je voudrais configurer un serveur pour sécuriser la prise de controle depuis internet à des machines xp sur lesquels tourne un serveur vnc.
l'idée étant que le serveur doit permettre l'accès à une ip publique sur un port choisi qui sera natté sur un port en interne mais comment ensuite faire le choix entre les stations qui ont une ip privées ?
  • [supprimé]

Pas de prob:
si j'ai bien compris, tu voudrait prendre la main a distance sur des postes clients via un serveur sur un rezo privé c bien ca?
si c ca? dit le et je te donne la manip c tout bete :-D
  • [supprimé]

ok bon je commence: :-D

Tout d'abord pour avoir acces à un rezo privé via internet , il te faut savoir son adresse, pour se faire il y a 2 solution. Ou le rezo que tu veut atteindre a une ip fix et la pas de prob ou il a une ip dynamique et la pas de prob :-D , pour une ip dynamique tu peut aller voir sur http://www.dyndns.org.
voila tu conait maintenant son adresse distant. je continue

Tes clients derrière le firewall on deja le serveur vnc, pour chaque client tu leurs donne une session, je m'explique par exemple le pc de mme durand à un ip 192.168.0.1 "alors tu lui donne la session 192.168.1:1" et autant de session que tu à de postes privé autrement dit" mr jeandemo ip 192.168.0.2 sa session sera 192.168.0.2:2"et ainssi de suite.

Maintenant tu à l'adresse de ton client distant et les session des postes privé, reste à router sur le firewall du rézo distant:-D

dans la table t nat tu fait:

iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 5901 "pour 192.168.0.1:1" -j DNAT --to-destination 192.168.0.1:5901

iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 5902 "pour 192.168.0.2:2" -j DNAT --to-destination 192.168.0.2:5902
et tu continue autant de postes que tu veut gérer à distance sur le rezo privé.

attend c pas fini :-D

dans la table forward tu fait:

iptables -I FORWARD -i ppp0 -p tcp --dport 5901 -d 192.168.0.1 -m state --state ! INVALID -j ACCEPT

iptables -I FORWARD -s 192.168.0.1 -p tcp --sport 5901 -o ppp0 -m state --state ESTABLISHED -j ACCEPT

Voila c fini tu fait autant de FORWARD que tu à de postes privé.

Alors c plutot facile non? :-D

j'espere t'avoir aidé toi ou d'autre !!!

cela fonctionne à merveille avec moi pour gérer plusieurs entreprises, toute fois vos commentaires sont les bienvenue!! A+ bye
j'ai une ip fixe pas de problème de ce coté par contre comment ouvrir une session 192.168.0.1:1, etc sur mon serveur ?

est-il possible de crypter via ssl (faire du vnc over ssl) ?
  • [supprimé]

Tu va dans les proprietes de ton serveur vnc et tu decoche la case pour donner le n° de session, puis dans vncviewer tu tape l'ip:le n° de session que tu veut atteindre. Bref le n° de session c= au n° de port de ta machine. si la session est a 2 le port ou tourne le serveur vnc est 5902. OK?
a une derniere chose, si tu a bq de client utilise le meme pass sinon tu a pas fini :-D

A+ bye
  • [supprimé]

Sorry j'ai oublier!

est-il possible de crypter via ssl (faire du vnc over ssl) ?

Surement possible d'ouvrire un tunnel mais c autre chose par contre le principe est le meme dans un tunnel ou pas!
A+
bon j'ai compris la démarche, je pense arriver à mettre ça en place. Il faut bien sur que mon provider ouvre les ports corespondant pour mon ip publique ... c'est là ce qui m'ennuie un peu car si j'avais 300 machines il faudrait aouvrir une plage de 300 ports ?

autre question je ne veux accepter en entrée que les demande en provenance d'une ip publique fixe bien précise, cela se traduit comment dans iptables ?
  • [supprimé]

Il faut bien sur que mon provider ouvre les ports corespondant pour mon ip publique ... c'est là ce qui m'ennuie un peu car si j'avais 300 machines il faudrait aouvrir une plage de 300 ports ?


Non, non, non ton provider na rien avoir!
vnc utilise par default le port 5900

c sur ton rezo prive " le firewal" qu'il faut router tes ports vers chaque machines!
Bonjour,

Pour sécuriser VNC via une connection cryptée, il est possible d'utiliser VNC en conjonction avec un serveur SSH sur le réseau privé et un client SSH installé sur la même machine que le client VNC. Il suffit ensuite de faire du forwarding de ports.

Sur cette page, tout est expliqué :
http://www.uk.research.att.com/archive/vnc/sshvnc.html

Personnellement, j'utilise une autre solution, avec un VPN IPsec qui permet de passer à travers un pare-feu, mais c'est une solution payante (vendue par Cisco en l'occurence). Mettre en place un serveur SSH sur une machine Linux qui serait à l'écoute des serveurs VPN installés sur des machines Windows (ou unix/linux) est en revanche une solution très peu onéreuse.
je vais mettre en place une solution à base de vpn pptp finalement, comme ça mon utilisateur distant pourras facilemnt prendre le contrôle de plusieurs machines ...
8-)