В порядке,
вот сделка.
Допустим, мой общедоступный IP-адрес - 10.0.01. Я не могу подключиться к 10.0.01 через внешний IP-адрес и не могу подключиться по SSH к маршрутизатору mikrotik с внешнего IP-адреса.
Я могу это сделать, если я физически подключен к роутеру (в той же локальной сети). Это позволяет мне использовать как webfig, так и SSH, используя 10.0.0.1 или 192.168.88.1.
Однако, если я нахожусь в другой локальной сети, я не могу подключиться.
Кстати, я установил свой IP> Services> ports для webfig - 64291, а SSH - 23.
Вот мои правила брандмауэра и NAT.
ПРАВИЛА
0 ;;; ALLOW ALL TO LAN
chain=input action=accept connection-state=established,related,new in-interface=bridge-local log=no log-prefix=""
1 ;;; ALLOW ICMP (Ping) ON ALL
chain=input action=accept protocol=icmp log=no log-prefix=""
2 ;;; Drop Everything Else
chain=input action=drop log=no log-prefix=""
3 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""
4 ;;; default configuration
chain=forward action=accept connection-state=established,related,new in-interface=bridge-local log=no log-prefix=""
5 ;;; default configuration
chain=forward action=drop connection-state=invalid log=no log-prefix=""
6 ;;; default configuration
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway log=no log-prefix=""
NAT
0 ;;; default configuration
chain=srcnat action=masquerade to-addresses=X.X.X.X out-interface=ether1-gateway log=no log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=192.168.88.200 protocol=tcp dst-address=X.X.X.X dst-port=80 log=no log-prefix=""
2 chain=srcnat action=src-nat to-addresses=X.X.X.X protocol=tcp src-address=192.168.88.0/24 log=no log-prefix=""
3 chain=dstnat action=dst-nat to-addresses=192.168.88.200 to-ports=22 protocol=tcp dst-address=X.X.X.X dst-port=22 log=no log-prefix=""
4 chain=srcnat action=src-nat to-addresses=192.168.88.200 to-ports=22 protocol=tcp src-address=192.168.88.0/24 log=no log-prefix=""
5 chain=dstnat action=dst-nat to-addresses=192.168.88.1 protocol=tcp dst-address=X.X.X.X dst-port=23 log=no log-prefix=""
Отключите правило №2 + №3 и повторите попытку. Или вы можете сделать исключение для своих портов ssh + www
Вы все бросаете в трафик от ether1-шлюза.
Правила №2 + №3 практически одинаковы. Рекомендую удалить # 2
ОБНОВЛЕННЫЙ ОТВЕТ
Для создания безопасного маршрутизатора не рекомендуется менять порты, создавая ложное чувство безопасности. Однако это простая реализация.
Как защитить открытые / перенаправленные порты
/ip firewall filter add chain=input dst-port=22,80,443 in-interface=ether1-gateway protocol=tcp
/ip firewall filter add action=drop chain=input in-interface=ether1-gateway
PD: ether1-gateway - это WAN-порт, dst-port - это порты, которые вы хотите оставить открытыми. Переместите эти фильтры, заменив номер 2 на 3 на вашем Mikrotik, и сохраните этот порядок!
А затем защитите свои пароли + соединения и сделайте активный анализ-контроль ваших неудачных / грубых попыток соединения: