Aproveitando a dica de um amigo, resolvi compartilhar um link que auxilia na geração de regras de firewall (incluindo geolocalização) para roteadores Mikrotik. Aliás, se você almeja dominar a lógica de firewall deste roteador, sugiro buscar diferentes fontes pesquisa sobre o netfilter do Linux (iptables).

Em relação ao fluxo de filtragem, já compartilhei um artigo introdutório.

– Confiram o wizard para roteadores Mikrotik:
https://mikrotikconfig.com/firewall/

Particularmente, não entendi porque não optaram pelo suporte a biblioteca padrão geoip, disponível na maioria das distribuições do Linux. Seria mais vantajoso, inclusive para manter a base de dados atualizada e sintaxe de configuração mais amigável.

Parece tolice inicialmente, mas, nos firewalls que administro, precisei criar um script para atualização semanal. Com o esgotamento de endereços IPv4 (por exemplo), vem ocorrendo uma redistribuição de blocos com grande frequência. Dependendo do tipo de filtro, a dor de cabeça será certa.