Mikrotikファイアウォールルール:VPNサーバー以外のすべての接続をブロックする
タイトルにあるように、VPNサーバーへの接続を除いて、外部からのmikrotikルーターへのすべての接続をブロックする必要があります。次に、外部LANからVPN(L2TP/IPsecまたはPPTPのいずれか)を介してリモートデスクトップからLANのシステムへの接続を許可します。
Rdp over vpnを除くすべての接続をブロックするMikrotikルーターのファイアウォールのルールは何ですか?
追加情報:
私たちのオフィスにはLANセットアップがあり、最後のゲートウェイはMikrotikルーターです。クライアントシステムでVPNサーバー、VPNクライアントを作成し、クライアントシステムからrdpを作成する方法を知っています。外部ファイアウォールがVPNサーバーへの接続のみを許可するようにしたいvpnファイアウォールrdpmikrotik
PPTP使用
- TCPポート1723
- トンネリング用のGRE(プロトコルID 47)
MikrotikでPPTP)を受け入れる:
/ip firewall filter add chain=input action=accept protocol=tcp dst-port=1723
/ip firewall filter add chain=input action=accept protocol=gre
L2TP/IPsecの使用
- TCPポート1701
- セキュリティアソシエーション(SA)のUDPポート500-セキュリティメソッド(パスワード、証明書、Kerberos)をネゴシエートします
- AH(プロトコルID 50)-認証ヘッダー
- ESP(プロトコルID 51)-カプセル化された安全なペイロード
MikrotikでL2TP/IPSecを受け入れる:
/ip firewall filter add chain=input action=accept protocol=tcp dst-port=1701
/ip firewall filter add chain=input action=accept protocol=udp dst-port=500
/ip firewall filter add chain=input action=accept protocol=ipsec-ah
/ip firewall filter add chain=input action=accept protocol=ipsec-esp
他のすべての着信接続をブロックする(TCP)
/ip firewall filter add chain=input protocol=tcp action=reject reject-with=tcp-reset
rejectの代わりにaction=dropを使用できますが、 Hannes Schmidt によると、NMAPはポートが開いていることを確認できますが、ファイアウォールによってドロップ(フィルタリング)されます