Russian Users MikroTik | Форум пользователей MikroTik

Привет всем!
Схема
r1---mikrotik-vlan112-R2

Нат правило на микротике
[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=same to-addresses=x.x.x.x/20 same-not-by-dst=yes src-address=10.0.0.0/8 out-interface=112 log=no log-prefix=""

На r2 на интерфейсе vlan112 имеется следующая картина:
021259: Aug 5 13:41:44: %SEC-6-IPACCESSLOGP: list TERT denied tcp 10.200.235.140(0) -> 59.88.221.44(0), 1 packet
021260: Aug 5 13:41:45: %SEC-6-IPACCESSLOGP: list TERT denied tcp 10.130.64.165(0) -> 95.213.3.253(0), 1 packet
021261: Aug 5 13:41:46: %SEC-6-IPACCESSLOGP: list TERT denied tcp 10.200.238.194(0) -> 217.69.129.182(0), 1 packet
021262: Aug 5 13:41:47: %SEC-6-IPACCESSLOGP: list TERT denied tcp 10.130.139.160(0) -> 107.23.140.195(0), 1 packet
021263: Aug 5 13:41:48: %SEC-6-IPACCESSLOGP: list TERT denied tcp 10.200.244.125(0) -> 217.20.156.159(0), 1 packet
021264: Aug 5 13:41:49: %SEC-6-IPACCESSLOGP: list TERT denied tcp 10.130.65.152(0) -> 87.240.136.48(0), 1 packet
021265: Aug 5 13:41:50: %SEC-6-IPACCESSLOGP: list TERT denied tcp 10.130.65.84(0) -> 95.213.9.219(0), 1 packet

Часть серых сетей не натится. Помогите разобраться.

А зачем вы same применяете?

...
Затем, что так сказали нат настраивать. Пулл серых адресов должен натится в пул белых.
1. По началу были проблемы, что на новую сессию выдавался новый белый адрес, но это проправил включив опцию not-by-dst.
2. Была проблемма с трафиком, который генерируется из интернета к белым адресам (скан белых адресов из интернета), поправил занулив белые сети.
3. Вопрос, который я выше описывал решается добавление правила фаера на state=invalid action=drop