Перенаправление портов с Windows Server 2008
У меня Windows 2008 server. Работает как почтовый, ftp, веб-сервер. В моей локальной сети есть другой сервер, и я хочу подключиться к этому серверу с помощью RDC из-за пределов моей локальной сети (пример: domail.com:5555 -> 192.168.0.2:3389). Есть ли какое-нибудь решение для перенаправления этого порта с помощью брандмауэра Windows?
Попробуйте следующее:
netsh routing ip nat add portmapping external tcp 0.0.0.0 5555 192.168.0.2 3389
Это правило перенаправляет любое входящее соединение на порт 5555 извне на ваш конкретный IP-адрес или порт LAN. Вот внешний это имя внешнего сетевого интерфейса.
Не забудьте установить соответствующие правила брандмауэра, которые позволят трафику, связанному с портом 5555, проходить в обоих направлениях на внешней сетевой карте. Вам необходимо разрешить входящий трафик на порт 5555 и исходящий трафик, связанный с этими подключениями.
Я никогда не использовал встроенный брандмауэр Windows, но настоятельно рекомендую вам взглянуть на wipfw. Достаточно умен, чтобы реализовать отслеживание соединений.
Если вы хотите использовать переадресацию портов в качестве сценария; вы должны «добавить роль: RRAS» и управлять правилами NAT в разделе RRAS в административных инструментах.
Собственно, в 2К3 все очень просто, а в 2к8? Я шокирован и разочарован
Если ваш сервер Windows находится за устройством NAT, я бы рекомендовал создать правило переадресации портов на вашем NAT, которое может принимать входящее соединение на TCP / 5555, а затем перенаправлять на TCP / 3389. Таким образом, вы не изменяете сервер.
Кроме того, если у вас более одного сервера, к которому вы хотите подключиться через RDP, я бы порекомендовал вам попробовать Windows 2008. Шлюз служб терминалов.
Прежде всего,
Брандмауэр W2K3 может это сделать. Но межсетевой экран W2K8 или расширенный межсетевой экран не могут этого сделать.
Дополнительная информация: команда "netsh routing ..." не работает на W2K8 в любой комбинации (sdvfirewall, firewall и т. Д.).
Мне жаль:(
Я считаю, что это та команда, которую вы ищете:
netsh interface portproxy add v4tov4 listenport=5555 listenaddress=192.168.0.1 connectport=3389 connectaddress=192.168.0.2
Для просмотра результата:
netsh interface portproxy show all
Просто предложение, но почему бы не добавить шлюз удаленного рабочего стола. Это встроенная роль в W2K8 +, которая работает через SSL / 443, что упрощает маршрутизацию через любой межсетевой экран. Кроме того, вы можете затем настроить правила и использовать сервер сетевой политики и правила для реального контроля на детальном уровне, кто может получить доступ к вашему серверу. Поскольку вы уже используете веб-сервер, это может быть наиболее безопасным решением. Это также позволит вам подключиться по RDP к любому серверу за брандмауэром, не внося никаких изменений в брандмауэр.
Отлично работает на нескольких моих сайтах и ОЧЕНЬ безопасен.
Является ли ваш сервер Server 2008 R2 «главой вашей сети» или, проще говоря, вашим маршрутизатором?
Если нет, то вам необходимо внести эти изменения в свой маршрутизатор / брандмауэр перед вашей сетью. Настройте переадресацию порта точно так, как описано выше, перенаправив входящий порт 5555 на (serverip): 3389
По умолчанию, если вы не установите порт назначения на 3389, он не будет работать без изменения реестра на сервере, к которому вы подключаетесь.
Вы можете использовать команду netsh (ничего не требуется для установки вашего сервера)
netsh interface portproxy add v4tov4 listenport=5555 listenaddress=0.0.0.0 connectport=3389 connectaddress=192.168.0.2
Чтобы удалить пересылку:
netsh interface portproxy delete v4tov4 listenport=5555 listenaddress=0.0.0.0
Воспроизведено с этого статья:
По умолчанию сервер терминалов использует порт 3389 для трафика RDP. По умолчанию каждый компетентный хакер в мире знает, что сервер терминалов использует порт 3389 для трафика RDP. В таком случае одно из самых быстрых изменений, которые вы можете внести в среду терминального сервера, чтобы обойти потенциальных злоумышленников, - это изменить это назначение порта по умолчанию.
Чтобы изменить порт RDP по умолчанию для сервера терминалов, откройте regedit и перейдите к HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp. Найдите ключ PortNumber и замените шестнадцатеричное значение 00000D3D (которое эквивалентно 3389) на соответствующее шестнадцатеричное значение для порта, который вы хотите использовать.
Кроме того, вы можете изменить номер порта, используемый вашим сервером терминалов для каждого соединения. Продолжая использовать regedit, перейдите к HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ имя подключения. Снова найдите ключ PortNumber и замените его шестнадцатеричное значение на значение, которое вы хотите использовать.
Имейте в виду, что при изменении этого параметра на сервере все подключающиеся клиенты должны быть уверены, что они подключаются к серверу терминалов с новым расширением порта, привязанным к IP-адресу сервера. Например, для подключения к серверу терминалов с внутренним IP-адресом 192.168.0.1, который теперь использует нестандартный порт 8888, пользователю потребуется ввести 192.168.0.1:8888 в клиент подключения к удаленному рабочему столу.
(источник: windowsecurity.com)
пожалуйста, обратите внимание что вам нужно будет открыть брандмауэр, чтобы разрешить входящее соединение на новый порт. Также не забудьте принять некоторые меры предосторожности перед редактированием реестра, например, создать точку восстановления системы.