1. На микрот можно заходить по МАК , даже если вырубить все службы. Winbox, ssh, telnet. Все равно можно зайти. Главное в МАК СЕРВЕРЕ указать , что в микрот захотите только из локалки.
2. Враги могут по WAN пустить Bogon сеть те симулировать 192.168.х.х на WANе. Нужно отбрасывать такие сети на фаерволе.