Я не телепат. Потому и уточнил где именно. ) Но НАТов у Вас будет два.

ну да, все верно

Нет, не все. )

Первое правило слишком "оптимистичное", если убрать интерфейс. )

прокидывают один, засовывают его в бридж и бридже делают влан филтринг

Вот, именно, это меня и смущает. Тогда во втором должен как-то фигурировать интерфейс.

хочешь придраться к явному указанию дестов?)

В "десте" надо адрес указывать. Иначе при таком раскладе, если убрать in-interface интернет для локалки кончится.

а если не убрать, то не кончится)
но в целом да, так конечно правильнее

А если не убирать, то второе правило смысла не имеет.

я сделал стенд, где был просто бридж с еоипами и влан-интерфейсами, которые были назначены на каждый порт соответственно с каждой стороны. И я очень удивился, когда .36 пропинговал .39. Ведь, как б*я? Они же в разных вланах, почему когда я пускаю пинг с влан-интерфейса с .36, то он запаковывается в влан 200, и каким-то чёртом принимается влан-интерфейсом .39 с вланом 201?

Вот, тепереь смело говорите, что я не знаю теорию и ла-ла. Но честно, может это ппц, как очевидно, но я не понимаю.

да, все, спать пора, торможу)

У меня вообще правило под это дело сделано так:
chain=srcnat dst.address=(локалка/маска), action=src-nat to-address=(ип-роутера)

Ну и зря.

это большой миссконфиг

Т.е. в первом, которое dst-nat, нужно убрать интерфейс и чтобы оно не было слишком оптимистичным, нужно явно указать адрес, который на внешнем интерфейсе

все круто, но лучше будет, если ткнёшь носом

А тут что не так? Вроде и hairpin на всю локалку

интерфейс вланы не надо совать в бридж

надо порт сунуть в бридж и включить влан фильтринг, раскидать вланы по портам

если надо на влан повесть адрес, то интерфейс влан вешается на бридж, а на него адрес

»если надо на влан повесть адрес, то интерфейс влан вешается на бридж, а на него адрес

То есть VLAN-Interface выступает в роли IRB-интерфейса, если проводить аналогию с джуниперами?