ARS писал(а): ↑09 янв 2019, 10:39
Прошу прощения за долгий ответ
1. У меня есть люди которые заходят на определенный сервер по RDP, мне нужно сделать так что бы только их IP адреса могли на него заходить - все остальные дропало
Грубо говоря есть сервер 192.168.0.2 - нужно сделать так что бы на него могли заходить только те адреса по RDP (внешние) которым я дал добро
все остальное - ДРОП
1)
Если я правильно понял, надо ограничить именно кто имеет право с внешнего (с глобала) "постучаться" на порт микротика и попасть уже
через правило проброса на порт RDP сервера 192.168.0.2 ?
Если всё так то мой совет в первом сообщении до сих пор актуален.
(ниже будет лёгкая инструкция, так как Вы так и не дали понять,
умеете/можете конфигурировать роутер, поэтому буду занудно объяснять)
2)
а) Заходите в Вибокс утилиту по управлению микротиком и подключаетесь в микротик
б) Формируем адрес-лист в котором опишем ХОРОШИЕ ip-адреса, то есть просто сформируем список.
Поэтому заходите в IP - Firewall - Address Lists. Там нажимаете синий плюсик и впервый раз придумываете
имя адрес-листу, давайте сделаем
SRV-RDP-Allow (такое название), вписываете в первую строчку, во вторую
строчку вбиваете первый IP-адрес хорошего человека.
Потом повторяете процедуру, единственно для удобства, когда второй, третий раз будете нажимать
плюсик, заново имя набирать не надо, можно выбрать из списка (стрелочка справа возле строки этой),
или научиться пользоваться также кнопкой COPY справа в окне создания записи.
И так третий, четвёртый, пятый и т.д.
Таким образом Вы создадите белый/хороший список с хорошими адресами. Я специально так выражаюсь.
Это лишь список, а уже как его использовать - зависит от Вас и от правила. Этот список можно использовать
как Анти-Хороший и так далее и прочее.
3)
Теперь само ограничение:
Я так понимаю, само правило проброса на RDP-порт у Вас в роутере есть? Сюдя по всему это так.
Я буду придерживаться что оно есть и Вам надо лишь сделать это правило чтобы оно работало
не для всех, а для избранных.
Поэтому входите в это правило проброса, переходите во вторую закладку "Advanced", и там прямо
сверху будет строка
Src.Address List = Вы должны щёлкнуть по ней и выбрать из списка = список наш,
в данном примере он у нас называется
SRV-RDP-Allow и нажать ОК.
Что мы сделали = мы сделали более точное(узкое) правило, которое будет работать только для тех, кто "пришёл"
из списка хороших. Вот и всё. Так как мы правило сделали точечным, то и запрещать нечего,
оно будет работать только для списка этого.
P.S.
Если у Вас работает микротик и уже есть пробросы на сервера, то уж с этими вещами, как
адрес-листы, списки - Вы должны были уже разобраться намного раньше запуска микротика в бой.
