Неверный адрес клиента при пробросе портов

[introdark]

Доброго дня.
Просьба помочь в проблеме.
Есть терминальный сервер, который необходимо защитить от брутфорса.
Настроено правило NAT до сервера.
chain=dstnat action=netmap to-addresses=192.168.1.10 to-ports=3389
protocol=tcp dst-address=92.X.X.246 in-interface=eth1
dst-port=55555 log=yes log-prefix="RDP"

Настройки внешнего интерфейса
Address: 92.X.X.246/29
Network: 92.X.X.240
Interface: eth1

Проблема в том, что не определяется ip-адрес клиента, который пытается произвести подключение. Все подключения помечаются адресом шлюза.Пример лога:
10:17:44 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:12567->92.X.X.246:55555, len 52
10:17:48 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:37665->92.X.X.246:55555, len 52
10:18:25 firewall,info RDP dstnat: in:eth1 out:(unknown 0), src-mac dev_mac, proto TCP (SYN), 92.X.X.241:12708->92.X.X.246:55555, len 52

Соответственно фильтровать кто подключается и с каких адресов не представляется возможным.
Буду благодарен за любую информацию.

[Chupaka]

Доброго.

У вас есть правило Src-NAT (например, Masquerade всего и вся), которое вам и гадит. В srcnat должно быть что-то вроде такого:
"add chain=srcnat out-interface=eth1 action=masquerade" (т.е. указать WAN в out-interface и не добавлять ничего лишнего).

[introdark]

Да, есть такое правило, идет следом.
chain=srcnat action=masquerade out-interface=eth1 log=no

[Chupaka]

И других правил в src-nat нет?

192.168.1.10 же не на eth1 висит?

[introdark]

Другие записи src-nat отключены. На всякий случай я их удалил, но ничего не поменялось.

Обратил внимание, что если внешний порт сменить, то адрес клиента становится идентифицироваться (правильный). Но через какое-то время снова становится статичным. Может проблема со стороны провайдера?

[Chupaka]

Провайдер ни при чём к вашему роутеру. Покажите всё же

Код: Выделить всё

/ip firewall nat export

[introdark]

Код: Выделить всё

/ip firewall nat
add action=netmap chain=dstnat comment="RDP" dst-address=92.X.X.246 dst-port=55555 in-interface=eth1 log=yes log-prefix="RDP" protocol=tcp to-addresses=192.168.1.10 to-ports=3389
add action=masquerade chain=srcnat comment="NAT for LOCAL" log-prefix="NAT Local" out-interface=eth1

[Chupaka]

Аы-ы-ы... Прошу прощения, неправильно прочитал про адрес шлюза, подумал, что адрес ваш, а не провайдера... Да, раз провайдера - тогда виноват именно провайдер, они зачем-то натируют подключения по RDP.

[introdark]

Аы-ы-ы... Прошу прощения, неправильно прочитал про адрес шлюза, подумал, что адрес ваш, а не провайдера... Да, раз провайдера - тогда виноват именно провайдер, они зачем-то натируют подключения по RDP.

Попробую достучаться до оператора.

[introdark]

Проблема была на стороне провайдера.

Спасибо.

[norbertrus]

А в чем именно была проблема на стороне провайдера? не могу от своего добиться вразумительного ответа. Спасибо