1

Я хочу сделать разрешить 3389 порт (RDP) только через VPN-соединение, а не нормально. Как я могу это сделать?

Я настроил VPN-сервер в Mikrotik. Я заблокировал весь трафик, кроме http и https фильтром брандмауэра. Я разрешил 3389 по правилу фильтрации и сейчас другие системы (за пределами нашей сети) могут выполнять RDP для наших систем интрасети независимо от VPN. Я имею в виду, что ноутбук (клиент за пределами нашей сети) может выполнять RDP с / без VPN-клиента. Мне нужно, чтобы клиент подключился к VPN-серверу Mikrotik, а затем сделал RDP для внутренней сети, в противном случае отключился бы.

Как заблокировать другое соединение RDP, кроме RDP через VPN?

Right Now:

   --------     pptp tunnel     ------------         ---------- 
  |        |   ============    |            |       |          |
  |laptop  |  --------------   |  Mikrotik  |-------| system A |
  |        |   ============    |            |       |          |
  |        |  --------------   |   router   |-------|          |
   --------                    |            |        ----------
                                ------------


I want :

   --------     pptp tunnel     ------------         ---------- 
  |        |   ============    |            |       |          |
  |laptop  |  --------------   |  Mikrotik  |-------| system A |
  |        |   ============    |            |       |          |
  |        |                   |   router   |       |          |
   --------                    |            |        ----------
                                ------------

3 ответа3

1

Это правило, которое мне нужно добавить, чтобы разрешить rdp только через vpn и заблокировать все остальные соединения.

add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
0

Ты пытался

 iptables -A INPUT -p gre --dport 3389  -j ACCEPT
 iptables -A INPUT --dport 3389 -j DROP

в этом порядке? первый ruel должен пропускать пакеты GRE-протокола, а второй должен блокировать все остальные пакеты.

-1

Нирен дает правильное представление. Но возможное проще сопоставить со статическим интерфейсом (ами) WAN, чем с возможным динамическим VPN.

add chain=forward action=drop protocol=tcp dst-port 3389 in-interface=WAN comment="Deny RDP via WAN directly"

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .