Не знаю как в микротике, но у других вендоров если пакет не проходит НАТ, то он будет отправлен дальше по таблице маршрутизаци, а это скорее всего будет дефолт к провайдеру. Интернета в таком случае не будет, но зачем провайдеру посылать такие пакеты?) У микротика такая же схема или он по другому работает?
therealman™, У меня много раз было такое, я всегда делаю так:
1. Создаю Black hole роут на null (drop) - Это три правила на кажду private сеть 10.0.0.0/8 и так далее. В микротике можно сделать адрес лист засунуть все три сети туда и обойтись одним правилом.
2. Запретить всем private сетям доступ На WAN интерфейс, можно использовать адрес лист из первого пункта.
3. Кому в интернет не надо просто достаете их из NAT.
В таком случае левые пакеты не будут идти к провайдеру, и в будущем не надо будет каждый раз создавать новое правило, если повторится такая ситуация. На всех роутерах, которые подключены к провайдеру у меня такая схема.
Средний
