DST NAT. Mikrotik 750 RB. Не работает проброс портов.

[iskinn]

Уважаемые Техподдержка, прошу помочь в изучении причины неработающей трансляции.

Настроил трансляцию внешний ip 3389 на внутренний ip 3389.
Счетчик правила растет при попытке подсоединиться с wan интерфейса. При каждой попытке увеличивается на 2 пакета.
Вчера 4 часа просидел, пробовал различные варианты указания параметров правил. Добавил правила разрешающие все на вход и на выход. счетчики растут - а результата нет.

Есть опыт в настройке маршуртизаторов от малых домашних до Cisco и прочих Unix подобных. Не пойму в чем проблема.

 Вот конфигурация:

Код: Выделить всё

# jan/02/1970 00:31:14 by RouterOS 6.13
# software id = HWF4-SDYI
#
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=\
    ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=\
    ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=\
    ether5-slave-local
/ip neighbor discovery
set ether1-gateway discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
    mac-cookie-timeout=3d
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether2-master-local lease-time=\
    10m name=default
/ip address
add address=192.168.0.3/24 comment="default configuration" interface=\
    ether2-master-local network=192.168.0.0
add address=217.28.216.28/27 interface=ether1-gateway network=217.28.216.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
    ether1-gateway
/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=217.28.210.10
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration"
add chain=output
add chain=forward in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=related \
    in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=\
    established in-interface=ether1-gateway
add chain=forward dst-port=22 in-interface=ether1-gateway protocol=tcp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" disabled=yes \
    in-interface=ether1-gateway
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid disabled=yes
add chain=input dst-port=80 in-interface=ether1-gateway protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway
add action=dst-nat chain=dstnat dst-port=3389 in-interface=ether1-gateway \
    protocol=tcp to-addresses=192.168.0.145 to-port=3389
/ip route
add distance=1 gateway=217.28.216.1
/ip upnp
set allow-disable-external-interface=no
/system identity
set name=Lancelot-IT
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local

Спасибо за возможные ответы.
ТС предупреждаю за нарушение Пункта 3 Правил форума. Пока ласково...

[Pavst83]

У меня точно такая же ситуация, уже всю голову сломал, только проблема с ftp

[gmx]

Господа!

Вопрос про "проброс" портов возникает на форуме с завидным постоянством.
И хотелось бы подвести черту...


1. "Проброс" портов и порт-маппинг в микротике работает. И это аксиома!!! Он работает всегда, года с 1999, когда только ROS появилась.

2. В простейшем случае проброс RDP выглядит так:
chain=dstnat action=dst-nat to-addresses=192.168.77.188 to-ports=3389
protocol=tcp dst-port=3389

где 192.168.77.188 - адрес локального компа.

Именно эта строчка мне обеспечивает доступ,ну как минимум, к шести удаленным столам.
Больше я так не настраиваю. Более правильно настроить VPN и подключаться к ЛЮБОМУ компу в сети, а не к тому, к которому проброшен порт.

3. Проброс портов и порт-мапинг, который вы настраиваете на микротке, будет работать только в том случае, если именно микротик и есть шлюз на компьютерах.

4. Уже применительно к проблеме топикстартера:

у меня только один вопрос: зачем??? Зачем вам столько правил фаерволла, если вы их сами не создавали и затрудняетесь в понимании их назначения??? У вас мания преследования?

а) итак, все правила "в топку". Если уж они вам так важны, то временно выключите их.
б) поглядите у вас в настройках встречается сеть 192.168.0.0 и 192.168.1.0. Это так и должно быть??? Или вы что-то напутали? Уж в такие подробности вникать не стал.
На вскидку у вас настроен DHCP на сеть 192.168.1.0 со шлюзом 192.168.1.1, а IP у микротика 192.168.0.3. Так какой шлюз на клиентах сейчас стоит???


5. Иными словами, из всего вышесказанного: будьте внимательны!!!

[RomanovDF]

Подобная проблема

750GL v5.23

До этого всё работало, теперь нет. Хотя всё старое по прежнему работает.
Попытался отследить маршрут пакетов в недрах.
В мангле, прероутинге и инпуте пакеты появляются в форварде нет.
В фильтре появляются в инпуте, далее нигде нет.

Что это может быть?
Конфиг приложен.

13082014--1.7z

750GL

(3.91 КБ) 308 скачиваний

[RomanovDF]

И тишина.....

