2012 R2

dislike · Отправлено: **12:29, 20-07-2016** | #2

Цитата pomestnik:

Но я не пойму как это работает. »

Это элемент защиты. Все прекрасно знают, что по стандарту RDP порт равен 3389, именно этот порт используется сервером и никакой другой. Но чтобы с улицы всякие черти не ломились в порт 3389, на роутере устанавливается произвольный порт из свободного диапазона, у вас это 54300. Т.е. человек знает этот порт и подключается с внешки на него, а уже роутер по своим правилам смотрит, ага, запросы из внешки на порт 54300 надо перенаправлять на локальный сервер с IP адресом таким-то (192.168.1.2 например) и портом 3389. И сервер прекрасно понимает, что через 3389 у него подключено RDP и всё работает.
Зачем вам порт менять, что хотите?

Цитата:

netstat - a не показывает что этот порт слушается на сервере!

Естественно. Этот порт слушается на роутере.

NickM · Конфигурация компьютера

Цитата dislike:

Этот порт слушается на роутере »

Неа, не слушается, перенаправляется (цепочка forward)

nokogerra · Отправлено: **06:45, 21-07-2016** | #4

Господа, конечно, все это поэтично по-пацански расписали, но это таки dnat и цепочка PREROUTING (nat таблицы). В цепочке FORWARD таблицы filter просто разрешается прохождение пакетов.
p.s. днатить rdp вообще моветон, vpn вам в помощь.

pomestnik · Отправлено: **13:37, 21-07-2016** | #5

Спасибо большое, единственное что я не понял
В роутере NAT->Port Redirection просто стоит PublicPort и PrivateIP
а поля PrivatePort вообще нету, это сервак сам понимает что к нему щимятся по RDP получается ?

Цитата dislike:

Зачем вам порт менять, что хотите? »

подстраховаться от бывшего админа..

dislike · Отправлено: **13:40, 21-07-2016** | #6

Возможно в правиле указан тип протокола? Дайте лучше скриншот настроек вашего роутера, так всяко понятнее будет. Да и моделька бы не помешала.

nokogerra · Отправлено: **13:42, 21-07-2016** | #7

Цитата pomestnik:

подстраховаться от бывшего админа.. »

если у вас нет ids/ips то смена порта не подстрахует вас от скана портов, тем более если он знает что вы наружу рдп выбрасываете.

dislike · Отправлено: **13:44, 21-07-2016** | #8

в любом случае смена пароля на сервере должна быть вполне достаточна. Перебирать их наугад вспотеет.

nokogerra · Отправлено: **13:47, 21-07-2016** | #9

Цитата dislike:

в любом случае смена пароля на сервере должна быть вполне достаточна. Перебирать их наугад вспотеет. »

Да просто удалить его учетную запись и все, они для того и делаются персонифицированными. Ну и политика паролей с локаутом.

pomestnik · Отправлено: **14:38, 21-07-2016** | #10

Блин я нуб, в NAT там была еще расширенная настройка правил, где приват порт указывался =\
Учетку удалил, + локального Администратор отключил.

Всем еще раз огромное спасибо за помощь!