使用 Windows Server 2008 进行端口转发

Question

我有 Windows 2008 服务器。它可以用作邮件、ftp、Web 服务器。在我的 LAN 中有其他服务器，我想从我的 LAN 外部使用 RDC 访问该服务器（例如：domail.com:5555 -> 192.168.0.2:3389）。是否有任何解决方案可以使用 Windows 防火墙转发此端口？

Answer 1

请尝试以下操作：

netsh routing ip nat add portmapping external tcp 0.0.0.0 5555 192.168.0.2 3389

此规则应将任何传入连接从外部转发到端口 5555 到您的特定 LAN IP/端口。这里external是外部网络接口的名称。

不要忘记拥有适当的防火墙规则，以允许与端口 5555 相关的流量在外部 NIC 上双向通过。您需要允许进入端口 5555 的传入流量和与这些连接相关的传出流量。

我从来没有使用过内置的 Windows 防火墙，但我强烈建议你看看wipfw。它足够聪明，可以实现连接跟踪。

Answer 2

转载自这篇文章：

默认情况下，终端服务器使用端口 3389 进行 RDP 流量。默认情况下，世界上每一个有能力的黑客都知道终端服务器使用端口 3389 进行 RDP 流量。在这种情况下，您可以对终端服务器环境进行的最快更改之一是更改此默认端口分配，以绕开潜在的入侵者。

要更改终端服务器的默认 RDP 端口，请打开 regedit 并浏览至 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp。找到 PortNumber 键并将十六进制值 00000D3D（相当于 3389）替换为您要使用的端口的相应十六进制值。

或者，您可以根据每个连接更改终端服务器使用的端口号。仍然使用 regedit，浏览到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection name。再次找到 PortNumber 键并将十六进制值替换为您要使用的值。

请记住，在服务器上更改此设置时，所有连接客户端都需要确保它们使用标记到服务器 IP 地址的新端口扩展连接到终端服务器。例如，连接到内部 IP 地址为 192.168.0.1（现在使用非标准端口 8888）的终端服务器将要求用户在远程桌面连接客户端中输入 192.168.0.1:8888。

_{（来源：windowsecurity.com）}

请注意，您需要打开防火墙以允许新端口上的传入连接。另外，在编辑注册表之前不要忘记采取一些预防措施，例如创建系统还原点。