web-dev-qa-db-ja.com

VPN経由以外のRDP接続をブロックする

通常ではなく、VPN接続を介してのみ3389ポート(RDP)を許可したい。これどうやってするの?

MikrotikでVPNサーバーを構成しました。 httpとhttpsを除くすべてのトラフィックをファイアウォールフィルターでブロックしました。フィルタルールによって3389を許可しましたが、現在、VPNに関係なくイントラネットシステムに対してRDPを実行できる他のシステム(ネットワーク外)が許可されています。つまり、ラップトップ(ネットワーク外のクライアント)はVPNクライアントの有無にかかわらずRDPを実行できます。クライアントがMikrotikのVPNサーバーに接続してから、イントラネットシステムにRDPを実行する必要があります。そうでない場合は、切断します。

RDP over VPN以外の他のRDP接続をブロックするにはどうすればよいですか?

Right Now:

   --------     pptp tunnel     ------------         ---------- 
  |        |   ============    |            |       |          |
  |laptop  |  --------------   |  Mikrotik  |-------| system A |
  |        |   ============    |            |       |          |
  |        |  --------------   |   router   |-------|          |
   --------                    |            |        ----------
                                ------------


I want :

   --------     pptp tunnel     ------------         ---------- 
  |        |   ============    |            |       |          |
  |laptop  |  --------------   |  Mikrotik  |-------| system A |
  |        |   ============    |            |       |          |
  |        |                   |   router   |       |          |
   --------                    |            |        ----------
                                ------------
1
niren

これは、VPN上でのみrdpを許可し、他のすべての接続をブロックするために追加する必要があるルールです。

add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
1
niren

やってみました

 iptables -A INPUT -p gre --dport 3389  -j ACCEPT
 iptables -A INPUT --dport 3389 -j DROP

この順番で?最初のルールはGREプロトコルパケットを通過させる必要があり、2番目のルールは他のすべてのパケットをブロックする必要があります。

0
MariusMatutiae