快速指南：如何安全配置Mikrotik/RouterOS路由器及Winbox访问

我此前未对Mikrotik Winbox API中的多个安全问题发表任何看法，因为我认为任何将路由器管理开放到互联网的人都不应配置路由器。当然，常识是仅在内网接口上开放管理界面，并限制源IP地址来管理路由器。但作为快速提示，我将展示多年来如何配置我的Mikrotik设备。

服务配置

1
2
3
4
5
6
7
8

/ip service
set telnet address=0.0.0.0/0 disabled=yes
set ftp address=0.0.0.0/0 disabled=yes
set www address=0.0.0.0/0 disabled=yes
set ssh address=10.7.0.0/16
set api disabled=yes
set winbox address=127.0.0.1/32
set api-ssl disabled=yes

如你所见，我只启用了SSH和Winbox，且Winbox仅监听本地主机。SSH通过防火墙保护，仅可从我的管理网络访问。同时，我禁用弱密码：

1

/ip ssh set strong-crypto=yes

并为SSH访问配置了公钥认证。

如何通过Winbox访问路由器？

简单，使用SSH端口转发。这样，Winbox API仅对拥有有效SSH登录的用户可访问——而SSH比Winbox更健壮和安全。在Linux上，端口转发如下操作：

1

ssh -L 8291:127.0.0.1:8291 admin@<mikrotik>

在Windows上，可使用Putty实现相同功能。在Winbox中，只需连接到localhost。

评论

STRSHR — 2019年9月28日 #
此外，为了使用SSH转发，你需要：

1

ip ssh set forwarding-enabled=local

或

1

set forwarding-enabled=both

默认情况下对我禁用。

robert — 2019年9月28日 #
这些是新固件中的新选项，在撰写本文时不存在。感谢评论。

文章分类：HowTo, IT Security, Networking | 2条评论