-A INPUT -p tcp -m tcp --dport 8291 -j LOG --log-prefix "MIKROTIK: "
Не сработает, потому что этот трафик попадёт в FORWARD, а не в INPUT.
Если замените в этом правиле INPUT на FORWARD, то оно будет работать.
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j SNAT --to-source 10.0.1.4
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j MASQUERADE
Второе из этих двух правил не может сработать, потому что срабатывает первое. Уберите первое, оставьте только MASQUERADE, и есть шанс, что заработает, как надо. Возможно, Микротик не знает маршрута до 10.0.1.4 (если вы не прописали такой маршрут).
