liberar acesso ao VNC

Bom dia ao grupo ,

Preciso liberar o acesso ao vnc a algumas máquinas de usuarios da rede que trabalham direto com desenvolvedores fora , tenque ser por vnc por uma questão de regra de negocios entre as duas empresas , ocorre assim , o usuario aqui da empresa liga para o desenvolvedor ele passa um ip para conexao tipo 189.80.25.173 , ai nosso usuario clica com o botao direito no icone do vnc opção adicionar novo cliente e conectar e é fechada a conexão e o desenvolvedor externo acesso remotamente a máquina , sou novo no BR e qualquer ajuda será de grande valia muito obrigado !

Zeiss

Para tal acesso será configurada regra de servidor virtual. Pelo modo como expôs a situação, entendo que sejam várias as máquinas a serem acessadas internamente e que possam ser mais de uma a origem. Sendo assim, vou dar uma dica de fazermos uma só regra e alterarmos os objetos de acordo com a necessidade.

Acessando a interface gráfica do BRMA vá em Objetos -> Endereços. Neste primeiro passo iremos cadastras os endereços da máquina que irá ser acessada e da origem de onde virá o acesso ( ex. citado por você: 189.80.25.173 ). Confira primeiramente na pesquisa se já não existe objetos para os ip's em questão, caso não existam, crie-os. Ainda em Objetos, vá em Portas, confira se a porta do VNC ( 5900 ) já está cadastrada, se não, crie-a.

Feito isso poderemos configurar a regra:

* Vá em Firewall -> Servidor Virtual.
* Cliquei para adicionar uma nova regra.
* Preencha a "Descrição" ( ex. Acesso via VNC )
* Em "IP servidor virtual / porta" selecione o objeto que existe relacionado a eth1 ( o ip válido do BRMA ) para o endereço e na porta selecione o objeto criado para o VNC.
* Em "IP servidor real / porta" selecione o objeto criado para a máquina em sua rede que irá ser acessada e para a porta, selecione também a referente ao VNC.
* Em "Protocolo" selecione TCP.
* Em "Permitir acesso de" selecione a primeira opção ( de cima ) e selecione o objeto cadastrado referente a origem do acesso.
* "Porta de origem" selecione altas.
* Em "Horário" selecione o que julgar melhor.
* "Status da regra" habilitada.
* Salvar

A regra já está em funcionamento. Se forem várias as máquinas a serem acessadas, sugiro modificar o objeto referente a elas, da mesma forma a fazer com a origem. Se não forem tantas assim e/ou precisar de acessos simultâneos... poderá criar uma regra de servidor virtual para cada máquina a ser acessada, variando no endereço ou porta virtual. Caso queira uma explicação melhor quanto a esta configuração, é só avisar.

Att.

Sugiro por questão de segurança, criar uma VPN..

Axo q se vc usar o hamachi pra configurar uma rede VPN, seria mais simples e seguro, pois Hamachi funciona tanto em linux e windows e vc vai poder adicionar a pessoa a rede, e poder acessar o vnc daquela maquina usando o hamachi, se tiver duvidas em configurar o hamachi, mande e-mail para freek_bass@hotmail.com mas eh simples. o problema eh q a maquina remota tem q ter hamachi tbm e ele precisa tah ativado, tirando isso o resto é mole!

A VPN pode ser mais prática e até mais segura, mas tem que se ter alguns cuidados. Ao simplesmente liberar uma conexão VPN para quem irá acessar as suas máquinas internas via VNC, estaria liberando não somente o acesso a elas como também a toda rede. Posso até limitar através de regras de firewall quais máquinas da rede local que a rede da vpn poderia se comunicar, mas eu estaria limitando também o serviço de vpn somente para essa utilização. Sinceramente acho que a VPN não trará benefícios a mais nessa situação, exceto por uma questão de criptografia.


Sobre o Hamachi, é uma opção bem prática, mas tem que se ter cuidado, pois uma vez estando na "rede do hamachi" abra-se um túnel, deixando a segurança de suas máquinas por conta apenas do firewall da estação, enquanto na regra de servidor virtual só libera apenas uma porta específica e nada mais.

E para aumentar mais a segurança com a regra de servidor virtual, você poderá permitir o acesso somente com autenticação, selecionando em "Permitir acesso de" a segunda opção: "Somente via login (Autenticado)". Criando um usuário para que possa ser feito esse acesso, assim terá em relatórios quando foi que esse usuário específico para essa regra se logou, ajudando em possíveis auditorias.

Boa tarde!

Eu acho que ficaria melhor se cria-se uma VPN mesmo...

segue um artigo publicado por mim:

http://www.vivaolinux.com.br/artigo/OpenVPN-Matriz-egt;-Filial-com-PPTP/

Bem, os prós e contras da VPN já expus, caso opte por ela, não conseguirá executar os procedimentos do link acima, o BRMA tem o serviço de OpenVPN já pronto.

No brma é muito simples a criação da vpn tanto PPTP quando OpenVPN, em caso de dúvida tem uma opção de ajuda que explica passo-a-passo, só uma observação é importante ter cuidado com as regras de firewall para não deixar tão aberto.
Por outro lado uma vez conectado na estação via VNC, já está na rede e o firewall de borda não tem mais nada haver.