Понимаю что тема стара как мир, но все же.
Имеем следующее сервер в локальной сети ftp + mail, котрый должен стоять за mrb 433gl, соответственно надо пробросить порты с "внешнего" интерфейса eth0 на внутренний адрес сервера 192.168.111.11.
для простоты восприятия реши начать с фтп. Там всего два порта 20 и 21.
Для этого почитав гугл до страницы наверно 30+ какой то содрал правила
Код: Выделить всё
add action=dst-nat chain=dstnat disabled=no dst-address=213.234.11.170 \
dst-port=20 protocol=tcp to-addresses=192.168.111.11 to-ports=20
add action=dst-nat chain=dstnat disabled=no dst-address=213.234.11.170 \
dst-port=21 protocol=tcp to-addresses=192.168.111.11 to-ports=21
ни чего не вышло естественно. После, подумав еще маленько, решил добавить правила разрешающие явно прохождение трафика в локальную сеть и из нее
Код: Выделить всё
add action=accept chain=forward disabled=no \
dst-address=192.168.111.0/24
add action=accept chain=forward disabled=no \
src-address=192.168.111.0/24
но опять глухо.
но при попытки соединения с фтп один пакет таки приходит на правило проброса 21 порта. но на этом все заканчивается.
так что же я все таки делаю не правильно? в какую сторону копать. вики на http://mikrotik.com читал много прояснилось но не в этом вопросе.