Я хочу предоставить кому-то rdp или teamviewer доступ из Интернета к серверу в моей сети, но я не хочу, чтобы у них был доступ к любому другому компьютеру в сети. Как это сделать проще всего? Это временно и предназначено для моей домашней сети.
Я знаю, что могу перенаправить порт 3389 на этот сервер, но когда они подключатся по протоколу rdp, они смогут получить доступ ко всему в этой сети. Возможно, просто дайте им права пользователя домена и используйте встроенный брандмауэр Windows, чтобы отклонить весь исходящий трафик для остальной сети? Я думаю, что есть лучший способ изолировать остальную часть сети.
Это именно то, что DMZ (демилитаризованная зона) для. Это сеть между вашей локальной сетью (интрасетью) и Интернетом, поэтому, если хост в DMZ будет скомпрометирован, злоумышленник по-прежнему не сможет получить доступ к компьютерам в интрасети (только к другим компьютерам в DMZ).
В вашем случае «злоумышленник» - это законный пользователь компьютера, но проблема остается той же. Итак, вы можете просто взять второй маршрутизатор и поместить в него маршрутизатор локальной сети вместе с соответствующим компьютером. Затем второй маршрутизатор должен подключиться к Интернету. Интернет для вашей локальной сети по-прежнему будет работать нормально (возможно, с двойным NAT), но открытый компьютер не может пройти через внутренний маршрутизатор.
Другой способ с брандмауэром теоретически возможен, но это больше проблем, чем помочь, сначала настройте его, а во-вторых, убедитесь, что вы не забыли какие-либо настройки, в-третьих, не разрешите доступ администратора (потому что администратор может просто изменить правила брандмауэра). DMZ выполняется быстро и безопасно.