Esta é a regra que eu preciso adicionar para permitir o rdp somente através do vpn e bloquear todas as outras conexões.
add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
Eu quero permitir a porta 3389 (RDP) somente através de conexão VPN, não normalmente. Como posso fazer isso?
Eu configurei o servidor VPN no Mikrotik. Eu bloqueei todo o tráfego, exceto http e https pelo filtro de firewall. Eu permiti 3389 por regra de filtragem e agora mesmo outros sistemas (fora de nossa rede) podem executar o RDP para nossos sistemas de intranet independentemente da VPN. Quero dizer Laptop (cliente fora da nossa rede) pode fazer RDP com / sem cliente VPN. Eu preciso cliente deve se conectar ao servidor VPN do Mikrotik então fazer o RDP para o sistema intranet caso contrário desconecte.
Como faço para bloquear outras conexões RDP, exceto RDP sobre VPN?
Right Now:
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | -------------- | router |-------| |
-------- | | ----------
------------
I want :
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | | router | | |
-------- | | ----------
------------
Você já tentou
iptables -A INPUT -p gre --dport 3389 -j ACCEPT
iptables -A INPUT --dport 3389 -j DROP
nesta ordem? o primeiro ruel deve passar pelos pacotes do protocolo GRE, enquanto o segundo deve bloquear todos os outros pacotes.
niren dá uma ideia certa. Mas é mais fácil combinar com interface (s) WAN estática contra possíveis VPN dinâmicas.
add chain=forward action=drop protocol=tcp dst-port 3389 in-interface=WAN comment="Deny RDP via WAN directly"