web-dev-qa-db-ja.com

VPN経由でのみRDPをAzureVMに制限するにはどうすればよいですか?

私が持っています:

  • Azure仮想ネットワーク
  • ポイントツーサイト(P2S)仮想ネットワークゲートウェイ
  • そのネットワーク内のサブネット
  • サブネット内の仮想マシン
  • VMがメンバーであり、デフォルトのルールが設定されているネットワークセキュリティグループ

マシンにRDPを実行できる唯一の方法は、パブリックIPアドレスを使用し、次のネットワークセキュリティグループルールを設定することです。

  • 優先度:1000
  • 名前:default-allow-rdp
  • ポート:3389
  • プロトコル:TCP
  • 出典:任意
  • 宛先:任意
  • アクション:許可する

私の目標は、ユーザーがVPNに接続している場合にのみVMにRDPできるようにすることです。これを実現するにはどうすればよいですか?ボーナス:プライベートで実現できますか(対パブリック)IPアドレス?さまざまな送信元(サービスタグ、VPN IPアドレススペース)、宛先(特定のIPアドレス範囲)で遊んだことがありますが、成功しませんでした。

明らかに、私はポート3389が世界に悪用されることを望んでいません。

1
todon2

はい、VMのプライベートIPアドレスだけでこれを実現できます。何もする必要はありません(nsgを使用してvnet内のトラフィックを明確にブロックしない限り)。あなたはパブリックIPアドレスを削除することができ、それはうまくいくでしょう

vnet内のトラフィックをブロックする場合は、p2s vpn範囲からポート3389(またはrdpポートが何であれ)に許可ルールを追加する必要があります。

1
4c74356b41