Bllokimi i adresës IP në Windows Server. Si të hyni në adresën IP të jashtme nga rrjeti lokal për MikroTik

Ju mund ta lidhni kompjuterin tuaj me serverin nëpërmjet internetit duke përdorur VPN (Virtual Private Network). Kjo do t'ju lejojë të shpërndani saktë burimet e rrjetit në distancë, si dhe të konfiguroni serverin në rendin e duhur.

Udhëzim

  • Konfiguro Windows për t'u lidhur me serverin siç duhet. Në mënyrë tipike, softueri i nevojshëm për të krijuar një VPN përfshihet me sistemin operativ Windows Server. Është më mirë ta instaloni në mënyrë që të mos blini ndonjë pajisje shtesë të rrjetit.
  • Boot Windows Server dhe klikoni butonin Start, zgjidhni Programs, Administrative Tools dhe Server Configuration Wizard. Hapni "Remote Access / VPN-North" në listën e shërbimeve.
  • Klikoni në rrethin në të majtë të Virtual Private Rrjeti VPN dhe NAT. Zgjidhni përshtatësin e rrjetit që lidh kompjuterin me internetin, nëse është i disponueshëm.
  • Zgjidhni opsionin për të caktuar automatikisht një adresë IP. Specifikoni "Jo, përdorni rrugëzimin dhe aksesin në distancë për të vërtetuar kërkesat e lidhjes" për të shkuar te faqja "Menaxho serverët e shumëfishtë të aksesit në distancë".
  • Klikoni butonin Start, zgjidhni Programs, Administrative Tools dhe hapni Active Users and Computers. Shkoni te seksioni "Qasja në distancë" dhe shkoni te skeda "Properties". Specifikoni "Lejo hyrjen" për secilin nga përdoruesit që dëshironi të lejoni aksesin në server përmes VPN-së.
  • Navigoni te emri i kompjuterit që dëshironi të lidheni me serverin përmes internetit. Shtypni tastin "Start", hapni "Control Panel", më pas "Network and Internet", "Network and Switching Center" dhe "Set up a new connection or network".
  • Zgjidhni Workplace Connection, Use My Internet Connection dhe futni adresën IP të routerit me të cilin do të lidhni serverin. Për të gjetur këtë adresë, hapni faqen e konfigurimit të ruterit.
  • Futni emrin e përdoruesit dhe fjalëkalimin për llogari përmes së cilës aksesohet VPN. Përdorni një lidhje VPN për t'u lidhur me serverin.
    • Vlerësoni këtë artikull!

    Procedura për hapjen e aksesit në server nënkupton sigurimin e aksesit në të përzgjedhurit dosje rrjeti, ose ndarja e një dosjeje. Problemi u zgjidh mjete standarde Windows OS dhe nuk kërkon ndonjë shtesë software. Në këtë rast, merret parasysh Windows Server 2003.

    Udhëzim

    Thirrni menunë kryesore të sistemit duke klikuar butonin "Start" dhe shkoni te "Të gjitha programet". Zgjeroni lidhjen "Accessories" dhe hapni aplikacionin "Windows Explorer". Gjeni dosjen që dëshironi të ndani dhe telefononi menyja e kontekstit duke klikuar butonin e djathtë të mausit. Zgjidhni artikullin "Properties" dhe aplikoni kutinë e kontrollit në rreshtin "Hap akses të përgjithshëm në këtë dosje" kutia e dialogut që shfaqet.

    Shkruani emrin e burimit të rrjetit që dëshironi të krijoni në fushën Share dhe aplikoni kutinë e kontrollit në fushën Maksimumi i Lejuar në seksionin Kufiri i Përdoruesit. Klikoni butonin "Lejet" për të shtuar përdorues që hyjnë në dosjen e zgjedhur dhe përdorni komandën "Shto". Zgjidhni përdoruesin e dëshiruar nga lista në kutinë e re të dialogut dhe aplikoni kutinë e kontrollit për të përcaktuar të drejtat e aksesit:

    Akses i plotë;
    - Ndryshimi;
    - lexim.

