محدود کردن اتصال از راه دور کریو
سلام
در شرکت برای اتصال کاربران به اینترنت از کریو استفاده میکینم، شرکت ما یک شعبه دیگر دارد که از طریق کانکنشن کریو و اینترنت میتونه به شعبه اصلی متصل بشه . (با داشتن آی پی استاتیک شعبه اصلی و رمز و پسورد کریو)
این شعبه ما یه آی پی استاتیک هم داره که در عکس قسمت Suorce مشخص کردم.
میخواستم فقط این آی پی استاتیک بتونه متصل بشه از بستر اینترنت.
الان در حال حاضر همون طور که در عکس مشخص هست وقتی این آی پی رو ست کردم عمل نمیکنه و با هر آی پی امکان اتصال داده میشه
ممنون میشم راهنمایی بفرمایید.
10 پاسخ
ممنون از راهنماییتون
مواردی که گفتین رو رعایت کردم طبق عکس اما باز هم متاسفانه اعمال نشد.
میتونید بیشتر کمکم کنید.
برید تو قسمت Active Host روی firewall کلیک کنید و connection هاش رو ببینید.
دوباره از یه IP که به نظرتون مجاز نیست ، کانکشن بزنید و ببینید از چه rule داره وارد میشه.
همم !!!
اگه از قبل وصل باشند یا حتی دوباره وصل بشن ، اون وقت ترافیکشون میفته تو Local Traffic ولی قبلش که اصلا وصل نیستند باید از rule های اول یا دوم استفاده کنند.
یه بار قطعشون کنید و تست رو دقیقا در زمان اتصال انجام بدید. حتی می تونید vpn client و tunell رو از local traffic حذف کنید تا مطمئن شید چه اتفاقی داره میفته.
- از طریق کانکشن کریو به همراه آی پی ثابت شعبه اصلی و یوزرنیم پسوردی که دارن ارتباط برقرار میشه
داخل شعبه اصلی اینترنت و آی پی ثابت موجود هست که کاربران از راه دور متصل میشن ، در تنظیمات Dmz همین مودم داخل شعبه اصلی آی پی سرور کریو ست شده و کلا مکانیسم ارتباط از بیرون شعبه به این شکل هست.
- همگی از از رول local trafic وارد میشن.
- چون در شعبه های دیگه سرور کریو ندارم امکان استفاده از تونل رو هم نداریم.
1- کدوم DMZ ؟
2- الان از کدوم Rule دارن وارد میشن ؟
3- چرا بین دو دفتر Tunnel برقرار نمی کنید و کلا دسترسی vpn زدن کاربر رو ببندید ؟
دیگه در قسمت سورس فقط در رول nat دو موردی که فرمودین موجود هست
که متاسفانه باز هم مشکل برطرف نشد.،
یه نکته ای الان دیدم گفتم شاید بخاطر این موضوع باشه ،
در مودم dmz تنظیم شده به سمت سرور کریو به نظرتون میتونه از این موضع باشه؟
بله مواری که فرمودین انجام شد
از رول local trafic وارد میشه.
این توضیح رو از روی سایت خود GFI ببینید.
روش همینه که گفتم ، مطمئن شید همه کانکشن ها یک بار قطع بشن، دیگه نباید بتونن وصل بشن.
البته دو تا rule رو حتی از شما هم ساده تر نوشته و اصلا لازم نیست توی اونها local و inter هم باشند.
چند تا نکته :
1- ترتیب RULE ها در کریو مهمه. پس اگه IP موردنظرتون رو این قدر پایین میزارید ، سایر ip ها یا کاربران ممکنه از RULE های بالاتر وصل شن.
2- شما اینجا گفتیدکه این ip بتونه وصل شه. ولی جایی نگفتید ip دیگه نتونه وصل شه ! باید عین همین RULE رو زیرش تکرار کنید و SOURCE رو ANY بدید و DENY کنید.
3- اصلا چرا بین دو شعبه یه TUNNEL برقرار نمی کنید که همیشه وصل باشه و نخوان یوزر و پسورد بزنن؟ کلا می تونید VPN کلاینت رو برای موارد ضروری خودتون که لازمه از بیرون وصل شید استفاده کنید و اون شعبه رو میشه بزارید وصل بمونه و به کاربر هم اصلا کلاینت ها رو ندید.
1- کدوم DMZ ؟ این که دارید که غیر فعاله
2- الان از کدوم Rule دارن وارد میشن ؟
3- چرا بین دو دفتر Tunnel برقرار نمی کنید و کلا دسترسی vpn زدن کاربر رو ببندید ؟