По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Удаленный доступ к системам давно стал необходимостью, и сейчас с трудом можно представить, что было бы, если бы мы не могли управлять компьютерами удаленно. Существует множество способов установить соединение с удаленным компьютером в зависимости от используемой операционной системы, но чаще всего используют два протокола:
Secure Shell (SHH) для компьютеров на базе Linux
Протокол удаленного рабочего стола (RDP - Remote Desktop Protocol) для компьютеров под управлением Windows
Эти два протокола используют клиентское и серверное приложения для установления удаленного соединения. Эти инструменты позволяют вам получать удаленный доступ и управлять другими компьютерами, передавать файлы и делать практически все, что вы могли бы сделать, физически сидя перед компьютером.
Предварительные требования
Прежде чем вы сможете установить безопасный протокол удаленного рабочего стола с удаленным компьютером, необходимо выполнить несколько основных требований:
Удаленный компьютер должен быть постоянно включен и быть подключенным к сети
Клиентские и серверные приложения должны быть установлены и активированы
Вам нужно знать IP-адрес или имя удаленного компьютера, к которому вы хотите подключиться
У вас должны быть необходимые полномочия для доступа к удаленному компьютеру
Настройки межсетевого экрана должны разрешать удаленное подключение
Что такое SHH?
Secure Shell, иногда называемый Secure Socket Shell, - это протокол, который позволяет безопасно подключаться к удаленному компьютеру или серверу при помощи текстового интерфейса.
Когда безопасное соединение SSH будет установлено, то запустится сеанс оболочки, и вы сможете управлять сервером, вводя команды на клиентской стороне на вашем локальном компьютере.
Чаще всего этот протокол используют системные и сетевые администраторы, а также все, кому необходимо удаленно управлять компьютером и при этом иметь высокий уровень защиты.
Как работает SSH?
Для того, чтобы установить SSH-соединение, необходимо иметь два компонента: клиентскую часть и соответствующий компонент на стороне сервера. Клиентская часть, или клиент, SSH – это приложение, которое устанавливается на компьютер, который вы будете использовать для подключения к другому компьютеру или серверу. Клиент, чтобы инициировать соединение, использует предоставленную информацию об удаленном хосте и устанавливает зашифрованное соединение, если учетные данные были проверены.
На стороне сервера есть компонент, называемый демоном SSH (SSH daemon - sshd). Он постоянно прослушивает определенный порт TCP/IP для возможных клиентских запросов на подключение. Как только клиент инициирует соединение, демон SSH ответит сообщением о программном обеспечении и версиях протокола, которые он поддерживает, и они обменяются своими идентификационными данными.
Версия протокола SSH по умолчанию для связи сервера SSH и клиента SSH – 2.
Как установить SSH-соединение
Так как для установки SSH-соединения требуются как клиентский, так и серверный компоненты, необходимо убедиться, то они установлены на локальном и удаленном компьютерах соответственно. OpenSSH – это инструмент SSH с открытым исходным кодом, который широко используется для дистрибутивов Linux. Установка OpenSSH относительно проста. Для этого требуется доступ к терминалу на сервере и к компьютеру, который вы используете для подключения. Отметим, что в Ubuntu SSH-сервер по умолчанию не установлен.
Как установить клиентскую часть OpenSSH
Прежде чем устанавливать клиента SSH, убедитесь в том, что он еще не установлен. Во многих дистрибутивах Linux он уже есть. Для компьютеров с Windows вы можете установить PuTTY или любой другой клиент по вашему выбору, чтобы получить доступ к серверу.
Для того, чтобы проверить есть ли клиент в вашей системе на базе Linux, вам необходимо сделать следующее:
Загрузить терминал SSH. Вы можете выполнить поиск по слову «терминал» или нажать CTRL+ALT+T на клавиатуре.
Введите ssh и нажмите Enter.
Если клиент установлен, то вы получите вот такой ответ:
username@host:~$ ssh
usage: ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
[-D [bind_address:]port] [-E log_file] [-e escape_char]
[-F configfile] [-I pkcs11] [-i identity_file]
[-J [user@]host[:port]] [-L address] [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port] [-Q query_option] [-R address] [-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]]
[user@]hostname [command]
username@host:~$
Это означает, что вы готовы удаленно подключитьсяк физическому компьютеру или виртуальной машине. В противном случае вам придется установить клиентскую часть OpenSSH:
Выполните следующую команду, чтобы установить клиент OpenSSH на свой компьютер: sudo apt-get install openssh-client
Введите пароль привилегированного пользователя по запросу
Нажмите Enter, чтобы завершить установку.
Теперь вы можете подключиться по SSH к любому компьютеру с установленным серверным приложением при условии, что у вас есть необходимые привилегии для получения доступа, а также имя хоста или IP-адрес.
Как установить серверную часть OpenSSH
Для того, чтобы принимать SSH-подключения, на компьютере должна быть установлена серверная часть программного инструментария SSH.
Если вы хотите сначала проверить, есть ли сервер OpenSSH в системе Ubuntu удаленного компьютера, который будет принимать SSH-подключения, вы можете попробовать подключиться к локальному хосту:
Откройте терминал на сервере. Вы можете выполнить поиск по слову «терминал» или нажать CTRL+ALT+T на клавиатуре.
Введите ssh localhost и нажмите Enter.
Для систем, в которых не установлен SSH-сервер, ответ будет выглядеть вот так:
username@host:~$ ssh localhost
ssh: connect to host localhost port 22: Connection refused username@host:~$
Если это так, что вам необходимо устрановить сервер OpenSSH. Не закрывайте терминал и:
Выполните следующую команду, чтобы установить сервер SSH:sudo apt-get install openssh-server ii
Введите пароль привилегированного пользователя по запросу.
Нажмите Enter или введите Y, чтобы продолжить установку после запроса на свободное место на диске.
Необходимые вспомогательные файлы будут установлены, а затем вы сможете проверить, работает ли SSH-сервера на компьютере, введя следующую команду:
sudo service ssh status
Ответ в терминале должен выглядеть примерно так, если служба SSH работает правильно:
username@host:-$ sudo service ssh status
• ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enab
Active: active (running) since Fr 2018-03-12 10:53:44 CET; 1min 22s ago Process: 1174 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCES
Main PID: 3165 (sshd)
Еще один способ проверить, правильно ли установлен сервер OpenSSH и будет ли он принимать подключения, — это попробовать снова запустить команду ssh localhost в командной строке терминала. Ответ при первом запуске команды будет примерно следующий:
username@host:~$ ssh localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established. ECDSA key fingerprint is SHA256:9jqmhko9Yo1EQAS1QeNy9xKceHFG5F8W6kp7EX9U3Rs. Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
username@host:~$
Введите yes или y, чтобы продолжить.
