快速指南：如何安全配置Mikrotik/RouterOS路由器及Winbox访问

2018年10月6日

我此前未就Mikrotik Winbox API中的多个安全问题发表任何内容，因为我认为任何将路由器管理接口开放到互联网的人都不应配置路由器。当然，常识是仅在内网接口上开放管理界面，并仅从管理路由器的源IP地址进行访问。但作为快速提示，我将展示我多年来配置Mikrotik的方法。

服务配置

1
2
3
4
5
6
7
8

/ip service
set telnet address=0.0.0.0/0 disabled=yes
set ftp address=0.0.0.0/0 disabled=yes
set www address=0.0.0.0/0 disabled=yes
set ssh address=10.7.0.0/16
set api disabled=yes
set winbox address=127.0.0.1/32
set api-ssl disabled=yes

如您所见，我仅启用了SSH和Winbox，且Winbox仅监听本地主机。SSH通过防火墙保护，仅可从我的管理网络访问。同时，我禁用了弱密码：

1

/ip ssh set strong-crypto=yes

我还为SSH访问配置了公钥认证。现在您的问题是：如何通过Winbox访问路由器？简单，使用SSH端口转发。这样，Winbox API仅对具有有效SSH登录权限的用户可访问——而SSH比Winbox更健壮和安全。在Linux上，端口转发如下完成：

1

ssh -L 8291:127.0.0.1:8291 admin@<mikrotik>

在Windows上，您可以使用Putty完成相同的操作。在Winbox中，只需连接到localhost。

2条评论

STRSHR — 2019年9月28日 #
此外，为了使用SSH转发，您需要

1

ip ssh set forwarding-enabled=local

或

1

set forwarding-enabled=both

默认情况下对我禁用。

robert — 2019年9月28日 #
这些是新固件中的新选项，在撰写本文时不存在。感谢评论。

注释：原始内容包含博客元数据、导航菜单和归档列表，但以上翻译仅聚焦于技术内容部分。