Конечно, тема поворяется, но, контекст моей ситуации совсем другой.

Провайдер мне предоставляет два IP-адреса. Адреса выделены из разных сеток (и, соответстенно, имеют разные шлюзы) и привязаны к разным MAC-адресам.

Первый адрес весьма "засвечен", через него ходит пользовательский трафик и различные открытые сервисы типа SMTP со скрытием фингерпринтов.

На второй (не "засвевченый") адрес очень хочется повесить SSH и прочую приватную фигню.

Собственно, как зафорвардить порты вопросов не возникает.
Публиковать второй IP, как я понял, нужно XPublish-ем, чтоб в исходящих пакетах использовался второй MAC.

Не соображу, как мне прописать маршруты. Хелп!

Устройство-то у Вас какое?

Маршруты нужно прописывать через PBR, потому как у устройствоа получается 2 шлюза по умолчанию. Если будете использовать только один, маршрут а вторую сетку только пропишете, что она есть. То ответы будут уходить через дефолтный маршрут с меньшей метрикой. По-этому вам нужно создать альтернативную таблицу маршрутизации(где будет указан второй дефолт) и использовать PBR, чтобы рулить какой трафик куда отправлять. В мануале(1,00) есть пример использования PBR.
Ещё оди хинт, как я понимаю В вашем случае обе сети висят на физическом интерфейсе -- при публикации сервера уже указывается не core, а wan и пинговаться он не будет без соотвествующего проброса.

Посмотрите, что не так:

ARP:
XPublish wan IP_2 MAC_2

IP Rules:
SSH_Service_1 SAT any all-nets wan IP_2 ssh
SSH_Service_2 NAT any all-nets wan IP_2 ssh

Routing Tables / Table_2:
Route wan all-nets Gw_2 IP_2 100 No
Route lan all-nets 100 No

Routing Rules:
SSH_RoutingRule any all-nets wan IP_2 ssh
fw_table = Table_2
ret_table = Table_2

Нет публикации через routing table доп. сети

SSH_RoutingRule wan all-nets any IP_2 ssh

это зачем:
Route lan all-nets 100 No

Пробую:

ARP:
XPublish wan IP_2 MAC_2

IP Rules:
SSH_Service_1 SAT any all-nets wan IP_2 ssh
SSH_Service_2 NAT any all-nets wan IP_2 ssh

Routing Tables / Table_2:
Route wan all-nets Gw_2 IP_2 100 No
Route wan Net_2 - IP_2 100 No

Routing Rules:
SSH_RoutingRule wan all-nets any IP_2 ssh
fw_table = Table_2
ret_table = Table_2

Не получилось...

WAN2NET нужно публиковать в основой таблице.

fw_table = Table_2
ret_table = Table_2
А это (не) будет работать только от условия настройки таблицы.

Извините, но играть тут в "работает" "не работает" у меня нет ни времени ни возможности.
Я дал все рекомендации, такие схемы я реализовывал. Пришлите запрос на емайл, я вышлю Вам мини хау-ту для этой настройки.