Запись RDP в Address List

Обсуждение ПО и его настройки
Ответить
ITZemkub
Сообщения: 10
Зарегистрирован: 09 дек 2019, 15:40

Добрый день, подскажите, как правильно прописать правило, для записи в адрес лист, ip адресов с которых проходит подключение, по порту 10649 к серверу? Нужно просто записывать ip адреса с которых пользователи подключаются к RDP. Спасибо!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

(дисклеймер)
Наверно можно было сделать более сжато и ещё изящнее, но как получилось.
Каждый админ файрвол видит по-свойму.
:-)

1) (файрвол в виде кода):

Код: Выделить всё

/ip firewall nat
add action=jump chain=dstnat comment="Wain and analis TCP-port" dst-port=10649 in-interface-list=ls1-WAN1 jump-target=RDP_RULES protocol=tcp
add action=jump chain=dstnat comment="Wain and analis UDP-port" dst-port=10649 in-interface-list=ls1-WAN1 jump-target=RDP_RULES protocol=udp
add action=add-src-to-address-list address-list=RDP-IP-Listing address-list-timeout=none-static chain=RDP_RULES comment="Grab SRC-IP to AddressList"
add action=dst-nat chain=RDP_RULES comment="Usally DST Rules TCP-port" dst-port=10649 in-interface-list=ls1-WAN1 protocol=tcp to-addresses=192.168.1.100 to-ports=3389
add action=dst-nat chain=RDP_RULES comment="Usally DST Rules UDP-port" dst-port=10649 in-interface-list=ls1-WAN1 protocol=udp to-addresses=192.168.1.100 to-ports=3389
add action=return chain=RDP_RULES comment="Exit from this mini-situation :))"
2) (файрвол в виде картинки):
Изображение

3) ПОЯСНЕНИЯ:
правилами 0 и 1 перехватываем запросы на нужный порт, по нужному интерфейсу.
и потом это всё передаётся правилу номер 2, которое и создаёт адрес лист с данными.
после этого правила уже идут наши обычные правила проброса, чтобы всё работало,
как и ранее...
Вот и всё. Ещё раз повторю, у меня на момент решения этой задачи получилось так,
можно наверно делать ещё сжато, может есть другие условия, и прочее...
Плюс/минус дополнительных 2-4 правила, для моего роутера это воообще не заметно.
:a_g_a:


P.S.
Для всех: Заметили (специально не стал сильно отрезать на картинке) поменялись иконки в винбоксе?
У меня стоит тестовая сборка, так что через месяц или позже, может через квартал, и у нас
на всех микротиках в винбоксе будут другие иконки.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить