Você pode criar 2 regras adicionais de NAT para TCP / UDP. Defina o primeiro para corresponder aos pacotes TCP que saem para a WAN e defina a ação para src-nat
; Em seguida, especifique o endereço público e o intervalo de portas corretos. Faça o mesmo para o UDP e, em seguida, use a regra de mascaramento padrão para capturar qualquer outra coisa.
Ele não usará portas abertas para NAT, e embora eu não saiba o intervalo de portas exato que ele usa, ele certamente não usará números de porta baixos como 22/23. Não tenho certeza se é inteligente o suficiente para evitar automaticamente as portas nas quais você tem dst-nat
regras definidas.