我有一个远程办公室有一些电脑不能正常访问互联网,但是,我将需要定期访问我计划使用VNC远程计算机。
除了入站的VNC连接外,确保计算机没有互联网访问的好方法是什么?
我首先想到的是在路由器之前configuration一台路由器,这样路由器只允许ARP / DNS和VNC端口5000 + N,并且阻塞所有其他的端口。 这是一个有效的解决scheme吗?
据我所知,离开VNC端口开放的世界(0.0.0.0/0)是不安全和可破解的。
你可以做的事情:
安装防火墙并configurationNAT – 允许您通过VNC端口访问networking,但只访问一个特定的IP(而不是全球)。
configuration一个VPN服务器,让您连接到networking中的所有主机。
使用这两种解决scheme,您可以限制用户访问互联网,并允许访问networking内的特定服务。
你可以给他们假的DNS条目,并保持所有的IP /子网/网关信息不变? 这将打破他们尝试浏览,但留下可路由的stream量。 坏DNS将打破补丁和其他应用程序,但你可以很容易地打开和closures。
在这些情况下,我通常的设置是在networking前面安装一台可以连接到的networking路由器,然后只在需要访问内部计算机时才使用SSH端口。
像Mikrotik或Ubiquiti这样的路由器具有这样的能力,而且通常都很实惠。 在这样的设置中,你可以让你想要离开Internet的计算机只能通过DHCP获得IP地址,而不能获得网关的IP。 这样他们将能够与同一networking中的其他计算机进行通信,但没有path到达互联网。
当您需要从外部访问这些内部计算机时,您需要SSH进入路由器并使用本地端口转发,如下所示:
user@admin-computer:~$ ssh router.company.com -f -L 5900:<no-inet-pc1-ip>:5900
并用SSH用户/密码login后,启动VNC客户端,并在标准5900端口连接到127.0.0.1,然后到达内部PC(其中no-inet-pc1-ip IP地址) VNC端口。 即使没有内部PC上的网关,这也可以工作,因为从他们的angular度来看,连接来自路由器,而不是你的远程admin-computer
如果您使用publickey身份validation(强烈推荐)设置SSH并在路由器上使用非标准端口SSH(为了避免发生端口22的连续扫描),您将拥有经济实惠,安全且可自动化的设置,而无需设置VPN o复杂的防火墙。
希望能帮助到你!