Mikrotik Firewall-Regel: Blockieren Sie alle Verbindungen außer zum VPN-Server

Wie der Titel schon sagt, muss ich die gesamte Verbindung zum Mikrotik-Router von außen blockieren, außer der Verbindung zum VPN-Server. Lassen Sie dann Remote Desktop über VPN(entweder L2TP/IPSec oder PPTP) von außerhalb des LANs auf das LAN-System zu.

Was wäre die Regel in der Firewall des Mikrotik Routers, um die gesamte Verbindung außer rdp über VPN zu blockieren?

Zusatz info:

Es gibt LAN-Setup in unserem Büro und das letzte Gateway ist Mikrotik Router. Ich weiß, wie man VPN-Server erstellt, VPN-Client im Client-System und machen RDP vom Client-System. Ich möchte, dass eine externe Firewall nur Verbindungen zum VPN-Server hereinlässt vpn-firewall rdp mikrotik

Author: fixer1234, 2013-11-22
Source

1 answers

PPTP verwendet

  • TCP-port 1723
  • GRE (protocol ID 47) für den Tunnelbau

Akzeptiere PPTP in Mikrotik: 

/ip firewall filter add chain=input action=accept protocol=tcp dst-port=1723
/ip firewall filter add chain=input action=accept protocol=gre

L2TP/IPSec verwendet

  • TCP-port 1701
  • UDP-port 500 (Security Association, SA) zu verhandeln, Sicherheitsmethode (Passwort, Zertifikat, kerberos)
  • AH (Protokoll-ID 50) - Authentifizierungsheader
  • ESP (Protokoll-ID 51) - Encapsulated Secure Payload

Akzeptieren L2TP/IPSec Mikrotik:

/ip firewall filter add chain=input action=accept protocol=tcp dst-port=1701
/ip firewall filter add chain=input action=accept protocol=udp dst-port=500
/ip firewall filter add chain=input action=accept protocol=ipsec-ah
/ip firewall filter add chain=input action=accept protocol=ipsec-esp

Blockieren Sie alle anderen eingehenden Verbindungen (TCP)

/ip firewall filter add chain=input protocol=tcp action=reject reject-with=tcp-reset

Sie können action=drop anstelle von reject verwenden, aber laut Hannes Schmidt kann NMAP immer noch sehen, dass der Port geöffnet ist, aber von der Firewall gelöscht (gefiltert) wird

 5
Author: BlackFur,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2013-12-10 06:15:35