    Konfirmoni zgjedhjen tuaj duke shtypur butonin OK.

    Kushtojini vëmendje mundësisë së cilësimeve të avancuara për lejet e hyrjes kur klikoni butonin "Advanced". Hiq zgjedhjen e linjës "Lejo trashëgiminë ...", sepse përndryshe përdoruesi i zgjedhur do të marrë të drejta nga një nivel më i lartë (zakonisht nga një disk ku "Vetëm për lexim" është caktuar si parazgjedhje për të gjithë). Aplikoni kutinë e kontrollit në rreshtin "Zëvendësoni lejet" dhe konfirmoni ruajtjen e ndryshimeve të bëra duke klikuar butonin "Apliko". Mbani në mend se koha që mund të duhet për të kryer procesin e ndarjes së të drejtave nuk varet nga madhësia, por nga numri i skedarëve në dosje. Prandaj, mund të marrë një periudhë mjaft të gjatë kohore. Prisni që procesi të përfundojë dhe përsëritni procedurën e mësipërme për çdo përdorues ose grup përdoruesish që dëshironi t'i jepni akses në server.

    Vetëm pak përdorues e dinë se është e mundur të konfiguroni një rrjet lokal lokal në shtëpi në mënyrë të tillë që të gjithë kompjuterët e përfshirë në të të mund të hyjnë në internet pa blerë pajisje të shtrenjta.


    Do t'ju duhet

    Udhëzim

    Së pari, zgjidhni një kompjuter që do të lidhet drejtpërdrejt me internetin. Në këtë rast, ajo ka sistemi operativ Windows Vista. Nëse ky kompjuter ka vetëm një përshtatës rrjeti, blini një kartë të dytë rrjeti. Do të kërkohet të lidhni dy kompjuterë me një rrjet lokal.

    Blini një kabllo rrjeti me gjatësinë e duhur. Lidhni kartat e rrjetit të të dy kompjuterëve me të. Lidhni kabllon e ofruesit me përshtatësin e dytë të rrjetit të kompjuterit të zgjedhur. Në këtë rast, mënyra e hyrjes në internet (përmes një porti LAN ose një modemi DSL) është plotësisht e parëndësishme.

    Ndizni kompjuterin e parë. Hapni listën e të disponueshmeve lidhjet e rrjetit. Zgjidhni përshtatësin e rrjetit që është i lidhur me kompjuterin tjetër. Hapni vetitë e tij. Zgjidhni "Internet Protocol TCP/IPv4". Klikoni butonin Properties. Theksoni opsionin Përdorni adresën IP të mëposhtme. Vendosni vlerën IP për këtë përshtatës rrjeti, e barabartë me 25.25.25.1.

    Konfiguro një lidhje interneti nëse ky operacion nuk ka përfunduar ende. Shkoni te vetitë e kësaj lidhjeje. Zgjidhni skedën "Qasja". Kërkoni "Lejo kompjuterët të përdorin këtë lidhje interneti" rrjet lokal". Specifikoni rrjetin që formojnë dy kompjuterët tuaj. Ruani cilësimet tuaja.

    Ndizni kompjuterin e dytë. Hapni listën e lidhjeve të disponueshme të rrjetit. Navigoni te vetitë e protokollit TCP/IPv4. Nëse kompjuteri i dytë po ekzekuton Windows XP, atëherë ju nevojitet protokolli TCP/IP.

    Aktivizoni opsionin "Përdorni adresën IP të mëposhtme". Shkruani vlerën e tij të barabartë me 25.25.25.5. Shtypni tastin Tab për të marrë automatikisht maskën e nënrrjetit. Gjeni artikujt "Default Gateway" dhe "Preferred DNS Server". Plotësoni ato me adresën IP të kompjuterit të parë. Ruani cilësimet e rrjetit tuaj.

