Dies ist die Regel, die ich hinzufügen muss, um rdp nur über vpn zuzulassen und alle anderen Verbindungen zu blockieren.
add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
Ich möchte 3389-Port (RDP) nur über eine VPN-Verbindung zulassen, normalerweise nicht. Wie kann ich das machen?
Ich habe den VPN-Server in Mikrotik konfiguriert. Ich habe den gesamten Datenverkehr außer http und https per Firewall-Filter blockiert. Ich erlaubte 3389 per Filterregel und jetzt können andere Systeme (außerhalb unseres Netzwerks) RDP für unsere Intranetsysteme unabhängig vom VPN ausführen. Ich meine, Laptop (Client außerhalb unseres Netzwerks) kann RDP mit / ohne VPN-Client ausführen. Ich brauche Client sollte sich mit dem VPN-Server von Mikrotik verbinden und dann RDP zum Intranetsystem machen, ansonsten die Verbindung trennen.
Wie kann ich andere RDP-Verbindungen außer RDP über VPN blockieren?
Right Now: -------- pptp tunnel ------------ ---------- | | ============ | | | | |laptop | -------------- | Mikrotik |-------| system A | | | ============ | | | | | | -------------- | router |-------| | -------- | | ---------- ------------ I want : -------- pptp tunnel ------------ ---------- | | ============ | | | | |laptop | -------------- | Mikrotik |-------| system A | | | ============ | | | | | | | router | | | -------- | | ---------- ------------
Dies ist die Regel, die ich hinzufügen muss, um rdp nur über vpn zuzulassen und alle anderen Verbindungen zu blockieren.
add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
Hast du es versucht
iptables -A INPUT -p gre --dport 3389 -j ACCEPT iptables -A INPUT --dport 3389 -j DROP
in dieser Reihenfolge? Die erste Rolle sollte GRE-Protokollpakete durchlassen, während die zweite alle anderen Pakete blockieren sollte.
Niren geben eine richtige Idee. Es ist jedoch einfacher möglich, gegen statische WAN-Schnittstellen und gegen mögliche dynamische VPNs zu suchen.
add chain=forward action=drop protocol=tcp dst-port 3389 in-interface=WAN comment="Deny RDP via WAN directly"