QuickTip: 如何保护您的Mikrotik/RouterOS路由器及Winbox

2018年10月6日

我此前没有发布关于Mikrotik Winbox API中多个安全问题的任何内容，因为我认为任何将路由器管理界面开放到互联网的人根本不应该配置路由器。当然，常识是只在内网接口上开放管理界面，并限制可管理路由器的源IP地址。但作为快速提示，我将展示我多年来配置Mikrotik的方法。

1
2
3
4
5
6
7
8

/ip service
set telnet address=0.0.0.0/0 disabled=yes
set ftp address=0.0.0.0/0 disabled=yes
set www address=0.0.0.0/0 disabled=yes
set ssh address=10.7.0.0/16
set api disabled=yes
set winbox address=127.0.0.1/32
set api-ssl disabled=yes

如您所见，我只启用了ssh和winbox，且winbox仅监听本地主机。ssh通过防火墙保护，只能从我的管理网络访问。同时我禁用弱密码：

1

/ip ssh set strong-crypto=yes

我还为ssh访问配置了公钥认证。现在您的问题是：如何通过winbox访问路由器？简单，使用ssh端口转发。这样Winbox API只能由拥有有效ssh登录凭证的用户访问——而且ssh比Winbox更健壮和安全。在Linux上，端口转发这样做：

1

ssh -L 8291:127.0.0.1:8291 admin@<mikrotik>

在Windows上，您可以使用Putty实现相同的功能。在Winbox中只需连接到localhost：

![Winbox连接示意图]

评论

STRSHR — 2019年9月28日
为了使用ssh转发，您需要

1

ip ssh set forwarding-enabled=local

或

1

set forwarding-enabled=both

对我来说默认是禁用的。

robert — 2019年9月28日
这些是新版固件中的新选项，在撰写本文时还不存在。感谢评论。