Поздравляем! Вы настроили свой сервер для приема запросов на SSH- подключение от другого компьютера при помощи клиента SSH.
Теперь вы можете редактировать файл конфигурации демона SSH. Например, вы можете изменить порт по умолчанию для SSH-соединений. Для этого в командной строке терминала выполните эту команду:
sudo nano /etc/ssh/sshd_config
Файл конфигурации откроется в редакторе, который вы выберете. В данном случае мы использовали Nano. Если вам тоже нужно установить Nano, выполните эту команду:
sudo apt-get install nano
Обратите внимание, что службу SSH необходимо перезапускать каждый раз, когда вы вносите какие-либо изменения в файл sshd_config. Это можно сделать, выполнив эту команду:
sudo service ssh restart
Как подключиться через SSH
Теперь, когда у вас есть клиент и сервер OpenSSH, установленные на обоих компьютерах, вы можете установить безопасное удаленное соединение со своими серверами. Для этого:
Откройте SSH-терминал на своем компьютере и выполните следующую команду: ssh your_username@host_ip_address. Если имя пользователя на вашем локальном компьютере совпадает с именем на сервере, к которому вы пытаетесь подключиться, вы можете просто ввести: ssh host_ip_address и нажать Enter.
Введите свой пароль и нажмите Enter. Обратите внимание, что вы не получите никакой обратной связи на экране во время набора текста. Если вы вставляете свой пароль, убедитесь, что он хранится в безопасном месте, а не в текстовом файле.
Когда вы подключаетесь к серверу в первый раз, он спросит вас, хотите ли вы продолжить подключение. Просто введите yes и нажмите Enter. Это сообщение появляется только один раз (в первый раз), так как удаленный сервер еще не идентифицирован на вашем локальном компьютере.
Теперь отпечаток ключа ECDSA добавлен, и вы подключены к удаленному серверу.
Если компьютер, к которому вы пытаетесь удаленно подключиться, находится в той же сети, что и локальный компьюетр, то лучше использовать частный IP-адрес вместо общедоступного IP-адреса. В противном случае вам придется использовать только общедоступный IP-адрес. Кроме того, убедитесь, что вы знаете правильный TCP-порт, который OpenSSH прослушивает для запросов на подключение, и что параметры переадресации портов верны. Порт по умолчанию — 22, если никто не менял конфигурацию в файле sshd_config. Вы также можете просто добавить номер порта после IP-адреса хоста.
Вот пример запроса на подключение с использованием клиента OpenSSH с указанием номера порта:
username@machine:~$ ssh phoenixnap@185.52.53.222 –p7654 phoenixnap@185.52.53.222’s password:
The authenticity of host '185.52.53.222 (185.52.53.222)' can't be established. ECDSA key fingerprint is SHA256:9lyrpzo5Yo1EQAS2QeHy9xKceHFH8F8W6kp7EX2O3Ps. Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ' 185.52.53.222' (ECDSA) to the list of known hosts.
username@host:~$
Теперь вы можете управлять удаленным компьютером при помощи своего терминала. Если у вас возникли проблемы с подключением к удаленному серверу, убедитесь, что:
IP-адрес удаленного компьютера указан верно
Порт, который прослушивает демон SSH, не заблокирован межсетевым экраном и правильно переадресовывается
Ваше имя пользователя и пароль указаны верно
Программное обеспечение SSH установлено верно
Дальнейшие действия по SSH
Теперь, когда вы можете установить соединение со своим сервером с помощью SSH, мы настоятельно рекомендуем выполнить еще несколько шагов для повышения безопасности SSH. Если вы оставите настройку со значениями по умолчанию, она с большей вероятностью будет взломана, и ваш сервер может легко быть атакован.
Вот некоторые из предложений по усилению безопасности SSH путем редактирования файла конфигурации sshd:
Измените TCP-порт по умолчанию, который прослушивает демон SSH. Измените его с 22 на вариант побольше, например, 24596. Не используйте номер порта, который легко угадать, например, 222, 2222 или 22222.
Используйте пары ключей SSH для аутентификации при входе в SSH без пароля. Они и безопаснее, и позволяют входить в систему без необходимости использовать пароль. Это быстрее и удобнее.
Отключите вход в систему на основе пароля на вашем сервере. Если ваш пароль будет взломан, это исключит возможность его использования для входа на ваши серверы. Прежде чем отключить возможность входа с использованием паролей, важно убедиться, что аутентификация с использованием пар ключей работает корректно.
Отключите root-доступ к вашему серверу и используйте обычную учетную запись с помощью команды su – команды для переключения на root-пользователя.
Вы также можете использовать TCP Wrappers для ограничения доступа к определенным IP-адресам или именам хостов. Настройте, какой хост может подключаться с помощью TCP Wrappers, отредактировав файлы /etc/hosts.allow и etc/hosts.deny.
Обратите внимание, что разрешенные хосты определяются через запрещенные хосты. Например, чтобы разрешить SSH-доступ к одному хосту, вам сначала нужно запретить все хосты, добавив следующие две строки в файл etc/hosts.deny:
sshd : ALL
ALL : ALL
Затем в файле etc/hosts.allow вам необходимо добавить строку с разрешенными хостами для службы SSH. Это может быть один IP-адрес, диапазон IP-адресов или имя хоста: sshd: 10.10.0.5, LOCAL.
Убедитесь, что ваша информация для входа в систему всегда защищена, и применяйте меры безопасность на нескольких уровнях. Используйте различные методы, чтобы ограничить доступ SSH к вашим серверам, или используйте сервисы, которые будут блокировать любого, кто попытается использовать грубую силу, чтобы получить доступ к вашим серверам. Один из примеров такой службы - Fail2ban.
VNC через SSH
Для пользователей, привыкших работать в графической среде рабочего стола с системой управления удаленным компьютером (VNC - Virtual Network Computing), есть возможность полностью зашифровать соединения с помощью туннелирования SSH. Чтобы туннелировать соединения VNC через SSH, вам нужно будет запустить эту команду в терминале на вашем компьютере с Linux или UNIX:
$ ssh -L 5901:localhost:5901 -N -f -l username hostname_or_IP
Вот разбор команды выше:
ssh: запускает клиентскую программу SSH на вашем локальном компьютере и обеспечивает безопасное подключение к серверу SSH на удаленном компьютере.
-L 5901:localhost:5901: указывает, что локальный порт для клиента на локальном компьютере должен быть переадресован на указанный хост и порт удаленного компьютера. В этом случае локальный порт 5901 на локальном клиенте перенаправляется на тот же порт удаленного сервера.
-N: указывает переслать порты, но не выполнять удаленную команду.
-f: отправляет SSH в фоновый режим после ввода пароля, непосредственно перед выполнением команды. Затем вы можете свободно использовать терминал для ввода команд на локальном компьютере.
