Fess

Первый же вопрос - а что, если повредят одну жилу на гигабитном кабеле? Он заведётся на 100mbps и всем, кто окажется в этом кабеле придётся потесниться.
Если есть возможность, то стоит выделить пару витух под эту схему(основная и холодный/горячий резерв), а остальные дербанить на своё усмотрение.
Ещё лучше, если со стороны серверной воткнуть ещё один управляемый коммутатор, который сумеет по LACP, к примеру, поднять соединение с основным коммутатором и задействовать все кабеля как магистральные, а оставшиеся свободные порты можно будет использовать под вновь накупленное оборудование в серверной. Это ж не последние железки, которые там появятся?

Для истории wiki.mikrotik.com/wiki/Bruteforce_login_prevention

Сложное для новичка, но очень мощное решение:
wiki.mikrotik.com/wiki/Manual:IP/Traffic_Flow
Это только механизм сбора статистики со стороны железа. Из статьи видно, что микротик поддерживает 3 версии: 1, 5, 9. 9-я самая "тяжёлая" в плане объёма собираемой информации, но и самая подробная, само собой. Если народу за микротиком сидит не много, то есть смысл пощупать 9-ю версию со всеми полями, что она предоставляет.
После отгрузки flow'сов, вам понадобится пакет для анализа этой статистики. Пакетов-анализаторов полно. Вот пример использования одного из них: mikrotik.axiom-pro.ru/articles/netflowanalyzer.php
Могу сказать, что многие провайдеры пользуются этой технологией для детализации трафика. На железках разных производителей.
https://ru.wikipedia.org/wiki/Netflow

vvchumanov: Ваш конфиг, что указан в коментариях, больше вопросов добавляет.
Приведите полный конфиг: /export hide-sensitive команда спрячет чувствительные данные из экспорта.
Не режьте вывод, иначе сложно догадаться, что вы вырезали из него, а что должно было быть, но отсутствует по какой-то причине.

• В блок-листе уже более 16к url'ов.
  
• Layer-7 будет обрабатывать КАЖДЫЙ пакет не самым шустрым CPU, на котором уже накручено шифрование VPN.
  

Предлагаю Вам рассмотреть другой вариант маршрутизации закрытых ресурсов.
К примеру, резолвить ip всех хостов, объединять их в подсети и импортировать эти подсети для маршрутизации в микротик.

У маршрутизатора есть ftp, так что можно вынести сложную логику за его пределы и закидывать результирующий файл на роутер для скармливания по крону.

Вам же не нужна маршрутизация одной страницы типа ya.ru/1.html через VPN а ya.ru/2.html через своего провайдера? Это было бы невероятно расточительно, с точки зрения ресурсов CPU.

Моя версия fail2ban

#fail2ban-server -V
Fail2Ban v0.9.3

в файл /etc/fail2ban/jail.local добавить:

[minecraft]
filter   = minecraft
enabled  = true
logpath  = full_path_to_minecraft_logs
bantime  = 3600
findtime  = 60
maxretry = 3

[minecraft] - название файла-фильтра (minecraft.conf), либо (если назвали секцию как-нибудь произвольно), используем директиву filter;
filter - указывает название файла-фильтра( в нашем случае minecraft.conf) без расширения;
findtime и bantime в секундах;
maxretry - количество вхождений строки в лог;
logpath - полный путь к файлам логов. Можно использовать * и ? как знаки-подстановки.

В файле-фильтре /etc/fail2ban/filter.d/minecraft.conf пишем следующее:

[Definition]
failregex = \[INFO\] \[\/<HOST>:\d+\] <-> InitialHandler has connected$
ignoreregex =

-----------------------------------------------
Правила, используемые вашей версией fail2ban зависят от версии питона, используемого на системе.

#python -V
Python 2.6.6

Документация на модуль регулярных выражений python 2.7: https://docs.python.org/2/library/re.html
Учитывайте, что флаг re.MULTILINE уже используется в fail2ban. Т.е. знаки ^ и $ матчат начало и конец строки.

Нюансы написания фильтров для fail2ban: www.fail2ban.org/wiki/index.php/MANUAL_0_8#Filters

Инструменты для проверки регулярный выражений:
https://regex101.com/#python
https://www.debuggex.com/
Рекомендую первую ссылку.

Принцип простой:

• Указали язык регулярок python
  
• Текст для примера (логи), который хотим разобрать регулярками
  
• В поле для регулярных выражений пишем регулярку и, по мере набора регулярки, смотрим, как матчится регулярка на наш текст.
  

Для примера(на первом ресурсе):

• в поле текста забейте свои логи
  
• в поле gmixsu напишите gm (это аналог служебных флагов для выражения, вроде re.MULTILINE в python'е)
  
• в поле регулярки забиваем [0-9] - выделит все цифры как отдельные элементы. Значения элементов выражения смотрим в подсказках.
  
• Добиваем регулярку до вида: [0-9]+ - имеем 4 цифры как отдельные элементы: т.е. ip 192.168.0.1 разбивается на элементы 192, 168, 0 и 1
  
• Точка в регулярках - спец. символ. Мапится в любой один знак. Экранируем его, ибо ищем точку, а не любой символ, иначе символ _ в строке 192_ так же попадёт под выражение.
  
• Итого, приведём выражение к виду [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+. Сразу понятно будет, что этим выражением выделим все ip адреса в логах.
  

Снимите флаг g в примере(поле gmixsu ;)) и напишите регулярное выражение заново. По мере набора, будет понятно, зачем конструкция [0-9]+\. повторяется несколько раз в итоговой регулярке.

Данное выражение можно построить и более изящно, но на первом этапе важно понимание работы регулярок. Потом можно будет строить и более сложные выражения.