Как раз закончил настройку микротика для защиты от ботов.
Опишу свое видение ситуации.
В самой DSM включаем защиту учетной записи и автоматическую блокировку, двухфакторную авторизацию и встроенный брэндмауэр. В брэндмауэре на локальном интерфейсе разрешаем полный доступ из локальной сети и поднятых впн сетей, к нужным сервисам даем доступ только из своей страны (или из нужных стран). Если нет соответствующих правил - отказать в доступе.
Меняем стандартные порты на нестандартные, где это возможно.
Настраиваем в портале приложений для каждого сервиса свой псевдоним, доступ по портам отключаем.
Получаем сертификат от Let's Encrypt.
В итоге имеем, в моем случае, что надо пробросить только 443 порт для доступа к сервисам по псевдониму. Остальное через впн (на микротике l2tp без шифрования, для снижения нагрузки, или другой туннель, кому как нравится), либо пробрасываем нужные порты, если без этого не обойтись, но исключаем их из списка (ниже).
На самом микротике настраиваем PSD ловушку (легко ищется в гугле). IP адрес сканирующего добавляется в черный список (не смысла добавлять адреса перманентно, они постоянно меняются, я делаю таймаут 30 дней), и в таблице RAW этому списку полностью запрещается доступ извне.
Также выбрал список стандартных портов, по которым злоумышленник может идентифицировать DSM:
5000-5001,9997-9999,5002,5004,9025-9040,65001,5005-5006,7001,8001,8801,9900-9901,19997-19998,50001-50002,3689,9002,3483,1234,9997-9999,6690
Соответственно, эти порты не должны быть проброшены.
Тех, кто стучится на эти порты, также отправляем все в тот же черный список.
Добавил к этим портам еще 80 и 8080, чтоб отсекать сканеры уязвимостей, которые по-умолчанию сканируют доступ к веб интерфейсам (они-то точно нам не нужны), у меня эти порты не используются в сети.
Фаервол, смотрящий в интернет (бест практиз) делается "нормально закрытым". Статистика сканирования стандартных портов DSM - за несколько часов (пока настраивал) около десятка обращений на порт 5000, при том, что микротик обслуживает 2 канала выхода в интернет со статическими адресами и разрешенным пингом из интернета. Для многих ботов достаточно запретить icmp пакеты из интернета, т.к. они определяют доступность хоста именно таким способом, за редким исключением некоторых, которые ломятся на заданный порт по всему заданному диапазону адресов без проверки доступности хоста. Но пинг я не запрещал, это необходимость в моем случае.
P.S. Забыл добавить, что во всем этом будет слабым звеном сам микротик, если не побеспокоиться о его защите и верной настройке, ведь атаки на эти устройства сейчас не редкость, а старые версии ОС имеют свои уязвимости, но это уже выходит за рамки этого форума 
Пока писал этот пост, прилетело несколько запросов с разных IP на порт 3689 (iTune).
Список портов, используемых DSM, я брал отсюда:
https://github.com/SynoCommunity/spksrc/wik...logy-Used-Ports