Правило PF
 

Помогите сложить правильно правило в pf.conf чтобы пробросить на порт 3389 подлючение из вне.
Есть переменные:
ext_if_cheap-WAN
Ruslan="192.168.0.201"
ports_rdp="3389"

Я примерно так писал но это не правильно:
pass in log on $ext_if_cheap proto tcp to $Ruslan ports to $ports_rdp

rdr on $ext_if_cheap proto tcp from any to $ext_if_cheap port 3389 -> $Ruslan port $ports_rdp

Стоит заметить, что когда правила перенаправления проверяются клиентом из LAN сети, это не работает. Причина в том, что правила перенаправления применяются только для пакетов, которые проходят через указанный интерфейс($ext_if_cheap, в данном случае). Соединение на внешний адрес брандмауэра от хоста в локальной сети не означает, что пакет пойдёт через внешний интерфейс. TCP/IP стэк на брандмауэре сравнивает адрес назначения входящих пакетов со своими собственными адресами и алиасами и определяет подключение к самому себе, после того, как пакеты прошли внутренний интерфейс. Такие пакеты физически не проходят через внешний интерфейс, и стэк не симулирует такой проход. Таким образом, PF никогда не видит эти пакеты на внешнем интерфейсе, и правило перенаправления указанное на внешнем интерфейсе не применяется.