В целом, всё ровно.
1. Но я бы начал с того, что не использовал netmap.
С новых версий ros отпала необходимость в таком назначении.
2. Лень выписывать в вашей реализации, делюсь своей
Телефония - необходим доступ из интернета и из сети. Без каких либо там всяких.
Это мы выпустили в тырнет
add action=dst-nat chain=dstnat comment="pbx inbound" dst-port=6666 in-interface=sfp-sfpplus1 log=yes log-prefix="pbx inbound" protocol=udp to-addresses=\
192.168.8.254 to-ports=5060
енто сделали видимой из сети, так же как и из тырнета
add action=dst-nat chain=dstnat dst-address=xxx.yyy.zzz.qqq dst-port=6666 protocol=udp src-address=10.0.254.0/24 to-addresses=192.168.8.254 to-ports=5060
В данном примере - 10.0.254.0/24 одна из внутренних сетей
192,168,8,254 - адрес атс
с пингами непонятно, конечно. но не критично. можно же отключить по очереди все правила и проверять на каком из них начинается затык
изоляцию - можно сделать просто так:
add action=drop chain=forward comment="block boss network" dst-address=10.0.254.0/24 src-address=10.10.30.0/24
В целом, не особо сложная конфигурация. Надеюсь, по моим примерам, станет меньше вопросов.
