Encaminhamento de porta 80 e bloqueio de porta

Eu tenho um 750Gl que eu tenho um servidor web por trás. Seu endereço é 10.30.1.70/24.

Eu tive um problema com ele sendo hackeado. Depois de reconstruí-lo e tentar consertar minhas vulnerabilidades, quero ir um pouco além, negando qualquer possível vírus de saída que possa passar no futuro. A maneira mais fácil de descobrir é fechar todas as portas de saída, exceto 53 e 80.

Quero permitir que meu servidor da Web obtenha atualizações, portanto, preciso permitir a porta de saída 80 e 53. Meu servidor da Web também está na porta 80.

Eu tentei algumas maneiras diferentes, mas não consigo fazer nada funcionar corretamente. Eu tentei as configurações abaixo. O primeiro funciona muito bem para bloquear tudo que sai, exceto as portas 80 e 53. Mas usá-lo parece anular minha porta para o mesmo servidor na porta 80. Como posso fazer isso funcionar?

/ip firewall filter
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=udp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=udp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=80
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=80
add chain=forward action=drop

Com um atacante assim:

/ip firewall nat
add action=dst-nat chain=dstnat comment="Access to Webserver NAT Rule" disabled=no \
dst-port=80 protocol=tcp to-addresses=10.30.1.70 to-ports=80

O problema com o que você está propondo é que as conexões para o servidor da web vêm de portas altas aleatórias, não de 80. Então, com isso, não seria possível veicular páginas da Web. Então você está fazendo exatamente o que você precisa para fazer o que você está tentando, mas o que você está tentando fazer é fundamentalmente falho.