RouterOS防火墙input与forward链避坑指南

发布于2026-07-03 12:05 阅读14次 详解MikroTik RouterOS防火墙中input链与forward链的本质区别与配置要点,通过典型避坑案例演示正确配置方法,帮助网络管理员避免路由器端口暴露风险。
在使用MikroTik RouterOS搭建网络时,防火墙是必须配置的核心功能。然而很多新手甚至有一定经验的网络管理员都容易混淆input链和forward链的用途,导致路由器自身端口暴露在公网上,带来严重的安全风险。
## input链与forward链的本质区别
首先要明确一点:RouterOS防火墙的三个默认链各有不同的流量路径。
**input链**处理的是发往路由器自身的流量。比如你从外网SSH连接到路由器、通过Winbox管理路由器、或者用浏览器访问路由器的WebFig界面,这些流量走的都是input链。
**forward链**处理的是经过路由器转发的流量。简单说就是数据包从路由器的一个接口进来、再从另一个接口出去的场景。比如内网用户访问外网网站,或者外网用户通过端口映射访问内网的NAS服务器。
**output链**则处理路由器自身发出的流量,日常配置中一般默认放行即可。
很多人在配置端口转发时犯的一个经典错误就是:只添加了NAT规则和forward链规则,却忽略了input链的防护。
## 典型避坑案例
场景:你在RouterOS上配置了端口转发,将外网的2222端口映射到内网某台服务器的22端口。
常见的错误配置如下:
/ip firewall nat
add chain=dstnat dst-port=2222 protocol=tcp action=dst-nat to-addresses=192.168.1.100 to-ports=22
然后forward链可能有一条允许所有转发的规则:
/ip firewall filter
add chain=forward action=accept
表面上看转发能正常工作,外网访问2222端口可以连到内网服务器。但问题在于:如果此时input链没有严格配置,攻击者完全可以扫描出路由器自身的开放端口。
## 正确做法
第一步,配置默认丢弃策略:
/ip firewall filter
add chain=input action=drop comment="丢弃所有未匹配的input流量"
第二步,逐条放行需要的流量:
/ip firewall filter
add chain=input protocol=icmp action=accept comment="允许ping"
add chain=input connection-state=established,related action=accept comment="放行已建立连接"
add chain=input in-interface=bridge action=accept comment="放行内网管理访问"
add chain=input src-address-list=admin_ips protocol=tcp dst-port=8291 action=accept comment="仅允许指定IP访问Winbox"
第三步,对于forward链同样采用白名单策略,而非全量放行:
/ip firewall filter
add chain=forward connection-state=established,related action=accept
add chain=forward src-address=192.168.1.0/24 dst-address=0.0.0.0/0 action=accept comment="内网上外网"
add chain=forward dst-address=192.168.1.100 protocol=tcp dst-port=22 action=accept comment="外网访问内网SSH"
add chain=forward action=drop comment="丢弃其余转发流量"
## 关键要点
1. input链一定要放在最前面优先配置,默认策略必须是drop。
2. 永远不要创建 source=0.0.0.0/0 action=accept 的input规则。
3. 端口转发只影响forward链,不自动保护input链。
4. 建议将管理端口如Winbox的8291端口限定在固定IP地址访问。
5. 定期检查防火墙计数器,看是否有异常流量触发了drop规则。
## 总结
RouterOS防火墙的安全配置核心就一句话:区分清楚流量的终点是路由器自身还是经过路由器的内网设备。input链保护路由器本身,forward链保护内网设备,两条链互不干扰、缺一不可。理解了这一点,大部分防火墙配置的安全隐患都能从根本上避免。