Разница между цепочками INPUT, OUTPUT и FORWARD в MikroTik заключается в том, за какой тип трафика они отвечают: 15

1. INPUT — отвечает за фильтрацию трафика, который направлен на сам роутер. 5 Сюда попадает, например, WinBox, SSH, WebFig, ping, VPN и другой трафик, предназначенный роутеру. 1 У входного трафика не может быть исходящего интерфейса — он обработается внутри роутера и никуда дальше не полетит. 1
2. OUTPUT — применяется к пакетам, которые исходят от самого роутера. 5 Это могут быть ответы на трафик, пришедший в INPUT, или новые пакеты от роутера (пинг, VPN, SSH-сессия с самого роутера). 1 У выходного трафика не может быть входящего интерфейса — этот трафик генерируется самим роутером. 1
3. FORWARD — обрабатывает пакеты, проходящие через роутер. 5 Сюда попадает, например, трафик из локалки в интернет, из интернета в локалку, из одного VLAN локалки в другой. 1 У трафика в FORWARD всегда есть входящий и исходящий интерфейсы. 1

Считается, что правила внутри таблиц файрвола MikroTik лучше упорядочивать по цепочкам: сначала — правила INPUT, затем — FORWARD, в конце — OUTPUT. 1