-l username: введенное здесь имя пользователя будет использоваться для входа на указанный вами удаленный сервер.
hostname_or_IP: это удаленная система с сервером VNC. Примером IP-адреса может быть 172.16.0.5, а примером имени хоста может быть myserver.somedomain.com.
Вы также можете подключиться к удаленному серверу через SSH- туннель с компьютера с Windows, используя PuTTY. В окне конфигурации PuTTY выполните следующее:
Перейдите в Connections (Соединения) -> SSH -> Tunnels (Туннели)
В поле Source port (Порт источника) введите 5901
В поле Destination (Адресат) введите localhost:5901
Запустите сеанс SSH как обычно
Подключитесь к серверу с помощью клиента VNC по вашему выбору
Что такое RDP?
Протокол удаленного рабочего стола (RDP - Remote Desktop Protocol) — это протокол, разработанный Microsoft. Он используется для удаленного контроля и управления компьютерами с операционной системой Windows.
В отличие от Secure Shell, соединения, установленные с помощью RDP-клиента, предоставляют пользователю графический интерфейс, через который он может получить доступ к удаленному компьютеру и управлять им так же, как и своим локальным компьютером.
Использование служб удаленного рабочего стола, ранее известных как службы терминалов, позволяет системным администраторам и системным инженерам легко управлять удаленными компьютерами, подключенными к локальной сети или Интернету.
Но у всего есть своя цена. Если вы не используете виртуальную защищенную сеть (VPN - virtual private network), подключение через RDP будет гораздо менее безопасно, чем SSH, потому что вы напрямую подключаетесь к Интернету. Существует множество автоматизированных сценариев, которые постоянно ищут слабые места в вашем соединении, особенно это касается открытых портов, которые используют подключения к удаленному рабочему столу Windows. В этом случае настоятельно рекомендуется иметь сложные и надежные пароли и регулярно их менять. Это не делает соединения RDP более безопасными, но все же делает их менее уязвимыми.
Как работает протокол удаленного рабочего стола?
Подключение к удаленному рабочему столу Windows основано на довольно простой модели клиент-сервер с использованием протокола удаленного рабочего стола (RDP). После его включения серверная служба удаленного рабочего стола Windows начинает прослушивать запросы на подключение через порт 3389. Всякий раз, когда вы пытаетесь подключиться к серверу Windows, вам нужно будет указать действительное имя пользователя для учетной записи, которую вы используете для удаленного доступа. Получив доступ к серверу, вы сможете управлять приложениями, передавать файлы между двумя компьютерами и практически выполнять любые задачи, которые вы можете выполнять локально с соответствующей учетной записью.
Независимо от того, какая у вас версия операционной системы Windows, вы сможете установить безопасное удаленное подключение к другому компьютеру, поскольку клиент удаленного рабочего стола доступен по умолчанию. Тем не менее, удаленный доступ к компьютеру возможен только в том случае, если он работает под управлением Pro, Enterprise или Server версии операционной системы Windows. Таким образом, можно сделать вывод, что RDP-соединения возможны только между компьютерами с установленной на них ОС Windows.
Как установить RDP-соединение
Для установления подключения к удаленному рабочему столу с другим компьютером по сети необходимо включить службу сервера удаленного рабочего стола Windows. Клиент удаленного рабочего стола интегрирован в системы Windows, готов к работе по умолчанию и не требует специальной настройки, прежде чем вы сможете подключиться к другому компьютеру под управлением Windows. Однако прием подключений к удаленному рабочему столу с других компьютеров по умолчанию отключен во всех версиях ОС Windows.
Если вы хотите удаленно подключиться к серверу через Интернет, а не через локальную сеть, вам необходимо принять во внимание несколько вещей, прежде чем включать эту службу:
Переадресация порта. Если вы не используете VPN, то вам необходимо убедиться, что порты правильно переадресованы на IP-адрес удаленного хоста. Проверьте настройки маршрутизатора, чтобы узнать, направляется ли трафик TCP-порта по умолчанию для протокола удаленного рабочего стола (порт 3389) на IP-адрес сервера, с которым вы хотите установить подключение к удаленному рабочему столу. Обратите внимание, что в этом случае ваш сервер Windows напрямую подключен к Интернету и уязвим.
Использование VPN. Это гораздо более безопасный вариант подключения к удаленному рабочему столу. При создании виртуальной защищенной сети на клиентском компьютере вы сможете получить доступ ко всем службам, которые доступны только при использовании локального подключения.
Настройки межсетевого экрана. Убедитесь, что межсетевой экран, который вы используете для удаленного компьютера, не блокирует подключение к удаленному рабочему столу. Вам нужно открыть локальный порт для RDP, будь то номер порта по умолчанию или настраиваемый.
Подключение удаленного доступа в версиях Windows 7, 8, 10 и Windows Server
Процедура настройки удаленного рабочего стола и разрешения безопасных удаленных подключений к серверу или ПК с другого компьютера одинакова для всех версий операционных систем Windows. Я перечислю основные шаги для подключения удаленного доступа к нужному компьютеру. Прежде чем начать, убедитесь, что вы учли приведенные выше замечания, которые касаются переадресации портов, настроек VPN и межсетевого экрана.
Шаг 1. Разрешите удаленные подключения
Перейдите в раздел информации о компьютере на том компьютере, на котором вы хотите разрешить удаленные подключения:
Щелкните правой кнопкой мыши Computer (Мой компьютер) или This PC (Этот компьютер) в зависимости от версии ОС Windows.
Щелкните Properties (Свойства).
Нажмите Remote settings (Настройки удаленного доступа) в левой части окна.
Щелкните Allow remote connections to this computer (Разрешить удаленные подключения к этому компьютеру). Это должно автоматически добавить исключение межсетевого экрана удаленного рабочего стола. Кроме того, вы можете снять флажок “Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)” («Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети (рекомендуется)») для дополнительной безопасности сеансов RDP.
Нажмите Apply (Применить), если вы хотите остаться на вкладке, или ОК, чтобы закрыть ее.
Шаг 2. Добавьте пользователей в список удаленных пользователей.
Вам необходимо выполнить этот шаг, только если вы хотите разрешить другим пользователям, кроме администраторов, доступ к компьютеру. Если вы являетесь администратором, ваша учетная запись автоматически включается в список разрешенных пользователей, но вы ее не увидите. Чтобы добавить больше пользователей:
На экране Remote Settings (Настройки удаленного доступа), показанном выше, щелкните Select Users (Выбрать пользователей)
Нажмите Add (Добавить) в поле Remote Desktop Users (Пользователи удаленного рабочего стола).
Появится окно Select users (Выбрать пользователей). Вы можете выбрать местоположение, которое хотите найти, нажав Locations (Местоположения).
