NAT

有两种类型的NAT：

源NAT或srcnat的。这是源于一个natted网络的数据包进行这种类型的NAT。NAT路由器取代了私人新公网IP地址的IP包的源地址，因为它穿越路由器。反向操作被施加到在另一个方向上行驶的应答报文。

目标NAT或dstnat的 NAT这种类型的数据包发往到natted网络上进行。它是用来做最comonly的专用网络上的主机从互联网acceesible。NAT路由器执行dstnat取代一个IP数据包的目的IP地址，因为它穿越路由器对私人网络。

后面的主机启用NAT的路由器没有真正的终端到终端的连接。因此，一些互联网协议与NAT的情况下可能无法正常工作。服务要求发起TCP连接的专用网络之外的或无状态协议（如UDP），可被打乱。此外，一些使用NAT协议本质上是不相容的，大胆的例子是啊协议的IPsec套房。

为了克服这些限制，RouterOS的包括了一些所谓的NAT佣工，使各种协议的NAT穿越。

财产 描述

动作（动作名称 ;默认接受） 要采取的动作，如果数据包匹配的规则：

接受 -接受包。数据包被传递给下一个NAT规则。

添加DST-地址列表 -添加目的地址指定的地址列表地址列表参数

添加SRC-地址列表 -添加源地址到地址列表中指定的地址列表参数

的dst-nat的 -取代由地址指定的值的一种IP包的目的地址和/或端口到端口参数

跳 -跳跳目标参数 的值指定用户定义的链

登录 -添加一条消息到系统日志包含以下数据：在接口，输出接口，SRC-MAC，协议，SRC-IP：端口> DST-IP：端口和数据包的长度。匹配数据包后，它被传递到列表中的下一条规则，类似直通

伪装 -更换由路由设备的IP一个IP数据包的源地址。

NETMAP -创建一个静态的1:1一组IP地址的映射到另一个。经常被用来在专用网络上的主机分配公网IP地址

直通 -忽略这个规则，到下一个（有用的统计数据）。

重定向 -一个IP数据包的目的端口替换到一个指定的端口参数和目的地址路由器的本地地址

回报 -把控制传递回链从那里跳了

相同的 -给出了一个特别的客户端相同的源/目的IP地址，为每个连接提供的范围内。这是最经常用于来自同一客户端的服务的期望相同的客户端地址为多个连接

的src-nat的 -取代的一种IP包的源地址，由地址指定的值到端口参数

地址列表（字符串，默认） 要使用的地址列表的名称。适用的，如果动作是附加DST-地址列表或SRC添加到地址列表

地址列表超时（时间 ;默认：00:00:00） 时间间隔后的地址从地址列表中指定的地址列表参数将被删除。用于与附加DST地址列表或SRC添加到地址列表的行动

价值00:00:00会留下永远的地址列表中的地址

链（名称，默认） 指定链规则将被添加。如果输入不匹配已定义的链的名称，将创建一个新链。

评论（字符串，默认） 规则的描述性注释。

连接的字节（整数整数 ;默认：） 匹配只有当一个给定的字节量的数据包已经通过特定的连接转移。0 -表示无穷大，例如连接字节= 2000000-0意味着该规则匹配，如果超过2MB已通过相关连接转移

连接限制（整数，netmaks ;默认：） 限制连接限制每地址或地址块/ TD>

连接标记（标记字符串默认：） 匹配杂乱设施，特别是连接标记标记通过。如果没有标志设置，规则将匹配任何无人盯防的连接。

连接速率（整数0 .. 4294967295 ;默认：） 连接速率的防火墙匹配，使目前的连接速度的基础上，捕捉到交通。阅读更多>>

连接类型（FTP | H323 | IRC | PPTP | QUAKE3 | SIP | TFTP默认） 匹配的数据包的基础上，从相关的连接信息从他们的连接跟踪佣工。一个相关的连接帮手/ IP防火墙的服务端口下必须启用

内容（字符串，默认） 匹配包含指定文本

DSCP（整数：0 .. 63 ;默认：） 匹配DSCP，IP报头字段。

DST地址（IP地址/子网掩码| IP范围 ;默认：） 匹配数据包的目的地是到指定的IP或等于落入指定的IP地址范围。

DST地址列表（名称，默认） 匹配的数据包的目的地址与用户定义的地址列表

dst的地址类型（单播|地方|转播|组播 ;默认） 匹配目的地址类型：

用于点对点传输单播 IP地址-

本地 -如果dst的地址被分配给其中一个路由器接口

广播 -数据包被发送到子网中的所有设备

-数据包被转发组播组设备定义

DST限制（整数，时间，整数，DST地址| DST口| SRC地址，时间，默认：） 给个百分点内的匹配数据包限制。反对限制匹配，每一个目的地IP地址/目的端口有它自己的限制。参数都写在格式如下：数量，时间，突发模式，到期。

-最大计数测量每个时间间隔的 数据包的平均包率

时间 -指定的时间间隔，在该数据包率的测量

爆 -不计入由数据包速率的数据包数

模式 -分类的数据包速率限制

过期 -指定的时间间隔后，这条记录IP地址/端口都将被删除

DST端口（整数[整数]：0 .. 65535，默认） 目标端口号或端口号范围一览

片段（yes | no用于默认：） 匹配数据包碎片。首先（起点）片段不计数。如果启用了连接跟踪将不会有碎片系统自动组装每一个数据包

热点（验证从客户端| HTTP本地DST |到客户端 ;默认）

ICMP选项（整数：整数 ;默认：） 与ICMP类型代码fileds的匹配

在桥口（名称，默认） 实际接口的数据包进入路由器，如果输入接口是桥

在接口（名称，默认） 接口的数据包进入路由器

进入优先级（整数：0 .. 63 ;默认：） 匹配入口的数据包的优先级。VLAN，WMM或MPLS EXP位的优先级可能来自阅读更多>>

IPV4选项（任何松散源路由记录路由|路由器警示|没有源路由没有时间戳|无|记录路由路由器警报|严格的源路由|时间戳 ;默认：） 匹配IPv4报头的选项。

任何 -如同数据包与ipv4的选项中的至少一个

松散源路由 -相匹配的与松散源路由选项的数据包。此选项用于路由基于互联网数据报的源提供的信息

没有记录路由 -没有记录路由选项的数据包匹配。此选项用于路由基于互联网数据报的源提供的信息

没有路由器警示 -匹配的数据包，路由器没有改变选项

没有源路由 -匹配的数据包没有源路由选项

没有时间戳 -匹配的数据包没有时间戳选项

路由纪录 -匹配的数据包记录路由选项

路由器警示 -匹配的数据包，路由器另一个选项

严格的源路由 -严格的源路由选项的数据包匹配

时间戳 -匹配的数据包的时间戳

跳目标（名称，默认） 跳转到目标链名称。只适用于行动=跳

Layer7的协议（名称，默认） Layer7的协议菜单 Layer7的过滤器中定义的名称。

限制（整数，时间，整数 ;默认：） 匹配数据包，如果PPS限制超标。参数都写在格式如下：数量，时间，突发。

-最大计数测量每个时间间隔的 数据包的平均包率

时间 -指定的时间间隔，在该数据包率的测量

爆 -不计入由数据包速率的数据包数

日志前缀（字符串，默认） 将指定文本开头的每一个日志消息。适用的，如果行动=日志

第n（整数，整数，默认：） 匹配每n个数据包。阅读更多>>

出桥口（名称，默认） 实际接口的数据包离开路由器，如果出接口为桥

出接口（默认值：） 接口的数据包离开路由器

分组标记（标记字符串默认：） 匹配数据包标记通过压延设施与特定的数据包标记。如果没有标志设置，规则将匹配任何标记的数据包。

数据包大小（整数[整数]：0 .. 65535，默认） 以字节为单位指定大小或大小范围的匹配数据包。

每个连接的分类（ValuesToHash：分母/余 ;默认：） PCC匹配允许流量划分为相等的流能力保持在一个特定的数据流中的选项组特定的数据包。阅读更多>>

端口（整数[整数]：0 .. 65535 ;预设：） 任何端口（源或目标）的匹配，如果匹配的端口或端口范围指定列表。仅适用协议是TCP或UDP

协议（名称或协议ID，默认：TCP） 匹配指定的特定IP协议的协议名称或号码

PSD（整数，时间，整数，整数 ;默认：） 尝试检测TCP和UDP扫描。参数是以下格式WeightThreshold，DelayThreshold LopPortWeight，HighPortWeight

-总WeightThreshold的重量，最新的TCP / UDP数据包来自同一主机的不同目的港被视为端口扫描序列

DelayThreshold -被视为可能的端口扫描序列来自同一主机的不同的目的地端口的报文延迟

LowPortWeight -体重的特权（<= 1024）目标端 ??口的报文

HighPortWeight -非具有特权的目的端口的数据包的重量的

随机（整数：1 .. 99 ;默认） 匹配数据包随机给定的概率。

路由标记（字符串，默认） 匹配的数据包标记由杂乱设施与特定的路由标记

同DST（| ;默认） 指定是否要考虑或目的IP地址时，选择一个新的源IP地址。如果行动=相同适用

SRC地址（IP / Netmaks，IP范围 ;默认：） 匹配的数据包的源等于指定的IP或落入指定的IP地址范围。

SRC地址列表（名称，默认） 匹配的数据包的源地址与用户定义的地址列表

SRC-地址类型（单播|本地|转播|组播 ;默认）

匹配源地址类型：

用于点对点传输单播 IP地址-

-如果本地地址被分配给其中一个路由器接口

广播 -数据包被发送到子网中的所有设备

-数据包被转发组播组设备定义

SRC端口（整数[整数]：0 .. 65535，默认） 源端口和源端口范围的名单。仅适用协议是TCP或UDP。

SRC-MAC地址（MAC地址，默认） 匹配的数据包的源MAC地址

TCP标志（ACK | CWR | ECE | FIN | PSH | RST |同步|的URG ;默认） 匹配指定的TCP标志

ACK -确认数据

CWR -拥塞窗口减少

ECE -回声旗ECN（显式拥塞通知）

鳍 -紧密连接

PSH -推送功能

RST -点连接

同步 -新的连接

URG -紧急数据

TCP-MSS（整数：0 .. 65535 ;默认：） 匹配一个IP数据包的TCP MSS值

时间（时间，星期六|周五|周四|星期三|星期二|星期一|太阳 ;默认：） 允许基于数据包的到达时间和日期创建过滤器或本地产生的数据包，出发时间和日期

地址（IP地址[IP地址]，默认：0.0.0.0） 指定一个替换原来的地址。如果动作是适用DST-NAT，NETMAP相同，SRC-NAT

到端口（整数[整数]：0 .. 255，默认） 指定一个替换原来的端口。如果动作是适用DST-NAT，重定向NETMAP，同样，SRC-NAT

TTL（整数：0 .. 255默认：） 匹配的数据包的TTL值

打印/ IP防火墙NAT统计显示额外的只读属性

财产 描述

字节（整数） 总额字节匹配规则

报文（整数） 匹配规则的数据包总量

默认情况下，打印相当于打印静态和只显示静态规则。

[管理员@ dzeltenais_burkaans] / IP防火墙裂伤的>打印统计

标志：X  - 禁用，我 - 无效的，D  - 动态 

 ＃链行动字节包        

 0预路由标记路由17478158 127631         

 1预路由标记路由782505 4506           

要打印，动态规则使用打印所有。

[管理员@ dzeltenais_burkaans] / IP防火墙裂伤>打印所有统计

标志：X  - 禁用，我 - 无效的，D  - 动态 

 ＃链行动字节包        

 0预路由标记路由17478158 127631         

 1预路由标记路由782505 4506           

 2 D正向变化MSS 0              

 3 D正向变化MSS 0              

 4 D正向变化MSS 0              

 5 D正向变化MSS 129372 2031  

或者只打印动态规则使用打印动态

[管理员@ dzeltenais_burkaans] / IP防火墙裂伤>打印统计动态 

标志：X  - 禁用，我 - 无效的，D  - 动态 

 ＃链行动字节包        

 0 D正向改变MSS 0 0              

 1个D正向变化MSS 0              

 2 D正向变化MSS 0              

 3 D前锋变化MSS 132444 2079 

财产 描述

重置计数器（ID） 复位统计计数器指定防火墙规则。

重置计数器（） 复位统计计数器所有的防火墙规则。

基本的例子

如果你想“隐藏”私有LAN 192.168.0.0/24“后面”一个地址10.5.8.109的ISP给你的，你应该使用源网络地址转换（伪装）功能MikroTik路由器。伪装更改源地址10.5.8.109的路由器的源于网络192.168.0.0/24的数据包，数据包时，通过路由的IP地址和端口。

要使用伪装，源NAT规则与行动“伪装”应该添加到防火墙的配置：

/ IP防火墙的NAT地址链= srcnat行动=伪装出接口=公共

从网络192.168.0.0/24的所有传出连接，将有1024以上的路由器和源端口的源地址10.5.8.109。来自Internet的访问将是可能的本地地址。如果你想允许连接到本地网络上的服务器，你应该使用目的网络地址转换（NAT）。

如果你想公共IP 10.5.8.200地址链接到本地??192.168.0.109，你应该使用MikroTik路由器的目的地址转换功能。此外，如果你想允许本地服务器，你应该使用公共IP源地址转换，也与外界交谈。

添加公共接口的公网IP??：

/ IP地址添加地址= 10.5.8.200/32接口=公共   

添加规则，允许从外部网络访问内部服务器：

/ IP防火墙NAT加链= dstnat DST地址= 10.5.8.200行动= DST-NAT \

到地址= 192.168.0.109 

添加规则允许内部服务器的外网络的其翻译源地址为10.5.8.200交谈：

/ IP防火墙的NAT地址链= srcnat SRC地址= 192.168.0.109行动= SRC-NAT \

到地址= 10.5.8.200

如果你想链接本地2.2.2.0/24公共IP子网11.11.11.0/24，你应该使用目的地址转换和源地址转换功能行动= NETMAP。

/ IP防火墙的NAT地址链= dstnat DST地址= 11.11.11.0/24 \

行动= NETMAP到地址= 2.2.2.0/24

/ IP防火墙的NAT地址链= srcnat SRC地址= 2.2.2.0/24 \

行动= NETMAP到地址= 11.11.11.0/24  

同样可以用不同的地址符号，仍然有与所描述的网络相匹配

/ IP防火墙NAT加链= dstnat DST地址= 11.11.11.0-11.11.11.255 \

行动= NETMAP到地址= 2.2.2.0-2.2.2.255

/ IP防火墙NAT地址的链= srcnat SRC地址= 2.2.2.0-2.2.2.255 \，

行动= NETMAP到地址= 11.11.11.0-11.11.11.255  

如果您想直接到内部机器（有时也被称为开放的端口，端口映射）的某个端口的请求，你可以像这样做：

/的IP防火墙NAT加链= dstnat的dst-port = 1234行动= DST-NAT协议= TCP地址= 192.168.1.1，端口= 1234 

此规则翻译：传入的连接请求时，TCP端口1234，使用的DST-NAT行动的和重定向到本地地址192.168.1.1，端口1234