Server 2003做无线路由器，防火墙问题

phpwave

在下正好有一台闲置的主机，放着也是放着，就拿它配一个大功率无线网卡做软AP，连上网线，PPPoE拨号，然后ICS把连接共享，就是无线路由器了。
现在上面还跑着FTP、DNS、DHCP服务，软AP的建立和连接的共享我都是让Ralink的程序“ralink wireless utility”帮我搞定的。
DHCP和DNS服务器在软AP建立之前就已经跑着了，我也不知道连接到软AP后是不是要它们参与才能让连接的客户端上网。如果有谁知道还请告知，谢谢。
*
(已经测试过，删除DNS服务器角色后DHCP服务器会分配设定的DNS服务器给客户端，此问题解决，请看下面的问题。）
*
这台机器本来是我放在内网的服务器，弄得时候是想弄着玩玩，而且我也不懂什么安全，RDP什么的全开着，想着能用就行，现在放到公网就担心被别人趁机了。
能兼容2003的安全软件很少，我手里只有微点的序列号，就装了微点，
现在用微点自带的防火墙规则包4可以通过路由上网（1、2规则包一个全开放一个全阻止，没意义，不说了），但是3、5不行，3、4、5规则包都可以让我从内网连接到路由的RDP服务。
主要是想防止别人从公网Ping到我或者连接到我开的RDP和远程注册表服务，请问规则应该怎么设置？
P.s：
我的要求只是简单的包过滤，再加上懒得费力气设置，所以就用了微点，如果有什么其他软件可以更容易地达到我的要求，请告知，谢谢。
再另外，毕竟机器开着不会有人整天去看，所以HIPS什么的。。我觉得算了吧。

2013/8/5,23:45更新：
多谢4楼的启发，又编写了一套规则，虽然不能算是完美解决，但目前看来没问题。
下面是规则的概要：
允许内网双向互相访问，
允许所有主机 -> 本机 TCP/UDP 5000-65535端口的访问，
允许本机 -> 所有主机 TCP/UDP所有端口的访问，
不在规则内的情况默认拒绝连接。
现在看来没什么问题，那些要害服务的端口都在5000以下。

恋爱的夏娜

服务器系统就要做服务器系统该做的，不需要的服务或者程序统统精简掉，RDP什么的，远程注册表什么的，确认没需要就删掉相关服务器角色。Server 2003可没有08那么容易配置。

phpwave

恋爱的夏娜 发表于 2013-8-5 23:16
服务器系统就要做服务器系统该做的，不需要的服务或者程序统统精简掉，RDP什么的，远程注册表什么的，确认没 ...

都需要，不然我怎么管理路由器（就是服务器）呢？FTP服务器也是必须的，不过这个IIS里好弄。DHCP服务器不用说肯定必须，DNS服务器已删。

woodelf

服务器系统防火墙我觉得以默认拒绝全部数据包，然后按照需求逐步开放数据包和端口的原则来配置较好。
我自己的一台FreeBSD，虽然跑的是自己家用的纯桌面，不过我的防火墙也是按照以上规则来配的，印象里仅开放了邮件、ftp、TCP、UDP常用的几个有限端口，连ssh都没开。
Windows下面的话应该更容易配置吧。

phpwave

woodelf 发表于 2013-8-5 23:22
服务器系统防火墙我觉得以默认拒绝全部数据包，然后按照需求逐步开放数据包和端口的原则来配置较好。
我自 ...

嗯。。。理论上是这样，但我的服务器顺便还可能做下下载机什么的。。。我试试从0开始自己写规则。

恋爱的夏娜

phpwave 发表于 2013-8-5 23:19
都需要，不然我怎么管理路由器（就是服务器）呢？FTP服务器也是必须的，不过这个IIS里好弄。DHCP服务器不 ...

远程注册表这个还是关掉吧，实在不安全，而且听你说是闲置主机，配置一定不高，要不然我就推荐你上08R2了。

phpwave

恋爱的夏娜 发表于 2013-8-6 01:00
远程注册表这个还是关掉吧，实在不安全，而且听你说是闲置主机，配置一定不高，要不然我就推荐你上08R2了 ...

好的，十分感谢！