sudo iptables -I OUTPUT -j DROP
sudo iptables -I OUTPUT -d 123.123.123.123 -j ACCEPT
sudo iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -I OUTPUT -p udp --sport 53 -j ACCEPT
sudo iptables -I OUTPUT -o tun0 -j ACCEPTalex@alex-ubuntu:~$ sudo iptables -L -n -v
Chain INPUT (policy ACCEPT 613 packets, 273K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
273 49582 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0
49 5860 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53
59 4355 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
300 76908 ACCEPT all -- * * 0.0.0.0/0 123.123.123.123
132 13444 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Ничего непоянял... кто-куда кому во что стучится... выражайте свои мысли пожалуйста яснее, тут не детский сад...
Если что-то сутчится к заббиксу внутри локальной сети по внутреннему IP, это еще не значит, что снаружи достучится, вопрос не в вашем микротике, возможно, а в роутере, за которым сидит заббикс, вполне возможно что у него нет вообще доступа наружу или по тем портам, что вы пытаетесь пробросить....
И кстати, пробрасывать порты на микротике надо для доступа ВНУТРЬ его локальной сети, для доступа изнутри в куда то ИЗВНЕ пробрасывать обычно ничего не надо...
Если же заббикс находится внутри сети микротика, то все делается одной командой
/ip firewall filter add chain=input action=accept dst-port=XXXX (нужный указать) protocol=tcp \
ну и повыше его передвинуть