Windows防火墙中设置仅允许特定内网IP通过远程桌面(mstsc)连接

步骤 1:打开高级防火墙设置

  1. 按下 Win + R,输入 wf.msc,回车打开高级安全Windows Defender防火墙

步骤 2:禁用默认远程桌面规则(避免冲突)

  1. 在左侧选择 入站规则
  2. 在右侧列表中找到 远程桌面 - 用户模式(TCP-In)远程桌面 - 用户模式(UDP-In) 规则(通常有两个,分别对应TCP和UDP)。
  3. 右键每个规则,选择 禁用,确保默认规则不会允许其他IP连接。

步骤 3:创建新的入站规则

  1. 右侧点击 新建规则
  2. 规则类型:选择 端口,下一步。

  3. 协议和端口

    • 选择 TCP
    • 输入 特定本地端口3389(默认RDP端口,若已修改请使用实际端口)。
  4. 操作:选择 允许连接,下一步。
  5. 配置文件:根据网络环境勾选(建议全选:域、专用、公用),下一步。

  6. 名称和描述

    • 名称:例如 允许内网特定IP访问RDP
    • 描述:可选,如“仅允许IP 192.168.1.100连接”。
  7. 点击 完成

步骤 4:限制规则仅允许特定IP

  1. 返回入站规则列表,找到刚创建的新规则,右键选择 属性
  2. 切换到 作用域 选项卡。

  3. 远程IP地址

    • 选择 下列IP地址
    • 点击 添加,输入允许的内网IP(如 192.168.1.100/32),确定。
  4. 点击 确定 保存设置。

验证配置

  1. 允许的IP测试:从指定IP(如192.168.1.100)尝试远程桌面连接,确认能正常连接。
  2. 其他IP测试:从其他IP尝试连接,应被拒绝。

注意事项

  • 子网掩码:单个IP需使用/32(如192.168.1.100/32)。
  • IPv6:如果内网使用IPv6,需在规则中单独添加IPv6地址。
  • 备份访问:操作前确保有本地访问权限,避免规则错误导致无法远程连接。
  • 端口变更:若RDP端口已修改,需在规则中替换为实际端口。

通过以上步骤,Windows防火墙将仅允许指定内网IP通过远程桌面连接,其他IP将被自动阻止。

标签: none