete jeho vlastnosti. Vyberte "Internet Protocol TCP/IPv4". Klepněte na tlačítko Vlastnosti. Zvýrazněte možnost „Použít následující adresu IP“. Nastavte pro to hodnotu IP síťový adaptér, rovnající se 25.25.25.1.

    Pokud tato operace ještě nebyla provedena, nastavte připojení k internetu. Přejděte na vlastnosti tohoto připojení. Vyberte kartu Přístup. Najděte možnost „Povolit počítačům používat toto internetové připojení“. lokální síť" Zadejte síť, kterou tvoří vaše dva počítače. Uložte nastavení.

    Zapněte druhý počítač. Otevřete seznam dostupných síťových připojení. Přejděte na vlastnosti protokolu TCP/IPv4. Pokud druhý počítač používá systém Windows XP, potřebujete protokol TCP/IP.

    Aktivujte možnost „Použít následující adresu IP“. Zadejte jeho hodnotu rovnou 25.25.25.5. Stisknutím klávesy Tab automaticky získáte masku podsítě. Najděte možnosti "Výchozí brána" a "Preferovaný server DNS". Vyplňte je IP adresou prvního počítače. Uložte nastavení sítě.

    Řekněme, že jste jej nakonfigurovali a z externí sítě vše funguje správně. Někdy však může být nutné zorganizovat přístup k počítači nebo serveru pomocí externí IP adresy nejen zvenčí, ale také z místní sítě. V tomto případě se používá tzv. Hairpin NAT nebo NAT LoopBack - odesílání a přijímání paketů přes stejné rozhraní routeru, změna adres z lokálních na externí a naopak. Podívejme se na potřebná nastavení.

    Řekněme, že máme:

    1. Router s externí IP (WAN IP) 1.1.1.1.
    2. Počítač s lokální adresou 192.168.88.229 a na něm běžící server, aplikace atd. pro přístup z externí sítě. V našem případě se pro připojení používá port 8080.
    3. Počítač v místní síti s adresou 192.168.88.110.

    Již máme nakonfigurované pravidlo pro předávání pro port 8080:



    Ale nebude to fungovat při přístupu z LAN, protože nastavení je zaměřeno na pakety z externí sítě přes WAN port. Proto musíme specifikovat ještě 2 pravidla.

    Nastavení přístupu z lokální sítě pomocí externí IP adresy

    1. Vytvořte pravidlo pro přesměrování požadavků přes externí IP z lokální sítě.

    Karta Obecné.

    Řetěz- dstnat.

    Src. Adresa- zde napište lokální adresu počítače, ze kterého budeme přistupovat přes externí IP, případně rozsah adres, pokud je potřeba takový přístup poskytnout více počítačům v síti.

    Dst. Adresa- uveďte externí adresu počítače/serveru atd., která bude použita pro přístup z místní oblasti.

    Protokol, Dst. Přístav- zde specifikujeme parametry portu a protokolu, které odpovídají našemu připojení (stejně jako u přesměrování portů).


    Záložka Akce.

    Na adresy- uveďte místní adresu našeho serveru, počítače, ke kterému přistupujeme pomocí externí IP adresy.

    Do portů - Port je stejný jako na předchozí kartě, takže zde nemusíte nic zadávat.


    Nyní se můžete přihlásit k počítači 192.168.88.229z místní sítěexterní IP adresou 1.1.1.1.

    Ale pokud se s ním pokusíte nějakým způsobem komunikovat, nic nebude fungovat. Proč? Pojďme se podívat, co se stane.

    • Náš počítač (192.168.88.110) odešle paket na externí adresu serveru, která je zároveň adresou routeru - 1.1.1.1.
    • Router jej věrně přesměruje podle našeho pravidla dst-nat na počítač s adresou 192.168.88.229.
    • Přijme to a pošle odpověď. Jelikož ale jako zdrojovou adresu vidí lokální IP adresu (koneckonců paket přišel z počítače v lokální síti), odešle odpověď nikoli routeru, ale přímo příjemci.
    • Příjemce (192.168.88.10) odesílá data přes externí IP a také očekává odpověď od externí IP. Po přijetí paketu z místního 192.168.88.229 jej jednoduše zahodí jako nepotřebný.


    Proto potřebujeme ještě jedno pravidlo, které nahradí lokální zdrojovou adresu při odesílání paketu na externí IP.

    2. Nahraďte adresu místního počítače externí IP adresou.

    Na záložce Akce nastavte maskování, tedy nahrazení zdrojové adresy lokální adresou routeru.

    Na záložce Obecné specifikujeme pravidla, podle kterých bude aplikováno:

    Řetěz- srcnat, tedy pro požadavky z místní sítě.

    Src. Adresa- zde napište lokální adresu počítače, případně rozsah adres, ze kterých budou pakety odesílány.

    Dst. Adresa- zde specifikujeme „adresu příjemce“, tj. pravidlo se bude vztahovat pouze na pakety adresované našemu serveru.

    Protokol, Dst. Přístav- zde specifikujeme stejné parametry portu a protokolu.



    Nyní, po přijetí paketu z místní sítě adresovaného na externí IP 1.1.1.1, jej router nejen přesměruje na 192.168.88.229 (podle prvního pravidla), ale také nahradí zdrojovou adresu (192.168.88.110) v paket s jeho lokální adresou.

    Odpověď ze serveru tedy nebude odeslána přímo do místní sítě, ale do routeru, který ji zase předá zdroji.


    Druhá metoda Hairpin NAT MikroTik: 2 pravidla místo 3

    Můžete to ještě zjednodušit nahrazením pravidla přesměrování portů prvním pravidlem Hairpin NAT. V tomto případě nemusíte v nastavení zadávat In. Interface a Src Address, ale musíte zadat cílovou adresu.

    Přístup k externí IP adrese vašeho serveru nebo počítače s aplikací bude otevřen jak pro volání zvenčí, tak z lokální sítě, z libovolných adres, ale pouze pro pakety s cílovou adresou 1.1.1.1:80.

    Nyní přidejte výše popsané pravidlo srcnat a je to. V případě potřeby můžete přidat další filtrování zadáním rozhraní, ze kterého budou pakety odesílány ve výstupním rozhraní.

    Jedinou nevýhodou Hairpin NAT je zvýšení zátěže routeru, protože hovory, které dříve procházely lokální sítí přímo mezi počítači, nyní projdou routerem.

    Druhá metoda je jednodušší, ale v závislosti na konfiguraci sítě lze použít i první metodu.

    UPD: metody konfigurace popsané v tomto článku jsme znovu otestovali na příkladu. stejně jako nastavení navržené v komentářích. Všichni jsou dělníci.


    webová stránka