моложе 50к в делимобиле не видел

я чтот вообще не понимаю, все же по солярисам плюются по вариаторам и т д

Друзья подскажите

add action=accept chain=input comment="Allow established & related connections" connection-state=established,related,untracked
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow ping" protocol=icmp
add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp
add action=accept chain=input comment="Allow DNS" dst-port=53 in-interface-list=!ISP protocol=udp
add action=drop chain=input comment="Drop other connections"
add action=accept chain=forward comment="Allow established & related forward connections" connection-state=established,related
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop All connections except NAT to WAN interface" connection-nat-state=!dstnat in-interface-list=ISP

хочу разрешить доступ к 8291 для локальной сети и внешнего IP

я создаю белый список и добавляю туда подсеть и нужный ip с которого буду заходить?

Насколько я помню есть возможность прямо на вкладке самого сервиса winbox задать подсети что необходимы

Да. Но я думал через файрвол настроить

Как правильнее будет ?

ip/services

так удобнее и правильне)

Чисто теоретически правильнее не нагромождаьь цепочку файервола доп правилом,

Принято

Спасибо

А вот если вы захотите port knoking потом прикрутить вот тогда и правила понадобятся!)

Есть смысл port knoking и вайт лист

???

А там как раз адрес листами и будете оперировать

Прост обычно это делается при отсутствии белого листа

Если без белых списков порт светит то да