RouterOS 防火墙规则配置中的几个致命误区

在企业网络环境中，RouterOS（也称 RouterOS 或 ROS）被广泛应用于路由器和网关设备。然而，在实际部署过程中，许多工程师在配置防火墙时容易踩中一些看似基础却极具破坏力的坑。本文结合真实案例，总结几条关键避坑经验，帮助你少走弯路。 ## 一、默认规则之外的 INPUT 链陷阱 很多新手在配置 RouterOS 防火墙时，习惯性地只在 INPUT 链上放行所需端口，认为这样就能保证安全。但他们往往忽略了一点：如果 INPUT 链的默认策略是 ACCEPT，而在 filter 规则的最末尾又没有一条 `chain=input action=drop` 的兜底规则，那么任何未匹配的流量都会被无条件放行。 一个真实的教训是：某公司网络管理员在防火墙上逐步添加了允许 80、443、SSH 等规则后，认为已经足够安全。但后来发现内网的一台服务器被人入侵了。排查日志后发现，攻击者利用了防火墙规则中遗漏的一个高位端口（用于内部监控系统的通信），成功绕过了安全策略。 正确的做法是在 INPUT 链末尾始终添加一条默认拒绝规则，并在其之前精确编写放行列表： ``` /ip firewall filter add chain=input action=accept src-address=10.0.0.0/8 dst-port=22 protocol=tcp comment="允许内网SSH" /ip firewall filter add chain=input action=drop comment="默认拒绝INPUT" ``` ## 二、NAT 规则中的 src-nat 和 dst-nat 混淆 在做地址转换时，src-nat 和 dst-nat 的方向判断是另一个高频踩坑点。简单来说，src-nat 用于修改数据包的**源地址**（出站方向），dst-nat 用于修改数据包的**目标地址**（入站方向）。 很多工程师在做端口映射（将外网流量映射到内网服务器）时，错误地使用了 src-nat。例如想把外网 8080 端口映射到内网 192.168.1.100 的 80 端口，正确配置应该是： ``` /ip firewall nat add chain=dstnat action=dst-nat dst-address=公网IP dst-port=8080 protocol=tcp to-addresses=192.168.1.100 to-ports=80 ``` 如果在 dstnat 链上错误地使用了 src-nat，外网用户根本无法通过端口映射访问内网服务，而且这种现象在测试时往往让人百思不得其解——因为从本地路由器 itself 发起连接是正常的。 ## 三、防火墙 filter 规则顺序的致命影响 RouterOS 防火墙规则按从上到下的顺序匹配，**一旦命中即停止匹配**。这一特性意味着，如果你在规则列表的靠前位置插入了一条过于宽泛的 ACCEPT 规则，后续编写的精细化控制规则将永远无法被触发。 一个典型的错误配置如下： ``` /ip firewall filter add chain=forward action=accept src-address=192.168.1.0/24 dst-address=0.0.0.0/0 comment="放行整个内网" /ip firewall filter add chain=forward action=drop src-address=192.168.1.100 action=drop comment="禁止某IP" # 这条永远不会生效 ``` 正确的思路是**先拒绝后放行**，或者将精确匹配的规则放在宽泛规则之前。在实际操作中，建议给所有规则加上有意义的 comment，既方便后续维护时理清思路，也能在故障排查时快速定位问题规则。 ## 四、connection-state 参数的合理使用 RouterOS 防火墙提供 `connection-state` 参数，可以识别数据包的连接状态（established、related、invalid、new）。很多工程师为了省事，会直接 `action=drop` 所有 invalid 状态的连接，这在大多数场景下没有问题，但有一个隐蔽的坑需要警惕： 在某些负载均衡或策略路由场景下，RouterOS 可能会将合法的双向通信数据包错误标记为 invalid 状态。如果你直接无条件 drop 掉所有 invalid 连接，可能导致部分正常业务中断。 建议的做法是：**先对 invalid 状态进行日志记录，观察一段时间确认无误后，再决定是否无条件 drop**： ``` /ip firewall filter add chain=input action=log log-prefix="invalid-conn:" connection-state=invalid /ip firewall filter add chain=input action=drop connection-state=invalid ``` ## 五、不要忽略 service port 中的 connection-rate 限制 对于提供公众服务的 RouterOS 设备，适当限制单 IP 的连接速率非常重要。很多管理员配置了防火墙规则却发现效果不佳，问题往往出在 `connection-rate` 限制没有被正确启用——需要在 service port 中先开启 `connection-rate-packets-per-connection` 功能： ``` /ip firewall service-port set ftp ports=21 connection-rate-packets-per-connection=yes ``` 如果不开启这个选项，即便你在 filter 规则中写入了 `connection-rate` 条件，该条件也会被系统忽略，规则形同虚设。这是一个非常容易被忽略的隐性依赖关系。 ## 结语 RouterOS 功能强大，配置灵活，但正因为其灵活性，很多默认行为和边界条件需要工程师有清晰的理解。以上五个避坑点并非全部，但在实际项目中出现的频率非常高。建议每次重大配置变更前做好完整的规则备份，并通过 `/export file=config-backup.rsc` 导出配置，确保出了问题可以快速回滚。安全无小事，细节见真章。