ros-winbox利用防火墙安全登录，二次碰撞方法

#Winbox二次 端口碰撞：port knocking
#碰撞方式可通过telnet，http，ssh等
/ip firewall filter
add action=add-src-to-address-list address-list="S1_List" address-list-timeout=1m chain=input dst-port=5000 protocol=tcp
#port 5000 加入S1_List地址列表，保持一分钟
add action=add-src-to-address-list address-list="S2_List" address-list-timeout=1m chain=input dst-port=6000 protocol=tcp src-address-list="S1_List"
#port 5000 S1_List的如果访问6000 加入S2_List
add action=add-src-to-address-list address-list="allowed" address-list-timeout=30m chain=input dst-port=8291 protocol=tcp src-address-list="S2_List"
#再次访问8291端口，即可成功访问
add chain=input src-address-list=allowed action=accept
add action=drop chain=input in-interface=WAN

1、访问ros的IP的5000端口，把源地址加入S1_List

2、在一分钟内，访问ros的IP的6000端口，把源地址加入S2_List

3、在30分钟内，访问ROS的IP的8291端口，把源地址加入allowed

4、在allowed的IP表里，有30分钟可以通过winbox标准端口8291访问ROS

5、拒绝从外网接口WAN，访问ROS任意端口

6、但是这么做，ROS如果有VPN服务的话，就无法提供了。这个需要注意下。除非你排除VPN的协议和端口。