Mikrotik, blokada dostępu do serwera

(fanatyk_92) #1

Mam na mikrotiku w firewallu regułkę scr-nat , dst-nat (przekierowanie z wewnętrznego adresu IP na zewnętrzny) na tym adresie wewnętrzym jest podłączony Windows Server przeglądam za jego pomocą strony www, maila itd, ale mam też na nim apache, mysql, no i RDP i nie chciałbym aby w jakikolwiek sposób te usługi wychodziły na zewnatrz, co ustawić na mikrotiku abym na Windows Server mógł korzystać tylko z przeglądarki internetowej, i aby się pobierały aktualizacje systemowe, ale żeby żadna z usług (czyli apache, mysql, rdp) w żaden sposób nie była dostepna i widoczna z zewnątrz

(roobal) #2

Dopóki ich nie wystawisz na swiat, nic nie musisz robić.

Skonfiguruj tylko firewall, zezwól tylko na ruch z połączeń nawiazanych.

RDP możesz filtrować po IP, ale lepiej łączyć się VPNem, np. IPSec. Nie ograniczasz się do konkretnego IP. W razie awarii masz bezpieczny dostęp nawet z hot spotu.

(fanatyk_92) #3

Chcę zrobić tak aby logować się do routera (mikrotik) jako VPN i po wewnętrznym adresie dostawać się na serwer przez RDP, ale mam tylko jeden adres publiczny i żeby przeglądać internet za pomocą windows server musiałem go przekierować czyli jego adres w firewallu na mikrotiku wewnętrzny jest dodany i wychodzi na świat z zewnętrznym adresem, gdzie ustawić firewalla abym mógł tylko przeglądać internet, wysyłac cos za pomoca serwera ale żeby RDP nie było dostępny po publicznym adresie na zewnątrz.
W mikrotiku czy w WS ???

(roobal) #4

Jak pisałem, dopóki nie wystawisz go na świat, to nie będzie dostępny. Wiesz jak dziala NAT? Wiesz jak dziala IPSec VPN?