VPN経由でのみRDPをAzureVMに制限するにはどうすればよいですか?
私が持っています:
- Azure仮想ネットワーク
- ポイントツーサイト(P2S)仮想ネットワークゲートウェイ
- そのネットワーク内のサブネット
- サブネット内の仮想マシン
- VMがメンバーであり、デフォルトのルールが設定されているネットワークセキュリティグループ
マシンにRDPを実行できる唯一の方法は、パブリックIPアドレスを使用し、次のネットワークセキュリティグループルールを設定することです。
- 優先度:1000
- 名前:default-allow-rdp
- ポート:3389
- プロトコル:TCP
- 出典:任意
- 宛先:任意
- アクション:許可する
私の目標は、ユーザーがVPNに接続している場合にのみVMにRDPできるようにすることです。これを実現するにはどうすればよいですか?ボーナス:プライベートで実現できますか(対パブリック)IPアドレス?さまざまな送信元(サービスタグ、VPN IPアドレススペース)、宛先(特定のIPアドレス範囲)で遊んだことがありますが、成功しませんでした。
明らかに、私はポート3389が世界に悪用されることを望んでいません。
はい、VMのプライベートIPアドレスだけでこれを実現できます。何もする必要はありません(nsgを使用してvnet内のトラフィックを明確にブロックしない限り)。あなたはパブリックIPアドレスを削除することができ、それはうまくいくでしょう
vnet内のトラフィックをブロックする場合は、p2s vpn範囲からポート3389(またはrdpポートが何であれ)に許可ルールを追加する必要があります。