Доступ по rdp с определенных IP

[SACRED]

Всем привет, пытаюсь настроить доступ по rdp через интернет к компьютеру.  Порт пробросил в кинетике, все работает. У клиента статический IP, как сделать так чтобы кинетик пускал по RDP к компьютеру человека только с определенным IP ? 

Пытался в межсетевом экране настроить правило см скрин, и что интересно, все равно пускает всех и все по рдп. Или если настроен проброс через трансляцию сетевых адресов NAT то межсетевой экран уже не работает?

[CBLoner]

Ты сначало правило это подправь - укажи конкретный ip, которому можно. А следом делай правило, которое все на rdp запрещает. И будет тебе счастье [emoji16][emoji23]

 

Кстати, народ. А списки адресов вводить не будут? Никто не знает? [emoji849]

 

Отправлено с моего SM-A520F через Tapatalk

 

 

 

 

[MDP]

32 минуты назад, SACRED сказал:

Всем привет, пытаюсь настроить доступ по rdp через интернет к компьютеру.  Порт пробросил в кинетике, все работает. У клиента статический IP, как сделать так чтобы кинетик пускал по RDP к компьютеру человека только с определенным IP ? 

Пытался в межсетевом экране настроить правило см скрин, и что интересно, все равно пускает всех и все по рдп. Или если настроен проброс через трансляцию сетевых адресов NAT то межсетевой экран уже не работает?

опасную затею Вы хотите реализовать. Лучше настройте PPTP сервер, и подключайтесь по PPTP, далее уже соединяйтесь по RDP

[SACRED]

44 минуты назад, cbloner сказал:

Ты сначало правило это подправь - укажи конкретный ip, которому можно. А следом делай правило, которое все на rdp запрещает. И будет тебе счастье

 

Кстати, народ. А списки адресов вводить не будут? Никто не знает?

 

Отправлено с моего SM-A520F через Tapatalk

 

 

 

 

данное правило сделано для проверки, при работе данного правила все равно пускает по RDP, хотя как я понимаю не должно.

[CBLoner]

37 минут назад, MDP сказал:

опасную затею Вы хотите реализовать. Лучше настройте PPTP сервер, и подключайтесь по PPTP, далее уже соединяйтесь по RDP

Тогда уж туннель между точками любой  Слава богу Кинетик дает возможность делать их огромное множество... Сам еще все не попробовал  Пока торчу IPSEC VPN

[CBLoner]

23 минуты назад, SACRED сказал:

данное правило сделано для проверки, при работе данного правила все равно пускает по RDP, хотя как я понимаю не должно.

Ну правильно, смотри:

1. Через NAT пробрасываешь 3389 на внутреннюю машину -> автоматом всем разрешено!

2. Через firewall запрещаешь все на 3389 -> всем сразу запрещено, но порт уже проброшен.

3. Перед запретом всем в firewall ставишь уже разрешающие правила, с определенным адресом -> получаешь желаемый список исключений!

Алгоритм предельно прост.

[SACRED]

15 минут назад, cbloner сказал:

Ну правильно, смотри:

1. Через NAT пробрасываешь 3389 на внутреннюю машину -> автоматом всем разрешено!

2. Через firewall запрещаешь все на 3389 -> всем сразу запрещено, но порт уже проброшен.

3. Перед запретом всем в firewall ставишь уже разрешающие правила, с определенным адресом -> получаешь желаемый список исключений!

Алгоритм предельно прост.

ох, ок.

1 пробросил через NAT

2 см скрин

Все равно пускает всех подряд.

[r13]

9 минут назад, SACRED сказал:

ох, ок.

1 пробросил через NAT

2 см скрин

Все равно пускает всех подряд.

Порт источника в файрволе поставьте "любой".

Edited October 17, 2017 by r13

[CBLoner]

24 минуты назад, r13 сказал:

Порт источника в файрволе поставьте "любой".

1. Пробрасываем RDP:

2. Добавляем правили в firewall:

1 - Разрешающее, 2 - полный запрет на порт 3389

Вот детально каждое правило:

Проверил тока что с планшета, вбил свой IP от мобильной сети.

Пока не добавил разрешающее - ну не пускает он!

P.S. может дело в версии прошивки?

[SACRED]

26 минут назад, r13 сказал:

Порт источника в файрволе поставьте "любой".

Поставил, все тоже самое, всех пускает.

[SACRED]

Только что, cbloner сказал:

1. Пробрасываем RDP:

2. Добавляем правили в firewall:

1 - Разрешающее, 2 - полный запрет на порт 3389

Вот детально каждое правило:

Проверил тока что с планшета, вбил свой IP от мобильной сети.

Пока не добавил разрешающее - ну не пускает он!

P.S. может дело в версии прошивки?

Спасибо, щас папробую, версия последняя.

[CBLoner]

28 минут назад, r13 сказал:

Порт источника в файрволе поставьте "любой".

Думаю как раз в этом дело.

[r13]

3 минуты назад, SACRED сказал:

Поставил, все тоже самое, всех пускает.

А откуда заходите?

Зы для чистоты еще соединения надо бы сбросить( уже установленные tcp сессии пропускаются)

[CBLoner]

Сессии - это да!

Слушай, не знаешь где у кинетика DNS кэш грохнуть не перегружая его. Поменял ip для FQDN... а перегружать не охота, а кинетик зараза, в IPSEC лезет на старый IP $-)  

[SACRED]

Ребят, спасибо большое, заработало.

Теперь другой вопрос ))) Также проброшены порты 3390, 3391 для которых данное правило не нужно )))  Создал правило см. скрин. Но увы не помогает. Я так подразумеваю что из за того что порт источника у всех 3389. Это возможно как то решить?

[r13]

 

4 минуты назад, SACRED сказал:

Ребят, спасибо большое, заработало.

Теперь другой вопрос ))) Также проброшены порты 3390, 3391 для которых данное правило не нужно )))  Создал правило см. скрин. Но увы не помогает. Я так подразумеваю что из за того что порт источника у всех 3389. Это возможно как то решить?

Порт источника не важен(он как правило случайный), файрволл работает с портом приемника после трансляции, от этого и отталкивайтесь формируя правила в файрволе.

Edited October 17, 2017 by r13

[CBLoner]

Ребят, спасибо большое, заработало.
Теперь другой вопрос ))) Также проброшены порты 3390, 3391 для которых данное правило не нужно )))  Создал правило см. скрин. Но увы не помогает. Я так подразумеваю что из за того что порт источника у всех 3389. Это возможно как то решить?

Если я тебя правильно понял, то тебе в клиенте rdp, для подключения по нестандартным портам, надо просто указывать ip-адрес:порт.
И тогда rdp клиент полезет конектиться на нужный порт.
Ну и правила перенаправления и фильтрации под каждый порт (диапазон портов) на кинетике сделаешь.
Правда на серваке у тебя должно быть запущено несколько серверов терминала, каждый из которых слушает свой порт!

Отправлено с моего SM-A520F через Tapatalk