Допустим мы хотим чтобы порт 12345 на микротике пробрасывался на сервер внутри локалки на порт 3389 (удаленный рабочий стол). Для этого, как известно, достаточно создать правило в NAT:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=3389 protocol=tcp in-interface=ether1-WAN dst-port=12345 log=no log-prefix=""

Но при этом обычное правило фаервола для порта 12345 не работает. Например, если нужно сделать правило, записывающее в лог все попытки подключения на порт 12345, мы бы сделали так:

/ip firewall filter add chain=forward action=log protocol=tcp dst-port=12345 log=yes log-prefix=""

Но такое правило срабатывать не будет. А происходит это потому, что оно отрабатывается уже после трансляции порта на внутренний сервер. Есть два варианта: либо создать правило chain=prerouting (в /ip firewall mangle), либо создать правило в /ip firewall filter, но для конечного порта, на который мы пробрасываем, т.е. 3389. Ниже оба варианта в примерах:

/ip firewall mangle add chain=prerouting action=log protocol=tcp in-interface=ether1-WAN dst-port=12345 log=yes log-prefix=""

ИЛИ

/ip firewall filter add chain=forward action=log protocol=tcp in-interface=ether1-WAN dst-port=3389 log=yes log-prefix=""