Bloquer les connexions RDP sauf sur VPN

1

Je veux autoriser le port 3389 (RDP) uniquement via une connexion VPN, pas normalement. Comment puis-je faire ceci?

J'ai configuré le serveur VPN dans Mikrotik. J'ai bloqué tout le trafic sauf http et https par le filtre pare-feu. J'ai autorisé 3389 par règle de filtre et, à l'heure actuelle, d'autres systèmes (en dehors de notre réseau) sont capables de faire de la RDP sur nos systèmes intranet, quel que soit le VPN. Je veux dire ordinateur portable (client en dehors de notre réseau) peut faire RDP avec / sans client VPN. J'ai besoin de client doit se connecter au serveur VPN de Mikrotik puis faire RDP au système intranet sinon se déconnecter.

Comment puis-je bloquer une autre connexion RDP sauf RDP sur VPN?

Right Now:

   --------     pptp tunnel     ------------         ---------- 
  |        |   ============    |            |       |          |
  |laptop  |  --------------   |  Mikrotik  |-------| system A |
  |        |   ============    |            |       |          |
  |        |  --------------   |   router   |-------|          |
   --------                    |            |        ----------
                                ------------


I want :

   --------     pptp tunnel     ------------         ---------- 
  |        |   ============    |            |       |          |
  |laptop  |  --------------   |  Mikrotik  |-------| system A |
  |        |   ============    |            |       |          |
  |        |                   |   router   |       |          |
   --------                    |            |        ----------
                                ------------
niren
la source
Pourquoi autorisez-vous 3389 par règle de filtrage? Si un ordinateur dispose déjà d'une connexion VPN à votre routeur, il doit également avoir accès au réseau interne et à votre port 3389. Si vous supprimez le filtre 3389, fonctionne-t-il toujours via VPN? (Les ordinateurs extérieurs n'auront plus accès)
Rik

Réponses:

1

C’est la règle que j’ai besoin d’ajouter pour autoriser le protocole RDP uniquement sur VPN et bloquer toutes les autres connexions.

add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
niren
la source
0

As-tu essayé

 iptables -A INPUT -p gre --dport 3389  -j ACCEPT
 iptables -A INPUT --dport 3389 -j DROP

dans cet ordre? le premier ruel devrait laisser passer les paquets GRE-protocole, tandis que le second devrait bloquer tous les autres paquets.

MariusMatutiae
la source
Il est impossible de faire correspondre les ports à l'intérieur de gre!
Mikhail Moskalev
-1

Niren donner une bonne idée. Mais il est plus simple de faire correspondre une ou plusieurs interfaces WAN statiques à un éventuel VPN dynamique.

add chain=forward action=drop protocol=tcp dst-port 3389 in-interface=WAN comment="Deny RDP via WAN directly"

Mikhail Moskalev
la source