Для авторизации  на hotspot используется ulogin, и соц сети. Для того чтобы текущий функционал работал требуется разрешить использование соц сетей для не авторизованых пользователей

add comment=ULOGIN dst-host=ulogin.ru
add comment=VK dst-host=oauth.vk.com
add comment=VK dst-host=api.vk.com
add comment=VK disabled=yes dst-host=m.vk.com
add comment=VK disabled=yes dst-host=login.vk.com
add comment=VK dst-host=vk.com
add comment=OK dst-host=*.odnoklassniki.ru
add comment=OK dst-host=*.mycdn.me
add comment=OK dst-host=connect.ok.ru
add comment=FB dst-host=*.facebook.com
add comment=FB dst-host=*.fbcdn.net
add comment=FB dst-host=static.xx.fbcdn.net path=/*
add comment=FB disabled=yes dst-host=www.facebook.com
add comment=ISTRANET dst-host=*.istranet.ru

Обратил внимание, что когда bridge добавлено несколько интрефейсов к примеру ether1 или sfp1. При обновлении ПО, или после перезагрузки может сменится мак адрес. Чтобы этого не происходило нужно сменить пару параметров на bridge интерфейче.

/interface bridge set auto-mac=no admin-mac=E4:8e:8d:52:f5:6C inet

Перезагрузка модема, если порт не активен.

:foreach i in=[/port find inactive=yes] do={/system routerboard usb power-reset duration=1;

:log warning "usb reset"; /tool e-mail send to=volerster@yandex.ru

subject="usb reset on modem_istra" body="usb reset on modem_istra"}

В интернете много описано статей, я повторю часть из этих статей но с минимальной выдержкой. И добавлю как блокирнуть излишний трафик мультикаста, средствами бриджа.
Первом делом нужно установить дополнительный пакет multicast.
Дальше нужно прописать параметры настроек для данного пакета
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=192.168.0.0/16,224.0.0.0/8,172.30.0.0/16 interface=\
inet upstream=yes
add interface=Local
После этого подклчаем приставку в порты, которые входят в бридж локал и смотрим ТВ.

Если на данном роутере используется wifi, то в настройках wifi обязательно прописываем следующие:
multicast-helper=full
multicast-buffering=enabled
keepalive-frames=enabled
В противном случаи wifi небудет работать.

Лучше wifi клиентов отделать от проводных в отдельный бридж. Если это нельзя сделать, по причинам наличия в сети сервера dnla. Тогда блокируем мультикаст средствами бриджа.
Делается это так:
/interface bridge port
add action=drop chain=output out-interface=ether3 packet-type=multicast
add action=drop chain=output out-interface=wlan1 packet-type=multicast

Сменить порт управления через winbox, ssh с дефолтных на любые другие значения в дипозоне свободных портов 10000-65535.

/ip service set winbox port=24323; /ip service set ssh port=22022

Отключить ftp, telnet, api, api-ssl, www, www-ssl

/ip service disable ftp,telnet,api,api-ssl,www,www-ssl

Если какой то сервис нужен для автоматизированного управления устройством, то лучше ограничить доступ к этому сервису с опредленных подсетей, и как говорилось ваше сменить порт.

/ip service set telnet port=23023 address=172.17.0.1

Лучше отключить api, www и использовать api-ssl, www-ssl сервисы управления.

Отключить штатного пользователя и создать другого.

/user add name=administrators group=full password=qwerty; /user disable admin

При использовании микротик как dns сервер, в файрволе заблокируйте 53 udp порт на wan порту

/ip firewall filter add in-interface=inet dst-port=53 action=drop chain=input protocol=udp comment="DROP IN DNS"

Отключить обнаружение роутера на wan порту

/ip neighbor discovery set inet discover=no

Сменить mac адрес роутера, чтобы роутер нельзя было идентифицировать по mac адресу.

/interface ethernet set inet mac-address=00::11:22:33:66:44

Если роутер испльзуется в кафе, офисе, или даже дома и в данных местах предоставляется публичный доступ, то лучше разграничить сеть офиса и публичную.

Разделить можно выделением разных подсетей, разнесением в разные vlan или bridge.