Přesně tak jak povídal skrebon. Všechny ICMP pakety to pošle do další větve (chain), kde se pak dále s něma pracuje. Nemusí se to tak dělat, a dát vše do imput či forward ale takhle je v tom větší pořádek a přehled.
V demu tam řeší aby nedošlo k zahlcení Mikrotiku ICMP pakety
add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept comment="0:0 and limit for 5pac/s" disabled=no
add chain=ICMP protocol=icmp action=drop comment="Drop everything else" disabled=no
Propustí to vlastně jen 5 paketů za sekundu a zbytek to zahodí. Co jsem zkoušel tak 6× ping na IP Mikrotiku propustí vše, při sedmém už se začnou některé zahazovat.