Собственно вопрос вот в чем: нужно настроить М. для пропуска с определенных адресов на определенные адреса внутри сети соответственно с порта на порт форвардинг. пример 176.119.18.245:33390 из интернета на локальный 192.168.0.111:3389 таких правил наберется несколько, а остальные адреса - гудбай как блокировать те адреса с которых ведется подбор паролей по рдп интересует два момента, собственно правильный проброс и правила файервола для блокировки как всех левых адресов так и тех кто подбирает пароль к рдп.
Вдогонку вопрос через натовские правила трафик проходит и считается а через помеченные как KIZIL нет почему - а соединения были...
Обновите Router OS, у вас старая прошивка тут - https://mikrotik.com/download. Используйте ветку current или bugfix. При пробросите портов используйте action dst-nat, на netmap. При вашей настройке: dst-nat для конкретных внешних адресов, защиты от перебора по рдп не требуется, т.к. у вас правило пробрасывает только для ваших доверенных адресов. Вам нужно настроить фаервол на микротике, т.к. он вас "голый". Пример рекомендуемого фаеровол от микротик: /ip firewall filter add chain=input comment="defconf: accept ICMP" protocol=icmp add chain=input comment="defconf: accept established,related" connection-state=established,related add chain=input comment="accept WinBox port" dst-port=8291 protocol=tcp add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1 add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add chain=forward comment="defconf: accept established,related" connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment= "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall filter add chain=input comment="defconf: accept ICMP" protocol=icmp - открывает протокол ICMP add chain=input comment="defconf: accept established,related" connection-state=established,related - разрешат все "старые " соединения, не новые. Для "разгрузки" маршрутизатора. add chain=input comment="accept WinBox port" dst-port=8291 protocol=tcp - открывает порт Winbox для удаленного администрирования микротика. add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1 - запрещает все, что не разрешено на микротик add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related - правило для включения функции FASTTRACK add chain=forward comment="defconf: accept established,related" connection-state=established,related разрешат все "старые " соединения идущие через роутер, т.е. из локальной сети в Интернет. add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid - отрабатывает все неизвестные пакеты идущие через роутер. add action=drop chain=forward comment= "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1 - защита от "пролома" NAT, рекомендуется использовать для повышения безопастности сети за микротиком.
