Aplicar apenas em roteadores que não fazem NAT (ex.: Concentradores).
Os prefixos que precisam passar pela conntrack, deve ser adicionados na lista de exceção BYPASS-NOTRACK-GERAL.
/ip firewall raw add action=accept chain=prerouting comment=!::BYPASS-NOTRACK-GERAL-DST-LIST dst-address-list=BYPASS-NOTRACK-GERAL dst-address-type=local
/ip firewall raw add action=accept chain=prerouting comment=!::BYPASS-NOTRACK-GERAL-DST-LOCAL dst-address-type=local
/ip firewall raw add action=notrack chain=prerouting comment=!::NOTRACK-GERAL disabled=yes
#