1

Я хочу иметь возможность RDP на моем сервере за прокси-сервер Squid3 (на Ubuntu).

Это сервер Windows 2000 и используется для тестирования. Мне нужно это за прокси, чтобы он был вне моей обычной сети, так как это тестовый сервер.

Мой программист должен иметь возможность войти на тестовый сервер для тестирования обновлений программного обеспечения, которое мы используем.

Как я могу получить порт RDP для fwd'd через прокси на моем гостевом сервере win2k сервера virtualbox?

2 ответа2

1

Я предполагаю, что для машины, которая находится за прокси-сервером, единственный путь к Интернету - через прокси. Таким образом, вы не можете получать входящие соединения, а делать исходящие только через HTTP-прокси.

Это немного сложно, но может помочь настройка VPN через OpenVPN. Для клиентов OpenVPN существуют параметры прокси-сервера HTTP, которые могут позволить ему подключаться к серверу OpenVPN, который вы используете за пределами сети.

Эта система, в которую вы хотите включить RDP, должна быть настроена как клиент OpenVPN. Используйте параметры http-proxy , как описано здесь.

На стороне сервера вы захотите сделать это (что потребует от вас установки сертификатов сервера и клиента - для этого проще использовать xca, чем выполнять действия, описанные в документации OpenVPN), чтобы убедиться, что клиент, система, в которую вы хотите включить RDP, всегда получает один и тот же VPN-IP.

Когда клиент и сервер активны и подключены, с серверного компьютера, который находится за пределами этой сети, вы должны иметь доступ к mstsc /v:{VPN-IP} из диалогового окна Windows "Выполнить", чтобы получить к нему доступ.

Если вы не хотите устанавливать OpenVPN непосредственно на сервер Win2k, установите его в другой системе за прокси-сервером в той же сети, а затем, как только вы подключитесь к этой промежуточной системе RDP, оттуда перейдите на сервер WIn2k. Windows 7 и 8 справляются с "каскадным" RDP немного лучше, чем XP ИМХО.

0

Если вы используете Squid в качестве прозрачного прокси и вам не нужен IPSec, вы можете использовать iptables для создания DNAT.

Предположим, что сервер win2k имеет адрес 10.10.10.10 и использует стандартный порт RDP, это правило должно пропускать трафик RDP:

iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to 10.10.10.10:3389

Если вам нужна дополнительная безопасность, вы также можете указать, какие интерфейсы / клиенты / сети могут подключаться.

Примеры:

разрешить только eth0

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3389 -j DNAT --to 10.10.10.10:3389

разрешить только ip 10.10.100.100

iptables -t nat -A PREROUTING -p tcp -s 10.10.100.100 --dport 3389 -j DNAT --to 10.10.10.10:3389

аналогично, разрешать соединения только из определенной сети

iptables -t nat -A PREROUTING -p tcp -s 10.0.0.0/8 --dport 3389 -j DNAT --to 10.10.10.10:3389

В маловероятном случае, если ваш сервер win2k не имеет статического IP-адреса, вам также необходимо добавить это правило:

iptables -t nat -A POSTROUTING -p tcp --dport 3389 -j MASQUERADE

Читайте здесь для очень понятного объяснения NAT и DNAT

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .