Пробится к RDP через файерволл

[OtherSide]

Нужно время от времени админить домашний сервак с рабочей машины. На работе закрыли почти все порты. Попробовал дома перенаправлять с 21 порта - но все равно не заработало - по ходу они фильтруют траффик.
Но с другой стороны, работают же обновления винды, всякие там NuGet и т.д. - как они это делают? Какие порты вообще обязательно открыты?
И может ли файерволл анализировать траффик и резать на этом уровне?

[turic]

Это делается через port forwarding. На своем firewall делаешь форвард порта 3390, к примеру

http://windows.microsoft.com/en-us/wind ... me-network

[OtherSide]

Это делается через port forwarding. На своем firewall делаешь форвард порта 3390, к примеру

http://windows.microsoft.com/en-us/wind ... me-network

Ну я так и сделал. На домашнем роутере перенаправил с 21 на 3390. И хотя на работе 21 открыт, достучаться с рабочей машины все равно не могу (с других можно)

[turic]

Это делается через port forwarding. На своем firewall делаешь форвард порта 3390, к примеру

http://windows.microsoft.com/en-us/wind ... me-network

Ну я так и сделал. На домашнем роутере перенаправил с 21 на 3390. И хотя на работе 21 открыт, достучаться с рабочей машины все равно не могу (с других можно)

Возможно режут по контенту, можно попробовать сделать SSH Tunnel,
http://www.kettering.edu/offices-admini ... top/remote

Тогда траффик будет зашифрован.

[OtherSide]

Это делается через port forwarding. На своем firewall делаешь форвард порта 3390, к примеру

http://windows.microsoft.com/en-us/wind ... me-network

Ну я так и сделал. На домашнем роутере перенаправил с 21 на 3390. И хотя на работе 21 открыт, достучаться с рабочей машины все равно не могу (с других можно)

Возможно режут по контенту, можно попробовать сделать SSH Tunnel,
http://www.kettering.edu/offices-admini ... top/remote

Тогда траффик будет зашифрован.

А что они шифрованный резать не будут?

[OtherSide]

Думаю они специально RDP и не режут. Просто на FTP стоит логгер, видит что запросы не FTP и дальше не пускает

[Helmsman]

Возможно режут по контенту, можно попробовать сделать SSH Tunnel,
http://www.kettering.edu/offices-admini ... top/remote
Тогда траффик будет зашифрован.

За подобные дела во многих местах больно дают по рукам, вплоть до увольнения.

[turic]

Думаю они специально RDP и не режут. Просто на FTP стоит логгер, видит что запросы не FTP и дальше не пускает

В таком случае не надо иметь сервера, (RDP - сервер). Именно так делает Skype они пробрасывают соединение через посредника, клиенты только качают. Сделать подобное для RDP из подручных материалов нельзя (или я не знаю как).

Как варианты
1. logmein, kaseya
2. договорись с IT

[mq0]

Статический IP, дома открываете 443 порт, на нем открываете SSH. Через SSH тунель делаете что хотите.
PS. Админы узнают, побьют.

[Slonjra]

поставить TeamViewer. Он бесплатный для домашнего пользователя.
Работает через HTTP - уж его то врядли у вас закрыли.

[IvanF]

Ну я так и сделал. На домашнем роутере перенаправил с 21 на 3390. И хотя на работе 21 открыт, достучаться с рабочей машины все равно не могу (с других можно)

А почему на 3390 если стандартный порт RDP 3389

[OtherSide]

Статический IP, дома открываете 443 порт, на нем открываете SSH. Через SSH тунель делаете что хотите.
PS. Админы узнают, побьют.

Кстати, а как узнают, ну кроме как по объему траффика? Если предположим стучаться через виртуалку и у них нету доступа к установленному на компе софту?

[Sheriff]

Нужно время от времени админить домашний сервак с рабочей машины. На работе закрыли почти все порты. Попробовал дома перенаправлять с 21 порта - но все равно не заработало - по ходу они фильтруют траффик.
Но с другой стороны, работают же обновления винды, всякие там NuGet и т.д. - как они это делают? Какие порты вообще обязательно открыты?
И может ли файерволл анализировать траффик и резать на этом уровне?

Для вашего случая как раз и придуман Remote Desktop Gateway Server - траффик идет по HTTPS на порт 443.

http://windows.microsoft.com/en-us/wind ... way-server
https://technet.microsoft.com/en-us/lib ... 54191.aspx

[mitnlag]

ну кроме как по объему траффика?

Зависит исключительно от въедливости вашей секьюрити. Если им действительно надо - узнают или заподозрят. Если пофиг - забьют.
Техсредства есть (включая кейлоггеры и снимки вашего экрана).

[StrangerR]

Замепьте порт 3389 своего домашнего компа на внешний порт 443 на домашнем файреволле. После этого с работы попробуйте открыть сессию на <IP-aдрес>:443

Если не пройдет то значит там очень въедливая настройка файреволла (что редко но бывает). Тогда ищите способ поставить Remote Desktop Gateway Server - супротив него файреволлы бессильны.

[ak3]

WHS2011 как вариант Remote Desktop Gateway Server.
У одного из клиентов не давали соединиться с RDP GW никак, ошибки при логине, и всё тут.
Через WHS работало ок, там как-то по-другому это сделано.

Про безопасность уже сказали, логи могут всплыть когда не надо.
Телефон с 5" экраном и мобильным интернетом вполне достаточен.

[sergant]

Chrome Remote Desktop

[Andrey Strelnikov]

поставить TeamViewer. Он бесплатный для домашнего пользователя.
Работает через HTTP - уж его то врядли у вас закрыли.

Если в конторе все так закрыто то наверняка просматривают и http-трафик. Тут уж точно спалится.

[Searcher]

Если на периметре стоит application-aware firewall типа Palo Alto, то перенаправлять на другие порты не поможет, он анализирует по трафику.
Для анализа шифрованного трафика может быть сконфигурировано decryption at the perimeter. Либо просто посмотрят и сочтут шифрованный трафик на непонятный адрес подозрительным.

Так что как уже советовали, надо перечитать policy, пообщаться с infosec и станет понятно можно ли что-то сделать.

[StrangerR]

Декрипшен на периметре возможен, только если через доменную полиси подсовывают свои сертификаты. На практике такого чуда я еще не встречал. Через RDP gateway порт 443 все будет нормально работать с вероятностью околоо 99%

[Леонид Ильич Брежнев]

Имеется собственный domain на shared hosting. На нем почта и web site. Из местах "Х", почту не возможно читать ни по SMTP/IMAP (и их секьюрити версии), ни через webmail который у моего хостера сидит на 2ххх порте, ни даже в лоб законектившись через ssh на хостинг и читая емайлы через pine.
Дома стоит Comcast modem, за ним роутер (NETGEAR WNDR3700v4), и за ним с дeсяток устройств. Внешний IP адрес довольно постоянный.
Что можно сделать: тунель, ip/port forwarding, что бы читать емайлы?

Спасибо,
Л.И.

[Sluh]

Смартфоны на входе в место X отбирают или глушат? Если просто читать, то зачем огород-то городить.

[StrangerR]

На своем _домене_ поставьте проброс на порт почтового сервера через https, и ходите туда спокойно. https мало кто закрывает, слишком много геммора со слишком слабой отдачей.

[Леонид Ильич Брежнев]

Я смартфоны не люблю. Нужно нормально читать и писать, разумеется.
Поставить на _своем домене_ я ничего не могу. Это shared hosting.