Да он как-то глупо выглядел и мог запутать

Я не со зла, честное слово.
Если кратко, то выводы следующие:
- сетевой экран Mikrotik-a работает по принципу "нормально-открытого". Т.е., если нет правил, запрещающих определенные соеднинения, то эти соединения разрешены. Проверял на "настройках с нуля", т.е. открыл вкладу Firewall, удалил все дефлотные правила и добавил свои. Насколько удобен такой принцип -тема отдельного обсуждения
- нет необходимости делать правила для обратного трафика сервер --> клиент (например, SYN ACK) . Если разрешен трафик типа
Код: Выделить всё
chain=input, connection state=new, in-interface=lan
chain=input, connection state=established, related, in-interface=lan
и явным образом не запрещен трафик типа
Код: Выделить всё
chain=output, connection state=established, related, out-interface=lan
то будет работать.
Отдельно скажу, что если за рутером нет публичных сервисов (Web, почта и пр.) то имеет смысл
запретить исходящий из wan трафик типа established, related
Код: Выделить всё
chain=output, connection state=established, related, out-interface=wan
это немного паранойя, но такого трафика там быть не должно
В принципе, это повторяет стертое мною предыдущее сообщение, просто изложено в более адекватном виде.
С уважением