Nem vagyok nagy tűzfal guru, de szerintem a tűzfalban, a forward chainben engedélyezni kell a kapcsolatot egy accept szabállyal. A NAT szabályod jó, de nem jelöl meg IN interfacet, én megadnám neki a Digi PPPOE interfacet. Pl:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1-Digi
add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=8292 protocol=tcp to-addresses=172.16.1.1 to-ports=8291
add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=22000 protocol=tcp to-addresses=172.16.1.1 to-ports=80

Normál esetben azt mondanám, hogy ne in-interfacet adj meg, hanem dst-address-t (a WAN ip címed), de digi esetében az kb 1-2 naponta változik, így érdemesebb így megoldani, ha nem akarsz scriptelni.

A tűzfaladba beraktam két sort, próbáld meg így:
/ip firewall filter
add action=drop chain=input connection-state=invalid
add chain=input connection-state=established,related
add action=jump chain=input in-interface=bridge-local jump-target=input-internal
add action=jump chain=input in-interface=pppoe-out1-Digi jump-target=input-net
add action=drop chain=input
add chain=input-net dst-port=80,8291,2000 protocol=tcp
add action=drop chain=input-net src-address-list=blacklist
add chain=input-net protocol=icmp
add action=add-src-to-address-list address-list=blacklist-ftp address-list-timeout=3d chain=input-net dst-port=21 protocol=tcp
add action=add-src-to-address-list address-list=blacklist-ssh address-list-timeout=3d chain=input-net dst-port=22 protocol=tcp
add action=add-src-to-address-list address-list=blacklist-telnet address-list-timeout=3d chain=input-net dst-port=23 protocol=tcp
add action=drop chain=input-net
add chain=input-internal
add action=drop chain=forward connection-state=invalid
add chain=forward connection-state=established,related
add chain=forward dst-address=172.16.1.1 dst-port=8292 protocol=tcp
add chain=forward dst-address=172.16.1.1 dst-port=22000 protocol=tcp
add action=jump chain=forward jump-target=forward-net out-interface=pppoe-out1-Digi
add action=jump chain=forward jump-target=forward-internal out-interface=bridge-local
add action=drop chain=forward
add chain=forward-net in-interface=bridge-local src-address=172.16.1.0/24
add action=drop chain=forward-net
add action=drop chain=forward-internal

Most nézegetem utólag, a Mikrotik fő routered IP címe 172.16.1.1? Mert akkor se a tűzfal se a NAT szabály nem jó! A dst addresshez a hAP címét írd.

Tűzfal:
add chain=forward dst-address=172.16.1.<hap> dst-port=8292 protocol=tcp
add chain=forward dst-address=172.16.1.<hap> dst-port=22000 protocol=tcp

Nat:
add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=8292 protocol=tcp to-addresses=172.16.1.<hap> to-ports=8291
add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=22000 protocol=tcp to-addresses=172.16.1.<hap> to-ports=80

[ Szerkesztve ]