Eu tenho um Windows Server 2008 R2 configurado para fornecer acesso à Internet para clientes conectados por VPN usando o RAS nativo do Windows.
Há uma necessidade de bloquear certas portas TCP de saída dos clientes no lado do servidor, no entanto, o Firewall do Windows no servidor parece controlar apenas as conexões tentadas localmente.
As conexões do cliente com a Internet nem estão aparecendo no servidor usandonetstat -a
Mesmo configurar o Firewall do Windows para bloquear todo o tráfego de saída parece ter efeito apenas em conexões tentadas por programas em execução no servidor.
Existe uma maneira de aplicar as regras de firewall do servidor às conexões do cliente que estão sendo roteadas?
Acontece que a maneira de fazer isso não é através do Firewall do Windows.
Nas configurações do RRAS existe a possibilidade de configurar um filtro de pacotes sem estado, mas o controle é muito limitado, e não consegui especificar uma restrição a ser aplicada apenas aos clientes VPN. A restrição também seria aplicada a aplicativos executados localmente no servidor (o que é algo que eu não quero). Não há como especificar um intervalo de IPs (todos os IPs ou apenas um específico).
Então eu descobri sobre o Network Policy Server (NPS, %windir%\system32\nps.msc). E aí o controle pode ser melhor refinado. Então eu criei uma Política de Rede assim:
Portanto, restringindo a política a um determinado grupo de usuários do Windows, isso resolveu o problema corretamente.