    Kujdes! Duhet të jeni të kujdesshëm kur krijoni rregulla për bllokimin e hyrjes në server me IP nga distanca! Mos e bllokoni veten aksidentalisht ;-)

    Hapni seksionin e menaxhimit të politikës lokale të sigurisë. Për ta bërë këtë, shtypni menunë Fillimi => Mjetet Administrative => Politika Lokale e Sigurisë.

    Në dritaren që shfaqet, klikoni klikoni me të djathtën minjtë në një degë "Politika e Sigurisë IP është aktivizuar kompjuter lokal» (Politikat e Sigurisë IP në Kompjuter Lokal). Nga menyja e kontekstit, zgjidhni "Shto politikën e sigurisë" (Krijo Politikën e Sigurisë).



    Magjistari i ri i politikave të sigurisë do të fillojë. Klikoni "Me tutje" (Tjetra).



    Në hapin tjetër, jepni një emër për politikën e re. Për shembull "Blloko adresat IP të padëshiruara". Përshkrimi është opsional. Klikoni "Me tutje" (Tjetra).



    Pastaj ik opsion "Aktivizo rregullin e paracaktuar" (Aktivizoni rregullin e parazgjedhur të përgjigjes) dhe shtypni "Me tutje" (Tjetra).



    Në hapin e fundit, lini gjithçka ashtu siç është dhe klikoni në butonin "Gati" (Përfundo).



    Dritarja e vetive për politikën e krijuar do të hapet. Në skedën "Rregullat" (rregullat), zgjidhni opsionin "Përdor Master" (Përdorni Add Wizard) dhe klikoni në butonin "Shto" (Shtoni).


    Do të shfaqet një dritare "Opsione të reja të rregullave" (Vetitë e rregullave të reja). Në skedën "Filtri i adresës IP" (Lista e filtrave IP) klikoni në butonin "Shto" (Shtoni).


    Në dritaren që shfaqet, në fushë "Emri" (Emri) shkruani emrin e grupit të adresave IP të bllokuara. Për shembull: "Blloku i sulmit". Hiq opsionin "Përdor Master" (Përdorni Add Wizard) dhe klikoni në butonin "Shto" (Shtoni).



    Në dritaren e vetive të filtrit IP, në skedën "Adresat" (Adresat) në seksion "Një burim" (adresa e burimit) largohen "Adresa ime IP" (Adresa ime IP).

    Në seksion "Destinacioni" (Adresa e destinacionit) zgjidhni "Adresa IP specifike" (Një adresë IP specifike) ose "Nën rrjet" (Një nënrrjet IP specifik) dhe specifikoni adresën(at) IP që dëshironi të refuzoni aksesin në server.

    opsion "Pasqyrë" (pasqyruar) leja është aktivizuar.


    Në skedën "Protokolli" (Protokolli), mund të zgjidhni protokollin për të cilin do të aplikohet filtri. Si parazgjedhje, filtri do të përdoret për të gjitha protokollet.


    Në skedën "Përshkrim" (Përshkrim) mund të specifikoni një përshkrim filtri. Ky përshkrim do të përdoret në listën e filtrave për ta bërë më të lehtë gjetjen e filtrit më vonë. Është më mirë të specifikoni adresën IP të bllokimit si përshkrim.


    Klikoni në butonin Ne rregull për të krijuar një filtër. Do të ktheheni në dritare "Lista e filtrave IP" (Lista e filtrave IP), i cili do të shfaqë filtrin që sapo keni krijuar.



    Klikoni në butonin Ne rregull për të mbyllur listën e filtrave IP. Do të ktheheni në dritare "Opsione të reja të rregullave" (Vetitë e rregullave të reja). Lista e listave të filtrave IP që sapo keni krijuar do të shfaqet në listën e listave të filtrave IP. Zgjidhni atë.


    Shkoni te skeda "Veprimet" (Veprimi i filtrit). Hiq opsionin "Përdor Master" (Përdorni Add Wizard) dhe klikoni në butonin "Shto" (Shtoni).


