В forwarding-е разрешить трафик на этот хост, или вообще во внутреннюю сеть, плюс все established соединения.
В консоли
# это уже сделано:
/ip firewall nat
add action=dst-nat chain=dstnat comment=for_tcp_3998 dst-address=_white_ip_ dst-port=3998 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.0.x
# например, разрешим форвардинг просто в сторону сетки
# как один из вариантов
/ip firewall filter
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=forward in-interface=ether1-gateway out-interface=bridge-lan connection-state=new
add action=accept chain=forward in-interface=bridge-lan out-interface=ether1-gateway connection-state=new
### другие правила ###
add action=drop chain=forward log=yes log-prefix=DROP_FORWARD_