MikroTik.by

Приветствую!
Решил переписать конфиг, смотрю, в правилах NAT пол года назад сделал следующее:

add action=netmap chain=dstnat comment="comment" dst-port=XXXX in-interface=pppoe-out1 \
protocol=tcp src-address="ip" to-addresses="внутренний_ip" to-ports=XXXX

Почему я так сделал - не помню.
Короче я в NAT разместил Src.Address, т.о. получилось, что я прилепил фильтр.
По идее NAT для направления трафика, Filter Rules для фильтрации пакетов, а я сделал 2 в 1, это ведь не комильфо?

Для направления трафика IP Routes, NAT для трансляции адресов

Конкретно по этому правилу - оно будет перенаправлять внутрь только пакеты с указанного адреса, ничего плохого в этом не вижу. Главное - понимать, что творится на роутере

Как говориться: "Мухи отдельно, котлеты отдельно"
По идее в NAT должна быть такая запись: Т.е. любой, кто стучиться на внешний ip по порту ХХХХ попадает на внутренний ip c таким же портом
А вот в правилах фильтра идет уже отсекание "левых" ip, типа такого: Т.о. если мне нужно донастроить тик на еще какой-то адрес, то я тупо вписываю его в правилах фильтра.
p.s.: понятное дело, что надо отталкиваться от конкретной ситуации и правило NAT вида: имеет место быть, но не могу даже представить ситуацию, когда нужно "перенаправлять внутрь только пакеты с указанного адреса"
По мне, так если IP в белом списке, значит может делать что угодно =)

Пример. Есть два внешних клиента которых надо отправить на RDP внутри сети и одному из них разрешить всё (белый список ), а второй только RDP и больше ничего , задаем их src как один из дополнительных факторов риска. Вдруг он редиска и рассказал всем соседям как попасть на ваш RDP порт =) , а так знаем кому пальцы в дверь зажать если что вдруг

=)