Как ограничить удаленный доступ к серверу по RDP, при этом сохранив доступ по RDP через настроенный шлюз с проверкой сертификата?

Question

[Сергей]

Имеется один сервер на WS 2019 в домене. Включен удаленный доступ по RDP. Цель - защитить сервер от угроз из интернета, допустив подключение только через шлюз.
Настроил шлюз удаленных рабочих столов, создал ssl сертификат. Теперь пользователь из интернета может подключиться просто по RDP и через шлюз. Как отключить доступ не через шлюз?

Answer 1

[hint000]

Брандмауэром запретить ненужные подключения.

Comments

[Сергей]

Подскажите что именно блокировать? Я могу только заблокировать порт rdp, но тогда через шлюз тоже не зайдет. А как выбрать для этого ограничения тех пользователей, которые подключаются не через шлюз, я не знаю как

[Роман Безруков]

bimbibim, закройте 3389 из интернета

[hint000]

bimbibim, насколько я понимаю, при подключении через шлюз будут приходить пакеты с адресом шлюза, а не с адресом пользователя (но проверьте, что именно так и есть). В таком случае достаточно разрешить rdp только со стороны шлюза, а следующим правилом запретить все остальные подключения на порт rdp.

[Сергей]

Всем спасибо!
Итог:
При блокировке порта RDP через брандмауэр я давал разрешение на подключение только локальным ip, а для всех удаленных не разрешал. (Пропадал доступ даже из сети. Почему?) Оказывается надо было в пуле разрешенных удаленных ip указать область локальных ip адресов, которые выдает DHCP удаленным пользователям. Тогда RDP в сети работает, вне сети (из интернета) не работает. Ничего не понятно, но очень интересно.