Когда-то нашёл на просторах интернета правила фаервола (firewall) роутера микротик для защиты от сканирования портов и ддос атаки. Спустя пользования долгого времени данные правила отлично себя показали. Не буду как говорится тянуть кота за ... =) Визуально правила выглядят так:  Ниже на скриншоте видно, что правила прекрасно работают...

Написал скрипт который ищет в логах неудачные попытки авторизации вида: login faillure for user и добавляет адреса с которых эти попытки сделаны в address-list BlackList. Получается банит ssh, https, http, winbox, dude и т.д. Чтобы забанить эти адреса нужно в firewall добавить правило которое блочит эти адреса, а так же в планировщике задать запуск по расписанию, конкретно для этого скрипта нужно запускать каждые 6 минут /ip firewall raw add action=drop chain=prerouting comment="BlackList Drop All"...