Доступ из внешней сети на сервер по RDP

Тема в разделе "Вопросы начинающих", создана пользователем А13, 2 фев 2019.

  1. А13

    А13 Новый участник

    Здравствуйте.
    Помогите решить проблему с доступом к серверу по RDP из внешней сети.
    Есть сервер, которому закрыт доступ во внешнюю сеть правилом во Filter Rules:

    add action=drop chain=forward comment=SRV01 out-interface=ether1-gateway \ src-address=192.168.0.10

    Нужно оставить запрет выхода этого сервера во внешнюю сеть, разрешить подключение к нему по RDP с определённых ip-адресов. В NAT создаю перенаправление портов:

    add action=netmap chain=dstnat dst-port=55555 in-interface=ether1-gateway \ protocol=tcp src-address=5.х.х.164 to-addresses=192.168.0.10 to-ports=\ 3389

    Какое нужно сделать разрешающее правило, чтобы получить к нему доступ из внешней сети? Пробовал создавать в Filter Rules различные разрешающие правила (ставил их выше запрещающего) ни с одним из вариантов доступ не появился. Если отключить запрещающее правило, доступ есть.
    Спасибо!
     
  2. Мышаня

    Мышаня Участник

    в цепочке форвард разрешить для данного ip 3389 tcp
     
  3. Pavel N

    Pavel N Участник

    нам не известна конфигурация правил назначенных в Filter и Nat поэтому ПРЕДПОЛОЖУ что набор правил стандартный умолчательный роутера
    (от производителя)
    1. по порядку следования пакета пришедшего извне первым отрабатывает Raw затем Nat затем, Filter поэтому имеет смысл фильтровать проброс портов еще на стадии Nat чтоб потом совершив проброс не блокировать его в Filter
    у себя я сделал бы правило в разделе Nat разрешающее проброс потов на 3389 терминального сервера но во вкладке Advanced ограничил-бы применение правила только для адресов входящих в разрешительный список
    Вопрос заполнения списка разрешенных адресов это вопрос относительно простой (применение заранее известных адресов/сетей и внесение динамически при помощи правила в разделе Filter )
    2. Для проброса я лично применил бы правило Dst-Nat а не NetMap (хотя и оно работать будет)
    3. в умолчательном фильтре ничего для работы проброса сделанного в Nat добавлять не нужно т.к. там есть правило которое разрешает проход пакетов которые БЫЛИ УЖЕ подвергнуты DSTNATу на предыдущем шаге обработки (т.е. прошли отбор по разрешающему фильтру правила Dst-Nat и были им обработаны )
    upload_2019-2-2_19-45-25.png
     
    Вофка нравится это.
  4. А13

    А13 Новый участник

    Пробовал прописать правило:
    dd action=accept chain=forward dst-address=192.168.3.46 dst-port=3389 \ out-interface=ether1-gateway protocol=tcp src-port=""

    Не работает.
     
  5. Pavel N

    Pavel N Участник

    для проброса портов на терминальный сервер нужно 3 правила
    1. правило разрешающее терминальному серверу ходить в интернет (как и другим машинам сети) - как правило это src-nat - masquarade правило
    2. разрешающее проброс на конкретную машину конкретным адресам
    3. Фильтр разрешающий прохождение пакетов в разделе forward ( в целом на время теста фильтр можно отключить чтоб исключить его влияние на момент настроек )

    Для проверки работы правил лучше начинать не с виндовского сервера а с сетевого принтера или другого оборудования работающего с сетью
    проверить что составленные ВАМИ правила позволяют Вам зайти на web интерфейс этих устройств потом Ваши правила которые РАБОТАЮТ стоит трансформировать для серверов терминалов
    это позволит отделить ситуацию когда вы не уверены а позволяет ли антивирус или фаервол сервера терминалов получить доступ извне (а они вполне могут блокировать и причина будет не в роутере а в настройках ПО сервера )

    upload_2019-2-2_20-21-7.png
     
    Вофка нравится это.
  6. А13

    А13 Новый участник


    У меня условие как раз противоречит этому правилу, мне не нужно чтобы этот сервер ходил в интернет.
     
  7. Pavel N

    Pavel N Участник

    т.е резюмирую
    1. сервер должен общаться с абонентами внутри локальной сети
    2. Не должен иметь НИКАКОГО самостоятельного выхода в инет (по собственной инициативе)
    3. Должен быть доступен извне через проброс портов на внешний адрес роутера

    я правильно понимаю задачу
     
    Последнее редактирование: 2 фев 2019
  8. А13

    А13 Новый участник

    Да, все верно.
     
  9. Pavel N

    Pavel N Участник

    рекомендую посмотреть тему как раз ДО вашей на тему ip-камеры
    https://spw.ru/forum/threads/pobedit-ip-kameru.3309/
    там как раз был вариант ровно с такими-же требованиями но в применении к IP камере а не терминальному серверу
    не хочу повторять однотипное решение
    4 дня назад было в картинках
     
  10. Pavel N

    Pavel N Участник

    общее отличие делаем правило которое перенаправляет весь трафик терминального сервера в черную дыру ( не занятый адрес в локальной сети)
    в разделе Nat делаем dst-nat правило с фильтром по адресу сервера (src-address=192.168.0.10) и действием перенаправлять все в пустой адрес внутри вашей локалки - Тогда все запросы в МИР будут завернуты в черную дыру .... и соединения со стороны сервера не произойдут

    для работы проброса портов не нужно доп. правил он работает и так ...
     
  11. Tycoon

    Tycoon Новый участник

    VPN ли не лучше ?