Je n'ai pas encore l'appareil, donc a prendre avec des pincettes.
Mais je pense que si tu veux empecher toutes prises en main depuis l'extérieur, tu peux tenter ça :
/ip firewall filter
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether8 comment="autorise prise en main que depuis le lan"
(dans le cas ou l'interface 8 est ton WAN) Cette ligne devrais uniquement autoriser les packets à destination du routeur que depuis des adresses en 192.168.1.0 venant de toutes les interfaces SAUF la 8.)
EDIT : Ensuite inclure un drop evidemment genre : add chain=input action=drop comment="drop le reste vers le router"