A ty ostatní adresy jsou také přidělované providerem? Pokud je chcete NATovat, tak musí "fyzicky" být na nějakém rozhraní toho mikrotiku. Jak by jinak věděla vnější síť, kam ten který provoz narvat? Jo, a co se source NATu týče, tak Masquerade by mělo být jako poslední pravidlo, aby fungovala ta ostatní.