Можно ли сделать так , чтобы подключения к серверу к которому прокинут через дфл порт 3389, приходили на другой порт? ( то есть во локальной сети должно быть по прежнему через 3389 и в реестре я ничего не меняю, снаружи 3389 как бы закрыт)

можно. и даже нужно!

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

1. RDP_Srv = например 9833
2. Во вкладке SAT правила SAT_RDP_Srv выставляем адрес хоста и правильный порт 3389

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Спасибо большое, все получилось.

Для серьезной атаки это не будет иметь никакого значения
Гораздо надежней выставлять конкретный IP адрес в Src Net или хотя бы диапазон, если IP динамический

Разумеется, в Mgmt_GRP подразумевается вполне конкретные хосты, никто не спорит.

А еще правильней - поднять на DFL'ке VPN-сервер, подключаться на него, и уже по тоннелю цепляться к машине по RDP.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

MTRX
Про Вас я не сомневался
Это я топикстартеру
Про VPN тоже верно!

Я посмотрел по логам постоянные запросы на 3389 с интервалом несколько секунд. IP адреса из разных стран.
Это что робот? Кому это нужно.

Это скорей всего роботы, нацеленные на отыскания уязвимости. В инете их пруд пруди.