Я хочу ограничить порты TCP / UDP, которые можно использовать для маскировки NAT на моем маршрутизаторе Mikrotik. Например, я хочу использовать только диапазон портов TCP 40000-65535 и диапазон портов UDP 20000-65535 для маскарада. Остальные порты будут использоваться для DNAT из WAN.
В общем у меня 2 вопроса:
Вы можете создать 2 дополнительных правила NAT для TCP / UDP. Установите первый для соответствия TCP-пакетам, выходящим в WAN, и установите действие на src-nat; Затем укажите правильный публичный адрес и диапазон портов. Сделайте то же самое для UDP, затем используйте стандартное правило маскарада, чтобы поймать что-нибудь еще.
Он не будет использовать открытые порты для NAT, и, хотя я не знаю точного диапазона портов, который он использует, он определенно не будет использовать низкие номера портов, такие как 22/23. Не уверен, что он достаточно умен, чтобы автоматически избегать портов, которые у вас есть dst-nat правила, установленные для.