RouterOS防火墙规则配置避坑指南：从基础到进阶

# RouterOS防火墙规则配置避坑指南：从基础到进阶 ## 前言 RouterOS是MikroTik开发的路由操作系统，广泛应用于企业网络、ISP接入和小型办公室场景。其内置的防火墙功能强大而灵活，但正因为功能丰富，稍有不慎就容易出现配置错误，导致网络故障甚至安全漏洞。本文结合实际案例，总结RouterOS防火墙配置中最常见的坑，帮助大家绕过这些陷阱。 ## 一、防火墙规则的基本结构 在RouterOS中，防火墙规则通过IP > Firewall > Filter规则管理。每条规则都属于某条链（Chain），常见的三条默认链： - **Input**：目标是本机（RouterOS本身）的数据包 - **Forward**：经过本机转发（路由）的数据包 - **Output**：本机发出的数据包 理解这三条链的区别是配置防火墙的第一步。常见错误是把所有规则都写在Input链，导致内网之间的通信也被误拦截。 ## 二、规则顺序是生死线 RouterOS防火墙规则按照**从上到下**的顺序匹配，第一条匹配的规则决定数据包的命运（Accept/Drop/Reject）。这是最容易出问题的点。 ### 避坑案例：误将允许规则放在阻断规则之后 某企业网络管理员想禁止192.168.10.0/24网段访问外网，但允许访问内网。他配置了以下规则： ``` /ip firewall filter add chain=forward src-address=192.168.10.0/24 action=accept /ip firewall filter add chain=forward action=drop ``` 结果：192.168.10.0/24不仅无法访问外网，连内网也无法访问。原因很隐蔽——他在chain=forward中写了规则，但内网互访同样是Forward流量，第二条规则把所有流量都drop了。 **正确做法**：先允许内网互访，再阻断外网访问。同时注意检查是否有其他通配规则在上方匹配。 ```powershell # 正确的规则顺序 /ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.0.0/16 action=accept comment="允许访问内网" /ip firewall filter add chain=forward src-address=192.168.10.0/24 action=drop comment="阻断访问外网" ``` ## 三、connection-state参数的正确使用 RouterOS防火墙的灵魂参数之一是connection-state。它让规则可以基于连接状态判断，而不是逐包判断。四个常用状态： - **established**：响应已有连接的数据包 - **related**：由已有连接衍生的新连接（如FTP数据传输） - **new**：新建连接 - **invalid**：无效连接 ### 避坑案例：忘记放行established和related导致网络中断 很多管理员在清理防火墙规则时，会把所有规则先drop掉，再逐步添加允许的规则。但如果忘记添加下面这条，所有已建立的连接也会被断开： ```powershell /ip firewall filter add chain=input connection-state=established,related action=accept /ip firewall filter add chain=forward connection-state=established,related action=accept ``` 这条规则应该放在所有阻断规则之前，否则路由器无法响应任何请求。 **实战建议**：将以下两条作为防火墙的基础规则集： ```powershell /ip firewall filter add chain=input connection-state=established,related action=accept /ip firewall filter add chain=input connection-state=invalid action=drop /ip firewall filter add chain=forward connection-state=established,related action=accept /ip firewall filter add chain=forward connection-state=invalid action=drop ``` ## 四、Service Port与地址转换的配合 很多新手在配置端口映射（dst-nat）后发现外部无法访问，排查半天发现是防火墙把数据包拦在Input链。 ### 避坑案例：端口映射成功但无法从外网访问 配置了Web服务的端口映射： ```powershell /ip firewall nat add chain=dstnat dst-port=8080 action=dst-nat to-addresses=192.168.1.100 to-ports=80 protocol=tcp ``` 但外网访问不了。检查发现防火墙Filter规则中没有允许WAN口到内网服务的流量。 **正确做法**：在Filter规则中添加对应规则允许外网访问： ```powershell /ip firewall filter add chain=forward dst-address=192.168.1.100 dst-port=80 protocol=tcp action=accept ``` 注意：dst-nat发生在Prerouting链（在路由决策之前），数据包经过NAT后进入Forward链，所以Filter的Forward链需要放行。 ## 五、保护RouterOS自身：SSH和Winbox安全 管理接口的安全是经常被忽视的环节。RouterOS默认开放了多种管理协议，若不限制访问，容易成为攻击入口。 ### 避坑案例：直接暴露Winbox和SSH到0.0.0.0 很多小型网络的管理员为了方便，将管理接口绑定到All Devices（0.0.0.0），加上弱密码，存在极大风险。 **安全加固建议**： 1. 限制管理接口仅允许内网IP访问： ```powershell /ip firewall filter add chain=input src-address=192.168.0.0/24 protocol=tcp dst-port=22,8291 action=accept /ip firewall filter add chain=input protocol=tcp dst-port=22,8291 action=drop ``` 2. 更改默认端口（虽然隐蔽性安全不是真正的安全，但能减少大量扫描流量）： ```powershell /ip ssh set strong-crypto=yes ``` 3. 启用IP > Services中的allowed-address参数，限制来源IP段。 ## 六、日志记录：出问题时的救命稻草 配置防火墙时，开启日志是debug的必备手段。但要注意不要对每条规则都开日志，否则日志量过大会影响性能。 ### 实战技巧：仅对Drop规则开启日志 ```powershell /ip firewall filter add chain=forward action=drop log=yes log-prefix="DROP-FORWARD: " ``` 这样出现网络问题时，通过`/log print where topics~"firewall"`就能快速定位被阻断的流量。 ## 七、备份与变更管理 最后，也是最重要的——每次大规模修改防火墙规则前，务必先备份配置： ```powershell /export file=backup-before-change.rsc ``` 使用Winbox或WebFig操作时也建议手动创建备份。RouterOS的配置变更实时生效，一旦出错影响立竿见影。 ## 结语 RouterOS防火墙配置并不复杂，但细节众多。从规则顺序到connection-state，从端口映射的配合到日志记录，每一个环节都有坑可踩。掌握本文的避坑要点，相信你在实际项目中能更加游刃有余。遇到问题时，善用`/ip firewall monitor`实时查看连接状态，配合日志分析，能快速定位根因。祝大家的RouterOS网络稳定安全！