Postado originalmente por
catvbrasil
Vixe!!!
O firewall realmente é um só, mas no Mk ele é dividido em 3 partes independentes.
O filter (filtro) trabalha basicamente como proteção primária da rede. Nele de forma básica é utilizado para aceitar ou negar pacotes. (ponto)
O NAT é onde realizado o NAT mesmo, bem como os redirecionamentos baseados na origem ou no destino dos pacotes.
O Mangle é um marcador de pacotes. Nele podemos alterar algumas caracteristicas dos pacotes como mms, mmu, ttl e etc.
As service ports são auxiliares do nat que serve basicamente para compatibilizar alguns protocolos e serviços com o nat.
O connection tracking mostra os estados de todas as conexões e só é disponível quando o firewall opera em "state full"
O address-list do firewall, basicamente serve para criar listas com ips (baseado em endereços de origem / destino)
Layer7 está relacionada a regex do protocolo 7. Serve para criar combinações de regras em outras partes.
Veja que é bem simples o firewall e todas e cada função funciona independente uma da outra. Afirmar que filter só funciona com nat ou mangle ou vice-versa está errado. O que podemos afirmar é que dependendo do que você usa, provavelmente irá depender das abas auxiliares. Exemplo, podemos criar uma regra na aba filter do firewall, utilizando uma regex colocada na aba layer7 do firewall (nesse caso um dependerá do outro).
Lembrado que de nada serve as marcações colocadas no mangle caso não estejam sendo utilizadas em outros cantos (assim como as regex do layer7 e as listas da address-list).
PS: Regras dinâmicas não são consideradas perfeitas, mas sim necessárias. As regras do hotspot aparecem dinâmicamente quando configurado o hotspot, para facilitar a vida de quem configura. Isso foi implementado pela Mikrotik visando facilitar as configurações, pois imagina você ter que configurar cada uma daquelas regras manualmente para habilitar o hotspot. Muitos teriam problemas...