RouterOS防火墙配置避坑指南：那些年我们踩过的坑

# RouterOS防火墙配置避坑指南：那些年我们踩过的坑 作为企业级路由器操作系统，RouterOS（也被称为MikroTik RouterOS）凭借其强大的功能和高性价比，被广泛应用于各类网络场景。然而，在实际部署中，防火墙配置是许多管理员最容易出问题、也最容易"踩坑"的环节。本文结合真实案例，总结了RouterOS防火墙配置中几个最常见的错误，以及正确的处理方式，供大家参考。 ## 避坑一：不要轻视默认规则链的顺序 很多新手在配置RouterOS防火墙时，最容易犯的错误之一就是：**不关注规则的处理顺序**。RouterOS的防火墙默认有三条基础链——input、output和forward。新建规则时，如果不指定chain，默认会添加到input链。 典型错误场景：管理员想要禁止外网访问路由器本身的管理界面，于是添加了一条drop规则，禁止所有来自WAN口的TCP 80和443端口的流量。命令可能写成： ``` /ip firewall filter add chain=input src-address=0.0.0.0/0 dst-port=80,443 protocol=tcp action=drop ``` 但这条规则添加到input链后，RouterOS默认有一条规则叫"accept established and related connections"，通常排在较前面。由于drop规则被放在后面，实际上已有的连接不会被阻断，新的连接却可能因为某些情况下先匹配到了其他允许规则而漏过。正确做法是：**在添加drop规则前，先确认规则顺序，确保它位于允许规则之前，或者将drop规则明确插入到正确的位置**。使用`/ip firewall filter print`查看规则顺序，使用`move`命令调整位置。 ## 避坑二：分清楚input、output和forward链的作用域 这是RouterOS防火墙中最核心也最容易混淆的概念之一。**input链处理的是发往路由器本身的数据包**；**output链处理的是从路由器本身发出的数据包**；**forward链处理的则是穿越路由器、从此接口进从彼接口出的数据包**。 一个真实案例：某公司网络拓扑为光纤接入——RouterOS——内网交换机。管理员发现内网用户无法访问外网Web服务，于是添加了一条防火墙规则： ``` /ip firewall filter add chain=input action=accept src-address=192.168.0.0/24 ``` 这条规则实际上毫无作用，因为内网用户访问外网时，数据包经过的是forward链而非input链。正确的规则应该添加到forward链： ``` /ip firewall filter add chain=forward action=accept src-address=192.168.0.0/24 ``` 记住一个简单的判断标准：**流量经过路由器但目的地不是路由器本身，走forward链；流量目的地就是路由器本身，走input链。** ## 避坑三：connection-state参数用错导致正常流量被误杀 RouterOS防火墙的灵魂级参数之一是`connection-state`。它有四个常用值：established、related、new和invalid。很多管理员知道用`connection-state=established`来放行已建立连接，但往往忽略了一个关键细节：**NEW状态的连接判断依赖路由器对会话的首包识别**。 一个典型踩坑场景：管理员在配置防火墙时，为了安全起见，添加了一条严格的默认drop规则在最末尾，然后在上方添加了放行established和related连接的规则。表面上看逻辑没问题，但实际操作中，如果内网用户反映"偶尔能上网、偶尔不行"，很可能是某些应用的初始连接在第一包发出时，路由器还没有建立对应的会话状态，导致被误判为invalid或new而被阻断。 正确的安全策略应该是：首先无条件放行established和related状态，然后对new状态的连接进行有针对性的源地址或接口限制。比如： ``` /ip firewall filter add chain=forward connection-state=established,related action=accept /ip firewall filter add chain=forward connection-state=new src-address=192.168.0.0/24 action=accept /ip firewall filter add chain=forward connection-state=invalid action=drop /ip firewall filter add chain=forward action=drop ``` ## 避坑四：在filter表里处理NAT后的流量判断 这个问题进阶一些。当RouterOS同时配置了NAT（src-nat或dst-nat）和防火墙filter时，很多管理员会发现在filter链中看到的数据包源地址或目标地址和自己预期的不一样。 典型场景：内网192.168.0.100用户通过src-nat（masquerade）访问外网，在RouterOS的filter链中查看forward链的日志时，发现源地址已经被NAT替换成了公网IP，而不是192.168.0.100。于是管理员在filter中根据内网地址写的允许规则完全失效。 正确的理解是：**NAT操作在filter之前还是之后，取决于NAT表和filter表的处理顺序。在RouterOS中，默认顺序是：mangle -> nat -> filter。也就是说filter看到的是NAT之后的地址。** 如果你需要在filter中基于原始内网地址做判断，应该使用`src-address-list`或`dst-address-list`，在NAT之前通过mangle将IP地址写入地址列表，然后在filter中引用这个列表。 ## 避坑五：不要忘记Service端口的访问控制 RouterOS默认开放了若干管理服务（如Winbox、SSH、Telnet、Webfig等）。在生产环境中，如果没有特意限制这些服务的访问来源，路由器管理界面就暴露在整个互联网上了。 一个真实的安全事件：某公司使用了RouterOS作为出口网关，管理员配置了完整的防火墙规则，但因为疏忽大意，没有禁用RouterOS默认开放的Winbox服务（TCP 8291），也没有做任何访问限制。结果路由器被境外IP扫描并成功暴力破解，路由器配置被篡改，内网出现异常流量。 正确的安全加固流程应该是：**第一时间检查和禁用不必要的服务，并使用ip service set命令限制可访问的源地址段。** 比如只允许来自内网管理段的IP访问Winbox： ``` /ip service set winbox address=192.168.0.0/24 ``` 同时将SSH的默认端口改为非标准端口，并配合connection-rate-limit做连接速率限制，这些都是有效的加固手段。 ## 总结 RouterOS防火墙功能非常强大，但正因为功能多、参数复杂，更需要管理员在配置时思路清晰。上述五个避坑点，覆盖了从基础规则顺序、链的作用域、连接状态判断，到NAT与filter的交互、以及服务安全等几个关键维度。在实际工作中，建议先在测试环境验证防火墙规则的效果，确认无误后再部署到生产环境。安全无小事，每一次认真的配置审核，都是对网络稳定运行最好的保障。