Ура, мы все ближе к летнему периоду. Многие компании ввели удаленную работу. Теперь можно не тратить 3 часа каждый день на то, чтобы добираться на работу и с нее домой. Грядочки, цветочки, речки, клубничка… ммм, ХОРОШО! Да и в своей квартире летом не хуже – заказал холодный лимонад и хачапури — вот тебе и кайф!
Но работать все-таки надо. И надо делать это безопасно. И сегодня давайте рассмотрим, как правильно организовать безопасный доступ к офису с использованием оборудования MIKROTIK. СПОЙЛЕР: это, прям, админская инструкция от экспертов компании ВИЗАРД, пропущенная через ветренные головы наших маркетологов. 😊
Допустим и в офисе (скорее всего), и дома (вряд ли) мы имеем публичный «белый» IP-адрес. «Белый» IP-адрес используется в сети Интернет и глобальной маршрутизации, а «серый» IP – в локальной сети. Грубо говоря – «белый» IP-адрес (например, 8.8.8.8) вы попинговать можете, а «серый» нет (192.168.1.1, к примеру).
Приступим к настройке роутера Mikrotik в офисе. Примем IP-адрес офиса за «x.x.x.x», а IP-адрес квартиры «y.y.y.y». Куда мы хотим подключаться? К своему рабочему компьютеру конечно же, который имеет «серый» IP-адрес 172.16.17.18.
Для получения доступа к ПК в офисе достаточно ввести следующую команду:
/ip firewall nat add chain=dstnat action=dst-nat to-address=172.16.17.18
Вроде бы и хорошо, вот только теперь все запросы из Интернета в офис будут перенаправляться на ваш офисный ПК. На нём вряд ли развернут веб-сервер, система хранения данных и офисный терминальный сервер. Давайте скорее исправим ситуацию, пока ваш системный администратор не заподозрил неладное (почему вы вообще конфигурируете роутер, а не он?).
Чтобы открыть только порт 3389, который используется для подключения к удаленному рабочему столу, достаточно ввести в командную строку Mikrotik следующую команду:
/ip firewall nat add chain=dstnat dst-port=3389 action=dst-nat protocol=tcp to-address=172.16.17.18 to-port=3389
Мы гордимся собой, теперь удалёнка работает и внутренний портал Битрикс отображается на экране, можно спокойно работать.
Но вот незадача, вас постоянно выкидывает из ПК. Зашли, поработали минуту, выкинуло. Что за дела? Ваш товарищ по офисному пинг-понгу, который вас постоянно обыгрывает пишет в телеграмм «Эй, кажется я подключаюсь к твоему компьютеру! У тебя столько самоучителей по настольному теннису открыто, кошмар».
А дело в том, что теперь и запросы на подключение к удалённому рабочему столу летят только на ваш ПК. Теперь все узнают о вашей страсти к пинг-понгу! Или нет? Срочно исправлять ситуацию!!! Нервный запрос в гугл, 10 открытых вкладок и вот решение – port forwarding. Мы его в какой-то мере использовали ранее, да не совсем корректно. Можно указать почти (это важно!) любой порт подключения, запросы на который будут перенаправляться на нужный нам порт 3389 для подключения к ПК.
Итак, спешно меняем порт, например на 7658:
/ip firewall nat add chain=dstnat dst-port=7658 action=dst-nat protocol=tcp to-address=172.16.17.18 to-port=3389
Сработало! Теперь все продолжают работать на своих рабочих местах, а вы подключаетесь к своему ПК по следующему адресу и порту x.x.x.x:7658 (сисадмин был бы доволен вами, если он был бы таковым – вы сидите за роутером!)
Спустя пару дней к вам на почту приходит рассылка «Безопасность на рабочем месте – опасные ссылки, открытые порты, неуловимые запросы». Прочитав и побледнев, понимаем – что мы вообще наделали в самом начале и к чему пришли в конце.
А в конце мы пришли к тому, что, если кто-то просканирует наш роутер извне, он найдёт наш открытый порт. Немедленно решаем проблему!!! Но как?
Есть один сказочный вариант – запретить любые запросы на порт 7658 с любого устройства, кроме нашего ноутбука в уютной квартире. У него ведь есть MAC-адрес – уникальный идентификатор сетевого устройства (наш ноутбук таковым и является – в интернет же выходим с него), второго такого просто нет.
Но вот незадача – MAC-адреса находятся только на уровне L2 сетевых моделей передачи данных TCP/IP и OSI (ЧТО ЭТО?). А маршрутизация в сети Интернет идёт с уровня L3 с помощью IP-адресов. Но нам несказанно повезло!
Наш IP дома – БЕЛЫЙ! А значит – участвует в маршрутизации. А значит, мы всего-навсего делаем следующее:
/ip firewall filter add chain=input src-address=y.y.y.y in-interface=ether1 action=accept
/ip firewall filter add chain=input action=drop
/ip firewall nat add chain=dstnat src-address=y.y.y.y dst-address=x.x.x.x dst-port=7658 action=dst-nat protocol=tcp to-address=172.16.17.18 to-port=3389
Итак, мы разрешили соединения из нашей квартиры в офис, поставили правило на запрет всех остальных входящих соединений (странно, что его не было) и добавили конкретики в правилах NAT – запросы с какого IP перенаправлять.
Да, теперь, у сисадмина появился вопрос – почему недоступен офис отовсюду (на самом деле нет – доступен от вас), а может он уже и не администрирует вашу сеть? В любом случае, мы смогли оградить наш офис от посторонних запросов на инициализацию подключения к удалённому рабочему столу.
Пора немного передохнуть, выпить кофе и заняться конфигурацией файрвола для обработки остальных запросов. Но это уже другая история…
Желаем всем классных выходных, отпусков и просто чудесного лета! 😊