Tengo un pequeño enrutador ZyXEL VMG1312 que simplemente está configurado con VDSL WAN y una red de Internet/wifi que ha funcionado perfectamente.
Quiero permitir el acceso RDP remoto a una computadora (192.168.1.10) en la red interna, así que configuré una regla de reenvío de puerto para el puerto 3389 y se habilitó el acceso remoto.
Luego me di cuenta de que esto estaba abierto a cualquiera, así que pasé las últimas 3 horas intentando aplicar restricción de IP a la regla NAT, ¡sin éxito!
He probado todas las combinaciones que se me ocurren en Control de acceso para restringir el acceso al puerto 3389, incluso una regla de eliminación cualquiera en la dirección WAN-LAN para el puerto 3389, sin suerte: aún puede acceder a RDP desde cualquier IP.
¿Alguien tiene alguna experiencia en la configuración de una restricción ACL para las reglas NAT en este enrutador, ya que parece que no se aplican en absoluto? ¡No parece cumplir las mismas reglas que todos los cortafuegos/enrutadores que he usado antes!
Muchas gracias.
Respuesta1
El equipo de hardware de ZyXEL me confirmó que esto es una limitación y un problema con su implementación de reenvío de puertos en el VMG1312.
Cuando el reenvío de puertos está habilitado, esto anulará cualquier ACL y no hay solución para esto.
Parece un descuido tonto y limita enormemente la utilidad de la ACL, pero supongo que es hora de adquirir otro enrutador para pequeñas empresas en lugar de uno para el mercado residencial.
Respuesta2
Si es como el enrutador VMG3925 (muy similar, el software tiene el mismo aspecto), entonces puede especificar una dirección WAN 'de' en el reenvío de puerto que lo limitará como desee, creo.
Sin embargo, estoy de acuerdo en que la ACL es básicamente inútil.