Файрвол IP обходится, когда источник — 0.0.0.0.

Если это почему-то сделано намеренно, то это не задокументировано, и это должно быть сделано. Пакеты с исходным IP-адресом 0.0.0.0 обходят IP-файрвол, но их можно увидеть (и отфильтровать) в файрволе Bridge. Когда это происходит, например: DHCP-переговоры, Mikrotik MAC-Telnet между Winbox и роутером. Как это воспроизвести? Используйте внешний DHCP. Создайте правило в исходящей цепочке. Установите протокол на UDP и целевой порт на 67. Установите целевой объект на log. Это должно перехватить DHCP-запрос. Создайте DHCP-клиент на (не-bridged) интерфейсе. И вы увидите, что эти пакеты не проходят через эту исходящую цепочку!! Но если вы создадите аналогичное правило в файрволе Bridge на интерфейсе Bridge с DHCP-клиентом, то будет срабатывание. То же самое касается протокола MAC-Telnet, используемого для подключения Winbox к Mikrotik на основе MAC-адреса. Это интересно, потому что можно было бы предположить, что все пакеты без исключения проходят входящую и исходящую цепочки файрвола, если они исходят или предназначены для роутера. Я использовал RouterOS 6.7. Я нашел обсуждения, описывающие тот же эффект, уже несколько лет назад. Поэтому будьте в курсе и, возможно, вы найдете больше примеров. Всегда есть обходные пути…