如何配置 RouterOS (ROS) 防火墙？2026最新安全规则配置与性能调优避坑指南

在 MikroTik RouterOS (ROS) 软路由系统日常部署、全家网关防护以及 IPv6 地址安全管理过程中，如何配置 RouterOS (ROS) 防火墙？ 是许多追求极限吞吐与生产级高安全性的网络运维人员必修的核心技能。

在 RouterOS 中配置防火墙的标准步骤为：

首先，必须在修改规则前开启 Winbox 的 Safe Mode（安全模式）防止锁死；

其次，在 IP -> Firewall -> Filter Rules 中，为 Input 链配置允许 Established/Related 状态连接、允许 ICMP (Ping) 和本地 LAN 接口访问，其余来自 WAN 的主动访问一律 Drop 丢弃；

接着，为 Forward 链配置 Fasttrack 规则以开启硬件极速转发，随后同样放行 Established/Related 数据并丢弃无效包，最后拦截来自 WAN 且未经 DST-NAT 端口映射的所有连接请求；

最后，针对 IPv6 必须在 IPv6 -> Firewall 中独立配置对应的阻断规则，防止内网设备在无 NAT 环境下公网直接暴露。

一、理解 ROS 防火墙 Filter Rules 核心三要素

在 Winbox 中，点击 “IP” -> “Firewall” -> “Filter Rules” 标签页，这里就是我们配置所有防火墙包过滤规则的地方。

每一条规则在逻辑上都可以被看作是一个“条件判断语句”，主要由以下三个核心要素组成：

1. 链 (Chain)：定义数据包的流向。
   • input：发往路由器本身的数据包。例如：您登录 Winbox 管理后台、有人试图 Ping 路由器，或者外部恶意扫描您路由器的 SSH、API 端口。
   • forward：穿过路由器的数据包。例如：局域网内的电脑访问百度，数据包只是经过路由器中转，目的地不是路由器本身。
   • output：从路由器本身发出的数据包。日常家用通常不需要对其进行过多限制。
2. 匹配条件 (Matcher)：数据包必须满足的特征。例如：来自哪个物理接口（In. Interface）、什么协议（Protocol）、源 IP 是多少（Src. Address），以及最为关键的连接状态（Connection State）。
3. 动作 (Action)：当数据包成功匹配条件时，路由器采取的处理方式。
   • accept：放行，允许通过。
   • drop：丢弃。对方完全不知道数据包被丢了，通常用于防护公网恶意扫描和攻击，使其超时。
   • reject：拒绝，并向发送方发回“不可达”的 ICMP 报错，一般在局域网内部策略中使用。

二、RouterOS IPv4 默认最佳实践配置清单 (Stateful Firewall)

配置防火墙的黄金法则是**“最小权限原则”：除了明确允许的流量，其余一律丢弃。同时，防火墙规则是从上往下顺序执行的，一旦匹配成功，后续规则将不再被处理**。因此，顺序至关重要！

请在 Winbox 中按顺序添加以下规则，在所有规则全部配齐前，切勿启用最后的 Drop All 规则：

1. Input 链规则（保护路由器自身安全）

• 规则 1：允许已建立和相关的连接 (Accept Established/Related)
  • 作用：对于已经建立握手、被状态机跟踪的数据包直接放行，极大减少 CPU 重新进行状态判定时的计算开销。
  • 配置：Chain: input -> Connection State: established, related, untracked -> Action: accept。
• 规则 2：丢弃无效连接 (Drop Invalid)
  • 作用：垃圾包、乱序或损坏的非法数据包直接丢掉。
  • 配置：Chain: input -> Connection State: invalid -> Action: drop。
• 规则 3：允许 ICMP (Ping)
  • 作用：允许外部或内部 Ping 路由器，便于排查故障。若想彻底隐身，可以只限制内网访问或关闭此项。
  • 配置：Chain: input -> Protocol: icmp -> Action: accept。
• 规则 4：允许内网 LAN 访问路由器服务 (Accept LAN)
  • 作用：绝对关键！ 允许来自本地网桥（如 bridge1）的用户访问 Winbox 后台、DNS 和 DHCP 等核心管理服务。
  • 配置：Chain: input -> In. Interface: bridge1 -> Action: accept。
• 规则 5：丢弃所有其他传入流量 (Drop All Input)
  • 作用：除了前四条放行的安全请求，来自公网 WAN 口的所有主动连接（黑客扫描）全部丢弃。
  • 配置：Chain: input -> Action: drop。

