routeros 固定ip 設定wan to lan

/ip firewall nat
add action=dst-nat chain=dstnat  dst-address=\
    211.72.x.x dst-address-list="" in-interface=WAN1 to-addresses=192.168.11.103

指定目的是211.72.x.x 從 wan 1 介面進來對映到lan 的 192.168.11.103



add action=src-nat chain=srcnat src-address=\
    192.168.11.103 to-addresses=211.72.155.56

指定來自192.168.11.103 從 "不指定的" 介面進來對映到wan 的 211.72.x.x (會從路由表查詢，從wan  走)

這邊，如果指定 走 wan 介面 那麼 lan 的網段會繞到wan , 再到lan 相對比較慢 （目前設定起來是如此)


設定邏輯

wan to lan
lan to wan  各設定一條






add action=dst-nat chain=dstnat comment="open port 55555" dst-address-type=local dst-port=55555 \
    protocol=tcp to-addresses=192.168.11.250 to-ports=55555


預設的 wan  ip  對映進來的port 有一個是tcp 55555 將被導到  local 的192.168.11.250 的port 55555



==

而在 RouterOS 是以 ip firewall nat 設定. 在官方文件裡找到了二則有關 NAT 方面的資料.

How to link Public addresses to Local ones
Forwarding a port to an internal IP

上述都是以固定 IP 為例. 設置大致如下.

/ip firewall nat add chain=dstnat dst-address=69.69.69.69 protocol=tcp \
dst-port=80 action=dst-nat to-addresses=192.168.22.10 to-ports=80

但如果 WAN IP 是 dynamic IP 呢? 很簡單, 直接用 in-interface 來做就好

/ip firewall nat
add action=dst-nat chain=dstnat comment="http server" disabled=no \
dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.22.10 \
to-ports=80

2013/11/18更新
WAN 為 dynamic IP 的 port forwarding 也可以利用 dst-address-type=local 來達成, 此時就不需要指定 in-interface

/ip firewall nat
add action=dst-nat chain=dstnat comment="Synology DSM" dst-address-type=local \
dst-port=5000-5006 protocol=tcp to-addresses=192.168.22.10 to-ports=\
5000-5006