RDP -> Firewall

[reaper2k11]

Ich habe das Windows 7 Firewall Profil auf Öffentlich gesetzt.
Jetzt geht der Zugriff weder von außerhalb (Internet), noch im selben Netz.
Dann hab ich für Eingehend das Remotedesktop (TCP) für Öffentlich und Privat und erlaubt.

Leider geht das immer noch nicht. Remotedesktop ist auf der Maschine eingeschaltet.
Was muss ich machen?

 

[Stahlseele]

router?
portforwarding?
windows firewall muss man für RDP niemals bearbeiten soweit ich weiss . .
wäre ja dämlich, wenn die etwas blockt, was genau dafür konzipiert ist.

 

[reaper2k11]

Portforwarding ist drin.
RDP Port hab ich eh auf einen anderen gelegt. In der Registry der Kiste natürlich berücksichtigt
Ich bekomm ja nichtmal im selben Netz von meinem Laptop aus RDP-Zugriff auf die VM.
Wenn ich die Firewall ausschalte dann geht es

 

[-=]ZeroCool[=-]

TCP und UDP in der Firewall erlauben. Natürlich wird die Windows Firewall um die Regeln ergänzt sobald Remotedesktop aktiviert wird. Standard ist 3389 bei UDP und TCP eingehend.

 

[Masamune2]

Hast du in der Firewallregel den Port dann auch geändert?

 

[reaper2k11]

Masamune2 du hattest Recht.
Hatte ganz vergessen, dass das ja auch auf Port läuft.
Musste aber eine neue Regel anlegen, weil sich der Port beim vordefinierten nicht ändern ließ.

 

[se7enthson]

Und wie läuft das dann wenn man mehrere Rechner hinter dem Router hat? Den Port 3389 gibt man ja nur für einen PC frei, oder? Oder woher soll der Browser bei Eingabe der DynDNS Adresse wissen auf welchen PC man sich per Remote schalten möchte? Nimmt man dann einfach unterschiedliche Ports?

 

[Masamune2]

Man nimmt unterschiedliche Ports. Endweder nur nach außen hin, dann muss der Router die übersetzen, oder man ändert sie auch auf jedem PC, was aber nur nötig ist wenn der Router das nicht kann.

 

[reaper2k11]

Achso,
ich hätte also z.B den Port 40000 (extern) auf 3389 (intern) weiterleiten können. Habe nämlich den geänderten Port auch lokal auf der Maschine in der Registry geändert.

 

[Masamune2]

Jepp, das wäre einfachere und gängige Weg gewesen. Hat zudem den Vorteil das man automatisierten Portscans und Passwort Bruteforce Angriffen aus dem Weg geht.

 

[se7enthson]

Hmm danke, funzt =) Aber wenn ich das für 20 Rechner haben will, müsste ich das ganze auch 20 mal im Router eintragen (bzw. 40 da TCP und UDP in diesem Fall seperat eingetragen werden müssen) richtig ? Gibts da ausser Teamviewer ne einfachere Lösung ? =)

 

[reaper2k11]

Was fällt dir ein in meinem Thread querzukommen

Ich denke mal es wird schwieriger mit dem Ändern des Ports. Doch was ist wenn der Portscan bis 60.000 geht?

 

[Masamune2]

UDP brauchst du für RDP schon mal nicht, es bleibt also bei 20 Einträgen. Und ja, die musst du alle machen, das geht nun mal nicht anders.

Natürlich ist es damit nicht unmöglich den Port zu finden, aber automatisierte Angriffe beschränken sich in der Regel auf den Standardport da die schiere Menge an Port zu IP Kombinationen sonst niemals zu scannen wären.