paxlo

Многие роутеры уменьшают TTL (не всегда и не все), поэтому как вариант блочить пакеты с ttl=127 и 63,

/ip firewall filter
add chain=forward in-interface=local ttl=equal:127 action=drop
add chain=forward in-interface=local ttl=equal:63 action=drop

но это не стопроцентно. Китайцы могут купить микротик или поставить роутер с *wrt и выправить ttl обратно :)

У вашей модели нет температурного сенсора, поэтому штатными средствами никак. Как вариант - пирометр, либо внешний датчик приклеить.

Покажите высер после verb 5

Обычный копеечный свисток от мегафона/билайна/мтс перешитый в HiLink + антенны. Или вам принципиально иметь ethernet и wifi в доме? Если да то обычный любой самый дешевый mikrotik с usb портом (типа 951 модели), и установленный пакет lte. Микротик подхватит модем и будем вам в сетку раздавать инет. У меня таким образом резеврный канал организован, с внешними антеннами до 30мбит выжимает.
Можно конечно переплатить за SXT но зачем? Тот же функционал и портов меньше.

connection-state можеть быть только estabilished, invalid,new,related. Пустое означает отсутствие connection-state. В первом вы разрешаете весь входящий с eth1 трафик, вторым правилом запрещаете. Вопрос то в чем? И на будущее всегда приводите выхлоп не print а export (/ip f f e)

https://habrahabr.ru/post/164873/

Создаем regexp с блокируемыми url
/ip firewall layer7-protocol
add name=gvno regexp="^.*(odnoklassniki.ru|odkl.ru|ok.ru|vk.com|vkontakte.ru|vkontakte.com|durov.ru|fb.com|facebook.com).*\$"

Добавляем правило для файрвола (должно быть выше разрешающих правил для цепочки forward)
/ip firewall filter add action=reject chain=forward layer7-protocol=gvno protocol=tcp reject-with=tcp-reset

Отключайте все кроме основного инструмента управления. Самый безопасный вариант (и удобный) это ssh, перевешивайте на нестандартный порт.

/ip ssh set strong-crypto=yes
/ip neighbor discovery set discover=no [find]
/tool mac-server set disabled=yes [find]
/tool mac-server mac-winbox set disabled=yes [find]
/tool mac-server ping set enabled=no
/ip service disable [find where name!=ssh] set ssh port=34567

Например так:

/ip firewall layer7-protocol
add name=ya regexp="^.*(ya.ru|yandex.ru).*\$"
add name=all-websites regexp="^.+(.).*\$"
/ip firewall filter
add chain=forward dst-port=80,443 layer7-protocol=ya protocol=tcp
add action=reject chain=forward dst-port=80,443 layer7-protocol=all-websites protocol=tcp reject-with=tcp-reset

Обратите внимание на положение этих правил в общей цепочке правил. Т.е. эти запрещающие правила должны следовать ПЕРЕД разрешающими. Юзайте place-before.