Подскажите по правилам файрвола

Ты знаком с iptables? Если нет, рекомендую прочитать это. Оно старенькое, но общие понятия там до сих пор те же.

Правила применяются в порядке объявления

ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Делаем source NAT для трафика выходящего через ether1

filter add chain=input action=accept protocol=icmp

Разрешаем icmp отовсюду. Нужно в основном для ping, но не только. Лучше не трогать, если не знаешь как зааналить более плотно.

filter add chain=input action=accept connection-state=established,related

Разрешаем пакеты для уже установленных соединений. Соединение здесь - это термин iptables, например они есть для UDP, хотя сам протокол их как бы не имеет.

filter add chain=input action=drop in-interface=ether1

Запрещаем входящий трафик с ether1

filter add chain=forward action=fasttrack-connection connection-state=established,related
filter add chain=forward action=accept connection-state=established,related

Пропускаем транзитные установленные соединения. Что такое fasttrack-connection - хз, скорее всего микротиковская фича.

filter add chain=forward action=drop connection-state=invalid

Соединения, незарегистрированные в conntrack(что это такое - смотри ман, что я тебе выше кинул) или помеченные как «неправильные» - блокируем

filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1

Всё, что не касается проброса портов внутри сети, приходящее с ether1 - блокируем

Как-то примерно так. Анализ делал полагаясь на факт, что микротиковский firewall - это iptables. Если это не так, знатоки Mikrotik - поправьте меня пожалуйста

Что такое fasttrack-connection - хз, скорее всего микротиковская фича.

http://wiki.mikrotik.com/wiki/Manual:Fast_Path

Спасибо. Про Fast path я слышал, но т.к. файрвол в Mikrotik до этого не щупал особо, не распарсил что fasttrack относится к нему

Спасибо огромное. Читаю опеннетовский ман