web-dev-qa-db-ja.com

Windows Server 2008でのポート転送

Windows 2008サーバーがあります。メール、ftp、webサーバーとして機能します。私のLANには他のサーバーがあり、LANの外部からRDCを使用してこのサーバーに到達したい(例:domail.com:5555-> 192.168.0.2:3389)。 Windowsファイアウォールを使用してこのポートを転送する解決策はありますか?

6
uttt

以下を試してください:

netsh routing ip nat add portmapping external tcp 0.0.0.0 5555 192.168.0.2 3389

このルールは、外部からポート5555への着信接続を特定のLAN IP /ポートに転送します。ここでexternalは、外部ネットワークインターフェイスの名前です。

ポート5555に関連するトラフィックが外部NICの両方向に通過することを許可する適切なファイアウォールルールを設定することを忘れないでください。ポート5555への着信トラフィックとこれらの接続に関連する発信トラフィックを許可する必要があります。

私は組み込みのWindowsファイアウォールを使用したことがありませんが、 wipfw を確認することを強くお勧めします。接続追跡を実装するのに十分スマートです。

5
Anonymous

シナリオとしてポート転送を使用する場合、 「ロールを追加:RRAS」し、管理ツールのRRASでNATルールを管理する必要があります。

実際、2K3では非常に単純ですが、2K8では簡単ですか?私はショックを受けて失望しています

2
Yakup SAYIN

まず第一に、

W2K3のファイアウォールはそれを行うことができます。しかし、W2K8のファイアウォールまたは高度なファイアウォールはこれを行うことができません。

補足情報:「netsh routing ...」コマンドは、W2K8ではどのような組み合わせ(sdvfirewall、ファイアウォールなど)でも機能しません。

申し訳ありません:(

1
Yakup SAYIN

これはあなたが探しているコマンドだと思います:

netsh interface portproxy add v4tov4 listenport=5555 listenaddress=192.168.0.1 connectport=3389 connectaddress=192.168.0.2

結果を表示するには:

netsh interface portproxy show all
1
Packs

WindowsサーバーがNATデバイスの背後にある場合、TCP/5555のインバウンド接続を受け入れることができるNAT次に、TCP/3389に転送します。この方法では、サーバーを変更しません。

また、RDP経由で接続するサーバーが複数ある場合は、Windows 2008 Terminal Services Gateway を確認することをお勧めします。

1
Dscoduc

Server 2008 R2ボックスは、「ネットワークの先頭」として機能していますか、または単にルーターと言えますか?

そうでない場合は、ネットワークの前面にあるルーター/ファイアウォールにこれらの変更を加える必要があります。上記で説明したとおりにポート転送を設定し、5555の受信ポートを(serverip):3389に転送します。

デフォルトでは、宛先ポートを3389に設定しないと、接続先のサーバーのレジストリを変更しないと機能しません。

0
JohnThePro

Netshコマンドを使用できます(サーバーをインストールするために何も必要ありません)

netsh interface portproxy add v4tov4 listenport=5555 listenaddress=0.0.0.0 connectport=3389 connectaddress=192.168.0.2

転送を削除するには:

netsh interface portproxy delete v4tov4 listenport=5555 listenaddress=0.0.0.0
0
Ferhat KOÇER

これから複製 記事

既定では、ターミナルサーバーはRDPトラフィックにポート3389を使用します。既定では、世界中のすべての有能なハッカーは、ターミナルサーバーがポート3389をRDPトラフィックに使用していることを知っています。その場合、潜在的な侵入者を迂回させるためにターミナルサーバー環境に加えることができる最も速い変更の1つは、このデフォルトのポート割り当てを変更することです。

ターミナルサーバーの既定のRDPポートを変更するには、regeditを開き、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcpを参照します。 PortNumberキーを見つけ、16進値00000D3D(3389と同等)を、使用するポートに適切な16進値に置き換えます。

または、ターミナルサーバーが使用するポート番号を接続ごとに変更することもできます。 regeditを使用している間に、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection nameを参照します。再度、PortNumberキーを見つけて、16進数値を使用したい値に置き換えます。

サーバーでこの設定を変更する場合、すべての接続クライアントは、サーバーのIPアドレスにタグ付けされた新しいポート拡張を使用してターミナルサーバーに接続していることを確認する必要があることに注意してください。たとえば、現在非標準ポート8888を使用している192.168.0.1の内部IPアドレスを持つターミナルサーバーに接続するには、ユーザーがリモートデスクトップ接続クライアントに192.168.0.1:8888を入力する必要があります。

alt text
(ソース: windowsecurity.com

新しいポートでの着信接続を許可するにはファイアウォールを開く必要があることに注意してください。また、システムの復元ポイントの作成など、レジストリを編集する前にいくつかの予防策を講じることを忘れないでください。

0
harrymc

単なる提案ですが、なぜリモートデスクトップゲートウェイを追加しないのですか。これは、SSL/443上で実行されるW2K8 +の組み込みの役割であり、ファイアウォールを介したルーティングを非常に簡単にします。さらに、ルールを設定し、ネットワークポリシーサーバーとルールを使用して、サーバーにアクセスできるユーザーを細かいレベルで実際に制御できます。すでにWebサーバーを実行しているため、これが最も安全なソリューションとなる場合があります。また、ファイアウォールを変更することなく、ファイアウォールの背後にある任意のサーバーにRDPを実行できます。

複数のサイトでうまく機能し、非常に安全です。

0
Brent Pabst