Есть NAT dst-nat c ip-рестриктом на MT.
Адреса добавлены в /ip firewall address-list
Я могу ограничить доступ через добавление целевого address-list в правило nat, а могу создать отдельное в filter
Судя по диаграмме iptables, сначала оно проверяет NAT-PREROUTING, если пропущено идёт дальше до - FILTER-FORWARD.
Т.е. в последнем случае, натится у меня весь траффик, а уже проходит разрешенное, а в первом натиться только нужное, и пропускается, соответственено, всё.
Поток небольшой, накладные расходы на обработку несущественны.
Какое решение будет более грамотным и почему?
Спасибо за внимание.
