Маршрутизатор Linux и доступ через него

[binx]

Помогите кто нибудь советом, как настроить удаленный доступ через маршрутизатор с Alt Linux к локальной сети из вне. Буду благодарен всем кто направит в нужную сторону.
Очень уж охота подключаться к сети на работе не выходя из дома.

[sergej51]

если на работе стоит proxy начинать надо с него(открыть порты)

[binx]

прокси нет, маршрутизатор стоит на границе между сетью и интернетом,
вопрос как пробиться через маршрутизатор- на нем открыть порты, и что делать дальше

[mikle]

сделать port mapping
см. opennet.ru поиск дял вашего фаервола (вероятно, iptables)

[evgras]

Цитата: Сообщение от binx прокси нет, маршрутизатор стоит на границе между сетью и интернетом, вопрос как пробиться через маршрутизатор- на нем открыть порты, и что делать дальше

Подними сервер pptpd (подробности можно найти на opennet.ru)

[forumer]

На машине должны быть две сетевые карты - одна смотрит в локальную сеть, другая наружу. На машине настроить форвард пакетов и натинг или маскарадинг, в зависимости от того какой IP на внешней сетевой каре (реальный или нет)

[DoubleSpace]

Если так, чтобы бегом и без разборок- firestarter

[binx]

Всем спасибо буду думать,
а как насчет ssh здесь его можно применить

[2Casp]

Цитата: Сообщение от binx ...а как насчет ssh здесь его можно применить

Да можно, но в этом случае ты будешь видеть только одну машину, роутер. Если захочешь зайти на шару в сети, нужно будет через smbclient. Так же как вариант, можно будет настроить VPN сервер, для чего делаем:
1. Включем перенаправление пакетов (теоритически предпалагаю, что у тебя оно включено):

Код:

 
sysctl -w net.inet.ip.forwarding=1
sysctl -w net.inet.gre.allow=1

2. Далее устанавливаешь poptop
3. Редактируешь файл ppp.conf (обычно находится в /etc/pptpd.conf):

Код:

 
# вкл. MS-CHAP V2
enable MSChapV2
# шифрование данных MPPE
set mppe 128 stateless
# отключаем компресию
disable deflate pred1
deny deflate pred1
# отключаем таймер ожидания
set timeout 0
# задаем адрес VPN шлюза и диапазон выдаваемых клиентам адресов
set ifaddr 192.168.1.250 192.168.1.10-192.168.1.20
accept dns
set dns @DNS_SERVER@
enable proxy

4. В файле /etc/ppp/chap.secret добавляем пользователя

Код:

vpupkin	passwdpupkin	192.168.1.10

5. Запускаешь... /etc/init.d/pptpd start (возможно прийдется самому написать скрипт запуска)
На венде, при созданинии VPN подключения, по моему в свойствах нужно убрать шифрование и устанавливать удалённый шлюз.

З.Ы. Писал на память, возможно где-то будет ошибка. Говори, исправлю, но куда смотреть должен был понять ;)

З.Ы.Ы. При создании VPN, ты получишь полный доступ к сети...на мой взгляд более выгодно А если установить еще на все клиентские машины VNC, тогда на работу можно вообще не приходить ;)

[korshenin]

Если нужно из интернета зайти на какой-нибудь отдельный сервер (или любой другой компьютер) внутри локальной сети через файрвол/маршрутизатор, то совсем необязательно настраивать VPN.

Для доступа к сетевым службам использующим транспортный протокол TCP можно использовать ssh port forwarding.

Вот статьи (на английском), где про это рассказывается подробно.
http://www.redhatmagazine.com/2007/1...rt-forwarding/
http://www.redhat.com/docs/manuals/l...yondshell.html

А вот хорошая статья на русском:
http://www.opennet.ru/base/sec/ssh_tunnel.txt.html

Добавлено через 10 минут
Если нужен доступ сразу к нескольким (или хуже того многим) компьютерам и некоторые службы используют UDP, то придется
делать VPN и надо иметь ввиду, что PPTP мягко говоря не лучший
вариант. Он слаб в отношении защиты. Мне известны случаи взлома PPTP.
Поэтому лучше использовать что-нибудь типа OpenVPN.
к тому же OpenVPN есть и для Windows и его не так уж сложно настраивать. Чаще всего даже не приходится пересобирать ядро.
И никаких GRE протоколов!

