+ Responder ao Tópico



  1. #1

    Padrão Entrada WTS - Segurança na NAT

    Boa tarde!

    Galera, estou com uma dúvida e um problema relativo a segurança da entrada de TS aqui na empresa... Meu cenário é o segunte:

    Possuo um servidor com iptables + squid como gateway principal da rede.

    Possuo um servidor Windows Server 2003 (infelizmente)...

    Preciso que alguns funcionários se conectem no servidor de Windows Server via TS, o que já consegui fazer no Linux com a linha:

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination $IPINTERNO

    Beleza, o pessoal consegue entrar TS numa boa! Massss... e a segurança??

    Queria que o pessoal tivesse que abrir a porta 3389, e não que ela ficasse asism, sempre disponível...

    Tipo assim... quando alguem coloca meu IP de Internet no cliente de TS e clica em Conectar, não queria que abrisse direto a tela de meu servidor Windows...

    Para evitar isso queria criar alguma regra que habilitasse a porta do TS e fizesse a NAT somente a usuários logados no linux (via ssh) ou então somente quando, via putty mesmo, o usuário bate em uma porta qualquer configurada por mim que tem a fubnção de abrir a porta 3389 e a NAT funcione por x tempo (faço isso com o ssh)... tem como?

    Ou então alguém tem alguma outra sugestão?

    Só para explicar.... para entrar SSH aqui tenho que primeiro tentar conectar em uma porta aleatória aqui, abrindo assim a porta do ssh por 10 segundos... o tempo exato para conectar e fechar a porta...

    Desde já agradeço!

    Um abraço!

  2. #2
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.985
    Posts de Blog
    5

    Padrão Re: Entrada WTS - Segurança na NAT

    Humm, só pegar a lógica que já usa pro ssh uai.
    Add Port Knocking to SSH for Extra Security
    Weekend Project: Secure Your System with Port Knocking | Linux.com

    Não é lá muito seguro, mas é isso.



  3. #3

    Padrão Re: Entrada WTS - Segurança na NAT

    Então... eu havia testado já e não funcionou... ele continuava a entrar normalmente pela 3389...
    vou tentar com estas dicas que você me passou.

    Só uma dúvida... porque você disse que não é muito seguro?

    Obrigado.