Windows-Server-2008-R2

如何通過 Windows Server VPN 為客戶端連接到 Internet 設置防火牆?

  • February 24, 2019

我有一個 Windows Server 2008 R2 配置為使用 Windows 的本機 RAS 為通過 VPN 連接的客戶端提供 Internet 訪問。

需要阻止來自伺服器端客戶端的某些傳出 TCP 埠,但是,伺服器上的 Windows 防火牆似乎只控製本地嘗試的連接。

客戶端到 Internet 的連接甚至沒有顯示在伺服器上使用netstat -a

即使將 Windows 防火牆配置為阻止所有傳出流量,似乎也僅對伺服器上執行的程序嘗試的連接生效。

有沒有辦法將伺服器的防火牆規則應用於路由的客戶端連接?

事實證明,這樣做的方法不是通過 Windows 防火牆。

RRAS 設置中,可以配置無狀態數據包過濾器,但控制非常有限,我無法指定僅應用於 VPN 客戶端的限制。限制也適用於在伺服器上本地執行的應用程序(這是我不想要的)。無法指定 IP 範圍(所有 IP 或僅一個特定 IP)。

RRAS 設置 出站數據包過濾器

然後我發現了網路策略伺服器(NPS,%windir%\system32\nps.msc)。那裡的控制可以更好地細化。所以我創建了一個這樣的網路策略: 政策頁面0 政策頁面1 政策頁面3

因此,通過將策略限制為特定的 Windows 使用者組,這已正確解決了該問題。

引用自:https://serverfault.com/questions/954277

相關問答

Vpn

啟動 RRAS 服務會阻止 RDP 訪問內部介面上的 RRAS 伺服器?(2008 R2)

  • November 26, 2021
檢視問答
Windows-Server-2008-R2

對來自特定 IP 地址的所有連接打開 Windows 防火牆

  • February 4, 2021
檢視問答
Vpn

嘗試從客戶端到客戶端而不是客戶端到伺服器進行通信時,wireguard“需要目標地址”

  • October 12, 2020
檢視問答
Windows-Server-2008

Windows 高級防火牆:“邊緣遍歷”是什麼意思?

  • January 19, 2020
檢視問答
Vpn

將兩個 Watchguard 防火牆的 VPN 合併為一個防火牆

  • December 26, 2019
檢視問答
Vpn

並發會話和 IPsec/VPN 會話有什麼區別?

  • November 20, 2019
檢視問答