    Në dritaren që shfaqet, në skedën "Mbrojtja" (Metodat e Sigurisë) vendosni opsionin "Blloko" (bllokoj).


    Shkoni te skeda "Gjeneral" (Gjeneral) dhe në terren "Emri" (Emri) jepni një emër për veprimin. Për shembull: "Blloko".


    Klikoni në butonin Ne rregull. Veprimi i krijuar rishtazi do të shfaqet në listën e veprimeve. Zgjidhni atë.


    Klikoni në butonin Ne rregull.

    Gjithçka, politika është krijuar. Për ta aktivizuar, klikoni me të djathtën mbi emrin e politikës dhe zgjidhni nga menyja e kontekstit "Aktivizo" (Cakto).



    Në mënyrë të ngjashme, përmes menusë së kontekstit, mund të çaktivizoni politikën e krijuar.

    Në vetitë e politikës së krijuar, lehtë mund të shtoni të padëshiruar adresat IP.

    Le të themi se keni konfiguruar dhe gjithçka funksionon mirë nga rrjeti i jashtëm. Por ndonjëherë mund të jetë e nevojshme të organizohet aksesi në një kompjuter ose server duke përdorur një adresë IP të jashtme jo vetëm nga jashtë, por edhe nga rrjeti lokal. Në këtë rast, përdoret i ashtuquajturi Hairpin NAT ose NAT LoopBack - pranimi dhe dërgimi i paketave përmes të njëjtit ndërfaqe ruteri, me ndryshim të adresave nga lokale në të jashtme dhe anasjelltas. Le të analizojmë cilësimet e nevojshme.

    Le të themi se kemi:

    1. Ruteri me IP të jashtëm (WAN IP) 1.1.1.1.
    2. Një kompjuter me një adresë lokale 192.168.88.229 dhe një server, aplikacion, etj. që funksionon në të për akses nga një rrjet i jashtëm. Në rastin tonë, porti 8080 përdoret për lidhjen.
    3. Një kompjuter në rrjetin lokal me adresën 192.168.88.110.

    Ne tashmë kemi një rregull të konfiguruar të përcjelljes së portit 8080:



    Por nuk do të funksionojë kur aksesohet nga zona lokale, pasi cilësimet janë të fokusuara në pako nga rrjeti i jashtëm, nëpërmjet portit WAN. Prandaj, duhet të shtojmë 2 rregulla të tjera.

    Konfigurimi i aksesit nga rrjeti lokal duke përdorur një adresë IP të jashtme

    1. Krijoni një rregull për ridrejtimin e kërkesave nëpërmjet IP-së së jashtme nga rrjeti lokal.

    Skeda e përgjithshme.

    Zinxhir- dstnat.

    src. Adresë- ne shkruajmë këtu adresën lokale të kompjuterit nga i cili do të hyjmë përmes IP-së së jashtme, ose një sërë adresash nëse një akses i tillë duhet të sigurohet në disa kompjuterë në rrjet.

    Dst. Adresë- specifikoni adresën e jashtme të kompjuterit / serverit, etj., e cila do të aksesohet nga zona lokale.

    protokoll, dst. port- këtu ne përshkruajmë parametrat e portit dhe të protokollit që korrespondojnë me lidhjen tonë (njëlloj si në përcjelljen e portit).


    Skeda e veprimit.

    Tek Adresat- ne tregojmë adresën lokale të serverit tonë, kompjuterit në të cilin aksesojmë duke përdorur adresën IP të jashtme.

    drejt porteve - porti është i njëjtë si skeda e mëparshme, kështu që asgjë nuk mund të specifikohet këtu.


    Tani mund të shkoni te kompjuteri 192.168.88.229nga rrjeti lokalme adresë IP të jashtme 1.1.1.1.

    Por kur përpiqesh të ndërveprosh me të, asgjë nuk ndodh. Pse? Le të shohim se çfarë ndodh.

