mikrotik firewall nat src/dst l2/l3 mac/ip

mikrotik

1. Замена IP (SRC/DST)

Используется NAT (src-nat/dst-nat/masquerade) или mangle:

src-nat / masquerade → для подмены исходящего IP-адреса
dst-nat → для подмены назначения (редирект трафика)
mangle → для тонкой настройки (маркировка пакетов, изменение параметров)

Пример смены SRC IP:
/ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.1.100 out-interface=ether1

Пример смены DST IP:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.200 protocol=tcp dst-port=80

2. Замена MAC-адреса (SRC/DST)

Для этого используется Bridge Filter:
src-mac-address → подмена отправителя
dst-mac-address → подмена получателя

Пример смены SRC MAC:
/interface bridge filter add chain=forward action=set-src-mac-address new-src-mac-address=00:11:22:33:44:55

Пример смены DST MAC:
/interface bridge filter add chain=forward action=set-dst-mac-address new-dst-mac-address=66:77:88:99:AA:BB

Но важный момент:
MikroTik не предназначен для полного L2 NAT (подмены MAC + IP глобально), но в рамках моста (bridge) можно менять MAC.

1. Замена IP (SRC/DST)

Используется NAT (src-nat/dst-nat/masquerade) или mangle:

src-nat / masquerade → для подмены исходящего IP-адреса

dst-nat → для подмены назначения (редирект трафика)

mangle → для тонкой настройки (маркировка пакетов, изменение параметров)

Пример смены SRC IP:

/ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.1.100 out-interface=ether1

Пример смены DST IP:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.200 protocol=tcp dst-port=80

2. Замена MAC-адреса (SRC/DST)

Для этого используется Bridge Filter:

src-mac-address → подмена отправителя

dst-mac-address → подмена получателя

Пример смены SRC MAC:

/interface bridge filter add chain=forward action=set-src-mac-address new-src-mac-address=00:11:22:33:44:55

Пример смены DST MAC:

/interface bridge filter add chain=forward action=set-dst-mac-address new-dst-mac-address=66:77:88:99:AA:BB

Но важный момент:

MikroTik не предназначен для полного L2 NAT (подмены MAC + IP глобально), но в рамках моста (bridge) можно менять MAC.

linux

Подмена исходящего IP (SRC IP):
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.100

Это заменит исходящий IP на 192.168.1.100 для пакетов, выходящих через eth0.
Если у тебя динамический IP, лучше использовать MASQUERADE:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Подмена назначения (DST IP):
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.200


Замена MAC-адресов (SRC/DST):
Подмена MAC-адреса источника (SRC MAC):
ebtables -t nat -A POSTROUTING -o eth0 -j snat --to-src 00:11:22:33:44:55

Подмена MAC-адреса назначения (DST MAC):
ebtables -t nat -A PREROUTING -i eth0 -j dnat --to-dst 66:77:88:99:AA:BB

Подмена исходящего IP (SRC IP):

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.100

Это заменит исходящий IP на 192.168.1.100 для пакетов, выходящих через eth0.

Если у тебя динамический IP, лучше использовать MASQUERADE:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Подмена назначения (DST IP):

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.200

Замена MAC-адресов (SRC/DST):

Подмена MAC-адреса источника (SRC MAC):

ebtables -t nat -A POSTROUTING -o eth0 -j snat --to-src 00:11:22:33:44:55

Подмена MAC-адреса назначения (DST MAC):

ebtables -t nat -A PREROUTING -i eth0 -j dnat --to-dst 66:77:88:99:AA:BB