chas99 писал(а): ↑27 дек 2018, 10:43
Что-то я запутался, подскажите, плиз, а как из forward переделать в input ?
Не переделать, а оставить. Нет DST-NAT - пакет уйдёт в input.
chas99 писал(а): ↑27 дек 2018, 10:43
а можете поделиться как вы делаете проброс порта с блокировкой "левых" ?
Никак, у меня такой необходимости нет. Я лишь говорю, что добавить accept-правило в NAT для block_rdp - и из всех правил можно убрать этот параметр, что сделает конфиг чище. Чем меньше дополнительных параметров - тем сложнее запутаться в них
итого в NAT добавить эти правила, первое будет пакеты от "block_rdp" отправлять в input Filter Rules для дальнейшей блокировки, а второе будет заносить адреса в "block_rdp" тех кто будет подпадать под PSD
Ну, строго говоря, оно не будет отправлять, пакеты сами туда попадут, т.к. идут на адрес роутера - и их никто не перенаправляет.
Ну и я бы правила NAT добавил в обратном порядке, чтобы если второе правило "нашло" хулигана - первое бы тут же сработало на него, не дожидаясь следующего соединения.
Chupaka писал(а): ↑27 дек 2018, 13:28
Ну и я бы правила NAT добавил в обратном порядке, чтобы если второе правило "нашло" хулигана - первое бы тут же сработало на него, не дожидаясь следующего соединения.
я тут подумал
насчет порядка правил... если Accept будет вторым правилом (как предлагаете вы), и если хулиган будет сканировать, то первое правило всегда будет в работе и занимать ресурсы роутера (или не обращать на это внимание?)..
Если PSD будет занимать хоть сколь-нибудь значительное количество ресурсов - есть мнение, что тогда непосредственно само сканирование будет наименьшим из имеющихся зол