Клиент не может коннектится к почтовому серверу 25 (TCP) напрямую (сервер заблочен), решил перекинуть обращения ко мне а своего микротика выкинуть на почтовый сервер, правило нат:
По сути получается клиент обращается к моему серверу по 9090 порту далее микротик его должен перебросить на почтовик и уже на 25 порт. (Мне кажется или пакет до клиента не знает как добраться (в нужном виде)?)
По сути вроде как верно но что то упустил, правил в НАТ больше ни каких нет, фаерволл (запреты) на время тестов выключил.
Тогда это не просто DNAT это hairpin NAT, так как при DNAT вы меняете только адрес назначения, а адрес отправителя не меняется, то пакет долетающий до почтаря содержит реальный адрес клиента в поле отправителя, почтарь видит это и отвечает сразу на него, а не на микротик (т.е. пакет возвращается по другому маршруту, не по тому, по которому пришёл), пакет долетает до отправителя, а тот, в свою очередь, не знает что с ним делать, он в адрес почтаря ничего не слал - DROP.
Нужно добавить ещё одно правило
/ip firewall nat
add chain=srcnat
dst-address=ip_post_server protocol=tcp dst-port=25 \
out-interface=WAN1 action=masquerade
Простой
Сложный
