Základní strategie je zakázat všechno a povolit jenom ty spojení / porty, které potřebuješ. Pravidla se zpracovávají V POŘADÍ, V JAKÉM JSOU NAPSANÁ (dají se přetahovat myší nahoru/dolů). Tedy obecně nahoře musí být zákazové výjimky (když na tebe z nějaké adresy někdo útočí a chceš ho odstřihnout...) pod nimi povolení výjimek a dole pod nimi zakázání všeho.Dále máš tři chainy: input, forward, output.Input: to jsou spojení, která končí přímo v Mikrotiku. Takže v tomto chainu povolíš například příchozí spojení na VPN-server, který by běžel přímo na Mikrotiku a pak zakážeš všechna nová připojení, která přicházejí z WANForward: To jsou spojení, které Mikrotik přijme, zpracuje a posílá dále ("port forwarding"). Takže v tomto chainu povolíš například příchozí spojení z WAN portu na portu ABC (optimálně, když je to možné, s omezením na některé veřejné IP-adresy, když nechceš, aby na port útočil kdejaký robot). Následně zakážeš vše. Tedy v tomto chainu povolíš příchozí porty na ten tvůj Synology, pokud má být dostupný z internetu.Output: spojení, která generuje Mikrotik. Sem jsem myslím ještě nic nepotřeboval psát.Toto jsou nejzákladnější principy a jakmile je pochopíš, začnou se ti všechny návody z internetu skládat do uceleného obrázku.