В поле Enter the Object Names to Select (Введите имена объектов для выбора) введите имя пользователя и нажмите Check Names (Проверить имена).
Когда вы найдете совпадение, выберите учетную запись пользователя и нажмите OK.
Закройте окно System Properties (Свойства системы), еще раз нажав кнопку ОК.
Существует не так много параметров, которые нужно изменить для настройки удаленного рабочего стола. Если другие настройки не мешают вашему подключению к удаленному рабочему столу, то теперь вы можете удаленно подключаться и управлять этим компьютером.
Как использовать клиентскую часть удаленного подключения к рабочему столу
Использовать клиентскую часть удаленного рабочего стола просто, и вам не нужно специально настраивать удаленный рабочий стол на локальном компьютере. Следующие шаги будут работать для всех версий Windows, начиная с Windows 7.
Шаг 1: Запустите модуль подключения к рабочему столу
На локальном компьютере с ОС Windows найдите приложение Remote Deskrop Connection (Подключение к удаленному рабочему столу). Его можно найти несколькими способами:
Для Windows 7 нажмите Start (Пуск) -> All Programs (Все программы), перейдите в папку Accessories (Стандартные) и нажмите Remote Desktop Connection (Подключение к удаленному рабочему столу). Для Windows 10 нажмите Start (Пуск) и найдите папку Windows Accessories (Стандартные для Windows), где вы также можете найти приложение Remote Desktop Connection (Подключение к удаленному рабочему столу).
Нажмите Start (Пуск) и введите Remote Desktop Connection (Подключение к удаленному рабочему столу) в строке поиска. Вы получите результаты поиска, как только начнете печатать. Нажмите на приложение, когда оно появится в списке.
Нажмите клавиши Windows + R на клавиатуре, чтобы открыть окно Run (Выполнить). Введите mstsc в поле Open (Открыть) и нажмите Enter, чтобы запустить клиент удаленного рабочего стола.
Шаг 2. Введите IP-адрес или имя удаленного хоста.
После запуска приложения Remote Desktop Connection (Подключение к удаленному рабочему столу) откроется окно, в котором вы можете ввести имя или IP-адрес удаленного компьютера, к которому вы хотите получить доступ.
В поле Computer (Компьютер) введите соответствующее имя или IP-адрес и нажмите Connect (Подключиться).
Примечание. Если порт прослушивания по умолчанию для подключения к удаленному рабочему столу (порт 3389) был изменен на удаленном узле на другое значение, вам нужно указать его после IP-адреса.Пример: 174.163.152.141:6200
В зависимости от ситуации вам нужно будет ввести частный или общедоступный IP-адрес удаленного хоста. Вот возможные сценарии:
Если клиентский компьютер и удаленный хост подключены к одной и той же локальной сети, вы будете использовать частный IP-адрес хоста для подключения к удаленному рабочему столу.
Если вы используете виртуальную защищенную сеть (VPN) на клиентском компьютере для доступа к удаленному хосту, вы будете использовать частный IP-адрес хоста для подключения к удаленному рабочему столу.
Если клиентский компьютер подключается к удаленному хосту из другой сети через Интернет без VPN, вы будете использовать общедоступный IP-адрес.
Как найти IP-адрес и имя хоста
Существует много способов найти имя, общедоступный или частный IP-адрес компьютера, на котором вы хотите настроить службу удаленного рабочего стола. Вот самые быстрые и простые способы:
Чтобы определить частный IP-адрес компьютера:
Найдите CMD в меню «Пуск» (start) или нажмите Windows + R на клавиатуре, наберите на клавиатуре CMD и нажмите Enter, чтобы запустить командную строку.
Введите ipconfig в командной строке и нажмите Enter.
Вы увидите частный IP-адрес вашего компьютера в строке IPv4 Address.
Чтобы определить общедоступный IP-адрес компьютера:
В веб-браузере перейдите на сайт google.com или воспользуйтесь его панелью поиска.
Введите what is my IP (какой у меня IP) или просто my IP (мой IP) и нажмите Enter.
В верхней части страницы Google покажет вам общедоступный IP-адрес, который использует ваш компьютер. Если это не работает для вашего региона, вы можете посетить первую веб-страницу в результатах поиска, и она покажет вам IP-адрес. Или можно узнать адрес на нашей страничке.
Чтобы найти имя компьютера:
Щелкните правой кнопкой мыши Computer (Мой компьютер) или This PC (Этот компьютер), в зависимости от используемой версии ОС Windows.
Нажмите Свойства
Вы найдете свое полное имя компьютера в разделе Computer name, domain, and workgroup settings (Имя компьютера, домен и настройки рабочей группы).
Шаг 3. Ввод учетных данных RDP и завершение подключения
После того, как вы нажмете Connect (Подключиться), появится полоса загрузки. Когда компьютер завершит инициацию и настройку удаленного сеанса, вы получите всплывающее окно, которое будет выглядеть примерно вот так:
Введите пароль для выбранного имени пользователя. При необходимости вы можете использовать другую учетную запись и указать другое имя пользователя и пароль.
Нажмите OK, когда будете готовы, и вы получите предупреждение о сертификате безопасности.
Нажмите Yes (Да), чтобы продолжить.
Примечание. На компьютере с ОС Windows одновременно может быть зарегистрирован только один пользователь. Если кто-то другой использует компьютер, к которому вы пытаетесь получить удаленный доступ, этот пользователь должен отключиться. В таких случаях появится предупреждающее сообщение о входе в систему.
Вы не увидите рабочий стол удаленного компьютера. В зависимости от настроек разрешений учетной записи пользователя вы можете выполнять любую операцию, которую вы могли бы выполнить непосредственно перед компьютером.
Дальнейшие шаги по протоколу удаленного рабочего стола
При настройке удаленного сервера или компьютера для приема подключений к удаленному рабочему столу важно принять меры безопасности в отношении защиты RDP. Ваш сервер особенно уязвим, если вы обращаетесь к нему через Интернет.
Вот несколько рекомендаций, о которых следует помнить, если вы используете протокол удаленного рабочего стола для удаленного подключения к своим компьютерам:
Используйте встроенный VPN-сервер на вашем компьютере с Windows для дополнительной защиты вашего трафика. Это обеспечит более безопасный доступ к вашему серверу и службам Windows.
Установите шифрование клиентского соединения. По умолчанию для этого параметра установлено значение Not configured (Не настроено). Вы можете включить его и установить высокий уровень шифрования для всех взаимодействий между клиентами и серверами хоста сеансов удаленных рабочих столов. Мы не рекомендуем использовать настройку уровня шифрования Client Compatible (Совместимый с клиентом). Если оставить настройку уровня шифрования по умолчанию High (Высокий), принудительно будет использоваться надежное 128-битное шифрование для данных, отправляемых с клиента на сервер и наоборот. Вы можете изменить эту конфигурацию с помощью редактора локальной групповой политики.
