Рубрики
Полезно

Полезные советы по настройке роутера Mikrotik

Около месяца назад я купил себе роутер Mikrotik. По немного разбираюсь с его настройкой и набиваю шишки. В рамках этой статьи я буду фиксировать весь опыт и ньансы с которыми сталкиваюсь в процессе изучения устройства.

Совет 1. Лучше делать настройки в командной строке

Открыть командную строку можно разными способами, рассмотрим два их них:

  • С помощью специальных программы PuTTy.
    • скачиваете приложение
    • вводите ip адрес и нажимаете кнопку open
    • вводите логин
    • вводите пароль. Важно когда вводите пароль, это никак не отображается на экране. Так и должно быть. Вводите пароль и нажимаете enter
  • Из приложения Winbox. Пункт меню «New terminal»

Совет 2. Если вносите изменения через Winbox, желательно проверять как применилась опция через командную строку.

Причина в том, что когда в винбокс вы открываете какой то раздел, просто его открытие может активировать какую то опцию.

Покажу на примере.

Я хочу добавить в фаервол правило: блокировать весь входящий трафик по протоколу TCP с определенного адреса.

Для сравнения я добавляю одно правило через Winbox, а второе правило через командную строку. После этого в командной строке проверяю командой export настройки:

/ip firewall filter> export

/ip firewall filter
add action=drop chain=input protocol=tcp src-address=185.0.0.0/8 src-port=»»
add action=drop chain=input protocol=tcp src-address=115.0.0.0/8

Видим, что правила добавленные разными способами отличаются.

  • Winbox: add action=drop chain=input protocol=tcp src-address=115.0.0.0/8 src-port=»»
  • Командная строка: add action=drop chain=input protocol=tcp src-address=71.0.0.0/8

При добавлении правила через Winbox появился блок, который я добавлять не планировал src-port=»».

Что делать если Вы хотите удалить ошибочные опции

Заходим в нужный раздел и смотрим какой номер у этого правила:

ip firewall filter
print

Получаем такую выдачу. Важно: нумерация начинается с 0, а не с 1.


0 chain=input action=drop protocol=tcp src-address=115.0.0.0/8 src-port=»» log=no log-prefix=»»

1 chain=input action=drop protocol=tcp src-address=185.0.0.0/8 src-port=»» log=no log-prefix=»»

2 chain=input action=drop protocol=tcp src-address=116.0.0.0/8 src-port=»» log=no log-prefix=»»

3 chain=input action=drop protocol=tcp src-address=71.0.0.0/8


Копируем нужную часть правила без лишних символов


Удаляем правило по его номеру

remove numbers=0

Добавляю «Чистое» правило

add chain=input action=drop protocol=tcp src-address=115.0.0.0/8 place-before=1

Совет 3. Используйте безопасный режим

Это особенно актуально, если у вас нет физического доступа к устройству. Применив какую то настройку, вы можете потерять управление устройством.

Безопасный режим включается кнопкой Safe mode в Winbox или сочетанием клавиш Ctrl+x в командной строке.

В командной строке вы увидите вот такую строку [admin@GW-Mikrotik] <SAFE> .

Если всё в порядке и вы хотите применить изменения отожмите клавишу или снова нажмите сочетание Ctrl+x


Настройки выполненные в безопасном режиме не записываются в память устройства до явного подтверждения.

Т.е. пока вы не вышли из безопасного режима или устройство не перезагрузилось настройки не будут применены.

Если вы потеряли доступ к устройству подождите 10 минут или просто переподключитесь к устройству.

Покажу на примере.

Я хочу ограничить доступ с сети 80.0.0.0/8 и ввожу соответсвующую команду в безопасном режиме:
/ip firewall filter<SAFE> add chain=input action=drop protocol=tcp src-address=80.0.0.0/8

Сразу после нажатия кнопки Enter обрывается сессия. И тут я вспоминаю что IP моего комьютера начинается на 80 и я обрубил себе доступ.
Благодаря тому, что я работал в безопасном режиме я просто заново подключаюсь к роутеру и все внесенные изменения не сохранятся

Если устройство находится очень далеко, лучше выполняйте каждую настройку в безопасном режиме, поменяйте её и снова активируйте безопасный режим

Добавить комментарий

Ваш адрес email не будет опубликован.