Добрый день, достался уже настроенный сервак.
Win 2012 R2 Standard
Брандмауэр выключен

На роутере настроен проброс 54300 порта к серваку
Удаленно получается подключится по РДП указав этот порт.

Но я не пойму как это работает.
netstat - a не показывает что этот порт слушается на сервере!

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Terminal Server>WinStations>RDP-Tcp ключ «PortNumber«. = 3389

подскажите плиз, мне надо поменять порт...

Но я не пойму как это работает. »
Это элемент защиты. Все прекрасно знают, что по стандарту RDP порт равен 3389, именно этот порт используется сервером и никакой другой. Но чтобы с улицы всякие черти не ломились в порт 3389, на роутере устанавливается произвольный порт из свободного диапазона, у вас это 54300. Т.е. человек знает этот порт и подключается с внешки на него, а уже роутер по своим правилам смотрит, ага, запросы из внешки на порт 54300 надо перенаправлять на локальный сервер с IP адресом таким-то (192.168.1.2 например) и портом 3389. И сервер прекрасно понимает, что через 3389 у него подключено RDP и всё работает.
Зачем вам порт менять, что хотите?

netstat - a не показывает что этот порт слушается на сервере!
Естественно. Этот порт слушается на роутере.

Этот порт слушается на роутере »
Неа, не слушается, перенаправляется (цепочка forward) ;)

Господа, конечно, все это поэтично по-пацански расписали, но это таки dnat и цепочка PREROUTING (nat таблицы). В цепочке FORWARD таблицы filter просто разрешается прохождение пакетов.
p.s. днатить rdp вообще моветон, vpn вам в помощь.

Спасибо большое, единственное что я не понял
В роутере NAT->Port Redirection просто стоит PublicPort и PrivateIP
а поля PrivatePort вообще нету, это сервак сам понимает что к нему щимятся по RDP получается ?


Зачем вам порт менять, что хотите? »
подстраховаться от бывшего админа..

Возможно в правиле указан тип протокола? Дайте лучше скриншот настроек вашего роутера, так всяко понятнее будет. Да и моделька бы не помешала.

подстраховаться от бывшего админа.. »
если у вас нет ids/ips то смена порта не подстрахует вас от скана портов, тем более если он знает что вы наружу рдп выбрасываете.

в любом случае смена пароля на сервере должна быть вполне достаточна. Перебирать их наугад вспотеет.

в любом случае смена пароля на сервере должна быть вполне достаточна. Перебирать их наугад вспотеет. »
Да просто удалить его учетную запись и все, они для того и делаются персонифицированными. Ну и политика паролей с локаутом.

Блин я нуб, в NAT там была еще расширенная настройка правил, где приват порт указывался =\
Учетку удалил, + локального Администратор отключил.

Всем еще раз огромное спасибо за помощь!