Conceito geral
O Endpoint-Independent NAT (EIM) é um tipo de NAT onde o roteador cria um mapeamento fixo entre IP/porta interna e IP/porta pública, e depois reutiliza esse mesmo mapeamento para qualquer destino.
Ou seja:
Depois que a conexão UDP sai, qualquer host da Internet pode responder para aquela mesma porta pública e o roteador saberá para qual host interno entregar.
Isso é diferente do NAT tradicional
NAT tradicional (para entender a diferença)
Normalmente o NAT funciona assim:
- PC interno → envia pacote UDP para servidor A
- Roteador cria mapeamento temporário
- Somente o servidor A pode responder
Se outro servidor tentar enviar pacote:
o firewall/NAT bloqueia
Isso é chamado de: Endpoint-Dependent NAT
No treinamento MikroTik MTCNA da Sixcore vemos na prática e conceito do NAT Tradicional.
Endpoint-Independent NAT
Com essa regra:
/ip firewall nat
add action=endpoint-independent-nat chain=srcnat out-interface=WAN \
protocol=udp
O MikroTik passa a funcionar assim:
- PC interno envia pacote UDP
- Roteador cria um mapeamento fixo:
192.168.1.10:5000 → 200.200.200.10:45000
QUALQUER host da Internet pode enviar pacote para 200.200.200.10:45000
E o roteador entregará para: 192.168.1.10:5000
Isso permite: – NAT Transversal, P2P, SIP, WebRTC, jogos online, túneis UDP
Regra de DSTNAT (source-independent filtering)
A segunda regra:
/ip firewall nat
add action=endpoint-independent-nat chain=srcnat out-interface=WAN \
protocol=udp
Importante — funciona só com UDP
Porque:
- UDP é stateless
- usado em VoIP
- usado em jogos
- usado em STUN / ICE
- usado em WireGuard
TCP não usa esse modelo.
Parâmetro randomize-port o roteador escolhe uma porta pública aleatória
Isso ajuda: Segurança, evitar previsibilidade, evitar ataques, melhorar NAT Transversal.
O que a RFC 5128 diz (visão conceitual)
A RFC define que existem 3 comportamentos NAT: Endpoint-Independent, Address-Dependent e Address-Port-Dependent.
O MikroTik com essa regra implementa o modelo mais aberto e compatível com aplicações modernas.
