Ono hlavně netmap byl kdysi způsob, jak bezestavově měnit IP v paketech ... pochybuji, že tohle mikrotik používá, jelikož to z jádra už dávno zmizelo. Bude to tedy netfilter target, což je jen zjednodušení zápisu srcnat (a dstnat). Má ovšem podmínku, že musí souhlasit počty IP na zdrojové i cílové straně. Tedy zjednodušeně mám-li na LAN 192.168.2.0/24, musím mít na WAN blok veřejných adres taktéž /24. Pak to bude fungovat nejspíš tak, jak člověk čeká.
Pokud to nesedí, je asi čitelnější si to napsat prostě ručně pomocí srcnat. Nejdřív vnitřní IP, které mají výjimku a tedy vlastní veřejnou a jako poslední pravidlo (jak jsem zmiňoval) univerzální, co udělá NAT na všechno. Pak se nemůže stát, že bude nějaká IP nepřeložená (alespoň ne kvůli chybě v konfiguraci).
Tím se dokonce zabezpečí zaNATování toho vlastního routeru ... když se chce.
srcnatu se netřeba bát ... můžu překládat kolik chci vnitřních adres na jednu vnější (možná dokonce i více vnějších, ale to nepoužívám tak nevím jak to přesně funguje). dstnat umí v podstatě totéž, ale logicky obráceně a většinou je to 1 (jiný vztah je sice možný, ale nejspíš vcelku zbytečný).
