Windows-Server-2008-R2

如何通過 Windows Server VPN 為客戶端連接到 Internet 設置防火牆?

  • February 24, 2019

我有一個 Windows Server 2008 R2 配置為使用 Windows 的本機 RAS 為通過 VPN 連接的客戶端提供 Internet 訪問。

需要阻止來自伺服器端客戶端的某些傳出 TCP 埠,但是,伺服器上的 Windows 防火牆似乎只控製本地嘗試的連接。

客戶端到 Internet 的連接甚至沒有顯示在伺服器上使用netstat -a

即使將 Windows 防火牆配置為阻止所有傳出流量,似乎也僅對伺服器上執行的程序嘗試的連接生效。

有沒有辦法將伺服器的防火牆規則應用於路由的客戶端連接?

事實證明,這樣做的方法不是通過 Windows 防火牆。

RRAS 設置中,可以配置無狀態數據包過濾器,但控制非常有限,我無法指定僅應用於 VPN 客戶端的限制。限制也適用於在伺服器上本地執行的應用程序(這是我不想要的)。無法指定 IP 範圍(所有 IP 或僅一個特定 IP)。

RRAS 設置 出站數據包過濾器


然後我發現了網路策略伺服器(NPS,%windir%\system32\nps.msc)。那裡的控制可以更好地細化。所以我創建了一個這樣的網路策略: 政策頁面0 政策頁面1 政策頁面3

因此,通過將策略限制為特定的 Windows 使用者組,這已正確解決了該問題。

引用自:https://serverfault.com/questions/954277