RouterOS防火墙配置：五个常见踩坑案例与解决方案

# RouterOS防火墙配置：五个常见踩坑案例与解决方案 ## 前言 RouterOS 是 MikroTik 公司开发的路由器操作系统，广泛应用于企业网络、ISP 接入和中小型机房。其内置的防火墙功能强大、灵活度高，但正因为配置项繁多，实际使用中稍不注意就会踩坑。本文从真实案例出发，整理五个最常见的配置错误及对应解决方案，帮助读者在实操中少走弯路。 --- ## 踩坑一：防火墙规则顺序搞反，导致流量被误拦 ### 问题描述 很多新手习惯先写一条 `accept all`（接受所有）的规则，然后再在它后面追加具体的 `drop`（拒绝）规则。RouterOS 防火墙是 **顺序匹配**的，一旦前面的规则命中，后续规则永远不会执行。 ### 典型错误配置 ```routeros /ip firewall filter add chain=input action=accept src-address=0.0.0.0/0 comment="容错规则：接受所有" add chain=input action=drop src-address=10.0.0.0/8 comment="丢弃内网段" ``` ### 正确做法 把 `drop` 规则放在 `accept` 之前，并用 `place-before` 将高优先级规则置于列表顶端： ```routeros /ip firewall filter add chain=input action=drop src-address=10.0.0.0/8 comment="先拒绝内网段" add chain=input action=accept src-address=0.0.0.0/0 comment="再接受其余" ``` **经验总结**：防火墙规则从上到下匹配，永远把最严格的规则放在最前面。 --- ## 踩坑二：假装防住了 DDoS，实际只限制了合法用户 ### 问题描述 有人在出口路由器上配置了连接数限制（connection-limit），希望防止恶意用户占用资源。但由于参数设置不当，连正常业务流量也被限制了，导致用户投诉访问缓慢。 ### 典型错误配置 ```routeros /ip firewall filter add chain=forward action=add-src-to-address-list address-list=blocked address-list-timeout=10s \ connection-limit=10,32 protocol=tcp dst-port=80 add chain=forward action=drop src-address-list=blocked ``` 上面配置的本意是限制每个 IP 最多 10 个连接，但 `connection-limit=10,32` 的含义是：**每个 /32 IP 的连接数达到 10 时，就把它加入黑名单**。这对多终端用户（如企业内网多人共用一个出口 IP）来说是灾难性的。 ### 正确做法 先确认是否真的需要对 HTTP/HTTPS 做并发限制，或者把阈值调高： ```routeros /ip firewall filter add chain=forward action=add-src-to-address-list address-list=suspicious address-list-timeout=1m \ connection-limit=200,32 protocol=tcp dst-port=80 add chain=forward action=drop src-address-list=suspicious ``` 另外建议结合 `bytes` 和 `packets` 统计做动态判断，而不仅仅是连接数。 **经验总结**：配置 connection-limit 前，先用 `torch` 工具观察正常业务流量的连接数基线，再设置阈值。 --- ## 踩坑三：NAT Hairpin 场景下，流量绕了一大圈还是访问不了 ### 问题描述 有些小型网络使用 RouterOS 做出口网关，同时承担端口映射（dst-nat）。内网用户用公网 IP 访问内部服务器时，发现根本打不开，但外网访问完全正常。这就是典型的 **NAT Hairpin**（也称 NAT loopback）问题。 ### 问题分析 当内网客户端以公网 IP 为目标发送请求，RouterOS 收到报文后做了一次 dst-nat 转发给内网服务器。服务器响应时发现请求来自内网网段，直接以内网 IP 回复给客户端，而客户端的 TCP 栈认为这不是它请求的 IP（它请求的是公网 IP），于是丢弃该报文。 ### 解决方案 RouterOS 6.x 起支持 `chain=srcnat` + `action=masquerade` 或 `action=src-nat`，配合 `out-interface` 判断来做回程流量的源地址转换： ```routeros /ip firewall nat add chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.10.100 \ protocol=tcp dst-port=80 action=src-nat to-addresses=192.168.10.1 ``` 不过更简洁的通用做法是在 `/ip firewall nat` 中使用 `action=masquerade` 配合 `dstnat` 规则，RouterOS 7.x 对 Hairpin 的处理已大幅改进： ```routeros /ip firewall nat add chain=dstnat in-interface=bridge-local protocol=tcp dst-port=80 \ action=dst-nat to-addresses=192.168.10.100 to-ports=80 add chain=srcnat src-address=192.168.10.0/24 dst-address=192.168.10.100 \ protocol=tcp action=masquerade ``` **经验总结**：如果内网需要用公网 IP 访问内部服务，必须配置 srcnat 规则将回程流量强制走 RouterOS 再出去。 --- ## 踩坑四：防火墙 filter 规则里开了 ssh、winbox 远程管理，却被 "address-list" 误拦 ### 问题描述 管理员配置了不少 `drop` 规则，给可疑 IP 放进 address-list，但在后续排障时发现自己的管理连接也被墙了，只能跑到机房接显示器操作。 ### 典型场景 ```routeros /ip firewall filter add chain=input src-address-list=blacklist action=drop comment="屏蔽恶意IP" # 后面忘了把管理接口的保护规则放在前面 ``` ### 正确做法 始终在 `drop` 规则之前显式放行管理接口和服务，且用 `place-before=0` 确保规则在最顶部： ```routeros /ip firewall filter add chain=input action=accept src-address=10.10.10.0/24 protocol=tcp dst-port=8291 \ comment="放行内网Winbox" add chain=input action=accept src-address=10.10.10.0/24 protocol=tcp dst-port=22 \ comment="放行内网SSH" add chain=input action=drop src-address-list=blacklist comment="屏蔽恶意IP" ``` 如果必须从公网管理，建议用 `ssh` 的 `port-knocking` 或配合 `input-chain=input` 做来源白名单。 **经验总结**：先写放行规则，再写拒绝规则，且管理接口要独立放行，永远不要依赖"最后一条兜底"。 --- ## 踩坑五：ROS 7 升级后，firewall 配置迁移不完整 ### 问题描述 从 RouterOS 6 升级到 7 之后，有些规则表面看起来迁移成功了，但实际不生效。主要原因是 ROS 7 对 `filter`、`nat`、`mangle` 的 pipeline 模型做了重构，部分 `action=jump` 和 `action=return` 链路的语义有变化。 ### 常见症状 - 明明有 `accept` 规则，流量还是被 block - `route-mark` 不生效，导致策略路由失效 - `connection-mark` 和 `packet-mark` 在多重 NAT 场景下丢失 ### 排查步骤 ```routeros /ip firewall filter print stats /ip firewall nat print stats /ip firewall mangle print stats ``` 看 `packets` 和 `bytes` 是否为 0。如果规则被命中但没生效，说明 action 语义有问题。 ### 升级建议 1. 升级前在 `/system backup` 完整备份，并导出规则为 `.rsc` 脚本 2. 升级完成后，在 `/ip firewall` 中重新审查每条链路的 `chain` 是否正确 3. 特别注意 `action=masquerade` 在 ROS 7 中对 outbound-interface 的要求更严格 ```routeros # 导出防火墙规则 /ip firewall export file-name=firewall_backup.rsc # 导入（在新系统上） /import file-name=firewall_backup.rsc ``` **经验总结**：跨大版本升级后，不要假设规则完全兼容。用 `stats` 命令逐一核对每条规则的命中计数，是最低成本的验错方式。 --- ## 结语 RouterOS 防火墙功能强大，但灵活性和复杂度并存。日常维护中，养成"先模拟后上生产"、".rsc 备份在前、变更记录在后"的习惯，能规避大多数坑。 如果本文提到的某个场景你正在经历，欢迎留言交流具体配置，我们可以进一步分析。