正如标题所述,我需要阻止从外部到 mikrotik 路由器的所有连接(除了到 VPN 服务器的连接)。然后允许从外部 LAN 通过 VPN(L2TP/IPSec 或 PPTP)将远程桌面连接到 LAN 的系统。
Mikrotik 路由器的防火墙中有什么规则可以阻止除 vpn 上的 rdp 之外的所有连接?
补充信息:
我们的办公室有 LAN 设置,最终网关是 Mikrotik 路由器。我知道如何创建 VPN 服务器、客户端系统中的 VPN 客户端以及如何从客户端系统创建 rdp。我希望外部防火墙只允许连接到 VPN 服务器 vpn 防火墙 rdp mikrotik
答案1
PPTP 用途
- TCP 端口 1723
- GRE(协议 ID 47)用于隧道
在 Mikrotik 中接受 PPTP:
/ip firewall filter add chain=input action=accept protocol=tcp dst-port=1723
/ip firewall filter add chain=input action=accept protocol=gre
L2TP/IPSec 使用
- TCP 端口 1701
- UDP 端口 500 用于安全关联 (SA) - 协商安全方法(密码、证书、kerberos)
- AH(协议 ID 50)- 身份验证标头
- ESP(协议 ID 51)- 封装安全负载
在 Mikrotik 中接受 L2TP/IPSec:
/ip firewall filter add chain=input action=accept protocol=tcp dst-port=1701
/ip firewall filter add chain=input action=accept protocol=udp dst-port=500
/ip firewall filter add chain=input action=accept protocol=ipsec-ah
/ip firewall filter add chain=input action=accept protocol=ipsec-esp
阻止所有其他传入连接 (TCP)
/ip firewall filter add chain=input protocol=tcp action=reject reject-with=tcp-reset
您可以使用action=drop
而不是reject
,但根据汉内斯·施密特,NMAP 仍然可以看到端口是开放的,但被防火墙丢弃(过滤)