Сел тестировать и есть новая информация.
Попробовал создать ещё правила, в которых в качестве первоночальной цели для интерфейса указан не зенчал (в этом случае он должен на все адреса работать), а конкретный IP... и так для всех почтовых серверов. Включил поочерёдно ведение логов для интересующих правил, чтобы посмотреть какое из них работает, а какое нет.
ИТОГ:
- Срабатывает на всех правилах, но не всегда!
- Добавление дополнительных правил уменьшило "дырявость" поскольку если не сработает первое, то следом идёт ещё одно такое-же правило и с определённой вероятностью сработает второе. Короче шанс проскочить уменьшается с увеличением числа настроенных фильтров.
- Шанс срабатывания при указании конкретного IP ощутимо выше (редкие пропуски)! Тоесть лучше настраивать редирект каждого IP по отдельности, а не кучей (а-ля на зенчал).
Всё это здорово, но почему же не достаточно один раз настроить условие? Что это за лажа такая и от чего зависит? Может влияет то, что настроено много сетевух, внутренних и внешних, а зенчал в реальности способен нормально обслужить только простой вариант "одна наружу - одна внутрь"? А балансировку видать сделали по приколу, чтобы запутать в конец (всёравно в реальности не применимо).
Теперь вот начинаю сомневаться в надёжности остальных редиректов. Если так же "через раз" срабатывает боевой проброс портов то я иду искать другое решение для роутера.