MikroTik 篇二：RouterOS-MikroTik hAP ac^2 必要的安全设置（官方默认脚本状态下）

现实生活中，无线路由器是设备入网的关口。如果路由器受到恶意软件感染或攻击，那么所有联网的设备，包括电脑、手机、智能设备等都容易受到攻击。

必要安全设置

注：当路由器使用 PPPOE 方式并成功获取到公网地址后，此时世界各地以及任何人都可以访问此路由器；为了保护设备被入侵或攻击，必须进行必要安全设置。

一、系统「System」

1.1) 增加、禁用、修改、限制用户「Users」

1.1a) 新建并限制用户仅局域网内设备登陆

示例：新建用户 「ZhiDeMai」，赋予 读取与写入权限 「full」，并限制用户当处于局域网内部时才允许访问「192.168.88.0/24」,密码设置为「zhidemaimima」

1. 在RouterOS的WebFig页面中，导航到“System”菜单下的“Users”选项，点击“Add New”按钮。

2. 在弹出的对话框中，输入以下信息：

• Name: ZhiDeMai

• Group: full

• Allowed Address: 192.168.88.0/24

• Password: zhidemaimima

• Confirm Password: zhidemaimima

3. 点击“OK”按钮，完成账号创建。

新建管理账号

1.1b) 禁用或删除默认管理员用户「admin」

1. 退出并重新登录，浏览器地址栏输入 192.168.88.1 重新进入路由器后台管理页面；

2. 输入账号：ZhiDeMai（新建自定义用户名称）与密码：zhidemaimima（自定义强密码），成功进入后将默认管理用户「admin」禁用或删除。

验证新账号并删除或禁用默认账号

注意事项：

• 192.168.88.0/24 = 192.168.88.1～192.168.168.88.254 （官方默认脚本下局域网网段）

• 使用自定义名称的账号而非默认脚本账号「admin」以及限制账号使用特定 IP 地址访问有助于增强安全。

1.2) 修改登陆中的用户密码「Password」

如果你需要更换密码，而不需要更改账号名，可以直接在「Password」菜单下的页面中修改当前登录用户的密码。

修改登录中的账号密码

1.3) 系统更新「Packages」

为了确保路由器的安全，请及时更新固件版本。一些旧版本存在BUG或漏洞，而新版本已经修复了这些问题。所以保持路由器最新状态是非常重要的。

1. 浏览器地址栏输入 192.168.88.1 重新进入路由器后台管理页面登陆到RouterOS系统。

2. 点击“System”菜单下的“Packages”选项。

3. 点击“Check For Updates”按钮，RouterOS会自动检查更新并列出可用的更新版本。

4. 如果有可用更新，点击“Download & Install”按钮开始更新。

5. 更新完成后，RouterOS系统会自动重启。

检测固件更新

注：家庭日常使用建议选择稳定版（stable）或长期维护（long term）。

二、网络「IP」

2.1) 禁用、修改或限制服务「Services」

2.1a) 禁用RouterOS上的API服务、API-SSL服务、FTP服务、SSH服务、Telnet服务和WWW-SSL服务。

1. 进入RouterOS管理页面，点击左侧"IP"选项，选择"Services"菜单。

2. 在服务列表中，找到需要修改的服务，并点击按钮「D」，即可禁用相关服务（被禁用后的项目将由黑色变成灰色。）

禁用不必要的服务

2.1b) 修改端口号及限制IP访问范围

1. 进入RouterOS管理页面，点击左侧"IP"选项，选择"Services"菜单。

2. 在服务列表中，找到需要修改的服务，点击进入详细信息编辑页面。

3. 在详细信息编辑页面中，修改默认端口为要求的端口号，例如45676。

4. 在"Allowed From"选项中，输入局域网IP地址段，例如192.168.88.0/24，用于限制该服务仅允许在局域网内登录。

5. 点击"Apply"按钮保存修改，并退出登录。

6. 在浏览器地址栏中输入修改后的端口号和路由器IP地址（例如192.168.88.1:45676），重新进入路由器后台管理页面，验证修改是否生效。

修改端口及限制登录IP

注意事项：

• 「Services」中允许IP及IP网段设置：限制使用此服务全体；比如图中设置的「www」服务仅允许局域网内设备访问，不属于局域网内设备访问都会被拒绝（无法打开网页或网页错误）。

• 192.168.88.0/24 = 192.168.88.1～192.168.168.88.254 （官方默认脚本下局域网网段）

2.2) 防火墙「Firewall」

官方默认脚本已经配置了几条防火墙规则，可以完全满足日常使用。如果有兴趣，可以参考 官方文档 或 Linux中关于 iptables 服务部分了解更多。我也是一个小白，很抱歉。

