Блокировать RDP-соединения, кроме VPN

Я хочу разрешить 3389 порт (RDP) только через VPN-соединение, а не обычно. Как я могу это сделать?

Я настроил VPN сервер в Mikrotik. Я заблокировал весь трафик, кроме http и https фильтром брандмауэра. Я позволил 3389 по правилу фильтра, и прямо сейчас другие системы(за пределами нашей сети) могут делать RDP для наших систем интрасети независимо от VPN. Я имею в виду ноутбук(клиент за пределами нашей сети) может в состоянии сделать RDP с/без клиента VPN. Мне нужен клиент должен соединиться с VPN-сервер Mikrotik затем сделать RDP к системе интрасети в противном случае отключить.

Как заблокировать другое RDP-соединение, кроме RDP через VPN?

Right Now:

   --------     pptp tunnel     ------------         ---------- 
  |        |   ============    |            |       |          |
  |laptop  |  --------------   |  Mikrotik  |-------| system A |
  |        |   ============    |            |       |          |
  |        |  --------------   |   router   |-------|          |
   --------                    |            |        ----------
                                ------------


I want :

   --------     pptp tunnel     ------------         ---------- 
  |        |   ============    |            |       |          |
  |laptop  |  --------------   |  Mikrotik  |-------| system A |
  |        |   ============    |            |       |          |
  |        |                   |   router   |       |          |
   --------                    |            |        ----------
                                ------------
5
задан niren
19.02.2023 9:43 Количество просмотров материала 2585
Распечатать страницу

3 ответа

это правило, которое мне нужно добавить, чтобы разрешить rdp только через vpn и блокировать все другие соединения.

add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
1
отвечен niren 2023-02-20 17:31

ты пробовал 

 iptables -A INPUT -p gre --dport 3389  -j ACCEPT
 iptables -A INPUT --dport 3389 -j DROP

в этот заказ? первый ruel должен пропускать пакеты GRE-протокола, а второй-блокировать все остальные пакеты.

0
отвечен MariusMatutiae 2023-02-20 19:48

нирен дает правильную идею. Но возможно проще сопоставить со статическим WAN-интерфейсом(интерфейсами), чем с возможным динамическим VPN.

add chain=forward action=drop protocol=tcp dst-port 3389 in-interface=WAN comment="Deny RDP via WAN directly"

-1
отвечен Mikhail Moskalev 2023-02-20 22:05

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх