How can I block RDP packets?

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Advanced Networking
Author Message
roland90
DD-WRT User


Joined: 22 Oct 2015
Posts: 84

PostPosted: Thu Sep 03, 2020 20:30    Post subject: How can I block RDP packets? Reply with quote
I would like to drop all RDP packets on the network, except 192.168.1.11/24 and 10.8.0.0/24.

I use the following rules:

Code:
iptables -I FORWARD -p tcp --dport 3389 -j logdrop
iptables -I FORWARD -p tcp --dport 3389 -s 192.168.1.11 -j logaccept
iptables -I FORWARD -p tcp --dport 3389 -s 10.8.0.0/24 -j logaccept
iptables -I FORWARD -p udp --dport 3389 -j logdrop
iptables -I FORWARD -p udp --dport 3389 -s 192.168.1.11 -j logaccept
iptables -I FORWARD -p udp --dport 3389 -s 10.8.0.0/24 -j logaccept
iptables -I INPUT -p tcp --dport 3389 -j logdrop
iptables -I INPUT -p tcp --dport 3389 -s 192.168.1.11 -j logaccept
iptables -I INPUT -p tcp --dport 3389 -s 10.8.0.0/24 -j logaccept
iptables -I INPUT -p udp --dport 3389 -j logdrop
iptables -I INPUT -p udp --dport 3389 -s 192.168.1.11 -j logaccept
iptables -I INPUT -p udp --dport 3389 -s 10.8.0.0/24 -j logaccept
iptables -I OUTPUT -p tcp --dport 3389 -j logdrop
iptables -I OUTPUT -p tcp --dport 3389 -s 192.168.1.11 -j logaccept
iptables -I OUTPUT -p tcp --dport 3389 -s 10.8.0.0/24 -j logaccept
iptables -I OUTPUT -p udp --dport 3389 -j logdrop
iptables -I OUTPUT -p udp --dport 3389 -s 192.168.1.11 -j logaccept
iptables -I OUTPUT -p udp --dport 3389 -s 10.8.0.0/24 -j logaccept


When I try to test from 192.168.1.20/24 (wireless connected), it can connect successfully, but client should not be able to access the RDP.

Result of iptables -vnL:

Code:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         
16485 1659K logaccept  tcp  --  br0    *       192.168.1.10         0.0.0.0/0           tcp dpt:80
    0     0 logdrop    tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 logaccept  udp  --  *      *       10.8.0.0/24          0.0.0.0/0           udp dpt:3389
    0     0 logaccept  udp  --  *      *       192.168.1.11         0.0.0.0/0           udp dpt:3389
    0     0 logdrop    udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:3389
    0     0 logaccept  tcp  --  *      *       10.8.0.0/24          0.0.0.0/0           tcp dpt:3389
    0     0 logaccept  tcp  --  *      *       192.168.1.11         0.0.0.0/0           tcp dpt:3389
    4   160 logdrop    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3389
  939  122K logaccept  0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 logdrop    udp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:520
    0     0 logdrop    udp  --  br0    *       0.0.0.0/0            0.0.0.0/0           udp dpt:520
    0     0 logaccept  udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:520
 1478  122K logaccept  0    --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 logdrop    icmp --  ppp0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 logdrop    2    --  *      *       0.0.0.0/0            0.0.0.0/0           
   11   739 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0           state NEW
    0     0 logaccept  0    --  br0    *       0.0.0.0/0            0.0.0.0/0           state NEW
    0     0 logaccept  udp  --  ath1.1 *       0.0.0.0/0            0.0.0.0/0           udp dpt:67
    0     0 logaccept  udp  --  ath1.1 *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
    0     0 logaccept  tcp  --  ath1.1 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53
   16  3760 logdrop    0    --  ath1.1 *       0.0.0.0/0            0.0.0.0/0           state NEW
    0     0 logaccept  0    --  ath1.1 *       0.0.0.0/0            0.0.0.0/0           
24710 2319K logdrop    0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 logaccept  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:<port>
    0     0 logaccept  tcp  --  tun0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:<port>

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         
    0     0 logdrop    0    --  *      *       192.168.2.2          192.168.1.0/24     
    0     0 logdrop    0    --  *      *       192.168.1.14         192.168.1.0/24     
    0     0 logdrop    0    --  br0    *       192.168.1.14         0.0.0.0/0           
    0     0 logaccept  udp  --  *      *       10.8.0.0/24          0.0.0.0/0           udp dpt:3389
    0     0 logaccept  udp  --  *      *       192.168.1.11         0.0.0.0/0           udp dpt:3389
    0     0 logdrop    udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:3389
    0     0 logaccept  tcp  --  *      *       10.8.0.0/24          0.0.0.0/0           tcp dpt:3389
    0     0 logaccept  tcp  --  *      *       192.168.1.11         0.0.0.0/0           tcp dpt:3389
    0     0 logdrop    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3389
 152K   98M logaccept  0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 logdrop    0    --  ath1.1 *       0.0.0.0/0            192.168.1.0/24      state NEW
    0     0 logaccept  47   --  *      ppp0    192.168.1.0/24       0.0.0.0/0           
    0     0 logaccept  tcp  --  *      ppp0    192.168.1.0/24       0.0.0.0/0           tcp dpt:1723
    0     0 logaccept  0    --  ath1.1 *       0.0.0.0/0            0.0.0.0/0           
 2113  240K lan2wan    0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    7   420 logaccept  0    --  br0    br0     0.0.0.0/0            0.0.0.0/0           
 2054  237K logaccept  0    --  br0    ppp0    0.0.0.0/0            0.0.0.0/0           
    0     0 logaccept  tcp  --  *      *       0.0.0.0/0            192.168.1.30        tcp dpt:<port>
    0     0 logaccept  tcp  --  *      *       0.0.0.0/0            192.168.1.30        tcp dpt:<port>
   45  2340 logaccept  tcp  --  *      *       0.0.0.0/0            192.168.1.30        tcp dpt:<port>
    2    88 logaccept  tcp  --  *      *       0.0.0.0/0            192.168.1.30        tcp dpt:<port>
    5   236 logaccept  tcp  --  *      *       0.0.0.0/0            192.168.1.30        tcp dpt:<port>
    0     0 logaccept  tcp  --  *      *       0.0.0.0/0            192.168.1.30        tcp dpt:<port>
    0     0 logaccept  tcp  --  *      *       0.0.0.0/0            192.168.1.30        tcp dpt:<port>
    0     0 TRIGGER    0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0           TRIGGER type:in match:0 relate:0
    0     0 trigger_out  0    --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 logdrop    0    --  br0    ath1.1  0.0.0.0/0            0.0.0.0/0           state NEW
    0     0 logaccept  0    --  br0    *       0.0.0.0/0            0.0.0.0/0           state NEW
    0     0 logdrop    0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 logaccept  0    --  *      *       10.20.30.0/24        0.0.0.0/0           
    0     0 logaccept  0    --  br0    tun0    0.0.0.0/0            0.0.0.0/0           
    0     0 logaccept  0    --  tun0   br0     0.0.0.0/0            0.0.0.0/0           
    0     0 logaccept  0    --  ath1.1 br0     0.0.0.0/0            192.168.1.30        state NEW

Chain OUTPUT (policy ACCEPT 936 packets, 70197 bytes)

 pkts bytes target     prot opt in     out     source               destination         
    0     0 logaccept  udp  --  *      *       10.8.0.0/24          0.0.0.0/0           udp dpt:3389
    0     0 logaccept  udp  --  *      *       192.168.1.11         0.0.0.0/0           udp dpt:3389
    0     0 logdrop    udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:3389
    0     0 logaccept  tcp  --  *      *       10.8.0.0/24          0.0.0.0/0           tcp dpt:3389
    0     0 logaccept  tcp  --  *      *       192.168.1.11         0.0.0.0/0           tcp dpt:3389
    0     0 logdrop    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3389
19527   18M logaccept  0    --  *      br0     0.0.0.0/0            0.0.0.0/0           
   
Chain logaccept (42 references)

 pkts bytes target     prot opt in     out     source               destination         
 5894  498K LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW LOG flags 7 level 4 prefix `ACCEPT '
 192K  118M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain logdrop (19 references)

 pkts bytes target     prot opt in     out     source               destination         
24708 2322K LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW LOG flags 7 level 4 prefix `DROP '
   22  1584 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID LOG flags 7 level 4 prefix `DROP '
24730 2323K DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain logreject (0 references)

 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 7 level 4 prefix `WEBDROP '
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset


How can I fix these rules?
Any help is appreciated Smile


Last edited by roland90 on Thu Sep 03, 2020 21:41; edited 1 time in total
Sponsor
Wildlion
DD-WRT Guru


Joined: 24 May 2016
Posts: 917

PostPosted: Thu Sep 03, 2020 20:45    Post subject: Reply with quote
First question would be where are the connections coming/going to? If they are on local network or switches they may not hit the router firewall.

If they are, you can always move your rules to be the first to ensure that the rules are actually being executed.
roland90
DD-WRT User


Joined: 22 Oct 2015
Posts: 84

PostPosted: Thu Sep 03, 2020 20:54    Post subject: Reply with quote
Wildlion wrote:
First question would be where are the connections coming/going to? If they are on local network or switches they may not hit the router firewall.

If they are, you can always move your rules to be the first to ensure that the rules are actually being executed.


Connection is going from ath1 wifi client on 192.168.1.20/24 and going to wired server on 192.168.1.10/24
It is located on LAN, no any switches are between the router and devices.

Strange because I can limit eg. router web access on TCP 80, and this limitation is working well on the network, but RDP drop does not want the truth.
roland90
DD-WRT User


Joined: 22 Oct 2015
Posts: 84

PostPosted: Thu Sep 03, 2020 21:38    Post subject: Reply with quote
Ahh, I can see now.
I checked the packet log and really the request does not hit the router's firewall, so I will configure the server endpoint firewall.

Many thanks for the help Smile Smile
Wildlion
DD-WRT Guru


Joined: 24 May 2016
Posts: 917

PostPosted: Fri Sep 04, 2020 16:30    Post subject: Reply with quote
Not a problem. It is a common mistake for all of us.

Glad you figured it out.
roland90
DD-WRT User


Joined: 22 Oct 2015
Posts: 84

PostPosted: Fri Sep 04, 2020 16:54    Post subject: Reply with quote
Yeah it is done Smile
Thanks
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Advanced Networking All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum