AUser0

Потому что нарисованная дверь нарисована только с вашей стороны. Нарисована для вас и ваших соседей по внутрипровайдерской сети. Со стороны внешнего Интернета эта неполноценная дверь - это пчелиный леток, вход в пчелиный улий, в который нет прохода наружним посторонним.

А меняется ваш внешний IP на сайте 2ip.ru, потому что у провайдера есть несколько таких летков-выходов, какой меньше нагружен - тот вам и присваивается, временно.

Полноценная дверь называется выделенный белый IP, выделенный вам персонально и монопольно, за что и взимается плата. И абсолютно весь трафик, пришедший на этот IP, монопольно попадает на ваше устройство, подключенное к этому IP.

Если прямое указание порта в ссылках ну совсем не катит - ставите на VPS Nginx (это будет ваш reverse proxy), и пишите в нём:

http {
    proxy_set_header 'X-Real-IP' $remote_addr;
server {
    listen 80;
    listen 443 ssl;
    server_name my_domain.ru www.my_domain.ru;
    proxy_pass https://my_home.dyn-dns.org:8080/;
}
}

соответственно заменив нужные параметры на актуальные ваши. Ну и в DNS для домена укажите A-запись на VPS-ый белый IP, иначе не взлетит.

Дропнутые пакеты на Mikrotik имеют статус не established (установленное) или related (относящееся к...), а new (новое соединение). Но вы их не пропускаете? Вот они и дропаются.

А вы не в курсе, что gateway должен быть в той же подсети, что и сам хост?
Адрес 192.168.0.101 - это совсем не подсеть 192.168.2.0/24!

Вариант без VPN-а - SSL-прокси. Снаружи будет виден трафик до самого прокси, но не что спрятанно внутри.

Вообще-то для WEB-интерфейса Zabbix необходима установка пакета zabbix-web и PHP (в какой-либо форме).

Если от провайдера заходит кабель с восьмью жилами, а у вас физическое подключение до 100Mbit - то можно по четырём неиспользуемым жилам организовать второе подключение к роутеру. Как это скажется на скоростях - не знаю, нет опыта.

Второй вариант - адаптеры PowerLine, передающие сетевой сигнал по проводам 220 Вольт. Как это выразится в скоростях - тоже не подскажу, знаю только о возможности.

Мало настроить проброс трафика, надо ещё объяснить вашему HTTP-серверу, что https://176.16.16.25/ - это он и есть, и должен обслуживать это доменное имя (да, IP-адрес тоже является доменным именем). В зависимости от программы HTTP-сервера рекомендации будут разные.

! -dport 22 Или ACCEPT порта 22 перед DNAT.

Делаете в таблице ACCEPT/REJECT для каждого исключённого адреса. А после прохода таблицы уже DNAT.

70-C9-4E-54-03-2F, Загляните в Tools -> Packet Sniffer. Впишите туда "UDP" и 67-ой порт, и смотрите, какие пакеты откуда-куда приходят-уходят. Если правила работают - то будет логирован только приход пакетов на физический интерфейс, но не ответы на них... Поможет найти "мокрый пол".

P.S. Ну и логирование работы DHCP Server, тоже полезно видеть.

P.P.S. DHCP рассылаются броадкастом, может на них отвечает кто-то другой?

Если имеется ввиду входящий трафик - легко, REJECT-ите/DROP-аете любой трафик на этот IP, пришедший с неправильного интерфейса - и вуаля! Хотя это в принципе уже должен делать провайдер(ы).

Для исходящего трафика есть routing, поэтому делаете SNAT - тоже будет работать.

Default Gateway нужен в случае, когда устройство хочет, но не знает куда/кому нужно передать пакет, что бы он дошёл до пункта назначения. Тобишь когда устройство идёт в глобальный огромный Интернет.

У вас же сеть - локальная, и она прописана в routing tables. Default Gateway не используется, потому что сеть - локальная, а устройство отвечает на коннекты к нему.

Если к розетке подключены провода - то она расшита.
Ну а найти расшитую розетку можно по кабелю, подключенному к ней.

Как правило на задней стороне патч-панели расположение каждой розетки подписано.
Либо просто - самая левая розетка находится у правого края на обратной стороне патч-панели.

Во-первых,

потребность в ещё одном сервисе, который также должен иметь доступ по домену

доступ должен быть снаружи во внутрь, или наоборот?

Во-вторых, если снаружи во внутрь - какой именно сервис имеется ввиду? Стандарт HTTP вполне допускает любое кол-во доменов на одном IP, SMTP тоже. Или нужно что-то другое?

В-третьих, для выхода наружу доменное имя на вашем белом IP нужно постольку-поскольку. Ну, для почты, для проверки на спам нужны домен и IP reverse lookup, да. А так - всё, остальное может без доменного имени работать.

Таким --state NEW -j ACCEPT вы разрешили новые коннекты на любые порты с любых IP-адресов через любой интерфейс.
И все правила, идущие уже после этого ACCEPT - вообще не сработают, до них обработка не дойдёт, потом что это правило уже всем всё разрешило...
И да, это полный аналог дефаултного правила INPUT[ACCEPT]. Поэтому так ни кто не пишет, в такое правило обязательно добавляют разные аргументы, типа через какой интерфейс, на какой порт, и с каких IP, и т.д.

Вам нужен pac-файл:

if (shExpMatch(url, "*abcdomain.com/some_folder/*"))
return "PROXY 127.0.0.1:3128";
else return "DIRECT";

но работу с pac поддерживают только браузеры с их встроенными JavaScript-ами.

На сколько я понял, достаточно приколотить на задействованный интерфейс на сервере локальный IP. А в маршрутизаторе отключить firewall, поскольку у вас на wan только сервер, который сам является firewall-ом для трафика из модемного Интернета. Или переключить wan-порт в режим lan.

Ну что фаервол мешает - вы уже и сами поняли, осталось добавить разрешающее правило для 80 и 443 портов на IP этого Комп1. Что hosts необходимо настраивать на каждом компьютере - тоже догадались. И обращаться надо к странице vhost1/index.html, vhost2/index.php (если такой файл там есть), и т.д. Файла vhost3.php на хосте vhost3 нет - вот и получили "404 Не найдено", всё правильно.

А вот обращение к виртуальным сайтам по IP или по IP/имя_сайта/ - не получится. И тот, и другой случай невозможны. Ну то есть второй случай можно сделать конфигурированием, но большого смысла в этом нет, только набить опыт в нестандартной конфигурации.