我有一个 Windows Server 2008 R2 配置为使用 Windows 的本机 RAS 为通过 VPN 连接的客户端提供 Internet 访问。
需要阻止来自服务器端客户端的某些传出 TCP 端口,但是,服务器上的 Windows 防火墙似乎只控制本地尝试的连接。
客户端到 Internet 的连接甚至没有显示在服务器上使用netstat -a
即使将 Windows 防火墙配置为阻止所有传出流量,似乎也仅对服务器上运行的程序尝试的连接生效。
有没有办法将服务器的防火墙规则应用于路由的客户端连接?
事实证明,这样做的方法不是通过 Windows 防火墙。
在RRAS 设置中,可以配置无状态数据包过滤器,但控制非常有限,我无法指定仅应用于 VPN 客户端的限制。限制也适用于在服务器上本地运行的应用程序(这是我不想要的)。无法指定 IP 范围(所有 IP 或仅一个特定 IP)。
然后我发现了网络策略服务器(NPS,%windir%\system32\nps.msc)。那里的控制可以更好地细化。所以我创建了一个这样的网络策略:
因此,通过将策略限制为特定的 Windows 用户组,这已正确解决了该问题。