Последние два похожи на работающий NAT. 443 - веб-сервер Микротика, 8291 - Winbox (программка для управления микротиком), 2000 - см. описание.
Почему бы в фаерволле не открыть те, которые нужны, а остальные закрыть? Тогда и разбираться не придется.
Для вас это будет выглядеть как-то так (не тестировал, пишу по памяти):
/ip firewall filter
add chain=forward src-address=локальная подсеть
add chain=input protocol=tcp dst-port=22,1723
add chain=input protocol=gre
add chain=forward protocol=tcp dst-port=3389 dst-address=адрес терминального сервера
add chain=input action=drop
add chain=forward action=drop
1. Разрешаем локальным хостам ходить в интернет. Здесь открыто всё, я обычно открываю только http и https, остальное при необходимости.
2. Разрешаем входящие соединения 1723 (pptp) и 22 (управление Микротиком по SSH). Использовать стандартный порт, кстати, небезопасно, но
вот тут подсказали очень крутую штуку.
3. Для PPTP еще нужен протокол GRE
4. Доступ по RDP к терминальному серверу, или что там у вас.
5. Все остальные входящие отбрасываем
6. Все остальные маршрутизируемые (через NAT, например) тоже.