В консоли:

/ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address=!172.0.0.0/8 src-address-list=ssh_blacklist action=drop comment="drop ssh bruteforces"

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1h

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=20s

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=20s

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=20s

Скрипт работает в четыре стадии:
1-я стадия. Если есть попытка войти с неправильным паролем, добавить IP в список ssh_stage1 на 20 секунд
2-я стадия. Если есть попытка войти с неправильным паролем и адресс уже в списке ssh_stage1, добавить в ssh_stage2 на 20 секунд
3-я стадия. Если есть попытка войти с неправильным паролем и адресс уже в списке ssh_stage2, добавить в ssh_stage3 на 20 секунд
4-я стадия. Если есть попытка войти с неправильным паролем и адресс уже в списке ssh_stage3, добавить в ssh_blacklist на 1 час

Все пакеты с src-address, которые в списке ssh_blacklist блокируются