2. Forward 链规则（保护局域网内网设备）

• 规则 6：开启 Fasttrack Connection（硬件极速转发）
  • 作用：ROS 性能的灵魂！ 让大部分已建立的单播流量直接绕过 Linux 内核的 Netfilter 处理栈，实现硬件线速转发，极大提升千兆/万兆网速并解放 CPU。
  • 配置：Chain: forward -> Connection State: established, related -> Action: fasttrack connection。
• 规则 7：放行已建立和相关的连接
  • 作用：配合 Fasttrack，处理那些没有被 Fasttrack 匹配到的握手回包。
  • 配置：Chain: forward -> Connection State: established, related, untracked -> Action: accept。
• 规则 8：丢弃无效连接
  • 配置：Chain: forward -> Connection State: invalid -> Action: drop。
• 规则 9：丢弃来自 WAN 口但未经目标 NAT 的所有连接
  • 作用：除非您在 NAT 标签页中做了端口映射（DST-NAT），否则任何外部网络的主动入侵流量都会在转发处被直接切断，保护内网 NAS、PC 等设备安全。
  • 配置：Chain: forward -> In. Interface: pppoe-out1 (或您的外部 WAN 接口) -> Connection State: !dstnat (勾选 dstnat 并点击前面的小方框使其变成感叹号，表示“非目标NAT”) -> Action: drop。

三、IPv6 时代的防火墙必修课 (防阻断公网扫描)

由于 IPv6 没有 NAT 概念，局域网内的每一台设备都拥有唯一的全球单播 IPv6 地址，这相当于您的 NAS、家用电脑、监控摄像头完全赤裸裸地暴露在公网上。如果忽略了 IPv6 防火墙的配置，黑客可以直接扫描并连入您内网设备的 445、3389、5000 等危险端口，带来极大的安全隐患。

请点击 Winbox 的 “IPv6” -> “Firewall” -> “Filter Rules”，参照以下最佳实践独立配置 IPv6 过滤策略：

1. IPv6 Input 链 (保护软路由本身)

1. 允许已建立/相关的连接：Chain: input -> Connection State: established, related -> Action: accept。
2. 允许 DHCPv6：Chain: input -> Protocol: udp -> Src. Port: 547 -> Dst. Port: 546 -> Action: accept（确保 WAN 口能正常租约到运营商分配的 v6 前缀）。
3. 允许 ICMPv6：Chain: input -> Protocol: icmpv6 -> Action: accept（极重要：IPv6 依靠 ICMPv6 传递邻居请求，千万不要像限制 IPv4 那样彻底拦截，否则将导致整个 IPv6 瘫痪）。
4. 允许 LAN 口访问：Chain: input -> In. Interface: bridge1 -> Action: accept。
5. 放在最后，丢弃其余所有 Input：Chain: input -> Action: drop。

2. IPv6 Forward 链 (保护内网资产)

1. 允许已建立/相关的连接：Chain: forward -> Connection State: established, related -> Action: accept（允许局域网设备出去后回包）。
2. 允许 ICMPv6 转发：Chain: forward -> Protocol: icmpv6 -> Action: accept。
3. 丢弃无效连接：Chain: forward -> Connection State: invalid -> Action: drop。
4. 丢弃所有来自公网 WAN 的主动访问：Chain: forward -> In. Interface: pppoe-out1 (或您的 v6 WAN 口) -> Action: drop（此规则彻底锁死外部黑客对您内网 v6 设备的主动扫描和入侵）。

四、2026 年 ROS v7 防火墙性能与调优特性

进入 2026 年，RouterOS v7 带来了更加现代的底层网络优化：

1. IPv6 Fasttrack 的全面就位：相较于 ROS v6 中 IPv6 流量总是需要 CPU 软中断处理的窘境，v7 在支持硬件加速的设备（如 hap ax3、RB5009 等）上全面适配了 IPv6 Fasttrack，使多千兆 IPv6 宽带打满时的 CPU 负载降幅高达 80%。
2. 巧用 RAW 表实现无损防护：如果您遭遇了严重的网络端口扫描或 DDoS 洪水攻击，不要在 Filter Rules 中配置 Drop 规则。Filter Rules 依赖连接状态追踪，处理流量时会占用大量内存。推荐在 “IP” -> “Firewall” -> “RAW” 中添加 Drop 规则，由于 RAW 表位于状态追踪（conntrack）的前端，能直接在 Linux 协议栈的最底层把包丢掉，几乎实现零 CPU 开销。

五、Reddit 社区高频反馈与安全避坑指南

避坑 1：修改规则导致把自己锁在路由器外的惨剧

r/mikrotik 社区老手 u/MikroTik_Wizard 警告： “每周都有新手发帖哭诉：自己刚把最后一行的 Drop All 启用，Winbox 瞬间白屏断开，再也登不进路由器了。因为在添加 Accept 规则时，漏选了 In. Interface 或者顺序弄反了，把自己也归为了 Drop 范围。唯一的解决办法就是戳复位键重置整个路由器，几天配置的心血瞬间全白费了。”

