Aber das verwirrt mich, kann der Administrator trotzdem auf das Büro zugreifen?
Hängt von anderen Regeln in der Kette ab. Mit nur dieser Regel nein.
Nehmen wir an, der Admin stellt die Verbindung zum Büro her, aber das Büro kann nicht zurück antworten. Technisch kann der Admin auch nicht mit dem Büro sprechen.
Sie müssen also nur Antworten in diese Richtung zulassen . Dafür gibt es zwei Möglichkeiten ... Es ist am einfachsten, die RouterOS Stateful Firewall zu verwenden, die verfolgt, welche Pakete zu welchen Verbindungen gehören. Fügen Sie eine Forward-Regel hinzu, die Pakete nach ihrem Status zulässt :
connection-state=established,related action=accept
Denken Sie daran, dass die Firewall-Regeln von oben nach unten verarbeitet werden. Sie müssen daher auf die Reihenfolge achten, in der sie platziert werden. Die spezifischen Annahmeregeln funktionieren nur, wenn sie vor der Regel für generelle Ablehnung stehen.