Народ, очень сильно нужна помощь!
Есть сервер терминалов. Он открыт на доступ через DMZ (для автоматического обмена 1С). Как сделать так, чтобы терминалом можно было подключиться только из внутренней сети (192.168.5.*)? Из внешки лезут и пытаются ломать!

повтор темы (http://www.nowa.cc/showpost.php?p=2404558&postcount=1)

Есть сервер терминалов. Он открыт на доступ через DMZ
У вас Терминал раздаёт инет? :fool:

У вас Терминал раздаёт инет? :fool:

Нет. Модем настроен роутером.

Shir, ну если модем настроен роутером, правильно настройте правила модемного файерволла и всё.

Shir, ну если модем настроен роутером, правильно настройте правила модемного файерволла и всё.

Модем - чудо российско-китайского производства - "Интеркросс". Можете хотя бы в общих чертах описать как это сделать?

Shir, а по telnet или web на сей модем можно зайти?

ЗЫ: Первое что я бы сделал на модеме то изменил бы стандартный пароль.....

Найти доку по модему, обновить прошивку.
Сбросить настройки и настроить заново. Из внешней сети внутрь пустить только то, что надо. Как правило это равно "ничего".

В стандартном фаерволе 2003 распиши правила кому можно кому нельзя

в tscc > свойства: rdp-tcp > сетевой адаптер > выбрать интерфейс, глядящий внутрь. всё.

терминал может выглядывать наружу только в том случае если прописаны в сетевых настройках адаптера днс адреса с роутера и паралельно проброшен порт 3389 на самом роутере. что мешает это все убрать вручную? в настройках сетевого адаптера оставляешь только собственный айпи сервера и маску подсети.
у меня другой вопрос если все же надо предоставить пользователям удаленный доступ к терминалу через внешний адрес, то как лучше это реализовать?чтобы была также возможность подтянуть удаленный принтер на сервер. Если просто заходить на терминал через консоль Подключение к удаленному рабочему столу, то чего-то стремно так оставлять сервер, чувствуется сквозняк и не покидает чувство, что рано или поздно найдется любопытный, который сможет обрушить систему несмотря на политику доступа к учетным записям из терминала. какого формата должны быть заданы пароли для учетных записей?Формат учетной записи 1с-1с не предлагать.

Если просто заходить на терминал через консоль Подключение к удаленному рабочему столу, то чего-то стремно так оставлять сервер, чувствуется сквозняк и не покидает чувство, что рано или поздно найдется любопытный, который сможет обрушить систему несмотря на политику доступа к учетным записям из терминала.

Можно настроить в профиле пользователя "При входе запускать программу ...". В вашем случае это 1С. После её закрытия терминал закроется и рабочего стола обычный пользователь не увидит.

Для большей уверенности можно запретить запускать членам группы "пользователи" explorer.exe, mmc.exe и т.п.

Можно настроить в профиле пользователя "При входе запускать программу ...". В вашем случае это 1С. После её закрытия терминал закроется и рабочего стола обычный пользователь не увидит.

Для большей уверенности можно запретить запускать членам группы "пользователи" explorer.exe, mmc.exe и т.п.

все именно так и настроено....при запуске удаленного рабочего стола автоматом подхватывает и запускает 1С....но в 1С есть хорошая кнопочка Добавить или Изменить....через которую тебе нужно пошариться по дискам,найти, и добавить базы 1С с винта. Когда сервер находится просто в локалке, то это не страшно, а вот когда открываешь доступ извне, тогда все по другому и начинаешь задумываться о безопасности.