Salut,
la fonction nat hardware peux être pénalisante, sur mon R7000/Tomato, le CTF (Cut-Through-Forward) désactive pas mal de fonctionnalité de filtrage/logging.
oui mais c'est aussi le cas sur les firmwares priorio comme EdgeOS d'Ubiquiti, j'ai pas testé sur Mikrotik mais c'est sans doute pareil.
Apres y'a pas de miracle technique si on veut traiter chaque paquet en détail il faut une gros cpu.