чем больше статик-лист тем больше тупить начнёт потом МТ

золотые слова....

Покажите правило или набор, которые блэклистят хосты, @Mikhail_31

я это к тому, что если там тарпит, например, одно из действий, снаружи это выглядит как открытый порт.

да блеклист то я могу отклучить чтоб по времени их блокировало

имхо, эти эксперименты с блэклистами и тарпитами - пустая трата времени и ресурсов.
Когда есть сервисы, которые нельзя не открывать наружу, лучше их защищать Fail2Ban, всё остальное - просто не открывать.

add action=add-src-to-address-list address-list=banlist_winbox address-list-timeout=none-static chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage_3
add action=add-src-to-address-list address-list=winbox_stage_3 address-list-timeout=5m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage_2
add action=add-src-to-address-list address-list=winbox_stage_2 address-list-timeout=2m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage_1
add action=add-src-to-address-list address-list=winbox_stage_1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp

add action=drop chain=input dst-port=8291 protocol=tcp src-address-list=banlist_winbox

пока я не вижу тут правила, запрещающего 8291 снаружи для всех.

add action=drop chain=input dst-port=8291 protocol=tcp src-address-list=banlist_winbox   - входящие на этот порт дропаются и отправляются в бан лист

и не вижу, чтобы вы указывали интерфейс входящий. Т.е. возможен сценарий, когда вы себя сами забаните, подключившись несколько раз из локалки )

дропаются при условии, что они уже в адрес-листе banlist_winbox

просто переведите команды на русский язык в блокноте, сразу станет понятно что не так

ну щас добавим входящие

должно быть достаточно, если есть правило, запрещающее всё снаружи и нет выше него правила, разрешающего 8291.

не забудьте, что выше должно быть два разрешающих правила: established,related и dst-nated

+ icmp (под дроп invalid)

честно говоря, дефолтовые настройки FW совсем не плохи, @Mikhail_31 )

Подкажите, что-то глюк какой то с DNS. В общем пытался сбросить кеш, я так понимаю в IP->DNS->Cache->Flush cache
Короче, домен раньше работал через CloudFlare. Но уже как дня три на другом серваке, там и dnssec и прочая фигня.
На микротике DNS от провайдера по DHCP - 2а адреса
Делаю на своем компе -
nslookup mydomain.com первый_ip_dns_провайдера - Показывает новый сервак
nslookup mydomain.com второй_ip_dns_провайдера - Показывает новый сервак

Делаю на микротике и на компе ping mydomain.com - Пингует cloudflare!! ((
Уже микрот перезагружал, не пойму как ему сбросить кеши

С мобилы и других провайдеров, сайт открывается с нового сервака без проблем

Да даже делаю dig mydomain.com, вижу нормальные A записи с новым IP, пингую - пингует другой адрес