我有一個小型 ZyXEL VMG1312 路由器,它僅配置了 VDSL WAN 和互聯網網路/wifi,一切都運作良好。
我想允許遠端 RDP 存取內部網路上的電腦 (192.168.1.10),因此為連接埠 3389 設定連接埠轉送規則並啟用遠端存取。
然後我意識到這對任何人開放,因此我花了最後 3 個小時嘗試將 IP 限制應用於 NAT 規則,但成功率為零!
我已經嘗試了存取控制下我能想到的限制對連接埠 3389 的存取的所有組合,甚至是連接埠 3389 的 WAN-LAN 方向上的任意丟棄規則,但沒有運氣 - 您仍然可以從任何 IP 存取 RDP。
是否有人有在此路由器上設定 ACL 限制 NAT 規則的經驗,因為它們似乎根本不適用?它似乎不符合我以前使用過的每個防火牆/路由器的相同規則!
非常感謝。
答案1
我已從 ZyXEL 硬體團隊確認這是他們在 VMG1312 上實施連接埠轉送的限制和問題。
啟用連接埠轉送後,這將覆寫任何 ACL,並且沒有解決此問題的方法。
這似乎是一個愚蠢的疏忽,並且極大地限制了 ACL 的實用性,但我想是時候購買另一個小型企業級路由器而不是住宅市場的路由器了。
答案2
如果它像 VMG3925 路由器(非常相似,軟體看起來相同),那麼您可以在連接埠轉送中指定 WAN「寄件者」位址,我認為這將限制它。
不過我同意 ACL 基本上沒什麼用。