[podarok66]

Естественно тишина, постом выше изложены основы проброса портов и портмапинга на Микротике. Изложены человеком, работающим с данным оборудованием ни год и ни два. Вы хотите чтобы кто-то разбирался в Вашей путанице пулов и вланов, разрешений и запретов? Лучше Вы попробуйте последовать советам бывалого человека, там всего 5 пунктов.

[RomanovDF]

Естественно тишина, постом выше изложены основы проброса портов и портмапинга на Микротике. Изложены человеком, работающим с данным оборудованием ни год и ни два. Вы хотите чтобы кто-то разбирался в Вашей путанице пулов и вланов, разрешений и запретов? Лучше Вы попробуйте последовать советам бывалого человека, там всего 5 пунктов.

Если бы Вы удосужились посмотреть то заметили бы, что все правила фильтрации выключены.
Куча пулов и вланов то чем мешает?

И повторюсь, что есть несколько рабочих уже не первый день пробросов которые работают, а этот нет, хотя всё делалось как и прежде.

Если сложно читать тот конфиг, что я приложил, то могу запостить только интересующие.

[podarok66]

Конфиг читать муторно по той причине, что приходится анализировать каждое соединение в поисках ошибок. Тем более Вы не указали какой из пробросов не работает, и надо искать среди всех Ваших связок. Так же надо проверить и временно отключить фаервол и антивирус на машине, куда осуществляется проброс (ну я думаю, Вам это и так известно).
У меня был случай с удаленным доступом, когда два дня бились над открытием, а оказалось, что антивирус McAfee втихаря блокировал всё, что можно...

[RomanovDF]

Конфиг читать муторно по той причине, что приходится анализировать каждое соединение в поисках ошибок. Тем более Вы не указали какой из пробросов не работает, и надо искать среди всех Ваших связок. Так же надо проверить и временно отключить фаервол и антивирус на машине, куда осуществляется проброс (ну я думаю, Вам это и так известно).
У меня был случай с удаленным доступом, когда два дня бились над открытием, а оказалось, что антивирус McAfee втихаря блокировал всё, что можно...

 Конфиг

Код: Выделить всё

# aug/14/2014 10:21:05 by RouterOS 5.23
# software id = UZ50-DXUR
#
/interface ethernet
set 0 name=ether1-gateway speed=1Gbps
set 1 name=ether2-master-local speed=1Gbps
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local speed=1Gbps
/interface vlan
...
add comment=Avangard_autoservice_bol10 interface=ether2-master-local l2mtu=1594 name=vlan52 vlan-id=52
add comment="Concept Voyage STR18 4mb" interface=ether2-master-local l2mtu=1594 name=vlan45 vlan-id=45
...
/ip dhcp-server option

/ip hotspot user profile

/ip ipsec proposal

/ip pool
...
add name="Profit Concept STR18-204" ranges=10.79.5.180-10.79.5.190
add name=Avangard ranges=10.79.6.50-10.79.6.62
...
/ip dhcp-server
...
add add-arp=yes address-pool="Profit Concept STR18-204" disabled=no interface=vlan45 name="Concept Voyage STR18"
add add-arp=yes address-pool=Avangard disabled=no interface=vlan52 lease-time=1d name="Avangard BOL10"
/queue simple
...
add interface=vlan52 limit-at=6M/6M max-limit=6M/6M name="Avangard bol10" queue=ethernet-default/ethernet-default
add comment=4mb interface=vlan45 limit-at=10M/10M max-limit=10M/10M name="Koncept Vojage Str18" queue=ethernet-default/ethernet-default
...
/snmp community

/interface bridge settings

/interface ethernet switch vlan
add independent-learning=no ports=ether2-master-local switch=switch1 vlan-id=100

/ip address
add address=№№.№№.39.74/29 comment="UpLink GateWay" interface=ether1-gateway
add address=10.79.6.49/28 comment="Avangard bol10" interface=vlan52
add address=№№.№№.39.76/29 comment=OwnClouds interface=ether1-gateway
add address=10.79.5.177/28 comment="\C8\CF \C1\E0\F0\E3\E5\F1\FF\ED" interface=vlan45
add address=№№.№№.39.77/29 comment="IP Bargesjan" interface=ether1-gateway
add address=№№.№№.39.78/29 comment="IP Bargesjan" interface=ether1-gateway
...
/ip arp
add address=10.79.6.51 interface=vlan52 mac-address=00:12:12:07:1C:9C

