VPN経由以外のRDP接続をブロックする
通常ではなく、VPN接続を介してのみ3389ポート(RDP)を許可したい。これどうやってするの?
MikrotikでVPNサーバーを構成しました。 httpとhttpsを除くすべてのトラフィックをファイアウォールフィルターでブロックしました。フィルタルールによって3389を許可しましたが、現在、VPNに関係なくイントラネットシステムに対してRDPを実行できる他のシステム(ネットワーク外)が許可されています。つまり、ラップトップ(ネットワーク外のクライアント)はVPNクライアントの有無にかかわらずRDPを実行できます。クライアントがMikrotikのVPNサーバーに接続してから、イントラネットシステムにRDPを実行する必要があります。そうでない場合は、切断します。
RDP over VPN以外の他のRDP接続をブロックするにはどうすればよいですか?
Right Now:
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | -------------- | router |-------| |
-------- | | ----------
------------
I want :
-------- pptp tunnel ------------ ----------
| | ============ | | | |
|laptop | -------------- | Mikrotik |-------| system A |
| | ============ | | | |
| | | router | | |
-------- | | ----------
------------
これは、VPN上でのみrdpを許可し、他のすべての接続をブロックするために追加する必要があるルールです。
add chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment="Allow RDP via VPN"
やってみました
iptables -A INPUT -p gre --dport 3389 -j ACCEPT
iptables -A INPUT --dport 3389 -j DROP
この順番で?最初のルールはGREプロトコルパケットを通過させる必要があり、2番目のルールは他のすべてのパケットをブロックする必要があります。