Запрет доступа к серверу

rdp - плохая идея, вас быстро поломают т.к. rdp ломают.
vpn + rdp = хорошая идея.

Можно создать подсеть и для всех кто в неё входит - разрешать доступ на сервер.

Ставьте Kerio

Добавьте правила межсетевого экрана на роутере.

Например, у меня ZyXEL Keenetic Ultra:
иконка(кнопка) снизу "Безопасность" - закладка "Межсетевой экран" - кнопка "Добавить правило"
АдресИсточника АдресНазначения ПортИсточника ПортНазначения Разрешить/Запретить

попробую с впн и с межсетевым экраном и завтра отпишусь

У вас Сервер в интернет подключен напрямую, без роутера ? Если так то это очень плохое решение!
По хорошему нужен роутер, как вариант "Mikrotik", при его грамотной настройки, возможно поднять VPN на нем, или прописать конкретные IP адреса для подключения по RDP (но это при условии постоянного белого IP с другой стороны).
p.s. Для многих фирм делал настройку фаервола: при более 5 подключениях на RDP в течении 1 минуты, блокировка по IP на 1 час.

Как на конкретном роутере правила создать, лучше всего загуглить.
Вот основные понятия:
Адрес источника - адрес компа, откуда производится обращение. Если у него нет выделенного адреса, можно узнать у провайдера, через которого тот комп входит в сеть, диапазон и маску.
Адрес назначения - адрес Вашего сервера во внутренней сети.
Порт RDP 3389.

Теперь о главном, может и то, что Вы делали сначала получится.
Межсетевой экран(файервол, брандмауэр) просматривает правила сверху вниз. Доходит до первого правила, которое возможно применить(совпало условие) и выполняет заданное действие(разрешить/запретить) правила, расположенные ниже, не просматриваются.
Вы задали правила в следующем порядке: запрет для всех, разрешение одному, разрешение другому. Первое условие, которое подошло - для всех. Действие - запрет. Остальные условия в этом обращении не работают.
Надо задавать сначала разрешающие правила для конкретных адресов, а потом - запрет всем остальным.
Удачи.

А у вашего директора дома тоже белый IP? Как уже писали выше, предпочтительнее всего VPN.
Если нет времени/желания/знаний/полномочий возиться с настройкой сетей, то можно хотя бы поставить на сервер программку rdpguard. Она запускается как сервис и мониторит события аудита. Можно блокировать ip после n неправильных паролей за X часов (как failtoban), создавать черные и белые списки. У меня на некоторых серверах уже несколько лет работает, норм всё. Есть на просторах интернета и с лекарством.

Самый лучший вариант, блокировать на уровне железа, т.е. в роутере создать правило на фильтрацию IP, но не все роутеры это могут. Как вариант поставить на сервак прокси, вот простенькая 3proxy, но для неё нужно 2 сетевых интерфейса.

Чтобы отфильтровать внешние подключения по IP-адресам, нужно в список Удаленный IP-адрес прописать все IP-адреса, диапазоны адресов и подсети, с которых будет разрешено подключение к этому компьютеру по RDP.

Создайте групповую политику!

А еще лучше закрыть доступ и директору поднять дома ВПН клиент, а там где стоит сервер поднять ВПН сервер (лучше на микротике)

Эти настройки надо делать на роутере, а не на сервере. В натсройках пропброски портов (Nat) прописываете белый лист IP. и все. На Сервере ничего делать не надо. А так точно ломанут

Спасибо за ссылку на эту программу, очень востребовано для удаленки без vpn. И разумеется, железный роутер типа Mikrotik приоритетнее чем фаервол сервера. Год работал с Kerio Control, как с виртуалкой, за неимением микротика, неплохо защищает