/ip dhcp-client

/ip dhcp-server lease
add address=10.79.6.53 client-id=1:0:12:12:7:1c:9c mac-address=00:12:12:07:1C:9C server="Avangard BOL10"

/ip dhcp-server network
add address=10.79.5.176/28 comment="\C8\CF \C1\E0\F0\E3\E5\F1\FF\ED" dns-server=212.45.0.3,212.45.2.5,77.88.8.8 gateway=10.79.5.177 netmask=28
add address=10.79.6.48/28 comment=Avangard dns-server=212.45.0.3,212.45.2.5,77.88.8.8,77.88.8.1 gateway=10.79.6.49 netmask=28
...
/ip dns
set max-udp-packet-size=512 servers=212.45.0.3,212.45.2.5,77.88.8.8,77.88.8.1

/ip dns static
add address=192.168.88.1 disabled=yes name=router
add address=192.168.40.4 disabled=yes name=Unifi
add address=10.40.10.254 disabled=yes name=Mikrotik

/ip firewall address-list
add address=10.40.10.0/24 list=support
add address=10.79.1.0/25 list=support
add address=10.40.11.0/24 list=support
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
add address=224.0.0.0/4 comment="MC, Class D, IANA # Check if you need this subnet before enable it" list=bogons
add address=10.79.2.0/28 list=support
add address=10.79.6.48/28 list=support

/ip firewall filter
****Счётчики не нулевые!!!!
add action=log chain=input comment="Avangard CCTV" dst-address=№№.№№.39.74 dst-port=8080,34567,34599 in-interface=ether1-gateway port="" protocol=tcp
***
**** На счётчиках 0!!!
add action=log chain=forward comment="Avangard CCTV" dst-address=№№.№№.39.74 dst-port=8080,34567,34599 protocol=tcp
***
add action=reject chain=input comment="Block DNS outside" connection-state=new dst-port=53 in-interface=ether1-gateway protocol=udp
add chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input disabled=yes dst-port=8291 in-interface=ether1-gateway protocol=tcp
add chain=input comment="Accept to related connections" connection-state=related
add chain=input comment="Accept to established connections" connection-state=established
add chain=input disabled=yes protocol=ipsec-esp src-address=80.89.158.150
add chain=input comment="default configuration" dst-address=0.0.0.0 protocol=icmp src-address=0.0.0.0
add chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5 protocol=icmp
add chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp tcp-flags=syn
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=25,53,587 limit=30/1m,0 protocol=tcp
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,53,587 protocol=tcp src-address-list=spammers
add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=bogons
add action=drop chain=forward in-interface=vlan211 out-interface=vlan100
add action=drop chain=forward in-interface=vlan46 out-interface=vlan100
add action=drop chain=forward in-interface=vlan52 out-interface=vlan100
add action=drop chain=forward in-interface=vlan9 out-interface=vlan100
add action=drop chain=forward in-interface=vlan33 out-interface=vlan100
add action=drop chain=forward in-interface=vlan39 out-interface=vlan100
add action=drop chain=forward in-interface=vlan45 out-interface=vlan100
add action=drop chain=input connection-type="" dst-port=22 in-interface=ether1-gateway port=22 protocol=tcp src-address-list=203.66.143.197
add action=reject chain=input dst-port=22 in-interface=ether1-gateway protocol=tcp

/ip firewall mangle
****Счетчики не нулевые!!!
add chain=prerouting dst-address=№№.№№.39.74 dst-port=8080,34567,34599 in-interface=ether1-gateway protocol=tcp
add action=passthrough chain=input dst-address=№№.№№.39.74 dst-port=8080,34567,34599 protocol=tcp
***

****На счётчиках 0!!!
add action=passthrough chain=forward dst-address=№№.№№.39.74 dst-port=8080,34567,34599 protocol=tcp
***

/ip firewall nat
****не работает!
add action=dst-nat chain=dstnat comment=Avangard dst-address=№№.№№.39.74 dst-port=34567 in-interface=ether1-gateway packet-mark=bol10cctv protocol=tcp to-addresses=10.79.6.53 to-ports=34567
add action=dst-nat chain=dstnat comment=Avangard dst-address=№№.№№.39.74 dst-port=34567 in-interface=ether1-gateway packet-mark=bol10cctv protocol=udp to-addresses=10.79.6.53 to-ports=34567
add action=dst-nat chain=dstnat comment=Avangard dst-address=№№.№№.39.74 dst-port=34599 in-interface=ether1-gateway packet-mark=bol10cctv protocol=tcp to-addresses=10.79.6.53 to-ports=34599
add action=dst-nat chain=dstnat comment=Avangard dst-address=№№.№№.39.74 dst-port=34599 in-interface=ether1-gateway packet-mark=bol10cctv protocol=udp to-addresses=10.79.6.53 to-ports=34599
add action=dst-nat chain=dstnat comment=Avangard dst-address=№№.№№.39.74 dst-port=8080 in-interface=ether1-gateway packet-mark=bol10cctv protocol=tcp to-addresses=10.79.6.53 to-ports=80
****
**** Счётчики не нулевые
add action=src-nat chain=srcnat out-interface=ether1-gateway src-address=10.79.6.53 to-addresses=№№.№№.39.74 

**** РАБОТАЕТ!!!
add action=src-nat chain=srcnat comment=MAILNOD2.KRT protocol=tcp src-address=10.40.10.204 src-port=!80,50389 to-addresses=№№.№№.39.76
add action=dst-nat chain=dstnat dst-address=№№.№№.39.76 dst-port=!80,50389 protocol=tcp to-addresses=10.40.10.204
add action=dst-nat chain=dstnat comment="OwnClouds file.krt.ru" dst-address=№№.№№.39.76 to-addresses=10.40.10.224
add action=src-nat chain=srcnat src-address=10.40.10.224 to-addresses=№№.№№.39.76
add action=dst-nat chain=dstnat comment="Concept Voyage STR18#1" dst-address=№№.№№.39.77 to-addresses=10.79.5.178
add action=src-nat chain=srcnat src-address=10.79.5.178 to-addresses=№№.№№.39.77
add action=dst-nat chain=dstnat comment="Concept Voyage STR18#2" dst-address=№№.№№.39.78 to-addresses=10.79.5.179
add action=src-nat chain=srcnat src-address=10.79.5.179 to-addresses=№№.№№.39.78
add action=masquerade chain=srcnat comment="default NAT" out-interface=ether1-gateway to-addresses=0.0.0.0
****

/ip firewall service-port

/ip ipsec peer

/ip ipsec policy

/ip neighbor discovery
set ether1-gateway disabled=yes
set ether3-slave-local disabled=yes
set ether4-slave-local disabled=yes
set ether5-slave-local disabled=yes
set vlan100 disabled=yes
set vlan46 disabled=yes
set vlan211 disabled=yes
set vlan52 disabled=yes
set vlan9 disabled=yes
set vlan110 disabled=yes
set vlan1 disabled=yes
set vlan45 disabled=yes
set vlan212 disabled=yes
set vlan220 disabled=yes
set vlan55 disabled=yes
set vlan33 disabled=yes
set vlan39 disabled=yes
set vlan20 disabled=yes
/ip proxy

/ip route
add distance=1 gateway=№№.№№.39.73
add distance=10 dst-address=10.40.20.0/24 gateway=10.40.10.1
/ip service
set telnet disabled=yes
set www disabled=yes
set www-ssl disabled=no
/ip tftp
...
/ip traffic-flow target
...
/queue interface
set ether1-gateway queue=ethernet-default
set ether2-master-local queue=ethernet-default
set ether3-slave-local queue=ethernet-default
set ether4-slave-local queue=ethernet-default
set ether5-slave-local queue=ethernet-default
/radius
...
/snmp
...
/system clock
set time-zone-name=Europe/Moscow
/system clock manual
set dst-delta=+04:00 dst-end="jan/01/2020 00:00:00" time-zone=+04:00
/system identity
set name=MikroTik_750GL
/system ntp client
set enabled=yes mode=unicast primary-ntp=10.40.10.63 secondary-ntp=85.21.78.8
/system script
add name=cleaner policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api source="/ip firewall layer7-protocol remove [find comment=register] \n/ip firewall filter remove [find comment=register]"
/tool bandwidth-server
...
/tool mac-server

/tool mac-server mac-winbox

/tool sniffer

Код: Выделить всё

/ip firewall filter
****Счётчики не нулевые!!!!
add action=log chain=input comment="Avangard CCTV" dst-address=№№.№№.39.74 dst-port=8080,34567,34599 in-interface=ether1-gateway port="" protocol=tcp
***
**** На счётчиках 0!!!
add action=log chain=forward comment="Avangard CCTV" dst-address=№№.№№.39.74 dst-port=8080,34567,34599 protocol=tcp
***
...

