我有一个远程办公室,其中的一些计算机无法定期访问互联网,但是,我需要定期远程访问我计划使用 VNC 的计算机。
有什么好方法可以确保计算机除了我的入站 VNC 连接之外无法访问互联网?
我首先想到的是,在它们前面配置一个路由器,这样路由器只允许 ARP/DNS 和 VNC 端口 5000+N,并阻止所有其他端口进出。这会是一个有效的解决方案吗?
答案1
据我所知,将 VNC 端口向全世界开放(0.0.0.0/0)是不安全的并且容易受到黑客攻击。
您可以做的事情:
安装防火墙并配置 NAT - 允许您通过 VNC 端口访问网络,但只能访问一个特定的 IP(而不是全世界)。
配置一个 VPN 服务器,一旦连接到该服务器,您就可以访问网络内的所有主机。
使用这两种解决方案,您可以限制用户对互联网的访问并允许访问网络内的特定服务。
答案2
你能给他们提供虚假的 DNS 条目,并保留所有 IP/子网/网关信息吗?这将阻止他们浏览,但留下可路由的流量。错误的 DNS 会破坏修补程序,甚至可能破坏其他应用程序,但你可以轻松地打开和关闭它。
答案3
在这种情况下,我通常的设置是在网络前面有一个可以通过 SSH 进入的路由器,然后仅在需要访问内部计算机时使用 SSH 端口转发。
Mikrotik 或 Ubiquiti 等路由器具有这样的功能,而且通常价格实惠。在这样的设置下,您可以让那些不想上网的计算机仅通过 DHCP 获取 IP 地址,而无需网关 IP。这样,它们将能够与同一网络中的其他计算机通信,但没有路径可以访问互联网。
当您需要从外部世界访问这些内部计算机时,您可以通过 SSH 进入路由器并使用本地端口转发,如下所示:
user@admin-computer:~$ ssh router.company.com -f -L 5900:<no-inet-pc1-ip>:5900
使用 SSH 用户名/密码登录后,启动 VNC 客户端并连接到标准 5900 端口上的 127.0.0.1,您将通过no-inet-pc1-ipVNC 端口访问内部 PC(具有 IP 地址)。即使内部 PC 上没有网关,这也可以正常工作,因为从它们的角度来看,连接来自路由器,而不是您的远程admin-computer
如果您使用公钥认证设置 SSH(强烈推荐)并在路由器上使用非标准端口进行 SSH(以避免对端口 22 进行连续扫描),您将拥有一个经济实惠、安全且可自动化的设置,而无需设置 VPN 或复杂的防火墙。
希望能帮助到你!