transferts de ports ipcop

[testeur290306]

bonjour,

j'ai déjà posté pour ce sujet,mais ne trouvent pas de solution
j'ai la config suivante sur la version 1.4.10:
les ipcops possèdent des noms dyndns
ipcop1 possède une ip fixe côté internet

serveur-->ipcop1-------VPN----------ipcop2<--pc2
|
--VPN----------ipcop3<--pc3


les vpn fonctionne bien entre les différents sites.les pc 2 et 3 doivent se connecter sur le serveur derrière l'ipcop1.sur un serveur terminal serveur.
dans le transfert de ports de l'ipcop1 j'ai ajouter la règle autorisant l'accès au serveur.
mais la règle est du type default ip(en source) et comme destination l'ip du serveur.
cela fonctionne bien mais je peux accéder au serveur depuis les pc2 et 3 mais aussi depuis n'importe quel pc relié à internet'depuis chez moi ou ailleurs.il suffit juste de connaitre l'ip fixe côté internet de l'ipcop1.

j'ai essayer de restreindre l'accès seulement au pc2 et 3(donc au lan des pc) dans le transfert de ports
de ipcop1 en autorisant seulement les flux sur le port 3389 qui proviennent des ip des ipcops2 et 3
(les ips des ipcops2 et 3 étant dynamiques je les récupère via un script qui recherche l'ip avec le nom dyndns)
j'ai une régle TCP DEFAULT IP : 3389 => X.X.X.X: 3389
et un accès externe sur cette règle
Accès autorisé depuis : 195.223.285.3 (**DDNS**monipcop.dyndns.org)
mais quand je met cette règle plus d'accès.
en enlevant l'accès externe ça fonctionne(logique avec la règle TCP DEFAULT IP : 3389 => X.X.X.X: 3389)
je trouvais logique pour restreindre d'autoriser que les flux provenant des ipcops2 et 3?
si vous avez un idée pour autoriser seulement les lans qui se trouvent derrière les ipcops 2 et 3
car au niveau sécurité la configuration actuelle n'est pas super.
tout le monde peut se connecter(même moi depuis chez moi)le risque est élevé!!!

merci de vos réponses