Доброго времени суток.

Имеем роутер D-Link DIR-100.
Задача 1.
Надо открыть удаленный доступ по RDP (WAN->LAN).
Порт 3389 пробросил через NAT, с этим проблем нет, все работает.

Задача 2.
Теперь надо запретить из локальной сетки все исходящие подключения.
Что сделано:
В фаервол добавлено правило что с интерфейса LAN на WAN запретить все по всем протоколам.

Ну сообственно в этом то и проблема: когда подключаются по RDP - входящее то подключение роутер пропускает (п.1), но ответ от сервера обратно клиенту уже нет (поскольку п.2). И как прописать не знаю: ответ то клиенту идет не на какой-то определенный порт, а я так понимаю на рандомный.

Кто знает, возможно ли на этом роутере настроить вышерассказанное, т.е. проброс порта, и правило что-ли, такое что если отвечает сервис по входящему запросу с порта 3389, то тогда разрешить исходящее (ответное) соединение на любой порт, иначе, точно также - блокировать все исходящие с LAN на WAN.


З.Ы. Советы по любому другому роутеру или межсетевому экрану, в котором это гарантировано возможно - тоже принимаются. Единственный нюанс, нужен не просто глупый NAT, а с возможностью форвардинга порта, т.е. возможностью указать что входящее соединение например по входящему порту 10 пробросить в локальную сеть на порт 3389.

Ivan_PisarevskyПо сабжу, надо просто разрешить прохождение истеблишет/релэйтед трафика в любых направлениях.

Тогда похоже на этом роутере это невозможно. На скрине - все что мне доступно при формировании правил. Какое-то условие на тип трафика наложить возможности нет.