YgrecK, если есть подозрения - слить конфиг, сделать natinstall, залить частями обратно, отключив подозрительное.
Далее наблюдать откуда придут жалобы.
Кстати по RB2011 помойка плачет, понаблюдай за CPU, если стабильно больше 50% - меняй на RB5009.
Shady, где план сети? Требования?
L3 внутри коммутатора будет аппаратный. Правила firewall его опускают до мощностей cpu.
За L3 ставится маршрутизатор для других сетей (интернет, туннели, нат)
Если нужен firewall на L3 коммутаторе, то смотреть в сторону Huawei, где acl не срезает скорость.
На микроте можно так же попробовать acl в свитч чипе, но его возможности ограничены.
Над
add action=accept chain=forward dst-address=172.30.0.0/24 src-address=\
10.0.0.0/24
добавь
add action=accept chain=forward comment="accept est, rel, untr" connection-state=established,related,untracked
Более 1 бриджа на микроте - это уже колхоз. Делай 1 бридж, а на нем вланы