Bloquear conexões RDP, exceto por VPN

1

Eu quero permitir a porta 3389 (RDP) somente através de conexão VPN, não normalmente. Como posso fazer isso?

Eu configurei o servidor VPN no Mikrotik. Eu bloqueei todo o tráfego, exceto http e https pelo filtro de firewall. Eu permiti 3389 por regra de filtragem e agora mesmo outros sistemas (fora de nossa rede) podem executar o RDP para nossos sistemas de intranet independentemente da VPN. Quero dizer Laptop (cliente fora da nossa rede) pode fazer RDP com / sem cliente VPN. Eu preciso cliente deve se conectar ao servidor VPN do Mikrotik então fazer o RDP para o sistema intranet caso contrário desconecte.

Como faço para bloquear outras conexões RDP, exceto RDP sobre VPN?

Right Now:

   --------     pptp tunnel     ------------         ---------- 
  |        |   ============    |            |       |          |
  |laptop  |  --------------   |  Mikrotik  |-------| system A |
  |        |   ============    |            |       |          |
  |        |  --------------   |   router   |-------|          |
   --------                    |            |        ----------
                                ------------


I want :

   --------     pptp tunnel     ------------         ---------- 
  |        |   ============    |            |       |          |
  |laptop  |  --------------   |  Mikrotik  |-------| system A |
  |        |   ============    |            |       |          |
  |        |                   |   router   |       |          |
   --------                    |            |        ----------
                                ------------
    
por niren 25.11.2013 / 17:14

3 respostas

1

Esta é a regra que eu preciso adicionar para permitir o rdp somente através do vpn e bloquear todas as outras conexões.

add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
    
por 26.11.2013 / 09:27
0

Você já tentou

 iptables -A INPUT -p gre --dport 3389  -j ACCEPT
 iptables -A INPUT --dport 3389 -j DROP

nesta ordem? o primeiro ruel deve passar pelos pacotes do protocolo GRE, enquanto o segundo deve bloquear todos os outros pacotes.

    
por 25.11.2013 / 17:30
-1

niren dá uma ideia certa. Mas é mais fácil combinar com interface (s) WAN estática contra possíveis VPN dinâmicas.

add chain=forward action=drop protocol=tcp dst-port 3389 in-interface=WAN comment="Deny RDP via WAN directly"

    
por 14.05.2014 / 13:02