как обычно жесть в ответах, а теперь по существу, а именно по вашему конфигу
add action=fasttrack-connection chain=forward connection-state=established,related
add chain=forward connection-state=established,related
Если не уверенны, то лучше цепочку forward в фильтре не трогать, темболее что у вас скорее всего forward это только трафик попадающий под NAT
Отключите эти правилаadd chain=input connection-state=established,related in-interface=ether1-gateway
Здесь всё правильно, весь трафик который будет попадать под следующие правила будет connection-state=new
Оставляем как естьadd action=reject chain=input connection-state=new in-interface=ether1-gateway
Указывая reject вы злоумышленнику даёте явно понять, что порты закрыты, reject лучше всего делать на внутреннюю сеть или в сторону партнёров, но точно не для трафика в сторону интернета!
Замените на dropЧитай пояснения для вышестоящего правила, убери connection-state=new, так на данном месте фаервола только и будет newadd action=drop chain=input connection-state=invalid in-interface=ether1-gateway
Данное правило, должно быть самым первым так как, это невалидный трафик, смысл напрягаться фильтру, если мы заранее знаем что этот трафик не нужен.
Переместить правило на самый верх
При таком настроенном фильтре, микротик находится в самом защищённом режиме.
если вам необходимо открыть порт для доступа к микротику, то вы создаёте правило над последним правилом.
Если вы будете открывать ssh к микротику, то прочитайте эту статью
wiki.mikrotik.com/wiki/Bruteforce_login_prevention
Всё остальное, такие как /ip service - это всё от лукавого, в любой момент времени может получится так что вам потребуется доступ к по ssh из самого не предсказуемого места.
если уж хотите вообще не открывать всем порты, то читаем про port Knocking тут
wiki.mikrotik.com/wiki/Port_Knocking 