[2Casp]

Цитата: Сообщение от korshenin Если нужно из интернета зайти на какой-нибудь отдельный сервер (или любой другой компьютер) внутри локальной сети через файрвол/маршрутизатор, то совсем необязательно настраивать VPN. Для доступа к сетевым службам использующим транспортный протокол TCP можно использовать ssh port forwarding. Если нужен доступ сразу к нескольким (или хуже того многим) компьютерам и некоторые службы используют UDP, то придется делать VPN и надо иметь ввиду, что PPTP мягко говоря не лучший вариант. Он слаб в отношении защиты. Мне известны случаи взлома PPTP. Поэтому лучше использовать что-нибудь типа OpenVPN. к тому же OpenVPN есть и для Windows и его не так уж сложно настраивать. Чаще всего даже не приходится пересобирать ядро. И никаких GRE протоколов!

Да, я с тобой согласен, что не обязательно настраивать VPN сервер и можно воспользоваться доступом по протоколу ssh, НО VPN более удобен для администрирования локальной сети, а не самого маршрутизатора. То что OpenVPN более защищен по сравнению с PPTP, готов с этим поспорить....тут все зависит от знаний сис. админа (или админ. по безопасности) в области защиты информации, настройки защиты ОС Linux и что самое главное это таких программ как iptables, snort, lids, антивирусная защита, обновление ПО, так же нельзя забывать о человеческом факторе (как администратора системного\безопасности, так и всех пользователей) и т.д. имхо, тут много факторов которые будут отвечать за безопасность как сети, так и шлюза. Не правильно настроенный OpenVPN так же уязвим к атакам как и PPTP.

З.Ы. Это мое имхо ;) Буду рад выслушать твое мнение.

[korshenin]

Цитата: Сообщение от 2Casp То что OpenVPN более защищен по сравнению с PPTP, готов с этим поспорить....тут все зависит от знаний сис. админа (или админ. по безопасности) в области защиты информации, настройки защиты ОС Linux

не советую спорить. Либо проспорите, либо раздуете очередной флейм.

Для тех, кто силен в английском есть подробная статья от авторитета в области безопасности Брюса Шнейера по проблемам в микрософтовской реализации PPTP:

http://www.schneier.com/pptp.html
http://www.schneier.com/pptp-faq.html
http://portal.acm.org/citation.cfm?id=288090.288119

На некоторых курсах по безопасности в качестве лабораторной работы
обучающиеся взламывают микрософтовский PPTP. Это обычные люди в обычном учебном центре в Москве. Что могут сделать опытные хакеры (в хорошем смысле этого слова) и криптоаналитики можете себе представить.

Цитата: Сообщение от 2Casp Не правильно настроенный OpenVPN так же уязвим к атакам как и PPTP.

нет. это не так.
Да и не стоит вообще сравнивать неправильно настроенные VPN-ы. Это бессмысленное занятие.

Цитата: Сообщение от 2Casp антивирусная защита, обновление ПО

антивирусная защита, обновление ПО под UNIX-ами? Это забавно.

Идея антивирусной защиты реализованная в антивирусах --- это хорошая идея чтобы зарабатывать на этом деньги (так как антивирус надо все время обновлять, за деньги, разумеется) и весьма порочная идея в плане безопасности и эффективности работы системы.
Не случайно тот-же Kaspersky и ряд других неплохих в плане эффективности
обнаружения вирусов имеет репутацию тормоза.

Порочность заключается в том, что антивирусы
эффективны против известных и хорошо изученных атак. А стоит атакующему проявить немного фантазии и антивирусы сдаются. Касперский, например, откровенно слаб против руткитов, да
и большинство ему подобных.

Обновление ПО --- это из той-же области изымания денежных средств
и Microsoft использует его скорее для противодействия пиратству,
нежели для блага своих клиентов.

Многие коммерческие программы обновляются только из-за того что пираты в них в очередной раз сломали защиту.

В Юниксах для обеспечения безопасности огромную роль играет понимание принципов работы системы и принципов криптографических алгоритмов, если используются такие средства, как
шифрование, ЭЦП и VPN. В силу открытости архитектуры Linux, FreeBSD и ряда других UNIX-подобных систем легче понять принципы их работы и обеспечить безопасность не столько латанием дыр, сколько использованием более фундаментальных подходов к обеспечению безопасности. Обратите внимание на проекты RSBAC, GRSecurity, на старый добрый OpenWall. Там много интересного и поучительного.