    • Kompjuteri ynë (192.168.88.110) dërgon një paketë në adresën e jashtme të serverit, e cila është edhe adresa e ruterit, përkatësisht - 1.1.1.1.
    • Ruteri e ridrejton atë me besnikëri sipas rregullit tonë dst-nat në një kompjuter me adresën 192.168.88.229.
    • Ai e pranon dhe i dërgon një përgjigje. Por meqenëse e sheh adresën IP lokale si adresën e burimit (në fund të fundit, paketa erdhi nga një kompjuter në rrjetin lokal), ajo ia dërgon përgjigjen jo ruterit, por direkt marrësit.
    • Marrësi (192.168.88.10) po dërgon të dhëna përmes IP-së së jashtme, dhe përgjigja pritet gjithashtu nga IP-ja e jashtme. Pasi ka marrë një pako nga lokali 192.168.88.229, ai thjesht e hedh atë si të panevojshëm.


    Prandaj, na duhet një rregull tjetër që do të zëvendësojë adresën e burimit lokal kur dërgoni një paketë në një IP të jashtëm.

    2. Ne zëvendësojmë adresën lokale të kompjuterit me një adresë IP të jashtme.

    Në skedën Veprimi, vendosni maskaradë, d.m.th., ndryshoni adresën e burimit në adresën lokale të ruterit.

    Në skedën e Përgjithshme, ne përshkruajmë rregullat sipas të cilave do të zbatohet:

    Zinxhir- srcnat, d.m.th për kërkesa nga rrjeti lokal.

    src. Adresë- këtu shkruajmë adresën lokale të kompjuterit, ose gamën e adresave nga do të dërgohen paketat.

    Dst. Adresë- këtu specifikojmë "adresën e marrësit", pra rregulli do të zbatohet vetëm për paketat e adresuara në serverin tonë.

    protokoll, dst. port- këtu ne përshkruajmë të njëjtat parametra porti dhe protokolli.



    Tani, pasi ka marrë një paketë nga rrjeti lokal i adresuar në IP të jashtëm 1.1.1.1, ruteri jo vetëm që do ta ridrejtojë atë në 192.168.88.229 (sipas rregullit të parë), por gjithashtu do të zëvendësojë adresën e burimit (192.168.88.110) në paketën me adresën e saj lokale.

    Prandaj, përgjigja nga serveri nuk do të dërgohet drejtpërdrejt në rrjetin lokal, por në ruter, i cili nga ana tjetër do ta përcjellë atë te burimi.


    Karficë flokësh mënyra e dytë NAT MikroTik: 2 rregulla në vend të 3

    Ju mund ta bëni edhe më të lehtë duke zëvendësuar rregullin e përcjelljes së portit me rregullin e parë NAT të Hairpin. Në këtë rast, nuk keni nevojë të specifikoni In në cilësimet. Ndërfaqja dhe adresa Src, por duhet të shkruani adresën e destinacionit.

    Qasja në adresën IP të jashtme të serverit ose kompjuterit tuaj me aplikacionin do të jetë e hapur si për thirrje nga jashtë ashtu edhe nga rrjeti lokal, nga çdo adresë, por vetëm për paketat me adresë destinacioni 1.1.1.1:80.

    Tani shtoni rregullin srcnat të përshkruar më sipër, dhe kaq. Mund të shtoni filtrim shtesë duke specifikuar në ndërfaqen e jashtme ndërfaqen nga e cila do të dërgohen paketat, nëse është e nevojshme.

    Disavantazhi i Hairpin NAT është vetëm se ngarkesa në ruter rritet, sepse ato thirrje që dikur kalonin përmes rrjetit lokal drejtpërdrejt midis kompjuterëve tani do të kalojnë përmes ruterit.

    Metoda e dytë është më e lehtë, por në varësi të konfigurimit të rrjetit tuaj, e para mund të përdoret gjithashtu.

    UPD: ne testuam përsëri metodat e konfigurimit të përshkruara në këtë artikull me një shembull, si dhe vendosjen e sugjeruar në komente. Të gjithë ata janë duke punuar.


    faqe interneti

    ARTIKUJ TË LIDHUR