Buenas @maxwbr
Código :
/ip firewall mangle 01 add chain=prerouting comment=CNPQ dst-address-list=LINK_NET 02 add chain=prerouting comment="HTTPS LIVRE" disabled=yes dst-port=443 in-interface=REDE protocol=tcp 03 add action=change-ttl chain=forward comment="Filtro Tracert / Traceroute" new-ttl=set:30 protocol=icmp 04 add action=mark-connection chain=input in-interface=GVT new-connection-mark=GVT_CONN 05 add action=mark-connection chain=input in-interface=NET new-connection-mark=NET_CONN 06 add action=mark-routing chain=output connection-mark=GVT_CONN new-routing-mark=GVT_ROUTE out-interface=GVT 07 add action=mark-routing chain=output connection-mark=NET_CONN new-routing-mark=NET_ROUTE out-interface=NET 08 add action=mark-connection chain=prerouting connection-state=new in-interface=GVT new-connection-mark=GVT_CONN 09 add action=mark-connection chain=prerouting connection-state=new in-interface=NET new-connection-mark=NET_CONN 10 add chain=prerouting dst-address=10.10.10.0/24 in-interface=REDE 11 add action=mark-connection chain=prerouting connection-state=new dst-address-type=!local in-interface=REDE new-connection-mark=GVT_CONN per-connection-classifier=both-addresses-and-ports:2/0 12 add action=mark-connection chain=prerouting connection-state=new dst-address-type=!local in-interface=REDE new-connection-mark=NET_CONN per-connection-classifier=both-addresses-and-ports:2/1 13 add action=mark-routing chain=prerouting connection-mark=GVT_CONN in-interface=REDE new-routing-mark=GVT_ROUTE 14 add action=mark-routing chain=prerouting connection-mark=NET_CONN in-interface=REDE new-routing-mark=NET_ROUTE
Sim, aquelas regras são desnecessárias. A questão das regras de input (regras 04 e 05) estão ali só para marcar a conexão, que na realidade já vão ser marcadas ao passar pelo chain prerouting (regras 08 e 09). Como o chain prerouting "acontece antes" do input, apesar das regras estarem abaixo das de input, elas vão "executar" primeiro. É questão do packet-flow, o pacote entra na RB vindo de qualquer lugar, ele primeiro cai no prerouting para ser analisado antes de cair na tabela de roteamento, aqui nesse passo TODAS as regras de prerouting são analisadas, na ordem em que se encontram no mangle, porém, não importa que outros chain tem antes ou pelo meio das regras de prerouting, somente as regras de prerouting serão analisadas. Após passar pelo prerouting ai sim cai no input, e no seu caso, quando o pacote chegar no input ele ja ta com a conexão marcada, não precisa marcar denovo.
Logo após passa pro output, e quando cai no output as decisões de roteamento ja foram tomadas. A routerboard ja decidiu pra qual rota mandar e por qual porta sair. Portanto, marcar a tabela de roteamento do pacote nessa etapa não faz efeito nenhum, a não ser no caso de um pacote que está sendo gerado pela própria routerboard. No caso da própria routerboard gerar o pacote (quando por exemplo você usa a ferramente ping), esse pacote cai direto no chain output, pois não precisa passar pelo prerouting considerando que não é um trafego que está sendo "roteado" pela routerboard, e sim ela mesmo que esta gerando. Mesmo aqui nesse caso não adiantaria você fazer marcação de rota no chain output, pois como disse, o pacote ja passou pela tabela de roteamento. Gerar pacotes na própria routerboard para que usem uma tabela de roteamento específica deve ser feita com as opções da própria ferramenta, o ping por exemplo tem um parametro para especificar o uso de uma routing-table, o que fara que a routerboard use a tabela de roteamento especificada para essa conexão específica.