[leonty]

rdr on $ext_if_cheap proto tcp from any to $ext_if_cheap port 3389 -> $Ruslan port $ports_rdp

Стоит заметить, что когда правила перенаправления проверяются клиентом из LAN сети, это не работает. Причина в том, что правила перенаправления применяются только для пакетов, которые проходят через указанный интерфейс($ext_if_cheap, в данном случае). Соединение на внешний адрес брандмауэра от хоста в локальной сети не означает, что пакет пойдёт через внешний интерфейс. TCP/IP стэк на брандмауэре сравнивает адрес назначения входящих пакетов со своими собственными адресами и алиасами и определяет подключение к самому себе, после того, как пакеты прошли внутренний интерфейс. Такие пакеты физически не проходят через внешний интерфейс, и стэк не симулирует такой проход. Таким образом, PF никогда не видит эти пакеты на внешнем интерфейсе, и правило перенаправления указанное на внешнем интерфейсе не применяется.