mikrotik / NAT / masquerade / src-nat / dst-nat /dhcp / dns / dhcp / bridge / interface list

Пример конфига:

/interface bridge
add name=bridge1
/disk
set sata1 type=hardware
/interface list
add name=wan
add name=lan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=10.55.55.1-10.55.55.253
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1 name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
/interface list member
add interface=ether1 list=wan
add interface=bridge1 list=lan
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=10.55.55.254/24 interface=bridge1 network=10.55.55.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=10.55.55.0/24 dns-server=10.55.55.254 gateway=10.55.55.254
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=passthrough chain=forward
add action=passthrough chain=input
add action=passthrough chain=output
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface-list=wan
add action=src-nat chain=srcnat out-interface-list=wan to-addresses=192.168.55.57
add action=dst-nat chain=dstnat dst-port=555 in-interface-list=wan protocol=tcp to-addresses=10.55.55.253 to-ports=22
/system note
set show-at-login=no

/interface bridge

add name=bridge1

/disk

set sata1 type=hardware

/interface list

add name=wan

add name=lan

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

/ip pool

add name=dhcp_pool0 ranges=10.55.55.1-10.55.55.253

/ip dhcp-server

add address-pool=dhcp_pool0 interface=bridge1 name=dhcp1

/port

set 0 name=serial0

/interface bridge port

add bridge=bridge1 interface=ether2

add bridge=bridge1 interface=ether3

add bridge=bridge1 interface=ether4

add bridge=bridge1 interface=ether5

add bridge=bridge1 interface=ether6

/interface list member

add interface=ether1 list=wan

add interface=bridge1 list=lan

/interface ovpn-server server

set auth=sha1,md5

/ip address

add address=10.55.55.254/24 interface=bridge1 network=10.55.55.0

/ip dhcp-client

add interface=ether1

/ip dhcp-server network

add address=10.55.55.0/24 dns-server=10.55.55.254 gateway=10.55.55.254

/ip dns

set allow-remote-requests=yes servers=8.8.8.8

/ip firewall filter

add action=passthrough chain=forward

add action=passthrough chain=input

add action=passthrough chain=output

/ip firewall nat

add action=masquerade chain=srcnat disabled=yes out-interface-list=wan

add action=src-nat chain=srcnat out-interface-list=wan to-addresses=192.168.55.57

add action=dst-nat chain=dstnat dst-port=555 in-interface-list=wan protocol=tcp to-addresses=10.55.55.253 to-ports=22

/system note

set show-at-login=no

Добавление листов:

/interface list
add name=wan
add name=lan

/interface list member
add interface=ether1 list=wan
add interface=bridge1 list=lan

/interface list

add name=wan

add name=lan

/interface list member

add interface=ether1 list=wan

add interface=bridge1 list=lan

Примеры NAT masquerade:

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=wan
add action=src-nat chain=srcnat out-interface-list=wan to-addresses=192.168.55.57
add action=dst-nat chain=dstnat dst-port=555 in-interface-list=wan protocol=tcp to-addresses=10.55.55.253 to-ports=22

/ip firewall nat

add action=masquerade chain=srcnat out-interface-list=wan

add action=src-nat chain=srcnat out-interface-list=wan to-addresses=192.168.55.57

add action=dst-nat chain=dstnat dst-port=555 in-interface-list=wan protocol=tcp to-addresses=10.55.55.253 to-ports=22

Примеры NAT src-nat вместо masquerade:

!!! Резонный вопрос зачем?
!!! Что бы уменьшить нагрузку на устройство, так как masquerade прожорливый.

/ip firewall nat
add action=src-nat chain=srcnat out-interface-list=wan to-addresses=192.168.55.57

где 192.168.55.57 - это наш внешний ip полученный от провайдера
out-interface-list=wan - интерфейс смотрит в интернет

!!! Резонный вопрос зачем?

!!! Что бы уменьшить нагрузку на устройство, так как masquerade прожорливый.

/ip firewall nat

add action=src-nat chain=srcnat out-interface-list=wan to-addresses=192.168.55.57

где 192.168.55.57 - это наш внешний ip полученный от провайдера

out-interface-list=wan - интерфейс смотрит в интернет

Примеры NAT проброс порта / dstnat:

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=555 in-interface-list=wan protocol=tcp to-addresses=10.55.55.253 to-ports=22

dst-port=555 - на этот порт ожидаем подключение
in-interface-list=wan - на этом интерфейсе из списка wan
to-addresses=10.55.55.253 - перебросим подключение на этот ip
to-ports=22 - перебросим на порт SSH

/ip firewall nat

add action=dst-nat chain=dstnat dst-port=555 in-interface-list=wan protocol=tcp to-addresses=10.55.55.253 to-ports=22

dst-port=555 - на этот порт ожидаем подключение

in-interface-list=wan - на этом интерфейсе из списка wan

to-addresses=10.55.55.253 - перебросим подключение на этот ip

to-ports=22 - перебросим на порт SSH