限制流量到端口轉發主機Mikrotik

Question

這裏的場景。我目前正在我的辦公室爲我的路由器運行一臺Mikrotik RB433AH。我有幾個防火牆規則設置，都很好。我也配置了NAT。我現在正處於需要從位於內部網絡「192.168.0.10」，協議TCP和端口502的主機檢索數據的地方。我將從位於遠程位置的服務器訪問此內部主機使用靜態IP地址。我需要允許這個IP，其他一切都需要被拒絕。

我添加了我的dst-nat規則，並且再次一切都很好。但是，由於添加了dst-nat規則，我可以從外部訪問此內部主機，我需要只能從位於數據中心的設備訪問此內部主機。

從我讀到目前爲止，我確信NAT規則先處理，然後是防火牆過濾規則。所以這解釋了爲什麼我可以從外部訪問這個設備。如何過濾訪問此設備的外部世界？

我是否需要在chain = forward的過濾規則上添加另一個規則？到目前爲止，我已經閱讀了很多文檔，現在事情很模糊，所以在這一點上任何幫助都會很棒。

在此先感謝！

牛逼

Answer 1

是的，你需要做一個防火牆規則，從一個特定的地址，到你的主機，並接受它，否則放下一切...這可以在一個規則來執行，使用！選項。

/ip firewall filter 
add chain=forward src-address=!EXTERNALSERVERIP dst-address=192.168.0.10 action=accept 

之後，只有您的外部服務器可以訪問您的本地主機。

Answer 2

你需要把這個規則之上

/IP防火牆過濾器添加鏈=正向SRC-地址= yourexternalipaddress DST地址192.168.0.10 = =行動接受

你需要做以下規則此塊 /IP防火牆過濾器添加鏈=正向DST-地址= 192.168.0.10行動=降

的交代當連接經過防火牆過濾規則

，它將由第一R被檢查如果它匹配，那麼它將被執行...如果不匹配，它將傳遞到下一個規則。