Блог did5.ru

Про АйТи и около айтишные темы

Подключение по RDP только с определенных IP-адресов с помощью Брандмауэра Windows 7

4 комментария

firewall thumb Подключение по RDP только с определенных IP адресов с помощью Брандмауэра Windows 7У меня дома есть старенький компьютер с Windows 7, который выполняет роль домашнего сервера. Задачи на него возложены разные, но одна из них — это возможность подключение к этому ПК по RDP (Удаленный рабочий стол) c работы через интернет. Мне очень не хотелось для этих целей использовать VPN-канал, т.к. придется делать дополнительные настройки на рабочем ПК. Раньше дома стоял роутер ASUS WL500gP v.1 с прошивкой DD-WRT, которые позволял настроить собственный Firewall, чтобы отфильтровать ненужные подключения. Теперь я использую Apple Time Capsule, но на ней нельзя настроить Firewall. Может это и к лучшему =) Чтобы не городить огород, я решил использовать стандартный Брандмауэр для Windows 7, чтобы разрешить подключение только с определенных IP адресов. Рабочий IP-адрес белый и статичный, что упрощает задачу.


Настройка Брандмауэра Windows 7

Первое, что я сделал это пробросил нестандартный RDP порт во внутреннюю сеть, чтобы исключить лишнее внимание школоты и кул-хацкеров от стандартного порта RDP 3389. Т.е. получилось, что порт 1465 на моем внешнем домашнем ip прокидывается на порт 3389 внутреннего ip адреса локальной сети, который принадлежит серверу. Как это сделать на Apple Time Capsule рассказывать не буду, т.к. в интернете есть куча инструкций. Проверил подключение по RDP из интернета — работает, значит можно переходить к настройке Брандмауэра Windows 7.

В панели управления Брандмауэра Windows (Панель управления –> Система и безопасность –> Брандмауэр Windows) нужно перейти в меню Дополнительные параметры

windows firewall rdp 3 thumb Подключение по RDP только с определенных IP адресов с помощью Брандмауэра Windows 7

Выбрать правила для входящих подключений и найти правило — Дистанционное управление рабочим столом (TCP — входящий). Этих правила там два, т.к. для каждого профиля свое правило. В зависимости от того, какой профиль Брандмауэра применяется к нашему сетевому подключению, то правило и нужно настраивать. В моем случае это профиль Общие.

windows firewall rdp 1 thumb Подключение по RDP только с определенных IP адресов с помощью Брандмауэра Windows 7

В свойствах данного правила есть вкладка Область, на которой задаются адреса или диапазоны адресов, с которых можно будет подключаться по RDP. Если на компьютере несколько сетевых адаптеров и они задействованы, то можно указать, что подключаться можно будет только на один из них. Для этого есть раздел Локальный IP-адрес, в котором нужно указать один из IP-адресов этого ПК. Если на ПК только одна сетевая карта, то можно оставить список без ограничений — Любой IP-адрес.

windows7 firewall thumb Подключение по RDP только с определенных IP адресов с помощью Брандмауэра Windows 7Например: если бы на моем сервере было два активных сетевых подключения, на одном IP-адрес 192.168.10.15, а на втором — 10.10.2.3. А мне нужно разрешить подключения по RDP только из сети, в которую смотрит сетевая карта с IP-адресом 192.168.10.15. То я указываю IP-адрес этого сетевого подключения в списке Локальный IP-адрес. Теперь доступа из сети через второй сетевой адаптер по RDP не будет.

Чтобы отфильтровать внешние подключения по IP-адресам, нужно в список Удаленный IP-адрес прописать все IP-адреса, диапазоны адресов и подсети, с которых будет разрешено подключение к этому компьютеру по RDP. На скриншоте у меня указан внешний рабочий IP-адрес (вымышленный) и домашняя подсеть. Т.е. я смогу подключиться с работы и со всех домашних компьютеров.

windows firewall rdp 2 thumb Подключение по RDP только с определенных IP адресов с помощью Брандмауэра Windows 7

И последний очень важный этап — это проверка. Обязательно нужно убедиться, что с IP-адресов не из списка точно нет доступа.

Задача решена, доступ из интернета ограничен. Конечно, только настройками брандмауэра ограничиваться не стоит, еще нужно использовать достаточно сложные пароли, разрешить подключаться только одному пользователю без прав администратора и т.д.

Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!


Хотите поблагодарить автора за эту заметку? Вы можете это сделать!


Автор: did5

30 Окт 2012 в 14:04

Рубрика: IT,Windows,Windows 7

Метки: ,

4 комментария на «Подключение по RDP только с определенных IP-адресов с помощью Брандмауэра Windows 7»

Вы можете подписаться на RSS-ленту комментариев или оставить трекбек для публикации «Подключение по RDP только с определенных IP-адресов с помощью Брандмауэра Windows 7».

  1. Необходимо в правиле брандмауэра windows указать много диапазонов ip адресов. Возможно как-нибудь указать файл с диапазонами, чтобы не добавлять вручную? Или как-нибудь найти файл где эти диапазоны хранятся и изменить его? Или есть какие-то другие пути?

    __unknown

    19 Июн 2013 в 12:51

  2. А вообще все это нужно для ограничения подключений по RDP белым списком ip адресов. Существует ли фаерволл с такой функцией для windows 2008? Windows версия ipfw на 64-битную систему не устанавливается с ошибкой о цифровой подписи драйвера.

    __unknown

    19 Июн 2013 в 13:42

  3. маску подсети правильную поставь и все

    а

    29 Апр 2015 в 08:03

  4. Из командной строки можно добавлять правила. Причем с любым представлением адреса. К примеру:

    netsh advfirewall firewall add rule name="RDP Whitelist" dir

    =in action=allow protocol=TCP localport=3389 remote="192.168.111.1,192.168.112.2

    ,192.168.33.0/24,192.168.0.1-192.168.0.51"

    Создает правило с именем «RDP Whitelist» которое разрешает подключение к порту 3389 с адресов:

    192.168.111.1

    192.168.112.2

    192.168.33.0/24

    192.168.0.1-192.168.0.51

    Den

    22 Янв 2016 в 09:03

Ваш отзыв