Я могу посоветовать использовать следующую цепочку в файерволе:

/ip firewall filter

add action=jump chain=input comment="sshbruteforces chain" connection-state=\
    new dst-port=22 jump-target=sshbruteforces protocol=tcp
add action=drop chain=sshbruteforces comment="drop ssh brute forcers" \
    src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new \
    src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=sshbruteforces connection-state=new
add chain=sshbruteforces dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" disabled=\
    no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add chain=sshbruteforces dst-port=22 protocol=tcp connection-state=new
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist

Ко мне тоже постоянно ломятся, это ботнет. Первое правило разместите над запрещающим input правилом. Остальные - неважно куда, на них будет произведён jump (это снижает нагрузку на процессор). Работает так: если в течение минуты с одного IP производится более 3х попыток входа - данный IP блокируется на 10 дней.
Данная цепочка подходит тем, кто не хочет менять стандартный порт SSH и нуждается в доступе с любого ip-адреса. Так же можно настроить port-knocking, но это немного сложнее, приходится использовать дополнительный софт
UPDATED Немного обновил и оптимизировал цепочку. Суть осталась прежней

/ip firewall filter add chain=forward connection-state=established,related action=fasttrack-connection
/ip firewall filter add chain=forward connection-state=established,related action=accept

/ip firewall filter add chain=forward in-interface=all-ppp dst-address=!192.168.1.100 action=drop

либо

/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=!192.168.1.100 action=drop

Не забудьте разместить правило в правильном месте в фаерволе.

/ip firewall filter
add chain=forward src-address=10.10.10.10 dst-address=11.11.11.11 action=passthrough comment="upload to 11.11.11.11"
add chain=forward src-address=11.11.11.11 dst-address=10.10.10.10 action=passthrough comment="download from 11.11.11.11"

action=passthrough ничего не будет делать с пакетом. Просто его посчитает. Увидите и кол-во пакетов, и кол-во трафика.
Поднимите правила повыше и смотрите трафик на здоровье.