Легким движением золотой, но кривоватой руки, я в пятницу потерял всю конфигурацию нашего офисного роутера. Не то чтобы там было что-то очень сложное настроено, скорее наоборот, но по итогу этого приключения моя сайт пролежал все выходные. Хотя не только поэтому. Он еще лежал, потому что сервак был выключен. Но сейчас разговор не об этом.

Эта заметка будет просто памяткой на тему "как пробрасывать порты в микротике"

Для начала, все физические порты выкидываем из бриджа и ставим их слейвами ко второму ethernet. Подозревается, что первый порт — это наш WAN. (На самом деле это не обязательно)

Дальше пляшем от того, что eth1 — WAN, eth2 — внутренняя сеть.

Обычный проброс порта делается в два шага.

сначала в firewall->NAT заводим правило, а потом идем в Firewall->Rules  и там делаем, как на картинке ниже:

Действие выбираем "Accept" — оно там по дефолту.

Теперь снаружи мы уже доступны. Но бывает нужно, достучаться до сервера и изнутри. И тут приходится добавить еще пару правил. Вот таких:

Похожее на первоначальное правило. Только указываем, что источником служит наша внутренняя сеть, а адрес назначения — наш внешний IP.

Оборачиваем все это в NAT

И вторая часть — подделываем ответ сервера.

Здесь указываем адрес нашего default gateway.

P.S. По прошествии лет, не уверен, что эту заметку стоит воспринимать всерьез, как мануал по настройке файрволла на микротике.