/ip firewall mangle
****Счетчики не нулевые!!!
add chain=prerouting dst-address=№№.№№.39.74 dst-port=8080,34567,34599 in-interface=ether1-gateway protocol=tcp
add action=passthrough chain=input dst-address=№№.№№.39.74 dst-port=8080,34567,34599 protocol=tcp
***

****На счётчиках 0!!!
add action=passthrough chain=forward dst-address=№№.№№.39.74 dst-port=8080,34567,34599 protocol=tcp
***

/ip firewall nat
****не работает!
add action=dst-nat chain=dstnat comment=Avangard dst-address=№№.№№.39.74 dst-port=34567 in-interface=ether1-gateway packet-mark=bol10cctv protocol=tcp to-addresses=10.79.6.53 to-ports=34567
add action=dst-nat chain=dstnat comment=Avangard dst-address=№№.№№.39.74 dst-port=34567 in-interface=ether1-gateway packet-mark=bol10cctv protocol=udp to-addresses=10.79.6.53 to-ports=34567
add action=dst-nat chain=dstnat comment=Avangard dst-address=№№.№№.39.74 dst-port=34599 in-interface=ether1-gateway packet-mark=bol10cctv protocol=tcp to-addresses=10.79.6.53 to-ports=34599
add action=dst-nat chain=dstnat comment=Avangard dst-address=№№.№№.39.74 dst-port=34599 in-interface=ether1-gateway packet-mark=bol10cctv protocol=udp to-addresses=10.79.6.53 to-ports=34599
add action=dst-nat chain=dstnat comment=Avangard dst-address=№№.№№.39.74 dst-port=8080 in-interface=ether1-gateway packet-mark=bol10cctv protocol=tcp to-addresses=10.79.6.53 to-ports=80
****
**** Счётчики не нулевые
add action=src-nat chain=srcnat out-interface=ether1-gateway src-address=10.79.6.53 to-addresses=№№.№№.39.74 

**** РАБОТАЕТ!!!
add action=src-nat chain=srcnat comment=MAILNOD2.KRT protocol=tcp src-address=10.40.10.204 src-port=!80,50389 to-addresses=№№.№№.39.76
add action=dst-nat chain=dstnat dst-address=№№.№№.39.76 dst-port=!80,50389 protocol=tcp to-addresses=10.40.10.204
add action=dst-nat chain=dstnat comment="OwnClouds file.krt.ru" dst-address=№№.№№.39.76 to-addresses=10.40.10.224
add action=src-nat chain=srcnat src-address=10.40.10.224 to-addresses=№№.№№.39.76
add action=dst-nat chain=dstnat comment="Concept Voyage STR18#1" dst-address=№№.№№.39.77 to-addresses=10.79.5.178
add action=src-nat chain=srcnat src-address=10.79.5.178 to-addresses=№№.№№.39.77
add action=dst-nat chain=dstnat comment="Concept Voyage STR18#2" dst-address=№№.№№.39.78 to-addresses=10.79.5.179
add action=src-nat chain=srcnat src-address=10.79.5.179 to-addresses=№№.№№.39.78
add action=masquerade chain=srcnat comment="default NAT" out-interface=ether1-gateway to-addresses=0.0.0.0
****

Требуется пробросить порты 34567,34599 и 80 на внутренний IP 10.79.6.53 находящийся во влане 52. Это видеорегистратор.
Есть в этом влане 10.79.6.51 - местный роутер, который ходит через микротик наружу.

Пробовал пробрасывать с внешних ..39.74 и ..39.76, результат одинаковый.

..39.76 - используется для проброса web на один хост и проброса всего остального на другой хост в другом влане.

Есть рабочие пробросы с внешних ..39.77 и ..39.78 на внутренние.

В Mangle на prerouting и input на IP ..39.74 или ..39.76, на порты 8080,34567,34599 пакеты приходят и появляются на счётчиках. В ветках forward, output и postrouting пакеты не появляются.

В Filter на input пакеты приходят, на все остальные ветки нет.

До NAT, соответственно, вообще ничего не доходит.

Спасибо за внимание. Надеюсь так понятнее.

[RomanovDF]

Случилось странное.

Добавил несколько правил в фильтр для отслеживания. Убрал в записях NAT в действии порт(кроме web) и начало работать.....

Что это было я не понял.

Спасибо за внимание.