Андрей

может так?

SELECT SUM(1) FROM (
SELECT COUNT(*)/2 FROM `work` WHERE `date_in` BETWEEN (SELECT UNIX_TIMESTAMP(NOW())+ 10740 SECOND) AND (SELECT UNIX_TIMESTAMP(NOW())+ 10800 SECOND) AND `kod`=0 
 UNION
(SELECT COUNT(*) FROM `work` WHERE `date_in` BETWEEN (SELECT UNIX_TIMESTAMP(NOW())+ 10740 SECOND) AND (SELECT UNIX_TIMESTAMP(NOW())+ 10800 SECOND)) AND `kod`>1 ))

ну во первых, нет cмысла разрешать формаврд трафик в фильтре, который у вас проходит через NAT, так как он у вас явно не запрещён в фильтре.
ipsec-esp и ipsec-ah будет ходить когда будут работать ipsec.
Явно проблема не в микротик а в настройках оборудования находящийся на NAT.
и netmap используется не для проброса портов

Например, сперва пускаем всех разрешенных

/ip firewall filter add chain=input src-mac-address=ff:ff:ff:ff:ff:f1,ff:ff:ff:ff:ff:f2 action=accept

Остальным запрещаем всё
/ip firewall filter add chain=input action-drop

Осторожно, не запретите себе доступ к Микротику! Делайте всё в SafeMode!

)))
у MikroTik есть встроенная опция называется PSD - port scanned detected
wiki.mikrotik.com/wiki/Drop_port_scanners

Можете купить ей термокожух с подогревом. Но правильнее будет заказать из китая камеру чем что-то городить.

Я купил летнюю резину. Что можно придумать, не покупая зимнюю, чтобы не разбить машину?

Сначала администратором сайта создается ключевая пара : секретный закрытый ключ (которым сервер будет "подписывать" отправляемые в интернет страницы) и общедоступный открытый ключ (которым будут пользоваться все для проверки этих страниц). (На самом деле чуть сложнее). Вторым действие администратор сайта отправляет открытый ключ в один из удостоверяющих центров, те (разными способами) проводят проверки того факта, что отправитель действительно является администратором того домена, на который он хочет выпустить сертификат и если все ОК, то выпускают сертификат (сертификат - это открытый ключ сайта, подписанный электронной подписью УЦ).

Теперь по Вашим вопросам:
Можно ли вытащить сертификат с чужого сайта и поставить его себе на сайт?
Сертификат и так общедоступен. Вашей целью на самом деле является "вытащить закрытый ключ", чтобы Ваш сайт мог подписывать запросы от имени того сайта. Если администратор в ладах с головой, то доступ к закрытому ключу Вы не получите.

Однако ! Если Вы имеете возможность добавлять сертификаты в список доверенных на машине клиента, то ничего Вам не мешает добавить туда собственный корневой самоподписанный сертификат, а затем выпустить свой на имя того домена, который хотите перехватить. Например, можно почитать как это делает squid - ключевое слово для поиска "ssl bump".

Чего именно выдается сертификат ? домену или ип адрессу ? или там вообще по другому все ?
Домену + (более дорогие) огранизации, подтверждая дополнительно тот факт, что организация владеет этим доменом.

Я с любыми веб-панелями (включая Ajenti) работаю так:

1. Сразу после установки закрываю доступ со всех адресов, кроме 127.0.0.1.
   
2. Проверяю вывод netstat -ta, чтобы убедиться, что соответствующий порт слушается не под звездочкой, а под 127.0.0.1. По-другому можно попробовать подключаться из браузера и убедиться, что все действительно закрыто.
   
3. В конфиг SSH на локальной машине прописываю DynamicForward 127.0.0.1:1666, чтобы получить на порту 1666 (локально) SOCKS5 туннель, пробрасываемый до сервера при подключении.
   
4. В FoxyProxy создаю правило: для подключений к ajenti.example.com использовать SOCKS5 на 127.0.0.1:1666.
   
5. Подключаюсь по SSH (авторизация по ключу, недефолтовый порт, ну и не root, конечно же) и захожу в браузере на https: //ajenti.example.com:4666/ как к себе домой!
   
6. В итоге: со стороны сервера наружу открыт только SSH на недефолтовом порту (необходимый минимум для удаленного администрирования, не более того), и никаких следов веб-панелей.
   

Пример (соответствующий фрагмент) конфига Ajenti:

"bind": {
        "host": "127.0.0.1", 
        "port": 4666
    },

P.S.: Все номера портов и доменные имена вымышленные, любые совпадения - чистая случайность.