Permitir acesso remoto apenas de determinados endereços IP

Eu uso o Firewall do Windows e o Powershell para isso. A menos, é claro, que você queira obter algo como ScaleArc para atuar como um proxy reverso. Suas opções serão realmente limitadas a algo que utiliza uma dessas tecnologias. Firewall/IPSec ou um proxy reverso.

Este é o esboço do script que uso para verificar as portas em que a regra existe neste ambiente e adicioná-la. Especifique -RemoteAddress para limitar o acesso apenas a determinados IPs:

Documentos New-NetFirewallRule

-RemoteAddress<String[]>
Specifies that network packets with matching IP addresses match this rule. 
This parameter value is the second end point of an IPsec rule and specifies the computers that are subject to the requirements of this rule. 
This parameter value is an IPv4 or IPv6 address, hostname, subnet, range, or the following keyword: Any. 
The acceptable formats for this parameter are: 
-- Single IPv4 Address: 1.2.3.4 
-- Single IPv6 Address: fe80::1 
-- IPv4 Subnet (by network bit count): 1.2.3.4/24 
-- IPv6 Subnet (by network bit count): fe80::1/48 
-- IPv4 Subnet (by network mask): 1.2.3.4/255.255.255.0 
-- IPv4 Range: 1.2.3.4 through 1.2.3.7 
-- IPv6 Range: fe80::1 through fe80::9 
Note: Querying for rules with this parameter can only be performed using filter objects. See the Get-NetFirewallAddressFilter cmdlet for more information

.

Script PowerShell:

##Internal SQL Endpoint for AGs to communicate together. Needed on all nodes.
$LocalPortNumber = '5122'
$PortDisplayName = 'SQL-AG-Endpoint'
$Protocol = 'TCP'
$PortCheck = Get-NetFirewallPortFilter | where {$_.LocalPort -eq $LocalPortNumber}
if ($PortCheck){  ##Check if exists))
write-host "Port $($LocalPortNumber) for $($PortDisplayName) already found. Not adding Firewall Entry" #-ForegroundColor DarkGreen
}
ELSE
{
write-host "Port $($LocalPortNumber) is not found. Adding now" 
New-NetFirewallRule -DisplayName "$($PortDisplayName)" -Direction Inbound –LocalPort $($LocalPortNumber) -Protocol $($Protocol) -Action Allow
}

O firewall do Windows permite filtrar por endereço IP pronto para uso, só que você não pode escolher no assistente de nova regra . Você deve primeiro criar uma regra e depois editar suas propriedades:

Você pode controlar isso por meio de sua rede e sua infraestrutura de roteamento/comutação. Sempre que tive situações semelhantes, nossa equipe de rede limitava o acesso à sub-rede em que o SQL está conectado a determinadas sub-redes. Por exemplo, você deseja que seus desenvolvedores internos tenham acesso aos sistemas de desenvolvimento, mas não aos sistemas de produção. Em vez de limitar isso apenas por ID do Windows ou usuários SQL, você também pode abrir uma rota/túnel para a sub-rede em que o SQL está, para/da sub-rede em que seus desenvolvedores estão. contas SQL, mas também por sub-rede/rede.