Срезаем bruteforce микротик-ом

Есть сервис (-ы), количество соединений с которыми нельзя ограничивать. Соответственно возникает необходимость защититься от перебора паролей (bruteforce).

Рубить будем Микротик-ом.

Есть перенаправление портов, реализуемое с помощью dst-nat, после прохождения которого пакеты будут проверяться и в случае паразитной активности дропаться фильтрами файрволла. В двух словах — если наблюдаем несколько соединений в течении промежутка времени на защищаемый порт в состоянии new — нещадно дропаем.

Рассмотрим, в частности, защиту 3389(RDP) порта.

Решение подсказано здесь wiki.mikrotik.com/wiki/Bruteforce_login_prevention и уточнено и разъяснено многоуважаемым Ильёй Князевым, за что ему огромное спасибо!