Андрей

DHCP клиенты обязаны с периодичностью, которая была задана в момент первичного leasing-а адреса, переуточнять у сервера, могут ли они дальше использовать выделенный им IP-адрес. Вот эта активность и составляет большую часть Вашего лога.

Если известен MAC, смотрите на роутере ARP (show arp table) непосредственно после скана всего диапазона DHCP

Учебники для подготовки к сертификатам CCNA/ICND

Не может ли быть ошибки в настройках NAT для сети 172.16.4.0/24 на Linux-сервере ?
И попробуйте для контроля "картинки" пинг до Яндекса с Микротика но с внутреннего интерфейса SRC_IP=172.16.4.1 ?

stateless : пропустит любой входящий из интернета UDP пакет с source 53/udp (чем активно пользуются при сканировании)
statefull : пропустит только пакет от того DNS-сервера, к которому изнутри Вашей сети не ранее чем 5 минут назад был отправлен запрос

stateless : пропустит любой входящий TCP-пакет с флагом ACK с source портом из диапазона серверных разрешенных Вами ранее
statefull : пропустит только ответный пакет от того сервера, с которым кто-то изнутри Вашей сети сейчас ведет TCP-диалог

(все вышеприведенные примеры - утрированы)

Я бы предложил 9600, 8 (data), 1(stop), none(parity), none(flow-control)
но на d-link faq советуют 9600, 8, 1, none(parity), hardware(flow-control)