ну и "заодно", так сказать. Вам так же нужно сделать:
1. Закрыть NTP
/ip firewall filter add chain=input action=drop connection-state=new protocol=udp in-interface=ether1 dst-port=123 log=no log-prefix=" "
/ip firewall filter add chain=input action=drop connection-state=new protocol=tcp in-interface=ether1 dst-port=123 log=no log-prefix=" "
2. Перейти в IP Services и там выключить лишнее, оставив, скажем, www и winbox
3. На цепочку инпут со стороны внешнего интерфейса повешать правило с connection state established, а остальное drop ровно как в статье
wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router
add chain=input connection-state=established action=accept comment="accept established connection packets" disabled=no in-interface=ether1
add chain=input connection-state=related action=accept comment="accept related connection packets" disabled=no in-interface=ether1
add chain=input connection-state=invalid action=drop comment="drop invalid packets" disabled=no in-interface=ether1
