Минут 15

Я понял идею с занимание портов. Спасибо. Оставим ее на крайний случай.

Я опять не понял. Разжуйте, плиз.

Да это тоже понятно. Вопрос в том можно-дли без скрипта ? Можно-ли как-то по косвенным признакам понять ? Например адрес шлюза этот IP адрес есть в ARP...

Так это штатная штука в DHCP клиенте.
А вот "косвенные признаки" ни разу не надежные.
В клиенте переменная $"gateway-address" - содержит адрес шлюза.

Можно ли как-то отфильтрвать directly connected адреса в FW ?

Конечно.

как ?

Фаерволлом же.

Как FW Отличить directly connected ?

)
Мы на микротике вешаем dst-nat на порты tcp/udp1-10000 на внешний интерфейс, и не даём тем самым сурснату их, порты, использовать в паре срсадрес:порт после маскарад (у нас ж адрес меняется) соответственно, не важно откуда у нас придёт пакет на внешний интерфейс микротика, но если он будет 1-10000, то это будет дст в дыру, а если >10000, то попадать в открытый сокет для срсната, ну или не попадать, если сокета не

Они соответсвуют сети, прописаной на интерфейсе.

DHCP же

см. выше. При срабатывании DHCP клиента микртик получает все нужные Вам значения в соответствующие переменные.

Про скрипт я понял

А что тогда Вы не поняли и, как это Вам поможет в изначальной задаче?

Скрипт не хочется городить. Ладно, буду искать другие пути. Спасибо )

Ну, допустим, что такой трюк реализован, Как это поможет внешнему фаервллу отделить входящий пакет, который будет потенциально НАТиться на микротике от того пакта, который микротик примет себе на инпут?

это не то, что нужно Александру?

акцент на "to ports"