Есть две стратегии построения фильтра пакетов: Нельзя сказать, что какая-то из стратегий является правильной, а какая-то неправильной. Обе стратегии имеют право на жизнь, но каждая —в определенных условиях.
"всё запрещено что не разрешено" делается следующим образом: 1) разрешающее правило для административного input трафика для доверенных интерфейсов 2) разрешающее правило для административного output трафика для доверенных интерфейсов 3) запрещающее правило для всего forward трафика 4) запрещающее правило для всего input трафика 5) запрещающее правило для всего output трафика Все остальные правила помещаются перед этими правилами. Актуально в равной степени для mikrotik firewall и iptables. Вообще можно сказать что каждая настройка файрвола индивидуальна. И зависит от параноидальности юзера )) А лучше нанять специалиста, который задаст вопросы о требованиях, и исполнит все в лучшем виде. И не стоит рисковать и тратить время на изучение мало понятных вещей и терминов. Но желающие самолично изучить и настроить то что им нужно всего лишь для "базовой" настройки или чуть углубится, тысячи статей и решений, где принцип один и тот же.
