Я работаю с другом, у которого возникла проблема с неудачными попытками взлома RDP, потребляющими пропускную способность на его сервере. Его сервер представляет собой коробку Windows Server 2008 R2, которая напрямую подключена к Интернету, используя только брандмауэр Windows и никакого оборудования.
Сервер только подключен к Интернету публично без подключения к локальной сети.
Наше решение проблемы RDP состояло в том, чтобы создать на компьютере адаптер локальной петли и назначить ему статический IP-адрес, а затем установить RRAS и назначить адреса клиентов VPN из статического пула в той же подсети, что и адаптер обратной связи. Отсюда мы разрешили бы доступ RDP только через интерфейс RRAS, а не через общедоступный адаптер.
VPN работает правильно, но теперь, когда дело доходит до отключения брандмауэра для клиентов, подключенных к RRAS, я не могу заставить брандмауэр фактически останавливаться на RRAS или интерфейсе обратной связи.
Я попытался отключить брандмауэр в консоли Windows Firewall с расширенной безопасностью, выбрав свойства в корне узла и отключив адаптеры RRAS и loopback.
Любые идеи очень приветствуются.
Вы можете попробовать настроить GPO для отключения брандмауэра Windows. Установите фильтрацию безопасности, чтобы она применялась только к пользователям с разрешениями на вход на этот сервер.
Брандмауэр не активен в интерфейсе rras. RRAS сам по себе является (плохим) брандмауэром и применяется к интерфейсу, выходящему в Интернет. Все порты автоматически закрываются. В свойствах сервера есть кнопка фильтра, где вы можете изменить, какие порты открыты для всего мира. Вам необходимо добавить фильтр, чтобы ответы на исходящий трафик возвращались, если вы собираетесь разрешить этому серверу просматривать сеть.
Для интерфейса обратной связи вам нужно будет назначить его сети - общедоступной, доменной и т. Д. Назначение сети влияет на то, какие части политики брандмауэра применяются к входящему в нее трафику.
Ваш трафик vpn будет проходить через сервер и идти к самому себе, но правила брандмауэра будут рассматривать это как трафик, исходящий из вашей петлевой сети. Брандмауэр должен знать, какие правила применять, и они классифицируются по типу сети.
Ян