Опишу, как завернуть обращения из внутренней сети на внешний адрес с пробросом порта. Такая задача часто встречается, когда за NAT`ом находится, например, камера видеонаблюдения или почтовый сервер.
Нам понадобится создать два правила в IP — Firewall — NAT. В примере:
Внешний адрес Микротика — 1.2.3.4
Пробрасываемый порт — 10080 (не будем светить дефолтным портом в мир)
Внутренний адрес ресурса — 192.168.88.100
Целевой порт — 80
Создаем проброс порта с внешнего адреса.
Все пакеты, поступающие на 1.2.3.4:10080 перенаправляем на 192.168.88.100:80.
Не нужно указывать In.Interface, иначе следующее правило не сможет отработать. Заворачиваем трафик c внутренних ip, обращающихся на внешний адрес.
Суть в том, что в Dst.Address указывается внутренний ip ресурса (192.168.88.100) и целевой (80), а не пробрасываемый (10080) порт. С точки зрения клиента (приходящего в правило по цепочке srcnat) — он по-прежнему обращается на 1.2.3.4:10080, а Микротик предыдущим правилом резолвит адрес и порт в 192.168.88.100:80, поэтому именно они и отражены в фильтре; при таком запросе пакеты необходимо маскарадить, чтобы ответы пришли на корректный адрес.