路由器官方默认防火墙规则配置（下图）信息归纳总结：

0）这是一个特殊的虚拟规则，只是用来显示快速通道计数器，不对数据包进行任何操作。

1）这条规则意味着接受已建立连接的、相关的和未被跟踪的数据包。这是默认的配置项，表示允许允许已经与你的设备建立连接，并且是“合法”的数据包。

2）这个规则是拒绝无效的数据包，也就是不符合标准，有错。

3）这里规定接受ICMP数据包，ICMP（互联网控制消息协议）是网络设备用来诊断网络通信问题的网络层协议，用于发送异常或错误信息，也用于进行网络故障排查。

4）这里规定接受发送到回环地址127.0.0.1的本地数据包（用于CAPsMAN）。本地地址与一个设备的网络接口直接通信，而不需要经过路由器。127.0.0.1是一种称为“回环地址”的特殊地址，只是指本机，没有任何传输。

5）这条规则是拒绝任何来自不在你的局域网LAN的数据包，避免从外部发起的攻击或危险数据包。

6）这个规则是在IPsec策略中接受传入数据包。IPsec是一种用于安全地传输数据的协议，这里允许接受被加密过的数据包，以及来自连接到路由器的VPN用户的数据包。

7）这个规则是在IPsec策略中接受传出数据包，即允许路由器发送已经过加密的数据包去连接到VPN的用户。

8）这个规则是使用快速通道（Fasttrack）技术来处理与先前已建立的连接相关的数据包，以提高吞吐量和降低延迟时间。这个过程类似于数据在高速公路上流动而不是在拥挤的城市道路上平行行驶。注意，它仅适用于已建立的连接，而不是新连接。

9）这条规则意味着接受已建立连接的、相关的和未被跟踪的数据包，与规则1相同。

10）这个规则是拒绝无效的数据包，与规则2相同。

11）这个规则是拒绝来自外网的所有未被目的地址NAT的新连接。NAT是一种网络地址转换技术，用于将私有IP地址转换为公共IP地址。这个规则的作用就是拒绝没有经过NAT的连接来自外网，以保障安全。

Firewall 界面

2.2a) 新增一条防火墙规则

这条规则是阻止从WAN输入到端口53的UDP DNS数据包。DNS是一个用于将网址转换为IP地址的系统，UDP是一种用于传输数据包的协议，而WAN就是外网，端口53是DNS使用的默认端口号。

1. 点击“Add New”号按钮，创建一条新的规则；

2. 在规则编辑框中 ，选择“Chain: input”、 “Protocol: UDP”、 “Dst. Port: 53”、 "In. Interace List：WAN"、“Comment：Drop-UDP-53”

3. 在“Action”选项下拉菜单中选择“drop”；

4. 点击“OK”，保存规则。

禁止公网 DNS 查询

注：此规则防止路由器被别人恶意用来当ddos放大攻击的工具；（图中规则5已经包含此规则，应该不需要添加）

2.2b) 建议：禁用规则3，以防止外部网络进行ping操作；同时，建议禁用规则6和7。

个人建议

2.3) 通用即插即用「UPNP」(建议禁用)

注：UPnP是通用即插即用（Universal Plug and Play）的缩写，主要用于设备的智能互联互通；开启后，在局域网中设备或应用程序向路由器发出端口映射请求的时候，路由器就可以自动为支持设备分配端口并进行端口映射以便公网用户能对内网设备发起连接；如无需要应禁用，避免设备在不知情情况下暴露在公网环境中。

2.4) Neighbors「Neighbors」& Cloud「Cloud」& Web Proxy「Web Proxy」& Socks「Socks」(建议禁用)

进入「Neighbors」&「Cloud」&「Web Proxy」&「Socks」查看配置状态并禁用

Neighbors

Cloud

Socks

Web Proxy

三、工具「Tool」

3.1) MAC 服务「MAC Server」（建议禁用）

MAC 服务，在同一局域网内即使没有给 RouterOS 设置 IP 地址，也可以通过 MAC 地址访问和管理 RouterOS 设备。

禁用 MAC Server

2. 宽带测试服务「BTest Server」（建议禁用）

注：测试两台 MikroTik 设备之间吞吐量，日常使用应该禁用。

BTest Server

文章中涉及安全方面设置如有错误请指正，我会尽快修改补充，谢谢；也希望此文可以对值友有所帮助。

参考资料来源：

1. RouterOS Documentation

2. ICMP

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～