Используйте двухфакторную аутентификацию с помощью сторонних инструментов.
Применяйте правила межсетевого экрана, чтобы ограничить доступ открытых портов RDP к Интернету, особенно если вы используете TCP-порт RDP 3389, установленный по умолчанию. В Windows есть встроенный межсетевой экран, к которому вы можете получить доступ из панели управления и дополнительно настроить его для ограничения трафика на определенные порты и IP-адреса
Эти рекомендации по дополнительной защите RDP помогут вам сократить доступ к удаленному рабочему столу. Вы избежите большинства несанкционированных попыток входа в систему, не тратя слишком много времени на изменение конфигурации своих компьютеров.
Заключение
Шаги и процессы, перечисленные в этом руководстве, будут работать для большинства пользователей и большинства версий операционных систем Linux и Windows. Теперь вы сможете подключиться к удаленному серверу с Linux или Windows.
Конечно, существует много других способов установить соединение между двумя удаленными компьютерами, но здесь описаны наиболее распространеные.
Сегментная маршрутизация (Segment Routing, SR) может или не может считаться туннельным решением, в зависимости от конкретной реализации и того, насколько строго вы хотите придерживаться определения туннелей, представленного ранее в статье "Виртуализация сетей". В этой статье будет рассмотрена основная концепция сегментной маршрутизации и две возможные схемы реализации: одна с использованием меток потока IPv6, а другая с использованием меток многопротокольной коммутации по меткам (Multiprotocol Label Switching -MPLS).
Каждому устройству в сети с поддержкой SR присваивается уникальная метка. Стек меток, описывающий путь в терминах этих уникальных меток, может быть присоединен к любому пакету, заставляя его принимать определенный указанный путь. Рисунок 5 демонстрирует это.
Каждый маршрутизатор на рисунке 5 объявляет IP-адрес в качестве идентификатора вместе с меткой, прикрепленной к этому IP-адресу. В SR метка, прикрепленная к идентификатору маршрутизатора, называется идентификатором сегмента узла (SID узла). Поскольку каждому маршрутизатору в сети присваивается уникальная метка, путь через сеть может быть описан с использованием только этих меток. Например:
Если вы хотите перенаправить трафик от A к K по пути [B, E, F, H], вы можете описать этот путь с помощью меток [101,104,105,107].
Если вы хотите перенаправить трафик от A к K по пути [B, D, G, H], вы можете описать этот путь с помощью меток [101,103,106,107].
Набор меток, используемых для описания пути, называется стеком меток. Между D и H есть две связи; как это можно описать? В SR доступно несколько опций, в том числе:
Стек меток может включать в себя только идентификаторы SID узла, описывающие путь через сеть в терминах маршрутизаторов, как показано ранее. В этом случае, если бы стек меток включал пару [103,107], D просто перенаправлял бы H в обычном режиме на основе информации локальной маршрутизации, поэтому он будет использовать любой локальный процесс, который он будет использовать для пересылки любого другого пакета, например, распределение нагрузки между двумя каналами для пересылки трафика с меткой SR.
Стек меток может включать явную метку для загрузки общего ресурса по любому доступному набору путей, доступных в этой точке сети.
H может назначить метку для каждого входящего интерфейса, а также SID узла, привязанный к его локальному идентификатору маршрутизатора. Эти метки будут объявляться так же, как SID узла, но, поскольку они описывают смежность, они называются SID смежности (adjacency). SID смежности уникален локально; он уникален для маршрутизатора, объявляющего сам SID смежности.
Третий вид SID, префиксный SID, описывает конкретный достижимый пункт назначения (префикс) в сети. SID узла может быть реализован как SID префикса, привязанный к loopback адресу на каждом маршрутизаторе в сети.
Не обязательно, чтобы весь путь описывался стеком меток. Например, стек меток [101,103] будет направлять трафик в B, затем в D, но затем позволит D использовать любой доступный путь для достижения IP-адреса назначения в K. Стек меток [105] обеспечит прохождение трафика через сеть к K будет проходить через F. Не имеет значения, как трафик достиг этой точки в сети и как он был перенаправлен после того, как достигнет F, если он проходит через F, будучи направленным к K.
Каждая метка в стеке представляет собой сегмент. Пакеты переносятся от метки к метке через каждый сегмент в сети, чтобы быть транспортированными от головной части пути к хвостовой части пути.
Маршрутизация сегментов с многопротокольной коммутацией меток
MPLS был изобретен как способ сочетать преимущества асинхронного режима передачи (ATM), который больше не используется широко, с IP-коммутацией. В первые дни сетевой инженерии наборы микросхем, используемые для коммутации пакетов, были более ограничены в своих возможностях, чем сейчас. Многие из используемых наборов микросхем были Field Programmable Gate Arrays (FPGA), а не Application-Specific Integrated Circuits (ASIC), поэтому длина поля, в котором коммутировался пакет, напрямую коррелировала со скоростью, с которой пакет мог коммутироваться. Часто было проще переработать пакет или обработать его дважды, чем включать в заголовок много сложной информации, чтобы пакет можно было обработать один раз.
Примечание: повторное использование пакетов по-прежнему часто используется во многих наборах микросхем для поддержки внутренних и внешних заголовков или даже для обработки различных частей более длинного и сложного заголовка пакета.
MPLS инкапсулирует исходный пакет в заголовок MPLS, который затем используется для коммутации пакета по сети. На рисунке 6 показан заголовок MPLS. Весь заголовок состоит из 32 бит, метка 20 бит. Устройство пересылки MPLS может выполнять три операции:
Текущая метка в заголовке MPLS может быть заменена другой меткой (SWAP).
В пакет можно вставить новую метку (PUSH).
Текущая метка может быть очищена, а метка под текущей меткой обработана (POP).
Операции PUSH и POP переносятся непосредственно в SR: операция SWAP реализована в SR как CONTINUE, что означает, что текущая метка заменяется той же меткой (т. е. заголовок с меткой 100 будет заменен меткой 100), и обработка этого текущего сегмента будет продолжена. Проще всего понять процесс обработки на примере. Рисунок 7 демонстрирует это.
На рисунке 7 каждому маршрутизатору присвоена глобально уникальная метка из глобального блока сегментной маршрутизации (Segment Routing Global Block -SRGB). Они объявляются через протокол маршрутизации или другую плоскость управления. Когда A получает пакет, предназначенный для N, он выбирает путь через сеть, используя некоторый локальный механизм. В этот момент:
Чтобы начать процесс, A выполнит PUSH серии заголовков MPLS на пакете, которые описывают путь через сеть, [101,103,104,202,105,106,109, 110]. Когда A коммутирует пакет в сторону B, он вставит первую метку в стек, так как нет необходимости отправлять свою собственную метку в заголовке. Стек меток на канале [A,B] будет равен [103,104,202,105,106,109,110].
Когда B получает пакет, он проверяет следующую метку в стеке. Обнаружив, что метка равна 103, он выполнит POP этой метки и перешлет пакет в D. В этом случае стек меток SR выбрал один из двух возможных путей с равной стоимостью через сеть, так что это пример выбора SR конкретного пути. Стек меток на канале [B, D] будет [104,202,105,106,109,110].
Когда D получает пакет, верхняя метка в стеке будет 104. D выполнит POP этой метки и отправит пакет в E. Стек меток на канале [D, E] будет [202,105,106,109,110].
Когда E получает этот пакет, верхняя метка в стеке - 202. Это селектор смежности, поэтому он выбирает конкретный интерфейс, а не конкретного соседа. E выберет правильный интерфейс, нижний из двух интерфейсов на рисунке, и POP этой метки. Верхняя метка теперь представляет собой SID узла для F, который можно удалить, поскольку пакет передается на F. E переработает пакет и также откроет эту POP. Стек меток на канале [E, F] будет [106,109,110].
Когда пакет достигает F, следующей меткой в стеке будет 106. Эта метка указывает, что пакет должен быть передан в G. F выполнит POP метки и передаст ее G. Стек меток на канале [F, G] будет [109,110].
Когда пакет достигает G, следующая метка в стеке - 109, что указывает на то, что пакет должен быть направлен к L. Поскольку G не соединен напрямую с L, он может использовать локальный, свободный от петель (обычно самый короткий) путь к L. В этом случае есть два пути с равной стоимостью к L, поэтому G выполнит POP метки 109 и переадресовывает по одному из этих двух путей к L. В сегменте [G, L] стек меток равен [110].
Предположим, что G решает отправить пакет через K. Когда K получает пакет, он будет иметь стек меток, содержащий [110], который не является ни локальной меткой, ни смежным узлом. В этом случае метка должна оставаться прежней, или сегмент должен иметь CONTINUE. Чтобы реализовать это, K поменяет текущую метку 110 на другую копию той же метки, так что K будет пересылать трафик с той же меткой. На канале [K,L] стек меток будет равен [110].
Когда L принимает пакет, единственной оставшейся меткой будет 110, что указывает на то, что пакет должен быть направлен в M. L будет выполнена POP метки 109, эффективно удалив всю инкапсуляцию MPLS, и перенаправит пакет в M.
Когда M получает пакет, он пересылает его, используя обычный IP-адрес, в конечный пункт назначения - N.
Концепция стека меток в MPLS реализована в виде серии заголовков MPLS, уложенных друг на друга. Pop метки означает удаление самой верхней метки, push метки означает добавление нового заголовка MPLS в пакет, а continue означает замену метки идентичной меткой. Когда вы работаете со стопкой меток, понятия внутреннего и внешнего часто сбивают с толку, особенно, поскольку многие люди используют идею метки и заголовка как взаимозаменяемые. Возможно, лучший способ уменьшить путаницу - использовать термин "заголовок" для обозначения всего стека меток и исходного заголовка, переносимого внутри MPLS, при этом обращаясь к меткам как к отдельным меткам в стеке. Тогда внутренний заголовок будет исходным заголовком пакета, а внешний заголовок будет стеком меток. Внутренняя метка будет следующей меткой в стеке в любой момент прохождения пакета по сети, а внешняя метка будет меткой, по которой пакет фактически переключается.
Хотя в приведенном здесь примере используются IP-пакеты внутри MPLS, протокол MPLS предназначен для передачи практически любого протокола, включая Ethernet. Таким образом, SR MPLS не ограничивается использованием для передачи одного типа трафика, но может также использоваться для передачи кадров Ethernet по сети на основе IP / MPLS. Это означает, что SR можно использовать для поддержки первого варианта использования, обсуждаемого в этой статье, - предоставления услуг Ethernet по IP-сети.
MPLS - это туннель?
Много написанных и произнесенных слов были пролиты на вопрос о том, является ли MPLS протоколом туннелирования. Здесь туннелирование определяется как действие, а не протокол; это намеренная попытка отделить идею протокола туннелирования от концепции туннелирования как действия, предпринимаемого при передаче трафика через сеть. В случае MPLS это означает, что он может быть, а может и не быть протоколом туннелирования, в зависимости от того, как он используется - как и любой другой протокол. Например, если у вас есть стек меток, помещенных поверх пакета с IP-заголовком, внешняя метка, на которую коммутируется пакет, не является (технически) туннелем. Этот внешний заголовок в сети MPLS фактически является локальным для сегмента, поэтому он либо выталкивается, либо отправляется на каждом маршрутизаторе. Это аналогично заголовку Ethernet для каждого канала. Однако внутренний заголовок переносится в пакете MPLS и, следовательно, технически туннелируется. Внутренняя метка не используется на текущем устройстве для коммутации пакета; он просто переносится как часть пакета.
Это определение не идеально. Например, в случае MPLS SWAP или SR CONTINUE, используется ли метка для коммутации пакета или нет? Кроме того, в отличие от заголовка Ethernet в пакете, заголовок MPLS фактически используется при принятии решения о пересылке. Заголовок Ethernet, напротив, просто используется для достижения следующего перехода, а затем отбрасывается. Возможно, более подходящим сравнением было бы следующее: Заголовок MPLS подобен заголовку Ethernet, который используется для достижения перехода за пределы устройства, на которое маршрутизатор в настоящее время передает.
Независимо от этих ограничений, этого определения обычно достаточно, чтобы мысленно управлять различием между туннелированием и не туннелированием в MPLS, а также в большинстве других протоколов.
Начиная своё знакомство с iptables, следует рассказать про netfilter. Netfilter - это набор программных хуков внутри ядра Linux, которые позволяют модулям ядра регистрировать функции обратного вызова от стека сетевых протоколов.
Хук (hook) - это программный элемент, который позволяет перехватывать функции обратного вызова в чужих процессах.
Netfilter является основой для построения Firewall'а в дистрибутивах Linux, но для того, чтобы он заработал в полную силу его нужно настроить. Как раз с помощью iptables мы можем взаимодействовать с хуками Netfilter и создавать правила фильтрации, маршрутизации, изменения и транслирования пакетов. Иногда про Netfilter забывают и называют эту связку просто iptables.
Введение
Итак, iptables - это утилита для настройки программного Firewall'а (межсетевого экрана) linux, которая предустанавливается по умолчанию во все сборки Linux, начиная с версии 2.4. Запускается iptables из командной строки (CLI) под пользователем с правами root и настраивается там же.
Можете в этом убедиться, набрав команду iptables -V в командной строке, она покажет вам версию iptables.
