我有一个小型 ZyXEL VMG1312 路由器,它只配置了 VDSL WAN 和互联网网络/wifi,一切运行正常。
我想允许远程 RDP 访问内部网络上的计算机 (192.168.1.10),因此为端口 3389 设置端口转发规则并启用远程访问。
然后我意识到任何人都可以这样做,因此花了 3 个小时尝试将 IP 限制应用于 NAT 规则,但毫无成功!
我已经尝试了访问控制下的所有我能想到的组合来限制对端口 3389 的访问,甚至在端口 3389 的 WAN-LAN 方向上尝试了任意丢弃规则,但都没有成功 - 您仍然可以从任何 IP 访问 RDP。
有没有人有在此路由器上配置 ACL 限制 NAT 规则的经验,因为看起来这些规则根本不适用?它似乎不符合我以前使用过的每个防火墙/路由器的相同规则!
非常感谢。
答案1
我已经从 ZyXEL 硬件团队那里确认,这是他们在 VMG1312 上实施端口转发的一个限制和问题。
当启用端口转发时,这将覆盖任何 ACL,并且对此没有修复。
这似乎是一个愚蠢的疏忽,并极大地限制了 ACL 的实用性,但我想是时候购买另一个小型企业级路由器而不是针对住宅市场的产品了。
答案2
如果它像 VMG3925 路由器(非常相似,软件看起来相同)那么您可以在端口转发中指定一个 WAN“来自”地址,我认为它将按照您想要的方式限制它。
然而我同意 ACL 基本上是无用的。