SuperDMZ
Retour au blog
🖥️
Tutoriels · · Équipe SuperDMZ

Comment exposer RDP sans IP publique (et sans compromettre la sécurité)

Accès distant Windows via Remote Desktop derrière un NAT, avec liste blanche IP et clé d'authentification, en moins de 5 minutes. Sans ouvrir de port sur le routeur.

Exposer le RDP (port 3389) directement sur internet via redirection de port du routeur est l'un des moyens les plus rapides de se faire pirater — les campagnes automatisées scannent les IPs avec 3389 ouvert 24h/24. SuperDMZ résout ça en plaçant le tunnel entre vous et l'attaquant, et en exigeant une authentification supplémentaire avant que le paquet n'atteigne Windows.

Recette en 4 étapes

1. Dans le panneau, créez un tunnel TCP (pas HTTP) pointant vers 127.0.0.1:3389. Choisissez un nœud proche de l'utilisateur qui va y accéder.

2. Dans "IPs autorisées" mettez uniquement les IPs depuis lesquelles vous vous connecterez. Accepte CIDR. Exemple :

187.45.92.0/24, 200.123.4.5/32

3. Cochez "Exiger clé d'auth" et copiez la clé générée. Sans la bonne clé, personne n'atteint RDP — il reçoit un 401 de notre côté, avant même que le port 3389 ne voie le paquet.

4. Installez le client SuperDMZ sur la machine Windows à atteindre. Ajoutez le token du tunnel. Le tunnel monte en moins de 30 secondes.

Comment se connecter de l'autre côté

Le panneau affiche l'URL finale : quelque chose comme spo1.nodes.superdmz.com:18420. Dans le client Remote Desktop :

  1. Ordinateur : spo1.nodes.superdmz.com:18420
  2. Utilisateur : l'utilisateur Windows de la machine cible
  3. Après connexion, notre side-channel demande la clé d'auth (popup)

Couches de sécurité gagnées

  • Port jamais ouvert sur le routeur — votre machine n'apparaît jamais dans Shodan
  • Liste blanche IP — paquet d'IP non autorisée est rejeté au nœud, n'atteint pas votre Windows
  • Clé d'auth — deuxième couche au-dessus du mot de passe Windows
  • Log de connexion — vous voyez dans le panneau chaque IP qui a tenté de se connecter, avec pays, heure et octets

Pas recommandé

Ne pas exposer RDP sans liste blanche IP et sans clé d'auth. Ça ne vaut pas la peine. Si vous avez 100 IPs possibles, réduisez à une. Si vous avez vraiment besoin de "accès de n'importe où", créez 2 tunnels : un restreint par IP, un autre avec clé d'auth — et désactivez le second quand vous ne l'utilisez pas.

Envie d'essayer SuperDMZ ?

Offre gratuite sans carte bancaire. Votre premier tunnel est en ligne en moins de 60 secondes.

Créer un compte gratuit

Plus dans Tutoriels

Planification hebdomadaire par CLI sous Linux et macOS — jusqu'à 25 fenêtres

Comment garder les tunnels hors ligne la nuit pour économiser le trafic, ou en ligne uniquement aux heures de bureau. Tout en ligne de commande, sans interface graphique.
🪝

Recevoir webhook Stripe et Mercado Pago sur localhost (sans déploiement)

En tant que développeur, vous devez tester du webhook réel en développement. ngrok le fait. SuperDMZ aussi — et avec une URL stable qui ne change pas à chaque reconnexion.