A configuração do FTP está realmente procurando nos dados FTP para ver o código 530. Você vai querer adaptar a configuração do SSH não a configuração do FTP. Tente isto:
add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \
comment="drop rdp brute forcers" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \
address-list-timeout=10d comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new \
src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \
address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \
action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list \
address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no
O que esta configuração realmente faz, é para cada tentativa de entrada que adiciona o endereço IP a uma lista. A primeira vez que ele é adicionado ao stage1, então se o IP ainda está no stage1 (após um minuto) e outra tentativa é feita, ele é adicionado ao stage2, e depois disso duas vezes ele é adicionado à lista rdp_blacklist onde ele fica bloqueado por 10 dias.
Se você quiser que ele seja mais ou menos agressivo, você pode alterar os tempos limite da lista ou até mesmo adicionar mais listas, se desejar.
Você pode adicionar uma lista deles para permitir apenas intervalos de IP específicos:
add chain=forward dst-port=3389 src-address=192.168.0.0/24 action=accept
add chain=forward dst-port=3389 src-address=10.10.0.1/32 action=accept
add chain=forward dst-port=3389 action=drop
Basta adicionar quantas linhas de endereço src forem necessárias antes da linha de recebimento final. Se você tem um monte de intervalos, você pode criar uma lista de endereços e fazer referência a isso usando:
add chain=forward dst-port=3389 src-address-list=rdp_acceptlist action=accept
add chain=forward dst-port=3389 action=drop
Em seguida, adicione seus endereços à rdp_acceptlist
Para adicionar ao rdp_acceptlist, use o seguinte comando:
/ip firewall address-list add list=rdp_acceptlist address=192.168.0.0/24