beerchaser

Выкинуть Windows сервер и поставить ещё один mikrotik. В своё время (лет 8 назад) применили предложенное решение и ...ПОМОГЛО!!!

Это проще через сплитднс зарулить. Т.е. сделать так, чтобы для локальных машин на test.ru DNS отдавал локальный адрес. Для этого надо или Dir 615 этому обучить (если он указан как сервер DNS) или поднять DNS сервер на компьютере с веб-сервером, прописать на нём зону test.ru с локальными адресами и указать его , как первый, при раздаче по DHCP ( если оно используется) или в параметрах сетевых подключений у компьютеров. У компьютера с веб сервером также должен стоять адрес локального DNS. Если компьютеров не много, можно локальный test.ru им в hosts записать.

1. Информации по микротику больше чем достаточно - смотрим mikrotik traffic flow
2. Ограничение доступа с адресов делается через src-address-list. Достаточно указать
в правиле ната (т.к. оно применяется первым по диаграмме traffic flow). В вашем случае-строка N 1(chain=dstnat )