ここ最近、firewall-filterのお話をツイッターで上げております。
下記にfilterの設定を掲載しておきます。
Interfaceは別途利用している名前に変更してください(PPPOE-OUT等へ)


/ip firewall filter
add action=accept chain=input comment="accept-from nict-ntp" dst-port=123 log-prefix="" protocol=udp src-address=133.243.238.163
↑特定のntpサーバからの通信を透過させます。アドレスは使用ntpに合わせて変更を。
↓以下、filterでDrop、並びにポートスキャンブロックの設定

add action=drop chain=input comment="Block NTP" dst-port=123 log-prefix="" protocol=udp
add action=drop chain=input comment="Block_inbound DNS" dst-port=53 in-interface=bridge1 log-prefix="" protocol=tcp
add action=reject chain=input comment=Block_ICMP in-interface=bridge1 log-prefix="" protocol=icmp reject-with=icmp-network-unreachable
add action=drop chain=input comment=Block_inbound_ftp dst-port=21 in-interface=bridge1 log-prefix="" protocol=tcp
add action=drop chain=input comment=Block_inbound_ssh dst-port=22 in-interface=bridge1 log-prefix="" protocol=tcp
add action=drop chain=input comment=Block_inbound_telnet dst-port=23 in-interface=bridge1 log-prefix="" protocol=tcp
add action=drop chain=input comment=Block_inbound_DNS dst-port=53 in-interface=bridge1 log-prefix="" protocol=udp
add action=drop chain=input comment=Block_inbound_webU dst-port=80 in-interface=bridge1 log-prefix="" protocol=tcp
add action=drop chain=input comment=Block_inbound_webU dst-port=8080 in-interface=bridge1 log-prefix="" protocol=tcp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " in-interface=bridge1 log-prefix="" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" in-interface=bridge1 log-prefix="" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" in-interface=bridge1 log-prefix="" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" in-interface=bridge1 log-prefix="" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" in-interface=bridge1 log-prefix="" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" in-interface=bridge1 log-prefix="" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" in-interface=bridge1 log-prefix="" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" in-interface=bridge1 log-prefix="" src-address-list="port scanners"


いつも書いているFireWallのDrop設定だとlogに流れて実際にどこのIPから
攻撃を受けたのかわかりづらい物です。

そこで、DropListを作成して、そこへアタッカーのIPを登録させて、
Dropさせる事で相手のIPをわかりやすくできます。

では、FilterにDrop-Addressというアドレスlistを作成します。

IP->Firewall->Filter Rule

[General]
Chain:input
InInterface:Bridge1 ←任意のInInterfaceを指定してください。
[Advance]
SrcAddressList:Drop-Address ←任意 DropList名
[Action]
Action:Drop
log:チェック ←任意


あとは、遮断したいフィルターを任意にこのDropListへアクションを設定する事で、
DropさせるアドレスをアドレスListへ追加させ、Drop処理を行えます。

例:ntpポートへのアクセスをDropListで遮断させる

[General]
Chain:input
Protocol:UDP
DstPort:123

[Action]
Action:add src to address list
AddressList:Drop-Address ←先に作成したDropListを選択
Timeout:14d 00:00:00 ←検知してから14日間遮断
Log:チェック ←任意

これで、UDP 123へ対してのアタックを検知した場合、
アタックアドレスをDrop-Listへ追加して14日間遮断されます。

Filterは色々なフラグを条件に設定が可能です。
また、遮蔽時間を任意に設定できるので、Blockしたままで解放を忘れる
といった事象を避ける事ができます。

また、アタッカーのIPを抜きたい時は、
コンソールから、
/ip firewall address-list print
で表示する事が出来ます。

[admin@MikroTik] > ip firewall address-list print
Flags: X - disabled, D - dynamic
 #   LIST               ADDRESS                                CREATION-TIME        TIMEOUT            
 0 D drop-address       209.126.136.2                          dec/26/2016 02:36:18 1w6d23h17m25s      
 1 D drop-address       195.39.163.35                          dec/26/2016 02:40:24 1w6d23h21m32s      
 2 D drop-address       220.132.55.252                         dec/26/2016 02:42:17 1w6d23h27m48s      
 3 D drop-address       203.162.235.234                        dec/26/2016 02:43:17 1w6d23h24m24s      
 4 D drop-address       82.81.63.161                           dec/26/2016 02:45:51 1w6d23h41m41s      
 5 D drop-address       46.118.37.83                           dec/26/2016 02:46:33 1w6d23h27m41s      
 6 D drop-address       180.254.63.84                          dec/26/2016 02:48:14 1w6d23h29m22s      
 7 D drop-address       78.187.45.98                           dec/26/2016 02:50:23 1w6d23h31m31s      
 8 D drop-address       124.161.145.86                         dec/26/2016 02:50:51 1w6d23h31m59s      
 9 D drop-address       77.46.122.27                           dec/26/2016 02:50:57 1w6d23h32m4s       
10 D drop-address       138.186.13.148                         dec/26/2016 02:51:26 1w6d23h32m34s      
11 D drop-address       175.15.161.182                         dec/26/2016 02:51:47 1w6d23h32m55s      
12 D drop-address       222.185.30.91                          dec/26/2016 02:52:17 1w6d23h33m25s      
13 D drop-address       187.159.133.154                        dec/26/2016 02:53:35 1w6d23h34m43s      
14 D drop-address       178.223.218.226                        dec/26/2016 02:54:03 1w6d23h35m11s      
15 D drop-address       171.226.40.70                          dec/26/2016 02:56:20 1w6d23h37m28s      
16 D drop-address       187.161.229.156                        dec/26/2016 03:00:15 1w6d23h41m22s      
17 D drop-address       177.6.219.212                          dec/26/2016 03:00:18 1w6d23h41m26s      
18 D drop-address       85.109.189.108                         dec/26/2016 03:01:21 1w6d23h42m29s      
19 D drop-address       109.162.120.170                        dec/26/2016 03:03:27 1w6d23h44m35s      
20 D drop-address       113.186.131.40                         dec/26/2016 03:05:32 1w6d23h46m40s      
21 D drop-address       189.126.181.9                          dec/26/2016 03:09:40 1w6d23h50m48s      
22 D drop-address       14.177.44.184                          dec/26/2016 03:10:21 1w6d23h51m29s      
23 D drop-address       190.92.35.116                          dec/26/2016 03:10:48 1w6d23h51m56s      
24 D drop-address       14.184.52.19                           dec/26/2016 03:11:39 1w6d23h52m47s      
25 D drop-address       5.248.76.81                            dec/26/2016 03:15:40 1w6d23h56m48s      
26 D drop-address       117.5.193.188                          dec/26/2016 03:18:41 1w6d23h59m49s      
27 D drop-address       58.210.157.154                         dec/26/2016 03:18:41 1w6d23h59m49s      

[admin@MikroTik] >

これをベースにアタック国識別スクリプト等も面白そうです。

ちなみに、CLIの使い方になりますが、このPrintをファイルへ出力したい場合は

/ip firewall address-list print file=address-list

これでフォルダへaddress-listというファイルが生成されますので、
それを抜いて活用できます。