Для проброса портов снаружи сети во внутреннее пространство используется DNAT (Destination Network Address Translation). С помощью DNAT можно подменять для входящих пакетов адрес назначения.

Выполним проброс порта.

На вкладке NAT → General

1. Chain - направление потока данных. В списке выбора - srcnat, что означает «изнутри наружу», т. е. из локальной сети во внешний мир, и dstnat - из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
2. Src. Address Dst. Address - внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
3. Protocol - здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
4. Src. Port (исходящий порт) - порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно.
5. Dst. Port (порт назначения) - проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.
6. Any. Port (любой порт) - если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
7. In. interface (входящий интерфейс) - здесь указываем интерфейс роутера MikroTik, на котором используется, «слушается» этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, по умолчанию это ether1-gateway. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
8. Out. interface (исходящий интерфейс) - интерфейс подключения компьютера, для которого мы делаем проброс портов.

На вкладке Action,

1. В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:
   1. accept — просто принимает данные;
   2. add-dst-to-address-list — адрес назначения добавляется в список адресов;
   3. add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
   4. dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
   5. jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat;
   6. log — просто записывает информацию о данных в лог;
   7. masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
   8. netmap — более новая вариация dst-nat;
   9. passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
   10. redirect — данные перенаправляются на другой порт этого же роутера;
   11. return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
   12. same — редко используемая настройка один и тех же правил для группы адресов;
   13. src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление). Для настройки проброса портов подойдут варианты dst-nat и netmap. Выбираем последний, как более новый и улучшенный.
2. В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов.
3. В поле To Ports, соответственно, номер порта, к примеру:
   1. 80/tcp — WEB сервер,
   2. 22/tcp — SSH,
   3. 1433/tcp — MS SQL Server,
   4. 161/udp — snmp, 23/tcp — telnet и etc.
4. Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.
5. Добавляем комментарий к правилу, чтобы напомнить себе, для чего его создавали.

вкладка FireWall

• Chain - input
• Protokol - tcp
• Dst.port - пробрасыыаемый порт

Вкладка Action

• Action - accept