Firewall правило в Mikrotik, блокировка/разрешение UDP порта?

Question

[Jokerdxf]

Здравствуйте, вчера попал в руки Mikrotik Hex S, до этого момента не разу не работал с этой железкой, слышал многое о нем конечно.) Суть вопроса:

Требуется дропать входящий и исходящий трафик UDP у примеру по порту 3399. То есть имеется устройство которое связывается с другими в сети по 3399 UDP порту, но мне необходимо чтобы оно видело только один адрес из внешней сети. Я делал на Zyxel как то такое:

В файраоле настраивал 4 правила :

1. Accept - Source Ip (белый удаленный айпи)
2. Accept - Dst. Ip (белый удаленный айпи)
3. Deny - Src. port : UDP (3399)
4. Deny - Dst. Port : UDP (3399)

На Зикселе по такому правилу, устройство на том конце и локальное устройства , могли видеть и подключаться друг к другу. Но на микротик, устройства не соединяются друг с другом.

Может как то правила иначе прописаны?
Вот скриншот, на Keneetix KN1010 по такому принципу все работало, на Микротик не хочет)

Comments

[Дмитрий]

Покажите текущие правила фаервола в микротике

[Jokerdxf]

Дмитрий, скрин с микротика, просто порт другой и айпи естественно, а так идентичный скрин

[Дмитрий]

Jokerdxf, тогда ещё покажите схему сети

Answer 1

[Алексей]

Пытаюсь изложить, как я это понял:
1. некое устройство снаружи пытается достучаться до какого-то устройства внутри сети за микротиком;
2. требуется предоставить доступ к этому устройству с внешнего устройства с белым IP?
3. требуется ограничить доступ внутреннего устройства к некоему внешнему по его белому IP?
Как и обычно, пункт 1 решается правилом DSTNAT в цепочке NAT. Пункт 2 решается в цепочке forward, где указать кому куда. Пункт 3 аналогично пункту 2.