【解决方案：启用 Safe Mode (安全模式)】

1. 在 Winbox 界面左上角，有一个 “Safe Mode (安全模式)” 按钮。
2. 在开始修改任何防火墙规则前，先点下这个按钮使其处于被按下的状态。
3. 如果您由于配置失误导致 Winbox 连接中断，路由器会自动检测到管理会话异常断开，并在 10 秒内自动回滚刚才做出的所有修改。
4. 确认配置无误、连接一切正常后，再次点一下 Safe Mode 退出，保存所有修改。这一操作能在 99% 的调试中拯救您的路由配置。

避坑 2：启用 Fasttrack 导致限速队列（QoS）与 VPN 策略路由完全失效

r/mikrotik 网络管理员 u/QoS_Tuner 反馈： “为什么我开启了 Fasttrack 之后，我的 Simple Queues 对孩子电脑的限速就不管用了？而且原本分流走旁路由科学上网的流量，也全漏回主路由直连了？”

【故障分析与白名单方案】

• 故障原因：Fasttrack（快速转发）的原理是“只要一个连接被确认为 Established，后续所有包直接通过网卡硬交换或最底层的 fastpath 路由转发”，这意味着它完全绕过了 Netfilter 链（Filter/Mangle 表），从而越过了 QoS 限速队列和策略路由匹配。
• 解决方案：针对性排除： 在配置 Fasttrack 规则时，不能无脑允许所有。如果您的内网存在需要限速的设备，或者需要通过 Mangle 标记走 VPN 出口的流量，必须在 Fasttrack 规则中设置白名单排除：
  1. 新建一个 Address List（如：命名为 Need_QoS），将需要限速的设备 IP 或走策略路由的网段填入其中。
  2. 进入 Forward 链的 Fasttrack Connection 规则 的 Advanced 标签页。
  3. 在 Src. Address List 一栏选择刚才的 Need_QoS，并在前方的输入框中点一下，使其出现感叹号（!Need_QoS）。 这表示“除了这些需要限速/策略路由的设备，其余全部流量走 Fasttrack 硬件转发”，从而完美兼顾了核心网速与特殊功能需求。

避坑 3：公网暴露端口映射 (DST-NAT) 遭遇高频爆破

r/homelab 用户 u/Sec_Guard 吐槽： “我把局域网 NAS 的 5000 端口通过 NAT 映射到了外网，结果看系统日志，每天都有几万次来自全球的 SSH 和 Web 暴力爆破尝试。有些规则防得住，但看着心惊肉跳，怎么能安全过滤？”

【三维立体安全过滤拓扑】

只在 NAT 里做简单的转发是不够的，请遵循以下三重安全防护：

1. 更换外部端口（非标端口）：不要在公网暴露默认端口。例如外网使用 35022 转发至内网 of 22（SSH）端口，这能直接阻断 90% 的自动化扫描脚本。
2. 利用防火墙 Address List 动态屏蔽爆破 IP（黑名单级联）：
   • 可以在 Input/Forward 链中配置规则：如果在 1 分钟内某个外部 IP 尝试访问您的端口超过 10 次，则自动将该 IP 扔进名为 block_black 的地址列表中，有效期 7 天。
   • 并在防火墙 Filter 规则的最顶部增加一条：Chain: input/forward -> Src. Address List: block_black -> Action: drop，彻底将爆破者拒之门外。

六、总结

合理配置 RouterOS 的防火墙 Filter Rules 是打造高性能、高可用网关系统的重要一步。理解链的概念、熟悉 connection state，利用 Fasttrack 加速常规转发并学会用 Safe Mode 为调试兜底，同时防范 IPv6 带来的外网扫描风险，您的 ROS 系统将固若金汤。

如果您对系统网络的整体部署与调优还有进一步的探究兴趣，强烈推荐阅读以下指南：

• 如何从零开始在 Proxmox VE (PVE) 安装 RouterOS (ROS) 软路由？2026最新 CHR 虚拟机部署与避坑指南 —— 教您如何在 PVE 虚拟化环境下最佳性能挂载 ROS 并配置网卡直通。
• 如何进行 RouterOS (ROS) 软路由基本配置？2026最新初始化设置与避坑指南 —— 新手必看，从零开始完成 ROS 系统桥接、DHCP 服务的标准装配。
• 如何使用 3X-UI 搭建可视化面板？2026最新节点协议配置与避坑指南 —— 配置自建 Reality 隧道，并在 ROS 端口转发防护下安全访问管理控制后台。
• 如何在 OpenWrt 安装 PassWall 科学上网插件？2026最新依赖安装与网络配置避坑指南 —— 搭配 ROS 主路由，将 OpenWrt 设为旁路由运行 PassWall 实现完美分流。
• 如何获取 Cloudflare API Token？2026最新域名 DNS 编辑令牌创建与安全避坑指南 —— 配合 ROS 内部的 DDNS 脚本，利用细粒度 Token 自动更新公网 IP，确保外网端口映射的高可用。