Александр

Нужно использовать не маскарад, а правило snat,
Задачу можно разделить на три этапа
Этап 1 разделить на пять групп устанавливаемые соединения по критерию source адрес (У вас указано только четыре внешних адреса, поэтому пример будет для четырёх, также сеть 172.19.123.0/24 не может быть приватной, но хозяин-барин и в примере оставлено как указано у вас)
Этап 2 Промаркировать соединение из каждой группы соответствующей меткой
Этап 3 пропустить трафик групп через соответствующие им правила source nat согласно присвоенной метки

/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=1st_conn \
per-connection-classifier=src-address:4/0 src-address=172.19.123.0/24
add action=mark-connection chain=prerouting new-connection-mark=2st_conn \
per-connection-classifier=src-address:4/1 src-address=172.19.123.0/24
add action=mark-connection chain=prerouting new-connection-mark=3st_conn \
per-connection-classifier=src-address:4/2 src-address=172.19.123.0/24
add action=mark-connection chain=prerouting new-connection-mark=4st_conn \
per-connection-classifier=src-address:4/3 src-address=172.19.123.0/24

/ip firewall nat
add action=src-nat chain=srcnat connection-mark=1st_conn out-interface=ether1 \
to-addresses=192.168.8.2
add action=src-nat chain=srcnat connection-mark=2st_conn out-interface=ether1 \
to-addresses=192.168.8.3
add action=src-nat chain=srcnat connection-mark=3st_conn out-interface=ether1 \
to-addresses=192.168.8.4
add action=src-nat chain=srcnat connection-mark=5st_conn out-interface=ether1 \
to-addresses=192.168.8.5

других правил маскарада выше этих быть не должно

nfcapd. Бесплатый, умеет сжимать БД, всё хранится в отдельных файликах, для анализа можно использовать nfdump. Есть графическое поделие -- nfSense, работает по файлам, собранным nfcapd. У нас база netflow -- около 18 Тб за три года (это сжатых данных). nfcapd бьёт их на каталоги по схеме: <имя_шлюза>/год/месяц/день/час. Соответственно, по 24 файла в сутки.

Языки - никаких не надо знать. Достаточно грамотно настроить программы.
Nginx - настройки оптимизации (кеширование, keepalive, gzip, количество воркеров), и безопасности (сервак не должен ложиться под дос-атаками и выполнять php, загруженный под видом картинки). Уметь пользоваться Rewritemode.
MySQL - настройки кеширования (размер кеша, количество таблиц в кеше).
PHP - Memcache/Xcache для кеширования результатов запросов к php. Настройка заключается в основном в выставлении размера кеша.
Wordpress - знание основных атак и установка плагинов от них (из популярных атак - брутфорс пароля к админке и xml-rpc атака).
Ротация логов - чтобы место на диске не закончилось от распухших логов.
Fail2Ban - чтобы не забрутфорсили пароли к ftp, smtp, ssh.
Опционально - установка системы мониторинга (Zabbix, Nagios) для отслеживания работы служб (nginx, mysql и другие необходимые) и доступности сайта.
Из утилит нагрузочного тестирования простейшая - ApacheBench (просто шлёт n запросов на одну страницу), покруче - Jmeter (с возможностью записывания сценариев).