Как правильно настроить firewall filter mikrotik для проброса порта?

Question

[serafims]

Вводные данные:
Микротик с белым адресом. За ним - FreePBX, слушает на порту 5060 UDP.
сделан NAT с dst-nat пакетов с WAN интерфейса на порты 5060, 10000-20000 udp на внутренний IP АТС.
также сделан Filter - DROP пакетов с WAN интерфейса, приходящих НЕ из пула адресов провайдера телефонии на вышеуказанные порты (чтобы не ломились подбирать пароли всякие жулики).

Задача - открыть порт, скажем, 9595, с пробросом его на порт 5060 АТС. Для ограниченного SIP клиента, который может подключаться с любого IP извне.

Что делаю - делаю dst-nat с указанием порта.
Но! такая схема не работает, пока не отключу DROP Filter.
То есть, как понимаю, пакет на порт 9595 приходит, DST-NATится в пакет с Dst Port 5060, идет в Filter Rules, и потом уже в АТС.
Но как сделать так, чтобы можно было не отключать DROP Filter?
Если пакет прошел NAT, как его отфильтровать? мол, если он шел на порт 5060, с доверенных адресов - пропускаем. Если шел на порт 5060 с иных адресов, дропаем. Если шел на порт 9595 - пропускаем с подменой порта на 5060...
Не могу уловить, какие характеристики пакета сохраняются при прохождении NAT...

Answer 1

[Дмитрий Александров]

Не колхозить, убрать правило дропа в тике. Настроить на астериске fail2ban и в немже фаирвол.

Answer 2

[Oopss]

Попробуй угадай, если ничего не видно, правила где? Может пакет приходит, но обратно не уходит?, у вас же dst только.