限制流量到端口转发主机Mikrotik

Question

这里的场景。我目前正在我的办公室为我的路由器运行一台Mikrotik RB433AH。我有几个防火墙规则设置，都很好。我也配置了NAT。我现在正处于需要从位于内部网络“192.168.0.10”，协议TCP和端口502的主机检索数据的地方。我将从位于远程位置的服务器访问此内部主机使用静态IP地址。我需要允许这个IP，其他一切都需要被拒绝。

我添加了我的dst-nat规则，并且再次一切都很好。但是，由于添加了dst-nat规则，我可以从外部访问此内部主机，我需要只能从位于数据中心的设备访问此内部主机。

从我读到目前为止，我确信NAT规则先处理，然后是防火墙过滤规则。所以这解释了为什么我可以从外部访问这个设备。如何过滤访问此设备的外部世界？

我是否需要在chain = forward的过滤规则上添加另一个规则？到目前为止，我已经阅读了很多文档，现在事情很模糊，所以在这一点上任何帮助都会很棒。

在此先感谢！

牛逼

Answer 1

是的，你需要做一个防火墙规则，从一个特定的地址，到你的主机，并接受它，否则放下一切...这可以在一个规则来执行，使用！选项。

/ip firewall filter 
add chain=forward src-address=!EXTERNALSERVERIP dst-address=192.168.0.10 action=accept 

之后，只有您的外部服务器可以访问您的本地主机。

Answer 2

你需要把这个规则之上

/IP防火墙过滤器添加链=正向SRC-地址= yourexternalipaddress DST地址192.168.0.10 = =行动接受

你需要做以下规则此块 /IP防火墙过滤器添加链=正向DST-地址= 192.168.0.10行动=降

的交代当连接经过防火墙过滤规则

，它将由第一R被检查如果它匹配，那么它将被执行...如果不匹配，它将传递到下一个规则。