привет всем!
хочу поделиться наблюдениями которые я нарыл в процессе ковыряния с перечисленными маршрутниками.
за формат текста не критикуйте.

сразу скажу что выход в инет по маку не использую, а настраиваю фаервол маршрутника, обычно это 4 правила в след очередности

1. разрешить из LAN-все в WAN-определенный ИП, протокол 25
2. запретить из LAN-все в WAN-все ИП, протокол 25
(разрешаю отправлять почту только через один SMTP сервер)
3. разрешить из LAN-набор Ипов в WAN-все, протокол все
4. запретить из LAN-все в WAN-все , протокол все
(это правило регулирует выход в инет толко определенного набора ИПов)

так же есть потребность опубликования RDP протокола на нестандартном порту (всесто 3389 - другой порт) с пересылкой на стандартный (менять на серве порт терминалок лень)
при этом с точки зрения секьюрности увода информации самому серверу запрещено как либо выходить в инет


ну что ж приступим;

DIR 100 - НЕ РАБОТАЕТ ОПУБЛИКОВАННЫЙ RDP!!! при тех правилах что описанны выше. что бы заработал ИП сервера должен находиться в списке тех кому разрешен выход в интернет.
в фаерволе нельзя менять местами правила, но в принципе можно создать правила с обратной стороны и тем самым выстроить их в нужной последовательности. при опубликовании ресурса нельзя поменять порт назначения (точка слушает один порт- пересылает на другой), в целом работает стабильно.

DIR 300 - всё так же НЕ РАБОТАЕТ ОПУБЛИКОВАННЫЙ RDP по тем же причинам что и DIR 100. можно менять опубликованный и пересылаемый порты. создание правил так же не очень удобно. опять же нужно рассчитывать зараннее их последовательность, и если вам нужно будет в будущем добавить в середину правил ещё какое либо то вам придётся всё перенастраивать!. к работе нареканий небыло.

DI 707P - опять же НЕ РАБОТАЕТ ОПУБЛИКОВАННЫЙ RDP! видимо у IT специалистов разрабатывающих эти продукты даже мысли нет что бы подключатся к устройству которому запрещён выход в интернет.
как и 300я умеет подменять порты, но так же как обе вышеперечисленные не позволяет менять местами правила.
работает стабильно.

DIR 120 - ну наконец то! первый и единственный продукт (с которыми я работал) который позволяет подключаться к серверу по RDP при этом сервер сам ну никак не может выйти в интернет.
ух ты.. позволает менять очередность существующих правил фаервола! , позволяет махинировать с пересылкой портов...
казалось бы вот он! "выбор редакции" НО!!!!
глючит просто жуть как.. например.. если вы отправите на 10 сайтов постоянную пингу - то через 5 мин у вас пропадёт пинга с 1-2 сайтами, через 10ть минут с 5ю..
через 20 мин со всеми....
при этом заходить на эти сайты по различным протоколам будет нормально.... наплевав на отсутствие пинги продолжил работать на ней..
через 3 дня отказала работать половина протоколов ....
в нормальное состояние возвращает ребут маршрутника!


так же у всех продуктов D-Link слабоватые блоки питания.

_________________
не бейте меня слишком сильно
ведь я всего лишь ламо
)))

Не ходите к серверу по RDP через общедоступную сеть. Смена порта здесь мало поможет. Сначала устанавливайте VPN соединение, а зетем подключайтесь к удаленному десктопу.

а смысл ?

безопасность что ли ?
интересно есть ли здесь хотя бы один чел кто слышал что
"хакнули RDP"

_________________
не бейте меня слишком сильно
ведь я всего лишь ламо
)))

Хакают не RDP, хакают логин и пароль к RDP. Вот, например, объявление на хакер.ру

Доступы RDP к ЛВСам многих компаний...

Как говорится, no comment.

сами то читали эту статью ?
http://www.xakep.ru/post/36267/?print=true

я сам иногда балуюсь с компами у которых случайно отсканировал РДП порты, но если адсинистратор пустой не катит - то дальше интерес пропадает...

к тому же есть такая штука - называется нестандартный порт, если чел будет знать про нестандартный порт - то более чем уверен он и будет знать учётные записи пользователя на вход...
тут то и приходит на помощь политики безопасности, а использование ВПН сетей сведёт их использование на ноль!

но в общем это к данной теме не относится.
а если кому то интересно будет создать систему в которой нельзя умыкнуть данные то пусть пишет в личку - проконсультирую....

_________________
не бейте меня слишком сильно
ведь я всего лишь ламо
)))