This is the rule I need to add to allow rdp only over vpn and block all other connection.
add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN" Блокировать RDP-соединения, кроме как через VPN
2096
niren
Я хочу сделать разрешить 3389 порт (RDP) только через VPN-соединение, а не нормально. Как я могу это сделать?
Я настроил VPN-сервер в Mikrotik. Я заблокировал весь трафик, кроме http и https фильтром брандмауэра. Я разрешил 3389 по правилу фильтрации и сейчас другие системы (за пределами нашей сети) могут выполнять RDP для наших систем интрасети независимо от VPN. Я имею в виду, что ноутбук (клиент за пределами нашей сети) может выполнять RDP с / без VPN-клиента. Мне нужно, чтобы клиент подключался к VPN-серверу Mikrotik, затем выполнял RDP к внутренней сети, в противном случае отключался.
Как заблокировать другое соединение RDP, кроме RDP через VPN?
Right Now: -------- pptp tunnel ------------ ---------- | | ============ | | | | |laptop | -------------- | Mikrotik |-------| system A | | | ============ | | | | | | -------------- | router |-------| | -------- | | ---------- ------------ I want : -------- pptp tunnel ------------ ---------- | | ============ | | | | |laptop | -------------- | Mikrotik |-------| system A | | | ============ | | | | | | | router | | | -------- | | ---------- ------------
Почему вы разрешаете 3389 по правилу фильтра? Если у компьютера уже есть VPN-подключение к маршрутизатору, он также должен иметь доступ к внутренней сети, а также к вашему порту 3389. Если вы удалите фильтр 3389, он все еще будет работать через VPN? (Внешние компьютеры больше не будут иметь доступа)
Rik 10 лет назад
0
3 ответа на вопрос
1
niren
0
MariusMatutiae
Ты пытался
iptables -A INPUT -p gre --dport 3389 -j ACCEPT iptables -A INPUT --dport 3389 -j DROP в этом порядке? первый ruel должен пропускать пакеты GRE-протокола, а второй должен блокировать все остальные пакеты.
Невозможно сопоставить порты внутри gre!
Mikhail Moskalev 9 лет назад
0
-1
Mikhail Moskalev
Нирен дает правильное представление. Но возможное проще сопоставить со статическим интерфейсом (ами) WAN, чем с возможным динамическим VPN.
add chain=forward action=drop protocol=tcp dst-port 3389 in-interface=WAN comment="Deny RDP via WAN directly"
Похожие вопросы
-
5
64-битная ОС и программное обеспечение VPN
-
8
Как предотвратить сжатие панели задач при использовании удаленного рабочего стола?
-
4
Замена для ZoneAlarm на 64-битных системах?
-
-
9
Заставить веб-адрес проходить через HTTPS
-
5
Достаточно ли межсетевого экрана в беспроводном маршрутизаторе?
-
3
Почему я не могу подключиться к своему Windows 7 через удаленный рабочий стол?
-
4
Как выборочно маршрутизировать сетевой трафик через VPN на Mac OS X Leopard?
-
3
Брандмауэр Windows, который блокирует программы в интерактивном режиме
-
11
Удаленный рабочий стол, нажав клавишу Windows случайно
-
8
Как я могу удаленный рабочий стол из Windows XP в Windows Vista?