Переадресация портов с Windows Server 2008
У меня Windows 2008 сервер. Работает как почта, фтп, веб-сервер. В моей локальной сети есть другой сервер, и я хочу получить доступ к этому серверу с помощью RDC вне моей локальной сети (пример: domail.com:5555 -> 192.168.0.2:3389). Есть ли решение для переадресации этого порта с помощью брандмауэра Windows?
9 ответов
Попробуйте следующее:
netsh routing ip nat add portmapping external tcp 0.0.0.0 5555 192.168.0.2 3389
Это правило должно перенаправлять любое входящее соединение на порт 5555 извне на ваш конкретный IP-адрес / порт локальной сети. Здесь external - это имя внешнего сетевого интерфейса.
Не забудьте иметь надлежащие правила брандмауэра, которые позволят трафику, связанному с портом 5555, проходить в обоих направлениях по внешней сетевой карте. Вам необходимо разрешить входящий трафик на порт 5555 и исходящий трафик, связанный с этими соединениями.
Я никогда не использовал встроенный брандмауэр Windows, но я настоятельно рекомендую вам взглянуть на wipfw. Он достаточно умен, чтобы реализовать отслеживание соединений.
Я считаю, что это команда, которую вы ищете:
netsh interface portproxy add v4tov4 listenport=5555 listenaddress=192.168.0.1 connectport=3389 connectaddress=192.168.0.2
Для просмотра результата:
netsh interface portproxy show all
Если вы хотите использовать переадресацию портов в качестве сценария; Вы должны "добавить роль: RRAS" и управлять правилами NAT в RRAS в Администрировании.
На самом деле, очень просто в 2K3, но 2k8? Я в шоке и разочарован
Если ваш сервер Windows находится за устройством NAT, я бы порекомендовал создать правило переадресации портов на вашем NAT, которое может принимать входящее соединение по TCP/5555, а затем пересылать на TCP/3389. Таким образом, вы не модифицируете сервер.
Кроме того, если у вас есть несколько серверов, которые вы хотите подключить через RDP, я бы порекомендовал вам проверить Windows 2008 Terminal Services Gateway.
Прежде всего,
Брандмауэр W2K3 может сделать это. Но брандмауэр W2K8 или расширенный брандмауэр не могут этого сделать.
Дополнительная информация: команда "netsh routing..." не работает на W2K8 ни в одной комбинации (sdvfirewall, firewall и т. Д.).
Мне жаль:(
Воспроизведено из этой статьи:
По умолчанию сервер терминалов использует порт 3389 для трафика RDP. По умолчанию каждый компетентный хакер в мире знает, что сервер терминалов использует порт 3389 для трафика RDP. В этом случае одним из самых быстрых изменений, которые вы можете внести в среду сервера терминалов для обхода потенциальных злоумышленников, является изменение назначения портов по умолчанию.
Чтобы изменить порт RDP по умолчанию для сервера терминалов, откройте regedit и перейдите к HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Найдите ключ PortNumber и замените шестнадцатеричное значение 00000D3D (эквивалентное 3389) на соответствующее шестнадцатеричное значение для порта, который вы хотите использовать.
Кроме того, вы можете изменить номер порта, используемый вашим терминальным сервером для каждого соединения. Продолжая использовать regedit, перейдите по ссылке HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ name соединения. Опять же, найдите ключ PortNumber и замените шестнадцатеричное значение на место значением, которое вы хотите использовать.
Имейте в виду, что при изменении этого параметра на вашем сервере все подключающиеся клиенты должны будут убедиться, что они подключаются к серверу терминалов с новым расширением порта, помеченным на IP-адресе сервера. Например, для подключения к серверу терминалов с внутренним IP-адресом 192.168.0.1, который сейчас использует нестандартный порт 8888, пользователю потребуется ввести 192.168.0.1:8888 в клиент подключения к удаленному рабочему столу.
http://www.windowsecurity.com/img/upl/image0061242729824609.jpg
Обратите внимание, что вам нужно будет открыть брандмауэр, чтобы разрешить входящее соединение через новый порт. Кроме того, не забудьте принять некоторые меры предосторожности перед редактированием реестра, например, создать точку восстановления системы.
Ваш сервер Server 2008 R2 действует как "глава вашей сети", или, проще говоря, ваш маршрутизатор?
Если нет, то вам нужно внести эти изменения в ваш маршрутизатор / брандмауэр в передней части вашей сети. Настройте переадресацию порта точно так, как описано выше, перенаправив входящий порт 5555 на (serverip):3389
По умолчанию, если вы не установите порт назначения на 3389, он не будет работать без изменения реестра на сервере, к которому вы подключаетесь.
Вы можете использовать команду netsh (для установки вашего сервера ничего не требуется)
netsh interface portproxy add v4tov4 listenport=5555 listenaddress=0.0.0.0 connectport=3389 connectaddress=192.168.0.2
Чтобы удалить пересылку:
netsh interface portproxy delete v4tov4 listenport=5555 listenaddress=0.0.0.0
Просто предложение, но почему бы не добавить шлюз удаленного рабочего стола. Это встроенная роль с W2K8+, которая работает по SSL/443, что позволяет довольно легко маршрутизировать через любой брандмауэр. Кроме того, вы можете настроить правила и использовать сервер политики сети и правила, чтобы реально контролировать на детальном уровне доступ к вашему серверу. Поскольку вы уже используете веб-сервер, это может быть наиболее безопасным решением. Это также позволит вам подключиться к любому серверу за брандмауэром, не внося никаких изменений в брандмауэр.
Отлично работает на моих нескольких сайтах, и это очень безопасно.