пока не нашел ничего лучше
Код:
/ip firewall filter
add action=add-src-to-address-list address-list=download address-list-timeout=1h chain=forward connection-bytes=52428800-0 dst-address-list=baddev
/ip firewall mangle
add action=mark-packet chain=prerouting dst-address-list=baddev new-packet-mark=download passthrough=yes src-address-list=download
/queue
add max-limit=256k/256k name=Download packet-marks=download queue=default/default total-queue=default
в расшифровке, если baddev потащат больше 50Мб за соединение, то источник будет засунут в лимит 256к на час для этих же baddev
Интересует мнение других, насколько это работоспособное решение. Смущает, что некоторые соединения бывают persistent или как их, т.е. обычная HTTPS-сессия будет все тащить в один коннект, пока не оборвется.