RouterOS(RB750Gr3)， LAN 内 PC_A，直接访问 WAN IP 捆绑的动态域名:port(此 port 映射到 LAN 内 PC_B 的 SSH)，连接失败，是什么原因呢？

用了好多年的 mikrotik RB450 前几天坏了，昨晚刚到手 RB750Gr3 ，反正不知道为啥，旧有的配置不能直使用，家里急着要上网，于是硬着头皮开了个简单，pppoe 能连上网先，

现在笔记本在家里 LAN 内，SSH 去连接"动态域名:映射出来的端口"，连不上映射的那台 LAN 内桌面电脑的 SSH 了，以前 RB450 是可以，但真想不起来是防火墙规则，还是什么功能没打开？

RB750Gr3 防火墙目前只有简单的 6 条：

1 、add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

2 、add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

3 、add action=drop chain=forward comment="defconf: drop invalid forward" connection-state=invalid log-prefix="defconf: drop invalid forward"

4 、add action=accept chain=input comment="\D4\CA\D0\EDWAN SSH" dst-port=44013 in-interface-list=WAN protocol=tcp

5 、add action=drop chain=input comment="\B2\BB\D4\CA\D0\EDWAN PING" in-interface-list=WAN protocol=icmp

6 、add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

1,2 是网上抄的例子，大概就是让确立关系的链接流量流转了
3 似乎是一个防御规则，抄别人例子的
4 是允许公网访问 RB750Gr3 的 31111 了，已经在公司试过，没问题
5 是不让 ping WAN 口
6 防御规则，也是抄的

NAT 规则有其中这条：
add action=dst-nat chain=dstnat comment=LinServerSSH dst-port=44013 protocol=tcp to-addresses=192.168.123.28 to-ports=22

故障：
如我动态域名是 ddns.ddns.net,我在公司访问 ddns.ddns.net:44013 ，可以连上的，
但在家里(LAN 内）去访问 ddns.ddns.com：44013 就不行了，
必须得用 192.168.123.28:22
这样就很麻烦了，很多预备的程序，都是预设以动态域名为指向，
不知道 RB750Gr3 是规则写得不好，还是什么原因呢？？