Нестандартный порт ставите в NAT
А все остальное в FW , если сканируется порт 3389, добавляет в ACL , после этот же ACL дропаете.
Второй вариант, это VPN,
Третий вариант, это RDP шлюз и порт 443 или кастомный.
Это вам кастомный порт
[mkr@mkr-gw] /ip firewall nat> add chain=dstnat protocol=tcp in-interface=ether1 port=33389 action=dst-nat to-addresses=192.168.192.
168 to-ports=3389
тут добавил в ACL и блочим
//Блочим всех кто в списке
[mkr@mkr-gw] /ip firewall filter> add chain=input address-list=block action=drop
//Добавим в список того, кто по новым соединениям собрался на 3389
[mkr@mkr-gw] /ip firewall filter> add dst-port=3389 connection-state=new in-interface=ether1 action=add-dst-to-address-list address-
list=block chain=input
