Блокировать RDP-соединения, кроме как через VPN
Я хочу, чтобы разрешить 3389 порт (RDP) только через VPN-соединение, а не нормально. Как я могу это сделать?
Я настроил VPN-сервер в Mikrotik. Я заблокировал весь трафик, кроме http и https фильтром брандмауэра. Я разрешил 3389 по правилу фильтрации и сейчас другие системы (за пределами нашей сети) могут выполнять RDP для наших систем интрасети независимо от VPN. Я имею в виду, что ноутбук (клиент вне нашей сети) может выполнять RDP с / без VPN-клиента. Мне нужно, чтобы клиент подключался к VPN-серверу Mikrotik, затем выполнял RDP к внутренней сети, в противном случае отключался.
Как заблокировать другое соединение RDP, кроме RDP через VPN?
Right Now:
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | -------------- | router |-------| |
-------- | | ----------
------------
I want :
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | | router | | |
-------- | | ----------
------------
3 ответа
Это правило, которое мне нужно добавить, чтобы разрешить rdp только через vpn и заблокировать все остальные соединения.
add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
Ты пытался
iptables -A INPUT -p gre --dport 3389 -j ACCEPT
iptables -A INPUT --dport 3389 -j DROP
в этом порядке? первый ruel должен пропускать пакеты протокола GRE, а второй должен блокировать все остальные пакеты.
Нирен дает правильное представление. Но возможно проще сопоставить со статическим интерфейсом (ами) WAN, чем с возможным динамическим VPN.
add chain=forward action=drop protocol=tcp dst-port 3389 in-interface=WAN comment="Deny RDP via WAN directly"