Почему же iptables всем так понравился, что его стали включать во все сборки Linux? Всё дело в том, что iptables действительно очень прост в настройке. С помощью него можно решить следующие задачи:
Настроить stateless и statefull фильтрацию пакетов версий IPv4 и IPv6;
Stateless - это фильтрация, основанная на проверке статических параметров одного пакета, например: IP адрес источника и получателя, порт и другие не изменяющиеся параметры.
Statefull - это фильтрация, основанная на анализе потоков трафика. С помощью нее можно определить параметры целой TCP сессии или UDP потока.
Настраивать все виды трансляции IP адресов и портов NAT, PAT, NAPT;
Настроить политики QoS;
Производить различные манипуляции с пакетами, например - изменять поля в заголовке IP.
Прежде чем переходить к практике, давайте обратимся к теории и поймём саму логику iptables.
Логика и основные понятия iptables
Правила
Как и все файрволлы, iptables оперирует некими правилами (rules), на основании которых решается судьба пакета, который поступил на интерфейс сетевого устройства (роутера).
Ну допустим у нас есть сетевое устройство с адресом 192.168.1.1, на котором мы настроили iptables таким образом, чтобы запрещать любые ssh (порт 22) соединения на данный адрес. Если есть пакет, который идёт, например, с адреса 192.168.1.15 на адрес 192.168.1.1 и порт 22, то iptables скажет: “Э, нет, брат, тебе сюда нельзя” и выбросит пакет.
Или вообще ничего не скажет и выбросит, но об этом чуть позже :)
Каждое правило в iptables состоит из критерия, действия и счётчика
Критерий - это условие, под которое должны подпадать параметры пакета или текущее соединение, чтобы сработало действие. В нашем примере – этим условием является наличие пакета на входящем интерфейсе, устанавливающего соединение на порт 22
Действие - операция, которую нужно проделать с пакетом или соединением в случае выполнения условий критерия. В нашем случае – запретить пакет на порт 22
Счетчик - сущность, которая считает сколько пакетов было подвержено действию правила и на основании этого, показывает их объём в байтах.
Цепочки
Набор правил формируется в цепочки (chains)
Существуют базовые и пользовательские цепочки.
Базовые цепочки - это набор предустановленных правил, которые есть в iptables по умолчанию.
Существует 5 базовых цепочек и различаются они в зависимости от того, какое назначение имеет пакет. Имена базовых цепочек записываются в верхнем регистре.
PREROUTING - правила в этой цепочке применяются ко всем пакетам, которые поступают на сетевой интерфейс извне;
INPUT - применяются к пакетам, которые предназначаются для самого хоста или для локального процесса, запущенного на данном хосте. То есть не являются транзитными;
FORWARD - правила, которые применяются к транзитным пакетам, проходящими через хост, не задерживаясь;
OUTPUT - применяются к пакетам, которые сгенерированы самим хостом;
POSTROUTING - применяются к пакетам, которые должны покинуть сетевой интерфейс.
В базовых цепочках обязательно устанавливается политика по умолчанию, как правило – принимать (ACCEPT) или сбрасывать (DROP) пакеты. Действует она только в цепочках INPUT, FORWARD и OUTPUT
Таблица
Таблицы - это набор базовых и пользовательских цепочек. В зависимости от того, в какой таблице находится цепочка правил, с пакетом или соединением производятся определённые действия
Существует 5 таблиц:
filter - таблица, выполняющая функции фильтрации пакетов по определённым параметрам. В большинстве случаев вы будете использовать именно её. Содержит следующие встроенные цепочки: FORWARD, INPUT, OUTPUT;
raw - чтобы понять предназначение этой таблицы, нужно понимать логику работы statefull firewall'а. Дело в том, что по умолчанию, iptables рассматривает каждый пакет как часть большого потока и может определить какому соединению принадлежит тот или иной пакет. С помощью raw таблицы настраиваются исключения, которые будут рассматривать пакет как отдельную, ни к чему не привязанную сущность. Содержит следующие встроенные цепочки: INPUT, OUTPUT;
nat - таблица, предназначенная целиком по функции трансляции сетевых адресов. Содержит следующие встроенные цепочки: PREROUTING, OUTPUT, POSTROUTING;
mangle - таблица, предназначенная для изменения различных заголовков пакета. Можно, например, изменить TTL, количество hop'ов и другое. Содержит следующие встроенные цепочки: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING>;
security - используется для назначения пакетам или соединениям неких меток, которые в дальнейшем может интерпретировать SElinux.
Теперь мы можем представить себе логику iptables в виде следующей схемы:
Действия
Ну и последнее, о чем нужно рассказать, прежде чем мы с вами начнем писать правила - это target. В контексте iptables, target - это действие, которое нужно проделать с пакетом или соединением, которое совпало с критериями правила.
Итак, наиболее используемые действия:
ACCEPT - разрешить прохождение пакета;
DROP - тихо выбросить пакет, не сообщая причин;
QUEUE - отправляет пакет за пределы логики iptables, в стороннее приложение. Это может понадобиться, когда нужно обработать пакет в рамках другого процесса в другой программе;
RETURN - остановить обработку правила и вернуться на одно правило назад. Это действие подобно break'у в языке программирования.
Помимо этих четырех, есть ещё масса других действий, которые называются расширенными (extension modules):
REJECT - выбрасывает пакет и возвращает причину в виде ошибки, например: icmp unreachable;
LOG - просто делает запись в логе, если пакет соответствует критериям правила;
Есть действия, которые доступны только в определенной цепочке и таблицах, например, только в табоице nat и цепочках OUTPUT и PREROUTING доступно действие DNAT, которое используется в NAT'ировании и меняет Destination IP пакета. В той же таблице, только в цепочке POSTRUNNING доступно действие SNAT, меняющее Source IP пакета.
Отдельно остановимся на действии MASQUERADE, которое делает то же самое что SNAT, только применяется на выходном интерфейсе, когда IP адрес может меняться, например, когда назначается по DHCP.
Пишем правила
Отлично, теперь давайте приближаться к практике. Как Вы уже поняли, мы будем писать правила, поэтому нам нужно понять, как они строятся.
Итак, допустим у нас есть хост с адресом 192.168.2.17, на 80 (http) порту которого, работает вэб-сервер Apache. Мы заходим на адрес http://192.168.2.17 с хоста с адресом 192.168.2.2 и всё отлично работает:
А теперь открываем командную строку под root на хосте 192.168.2.17 и пишем:
iptables -A INPUT -p tcp -s 192.168.2.2 --dport 80 -j DROP
Попробуем открыть открыть http://192.168.2.17 ещё раз:
Упс, не работает. Давайте теперь разбираться, что мы наделали?
