Консультации Портала - Консультация #173422

Задать вопрос Консультации Пользователи Форум

Задать вопрос экспертам

Консультация № 173422

19.10.2009, 12:13

0.00 руб.

0 5 2

Компьютеры Программное обеспечение Операционные системы

Уважаемые эксперты, помогите, пожалуйста! Пользователи работают на серверах (Win'2003-standart-x32 и Win'2008-enterpr.-x64) в терминальном режиме. Стоит задача спрятать от пользователей реальные IP серверов. Понятно, что надо трафик пропускать через некий прокси. Но как и что конкретно надо делать? Какое ПО (исключительно бесплатное или лицензионное) использовать? Спасибо большое!

Обсуждение

Неизвестный

19.10.2009, 12:23

общий

это ответ

Здравствуйте, VladimirNick.

Собственно зачем это нужно, не вижу причин делать это в локальной сети??

можно вынести эти сервера в DMZ зону и пускать трафик между Локальной сетью и DMZ через NAT.

Как раз это и нужно. Но КАК это делается "по уму"?

Неизвестный

19.10.2009, 12:43

общий

Если не секрет, вы все же расскажите, зачем потребовалось прятать ИП адреса от пользователей, просто интересно
Какую выгоду это даст.

Делается весьма просто ставится маршрутизатор, в порт WAN втыкается Локальная сеть, в остальные порты терминальные серверы, серверам назначают ИП адреса из совершенно другой подсети, чем Локальная сеть. ТОлько так как у вас 2 сервера, то и нужно чтоб на WAN интерфейсе можно было назначить 2 ИП адреса (я что-то таких не встречал из бюджетных моделей), и делается потом порт форвардинг.

Но опять же какая разница будут пользователи подключаться по ИП адресам сервера или по ИП адресам маршршрутизатора, все равно это будут 2 ИП адреса и Локальной сети. В чем выгода то??

Может вам всетаки что-то другое нужно, чем просто спрятать реальные ИП адреса серверов от пользователей.

Неизвестный

19.10.2009, 12:52

общий

kolista:
Надо вынести сервера из локальной сети и спрятать от посторонних глаз => на рабочих станциях не должны храниться настройки с реальными адресами серверов

Неизвестный

19.10.2009, 13:50

общий

это ответ

Здравствуйте, VladimirNick.
Я вижу такое решение - в зоне DMZ организуем Terminal Services Gateway Server (это роль 2008го сервера). При этом Gateway смотрит в интернет, но знает внутренний DNS. Клиент будет подключаться к внутреннему имени сервера (типа ts01.org.local), при этом указываем что делается это через наш gateway. Имя в IP соответственно разрешит уже сам gateway и клиенту нигде не покажет - у него RDP-траффик будет инкапсулирован в HTTPS и коннект будет до гейтвея. Если при этом на самих терминальных серверах настроить жесткие групповые политики, которые не позволят запустить ipconfig или что-либо другое - цель будет достигнута.
В итоге плюсы: снаружи мы светимся только одним адресом gateway-сервера, клиенты коннектятся по внутренним именам ресурсов, но сами к DNS доступа не имеют - gateway выступает посредником.
...и минусы: Необходимы WinXP SP3, Vista Sp1 или Seven на клиенте. С более младшими уровнями SP работать не будет, проверено.

Приложение:
http://technet.microsoft.com/en-us/library/cc731264(WS.10).aspx - начните изучать отсюда.

Минус можно не считать (у всех XP SP3 и выше). За ссылку на статью - отдельное спасибо!

Неизвестный

19.10.2009, 21:01

общий

VladimirNick:
Изнутри при неправильных настройках безопасности и без IP можно наделать бед, а если идет речь о защите IP от нападения снаружи (от тех, кто знает IP, т.е. от сотрудников), так может проще сделать хорошую защиту "по внешнему контуру" ?!

Форма ответа

Отправка постов/ответов доступна только зарегистрированным и подтвержденным пользователям.

Если Вы уже зарегистрированы на Портале - войдите в систему, если Вы еще не регистрировались - пройдите простую процедуру регистрации.