Ano, RouterOS firewall v Mikrotik zarizenich je stateful.
Zakaz vseho je jednoduchy, proste budete mit ve forward chainu pravidlo DROP (at uz implicitne nebo explicitne).
Povoleni zevnitr ven se typicky dela tak, ze ve forward chainu povoli vsechno co je ze src-interface-lan do dst-interface-wan (zadne konkretni IPv6 adresy explicitne zminovat nepotrebuju, pouzije se ::/0) a zaroven z src-if-wan do dst-if-lan vsechno, co je established, related.
Zpristupneni konkretnich sluzeb v LAN z Internetu pak udelate tak, ze povolite provoz z src-if-wan na dst-address-LAN + vybrany protokol/port.
K tomu obecne doporucuju nefiltrovat ICMPv6 (pozor, je to jiny IP protokol nez ICMPv4).
To vse plati pro forward chain stavoveho firewallu.
Pro input chain je situace slozitejsi, tam se da vic inspirovat tim Mikrotikem. Pokud si treba zakazete ICMPv6 na inputu, bude se vam rozpadat tabulka sousedu.