Mikrotik基础设置:如何封禁二级路由器

日常生活中，我们常会接触到路由器，无论是小区还是公司，都有专用路由器，这可称为一级路由器。若在该路由器的内网中再接入一个路由器，则称为二级路由器。那么，如何阻止二级路由连接外网？

1、 首先，启动ROS并使用Winbox登录。这里先介绍一下TTL的概念：TTL是Time To Live的缩写，表示IP数据包在被路由器丢弃前允许通过的最大跳数，它是IPv4数据包头部的一个8位字段。明确了这一点，就可以按照此逻辑进行设置调整。接下来，在ROS左侧的功能菜单栏中，找到IP选项下的firewall功能模块，即可进行相关操作。

2、 在防火墙的 mangle 选项中，点击+添加规则。弹出面板后，Chain 有多个选择：PREROUTING、POSTROUTING、OUTPUT、INPUT、FORWARD。在 Action 选项中包含众多子选项，其中包括更改 TTL功能，可根据需求进行设置。

3、 方法一：通过Prerouting封禁二级路由。具体操作如下：在Chain中选择Prerouting（路由前），Interface选择Wan，Connection State选Established，Action设置为Change TTL，将New TTL设为2。最后点击OK保存配置。此方式利用了数据包的TTL值，有效限制二级路由访问，同时不影响正常网络通信。

4、 方法二：通过 forward 封锁二级路由。，进入 chain 选择 forward（转发），设置输出接口为 lan，连接状态为 established，动作选择修改 TTL，新 TTL 值设为 0。随后点击 OK 保存配置即可。此操作可有效阻止二级路由的使用，确保网络管理规范。

5、 方法三：通过Postrouting封禁二级路由。所示，在Chain中选择Postrouting（路由后），Out Interface设为lan，Connection State选established，Action设置为change TTL，New TTL值填0，最后点击OK并保存配置。这样就完成了在ROS中对二级路由的封禁设置。需要注意的是，这种封禁是可以解除的，只要你的二级路由能够调整change TTL的值即可解封。关于这部分内容的学习和分享就到这里，后续我们将继续深入探讨，感谢大家的关注！