Написал скрипт который ищет в логах неудачные попытки авторизации вида: login faillure for user и добавляет адреса с которых эти попытки сделаны в address-list BlackList. Получается банит ssh, https, http, winbox, dude и т.д. Чтобы забанить эти адреса нужно в firewall добавить правило которое блочит эти адреса, а так же в планировщике задать запуск по расписанию, конкретно для этого скрипта нужно запускать каждые 6 минут /ip firewall raw add action=drop chain=prerouting comment="BlackList Drop All"...