RouterOS 防火墙配置避坑指南：那些年我们踩过的坑

RouterOS 是 MikroTik 出品的强大路由器操作系统，功能丰富但配置复杂。本文分享几个在实际部署中常见的防火墙配置避坑经验。 **避坑一：default-action 的隐性陷阱** 很多新手配置防火墙规则时，喜欢用 accept 或 drop 作为默认动作，但忽略了 Chain 的 default-action。当规则列表为空时，默认动作才会生效。一旦添加了任何规则，default-action 就失效了。正确的做法是：先规划好规则顺序，把最常用的规则放前面，然后用一条 catch-all 规则处理剩余流量。比如 Web 管理界面通常只允许内网访问，那就把那条规则放在最前面，避免被后面的规则误拦。 **避坑二：address-list 超时的正确用法** 防火墙的 address-list 功能很实用，可以用来动态管理 IP 黑名单。但要注意超时时间的设置。很多人直接设置 timeout=1d 表示一天，但实际上 RouterOS 的超时是相对于规则创建时刻的绝对时间，不是相对时间。如果你在下午三点添加了一条 timeout=1d 的规则，它会在第二天下午三点过期，而不是 24 小时后。更好的做法是用脚本定期清理 address-list，或者用 disable 时间戳来精确控制。 **避坑三：connection-state 的状态判断** RouterOS 防火墙通过 connection tracking 维护连接状态。常见的状态包括：established、related、invalid、new。新手容易犯的错误是只放行 new 状态连接，忽略了 established 和 related 状态。这会导致已建立的连接被中断。正确配置应该是：/ip firewall filter add chain=input connection-state=established,related action=accept。这个规则应该放在最前面，确保已建立连接通行无阻。 **避坑四：srcnat 和 dstnat 的方向混淆** NAT 规则有 srcnat（源地址转换）和 dstnat（目的地址转换）两个链。srcnat 在数据包离开路由器时修改源地址，dstnat 在数据包进入路由器时修改目的地址。常见错误是在 dstnat 链做端口映射时，用错了 in-interface 或者没有正确设置 dst-address。建议先抓包确认数据包流向，再配置 NAT 规则。 **避坑五：firewall raw 表的妙用** raw 表在 connection tracking 之前执行，适合做早期拦截。比如防止 DDoS 时，可以在 raw 表先丢弃无效源地址的包，减轻防火墙压力：/ip firewall raw add chain=prerouting src-address-list=blacklist action=drop。这样可以在流量进入防火墙之前就拦截，减少资源消耗。 **实操建议** 配置防火墙前，务必先备份现有配置：/system backup save name=backup-before-firewall。如果远程管理路由器，建议先加一条允许自身 IP 的规则，避免把自己锁在外面。可以先在 filter 链添加一条 allow your-ip any-dst-address 的规则，再开始正式配置。合理利用防火墙规则顺序、状态检测和 address-list 动态管理，可以让 RouterOS 的安全防护更加可靠。