快速指南：如何加固Mikrotik/RouterOS路由器及特别保护Winbox

2018年10月6日

我此前未就Mikrotik Winbox API中的多个安全问题发表任何内容，因为我认为任何将路由器管理开放到互联网的人都不应配置路由器。当然，常识是仅在内网接口上开放管理界面，并限制源IP地址来管理路由器。但作为快速提示，我将展示我多年来配置Mikrotik的方法。

服务配置

1
2
3
4
5
6
7
8

/ip service
set telnet address=0.0.0.0/0 disabled=yes
set ftp address=0.0.0.0/0 disabled=yes
set www address=0.0.0.0/0 disabled=yes
set ssh address=10.7.0.0/16
set api disabled=yes
set winbox address=127.0.0.1/32
set api-ssl disabled=yes

如你所见，我只启用了SSH和Winbox，且Winbox仅监听本地主机。SSH通过防火墙保护，仅可从我的管理网络访问。同时，我禁用了弱密码：

1

/ip ssh set strong-crypto=yes

并且我为SSH访问配置了公钥认证。现在你的问题是如何使用Winbox访问路由器？简单，使用SSH端口转发。这样，Winbox API仅对拥有有效SSH登录的用户可访问——而SSH比Winbox更健壮和安全。在Linux上，端口转发如下操作：

1

ssh -L 8291:127.0.0.1:8291 admin@<mikrotik>

在Windows上，你可以使用Putty实现相同功能。在Winbox中，只需连接到localhost。

评论与补充

STRSHR 评论于2019年9月28日：
为了使用SSH转发，你还需要设置：

1

ip ssh set forwarding-enabled=local

或

1

set forwarding-enabled=both

默认情况下对我禁用。

robert 回复于2019年9月28日：
这些是较新固件中的新选项，在撰写本文时不存在。感谢评论。

文章分类：HowTo, IT Security, Networking | 2条评论