Блокировать RDP-соединения, кроме как через VPN

2144
niren

Я хочу сделать разрешить 3389 порт (RDP) только через VPN-соединение, а не нормально. Как я могу это сделать?

Я настроил VPN-сервер в Mikrotik. Я заблокировал весь трафик, кроме http и https фильтром брандмауэра. Я разрешил 3389 по правилу фильтрации и сейчас другие системы (за пределами нашей сети) могут выполнять RDP для наших систем интрасети независимо от VPN. Я имею в виду, что ноутбук (клиент за пределами нашей сети) может выполнять RDP с / без VPN-клиента. Мне нужно, чтобы клиент подключался к VPN-серверу Mikrotik, затем выполнял RDP к внутренней сети, в противном случае отключался.

Как заблокировать другое соединение RDP, кроме RDP через VPN?

Right Now:  -------- pptp tunnel ------------ ----------  | | ============ | | | | |laptop | -------------- | Mikrotik |-------| system A | | | ============ | | | | | | -------------- | router |-------| | -------- | | ---------- ------------   I want :  -------- pptp tunnel ------------ ----------  | | ============ | | | | |laptop | -------------- | Mikrotik |-------| system A | | | ============ | | | | | | | router | | | -------- | | ---------- ------------
1
Почему вы разрешаете 3389 по правилу фильтра? Если у компьютера уже есть VPN-подключение к маршрутизатору, он также должен иметь доступ к внутренней сети, а также к вашему порту 3389. Если вы удалите фильтр 3389, он все еще будет работать через VPN? (Внешние компьютеры больше не будут иметь доступа) Rik 10 лет назад 0

3 ответа на вопрос

1
niren

This is the rule I need to add to allow rdp only over vpn and block all other connection.

add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
0
MariusMatutiae

Ты пытался 

 iptables -A INPUT -p gre --dport 3389 -j ACCEPT iptables -A INPUT --dport 3389 -j DROP

в этом порядке? первый ruel должен пропускать пакеты GRE-протокола, а второй должен блокировать все остальные пакеты.

Невозможно сопоставить порты внутри gre! Mikhail Moskalev 10 лет назад 0
-1
Mikhail Moskalev

Нирен дает правильное представление. Но возможное проще сопоставить со статическим интерфейсом (ами) WAN, чем с возможным динамическим VPN.

add chain=forward action=drop protocol=tcp dst-port 3389 in-interface=WAN comment="Deny RDP via WAN directly"

Похожие вопросы