Всё очень просто – данной командой мы:
вызвали утилиту iptables;
-A - этим ключом мы указали, что нужно добавить правило к существующей цепочке;
INPUT - указали цепочку, к которой хотим добавить правило;
-p tcp - явно указали протокол TCP. Здесь также можно указывать другие протоколы (udp, icmp, sctp), или номер протокола, инкапсулируемого в IP (17 – udp, 6 – tcp и др.);
-s 192.168.2.2 - указали, какой адрес источника должен быть у пакета, который мы хотим фильтровать;
--dport 80 - указали адресованные какому порту пакеты мы хотим фильтровать. В данном случае - 80, на котором работает наш сервер Apache.
-j DROP - указали что нужно сделать с пакетом, параметры которого совпали с данными критериями. В данном случае – просто тихо выбросить.
Таким образом, мы заблокировали все пакеты с адреса 192.168.2.2 на локальный порт 80 и тем самым закрыли доступ к нашему серверу Apache для данного хоста.
Обратите внимание – мы не указывали таблицу, в цепочки которой мы хотим добавить правило. Поэтому, по умолчанию таблица - filter. Для явного указания таблицы нужно перед указанием цепочки ввести ключ -t или (--table)
Чтобы открыть доступ опять просто поменяем ключ -A в правиле на -D, тем самым мы удалим данное правило из iptables.
Синтаксис iptables
Друзья, на самом деле в iptables очень богатый синтаксис правил. Полный список ключей и параметров вы можете найти в официальном гайде на iptables.org. Мы же приведём самые “ходовые” опции, которыми вы, вероятно, будете пользоваться. Чтобы вы не запутались, мы приводим их в табличках ниже.
Для удобства, в iptables реализовано очень много сокращений для разных ключей. Например, мы писали ключ -A вместо полного --append, -p вместо полного --proto и -s вместо полного --source, дальше мы покажем, что ещё можно сократить и где применить.
Начнём с команд для редактирования правил и цепочек – добавления, удаления, замены и так далее:
коротко
синтаксис правила
применение
-A
--append {цепочка правила}
добавить правило к цепочке (в самое начало)
-D
--delete {цепочка правила}
удалить правило из цепочки
-D
--delete {номер правила в цепочке}
удалить правило из цепочки по номеру (1 - x)
-I
--insert {номер правила вцепочке}
вставить правило в цепочку по номеру (1 - x)
-R
--replace {номер правила вцепочке}
заменить правило в цепочке по номеру (1 - x)
-X
--delete-chain {цепочка}
удалить цепочку (только для пользовательских)
-E
--rename-chain {старое имя цепочки} {новое имя цепочки}
переименовать цепочку
-N
--new {имя цепочки}
создание новой пользовательской цепочки
-C
--check {правило цепочки}
проверит наличие правила в цепочке
-F
--flush {цепочка}
удаляет все правила в цепочке, если цепочка не указана – удалятся все правила
-Z
--zero {цепочка} {номер правила вцепочке}
обнуляет все счётчики пакетов и байтов в цепочке или всех цепочках
-P
--policy {цепочка} {номер правила вцепочке}
изменяет политику по умолчанию, она должна основываться на встроенном target’e {ACCEPT, DROP, QUEUE}
Продолжим синтаксисом настройки правил – на каком сетевом интерфейсе следить за пакетами, какой протокол проверять, адрес источника, назначения и так далее.
Кстати, перед некоторыми параметрами можно ставить восклицательный знак - !, означающее логическое НЕ. В таблице мы пометим такие параметры таким значком – (!)
коротко
синтаксис опции
применение
-p
(!) --proto {протокол}
протокол {tcp, udp, udplite, icmp, esp, ah, sctp} или номер протокола {16,7}, all - все протоколы
-4
--ipv4
указывает версию протокола ipv4
-6
--ipv6
указывает версию протокола ipv6
-s
(!) --source {адрес/маска}
указывает ip адрес источника
-d
(!) --destination {адрес/маска}
указывает ip адрес назначения
-m
--match
включает дополнительные модули, явно задающимися данным ключем. например <code>m limit --limit 3/min</code> - установит лимит на количество пакетов в минуту
-f
(!) --fragment
включает обработку фрагментированных пакетов, в которых нет параметров изначального полного пакета, содержащихся в первом фрагменте пакета
-i
(!) --in-interface {имя интерфейса}
обрабатывает только входящие пакеты, прилетающие на сетевой интерфейс {имя интерфейса}
-o
(!) --out-interface {имя интерфейса}
обрабатывает только исходящие пакеты, прилетающие на сетевой интерфейс {имя интерфейса}
--set-counters {пакеты} {байты}
включает счётчик для ключей--insert, --append, --replace
Теперь рассмотрим опции для действий, которые должны сработать по совпадению критериев:
коротко
синтаксис опции
применение
-j
--jump {действие}
применяет одно из действий accept, drop, reject и другие
-g
--goto {цепочка}
переходит к другой цепочке правил
Теперь рассмотрим какую информацию мы можем вытянуть с помощью iptables и какие опции для этого нужно использовать:
коротко
синтаксис команды
применение
-l
--list {цепочка} {номер правила}
показывает правила в цепочке или всех цепочках. по умолчанию покажет таблицу filter
-s
--list-rules{цепочка} {номер правила}
показывает текст правила в цепочке или всех цепочках
-n
--numeric
покажет параметры правила в числовом виде. например не порт будет не http, а 80
-v
--verbose
выводит более подробную информацию
-v
--version
покажет версию iptables
-x
--exact
покажет точные значения числовых параметров
--line-numbers
покажет номера правил
Для быстрого получения информации о настроенных правилах и о метриках их срабатывания, часто применяется команда, комбинирующая 3 ключа - iptables -nLv. Например, для настроенного нами ранее правила – вывод будет такой:
Пример посложнее
Давайте рассмотрим ещё один пример. Допустим у нас во локальной сети есть хост 192.168.2.19 с сервером Apache. Мы хотим сделать его доступным из Интернета. Для этого нам нужно воспользоваться возможностями таблицы nat и написать правило, которое будет перенаправлять входящий http трафик на внешний интерфейс (пусть будет enp0s3 с адресом 101.12.13.14) и порт 80 на адрес нашего сервера внутри сети и 80 порт – 192.168.2.19:80. По сути – нужно сделать проброс портов.
Напишем такое правило:
iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 80 -j DNAT --to 192.168.2.19:80
Теперь если мы перейдём по адресу http://101.12.13.14, то должны попасть на наш Apache.
Возможности iptables настолько обширны, что мы могли бы начать писать новую Базу знаний по нему. В статье мы показали лишь базовые варианты применения. Это действительно великий инструмент и освоить его не так уж сложно. Надеюсь, данная статья Вам в этом поможет. Спасибо за внимание!