Russian Users MikroTik | Форум пользователей MikroTik

Приветствую, уважаемые знатоки!

Организован доступ пользователей к серверу по RDP по расписанию (сервер доступен для подключения с 7 до 19 часов ежедневно). Для этого создано NAT-правило, пробрасывающее нестандартный внешний порт роутера на стандартный 3389 сервера в локальной сети. Задано расписание на закладке Extra в свойствах NAT-правила.

При попытке пользователя подключиться вне заданного в правиле времени, новое соединение не устанавливается, однако, уже существующие RDP-сессии не завершаются.

Подскажите, как до-настроить firewall так, чтобы при окончании времени, заданного в расписании (например, как приведено выше, при наступлении 19:00), устанавливался и запрет на новые подключения и принудительно завершались все существующие?

Мне думается, нужно существующие сессии принудительно завершить. Я уж не знаю, скриптом соединения оборвите принудительно для этого порта как-то: Если мало, по тому же расписанию включайте запрещающее правило для подобных соединений.

запрещающим правилом пробовал, тот же эффект - новые подключения не создаются, но существующие поддерживаются и не дропаются... настройки в правиле в группе "Connection state" тоже ничего не дают...

конфиг фаервола покажите

запрещающее правило разместил выше всех прочих, если вы об этом.

Почему-то с помощью правил на закладке "Firewall" не получается отфильтровать пакеты, для их последующей блокировки, ориентируясь на исходный порт, на который обращаются пользователи. Т.е. в NAT описано перенаправление с нестандартного порта, допустим, 5589, на обычный RDP 3389 и механизм фильтрации не позволяет отобрать пакеты по "5589". Это получается сделать по "3389", но этот вариант не подходит, т.к. есть еще порт, для привилегированных пользователей, которые должны иметь круглосуточный доступ, а блокировка по "3389" запретит все соединения по RDP.

Очевидно, это связано с работой самого NAT, но как учесть в правилах этот момент разобраться не получилось...

В целом задача решилась с помощью скрипта, запускаемого по расписанию, в котором циклом перебираются соединения и закрываются те из них, "dst address" которых содержит подстроку "5589".....

в 90% первым правилом стоит пропускать все уже установленные соединения ( а если пользователь залогинен, то соединение есть ) , так что только рубить текущие сессии по крону, или отказываться от фасттрек .