快速指南：如何保护您的Mikrotik/RouterOS路由器及Winbox安全

2023年10月6日
尽管我未曾撰文讨论Mikrotik Winbox API的多重安全问题，但我始终认为：将路由器管理接口暴露在互联网上的行为，根本不该出现在路由器配置中。当然，常识告诉我们——管理接口应仅在内网接口开放，并限定源IP地址。不过作为快速指南，我将分享多年来配置Mikrotik设备的实践方法。

服务配置

1
2
3
4
5
6
7
8

/ip service
set telnet address=0.0.0.0/0 disabled=yes
set ftp address=0.0.0.0/0 disabled=yes
set www address=0.0.0.0/0 disabled=yes
set ssh address=10.7.0.0/16
set api disabled=yes
set winbox address=127.0.0.1/32
set api-ssl disabled=yes

• 仅启用SSH和Winbox服务
• Winbox仅监听本地回环地址(127.0.0.1)
• 通过防火墙限制SSH仅允许管理网络访问

强化SSH安全

1

/ip ssh set strong-crypto=yes

同时配置SSH公钥认证体系。

Winbox安全访问方案

Q：如何通过Winbox管理路由器？
A：使用SSH端口转发技术，使得Winbox API仅对拥有有效SSH凭证的用户开放（SSH的安全性远高于Winbox协议）。

Linux实现方式

1

ssh -L 8291:127.0.0.1:8291 admin@<mikrotik>

Windows用户可通过Putty实现相同功能，Winbox中直接连接localhost即可。

用户补充说明

使用SSH转发需额外配置：

1	ip ssh set forwarding-enabled=local

或

1	set forwarding-enabled=both

（新版本固件功能，本文撰写时尚未存在）

技术分类：网络配置、系统安全
评论互动：包含用户实践反馈与版本特性说明