Сделан проброс портов RDP в адсл модеме (внешн ip:99..., лок IP: 192.168.0.1) на комп в лок сети.

Вопрос: когда из вне подрубаемся к лок компу по RPD на лок. комп идут пакеты с внешн ip или локального?
счас сам провенрить не могу - нужно на лок. компе правило создать чтоб только с опр. ip пускал, вот и вопрос какой указывать внешний или лок.?

локальный, ессесно

10х

Внешний будет светиться на локальном компе после проброски.

(0)Ну сам подумай логически. Нафига бы тогда нужны были пробросы всякие, если бы  пакеты шли напрямую с внешнего.
А поскольку комп у тебя в серой сети, за натом, то он физически не может видеть белый IP и принимать пакеты с него.
Поэтому на локальном компе создавай правило для IP железяки, которая пробрасывает порты.

(40 Не пишите чушь про физически не может видеть белый IP, вот вам статистика по соединениям на компе за маршрутизатором:
netstat -an
TCP    192.168.1.2:12619      95.27.223.68:27049     SYN_SENT
TCP    192.168.1.2:12621      82.36.216.166:11590    ESTABLISHED
TCP    192.168.1.2:12622      188.123.231.130:63768  SYN_SENT
TCP    192.168.1.2:12627      113.252.173.118:25712  ESTABLISHED
TCP    192.168.1.2:12628      121.14.156.162:11466   ESTABLISHED
TCP    192.168.1.2:12631      180.19.40.247:27706    ESTABLISHED
TCP    192.168.1.2:12633      192.168.0.100:10143    SYN_SENT
TCP    192.168.1.2:12635      58.242.2.20:12688      ESTABLISHED
TCP    192.168.1.2:12638      213.46.70.85:8408      ESTABLISHED
TCP    192.168.1.2:32459      31.162.231.173:55164   ESTABLISHED
TCP    192.168.1.2:32459      31.180.202.69:11947    ESTABLISHED
TCP    192.168.1.2:32459      46.252.127.71:2786     TIME_WAIT
TCP    192.168.1.2:32459      62.231.184.149:3021    TIME_WAIT

(0) жди теперь когда ломанут :))
надеюсь хоть с дефолтного на кривой порты поменял?