Здравствуйте! Ваш фаервол достаточно полон, но немного не оптимален. Обратите внимание, fasttrack у Вас относится к etsablished и related подключениям (что абсолютно верно), а в input для этого два правила. Их можно свести в одно. Под правилом fasttrack техподдержка микротик рекомендует добавить точно такое же правило с действием accept для тех пакетов, которые идут по slowpath. Invalid'ы дропаем, тут всё верно. А дальше Вы немного нагромоздили. Если микротик не запрещает что-то в фаерволе – значит, трафик разрешён. Поэтому разрешение lan-wan – лишнее. Чтобы защититься от попадания в Вашу локалку можно использовать параметр connection-nat-state. Если у Вас более одного wan-интерфейса – сделайте interface-list и добавьте их туда, если один – это не обязательно. А правило такое:
/ip firewall filter
add chain=forward in-interface-list=WANs connection-nat-state=!dst action=drop
Этим правилом Вы защищаетесь от попыток маршрутизации в Вашу локалку. При этом, если Вы пробрасываете порты с помощью dst-nat, проброс произойдёт. Интерфейс-лист можно заменить на in-interface=<имя одного wan>.
А Ваши jump'ы – это избыточное, хотя не неправильное решение.
