Используйте мост MikroTik в качестве общедоступного брандмауэра IP для общедоступных размещенных серверов
Я согласен с @Matt в том, что мостовое соединение было глупой идеей и что мы должны были выполнить маршрутизацию с самого начала. Вся причина, по которой мы установили мост, заключалась в том, что нашим пограничным маршрутизатором был устаревший Cisco VXR 7206 с двумя интерфейсами: WAN (ATM) и LAN (используемый для общедоступного). Мы хотели сделать брандмауэр общедоступным без повторного создания подсети в нашей сети. Кроме того, хотя предложение @Dj_Kukky об использовании DST-NAT является правдоподобным, это привело бы к гораздо большему количеству настроек, а также мы не можем (или не будем) предоставлять нашим клиентам частные IP-адреса, поскольку мы являемся публичным интернет-провайдером.
Мы должны были либо внедрить правила межсетевого экрана на Cisco, либо заменить технологию (ATM). В конце концов, мы заменили банкомат на MetroEthernet, и мы смогли установить внешний интерфейс на интерфейсе Ethernet и использовать MikroTik. Это'
Я предлагаю использовать локальную IP-подсеть для вашего сервера и иметь частную локальную сеть между микротиком (маршрутизатором) и сервером. Также есть микротик прямо на публичном ip. Затем выполните ip src-nat для исходящего трафика (с сервера в Интернет). Весь входящий трафик должен перенаправляться на порт (dst-nat). Также вы можете использовать обычный межсетевой экран IP уровня 3 и отключить межсетевой экран уровня 3 для сети уровня 2 / моста.
Это как-то связано с отслеживанием соединений, но я не знаю точно, как это работает в мосте. Я бы просто добавил еще одно правило, разрешающее все изнутри с src-адресом или интерфейсом:
add chain=forward action=accept mac-protocol=ip src-address=196.x.x.x/32 ip-protocol=tcp place-before=4