QuickTip: 如何保护您的Mikrotik/RouterOS路由器及Winbox特别设置

2018年10月6日

尽管我未曾发布关于Mikrotik Winbox API中多个安全问题的任何内容——因为我认为任何将路由器管理界面开放到互联网的人都不应该配置路由器——但作为快速提示，我将展示多年来我配置Mikrotik设备的方法。

服务配置

1
2
3
4
5
6
7
8

/ip service
set telnet address=0.0.0.0/0 disabled=yes
set ftp address=0.0.0.0/0 disabled=yes
set www address=0.0.0.0/0 disabled=yes
set ssh address=10.7.0.0/16
set api disabled=yes
set winbox address=127.0.0.1/32
set api-ssl disabled=yes

如您所见，我只启用了SSH和Winbox服务，且Winbox仅监听本地地址。SSH通过防火墙保护，仅允许从我的管理网络访问。同时我禁用了弱密码：

1

/ip ssh set strong-crypto=yes

我还为SSH访问配置了公钥认证。现在您可能会问：如何通过Winbox访问路由器？简单，使用SSH端口转发。这样Winbox API仅对拥有有效SSH登录凭证的用户可访问——而SSH比Winbox更健壮和安全。

在Linux上，端口转发操作如下：

1

ssh -L 8291:127.0.0.1:8291 admin@<mikrotik>

在Windows上，您可以使用Putty实现相同功能。在Winbox中只需连接到localhost即可。

评论补充

STRSHR (2019年9月28日):
为了使用SSH转发，您需要设置：

1

ip ssh set forwarding-enabled=local

或

1

set forwarding-enabled=both

对我来说默认是禁用的。

robert (2019年9月28日):
这些是新版固件中的新选项，在撰写本文时还不存在。感谢评论。

发布于 HowTo, IT Security, Networking | 2条评论