Около месяца назад я купил себе роутер Mikrotik. По немного разбираюсь с его настройкой и набиваю шишки. В рамках этой статьи я буду фиксировать весь опыт и ньансы с которыми сталкиваюсь в процессе изучения устройства.
Совет 1. Лучше делать настройки в командной строке
Открыть командную строку можно разными способами, рассмотрим два их них:
- С помощью специальных программы PuTTy.
- скачиваете приложение
- вводите ip адрес и нажимаете кнопку open
- вводите логин
- вводите пароль. Важно когда вводите пароль, это никак не отображается на экране. Так и должно быть. Вводите пароль и нажимаете enter
- Из приложения Winbox. Пункт меню «New terminal»
Совет 2. Если вносите изменения через Winbox, желательно проверять как применилась опция через командную строку.
Причина в том, что когда в винбокс вы открываете какой то раздел, просто его открытие может активировать какую то опцию.
Покажу на примере.
Я хочу добавить в фаервол правило: блокировать весь входящий трафик по протоколу TCP с определенного адреса.
Для сравнения я добавляю одно правило через Winbox, а второе правило через командную строку. После этого в командной строке проверяю командой export настройки:
/ip firewall filter> export
/ip firewall filter
add action=drop chain=input protocol=tcp src-address=185.0.0.0/8 src-port=»»
add action=drop chain=input protocol=tcp src-address=115.0.0.0/8
Видим, что правила добавленные разными способами отличаются.
- Winbox: add action=drop chain=input protocol=tcp src-address=115.0.0.0/8 src-port=»»
- Командная строка: add action=drop chain=input protocol=tcp src-address=71.0.0.0/8
При добавлении правила через Winbox появился блок, который я добавлять не планировал src-port=»».
Что делать если Вы хотите удалить ошибочные опции
Заходим в нужный раздел и смотрим какой номер у этого правила:
ip firewall filter
print
Получаем такую выдачу. Важно: нумерация начинается с 0, а не с 1.
0 chain=input action=drop protocol=tcp src-address=115.0.0.0/8 src-port=»» log=no log-prefix=»»
1 chain=input action=drop protocol=tcp src-address=185.0.0.0/8 src-port=»» log=no log-prefix=»»
2 chain=input action=drop protocol=tcp src-address=116.0.0.0/8 src-port=»» log=no log-prefix=»»
3 chain=input action=drop protocol=tcp src-address=71.0.0.0/8
Копируем нужную часть правила без лишних символов
Удаляем правило по его номеру
remove numbers=0
Добавляю «Чистое» правило
add chain=input action=drop protocol=tcp src-address=115.0.0.0/8 place-before=1
Совет 3. Используйте безопасный режим
Это особенно актуально, если у вас нет физического доступа к устройству. Применив какую то настройку, вы можете потерять управление устройством.
Безопасный режим включается кнопкой Safe mode в Winbox или сочетанием клавиш Ctrl+x в командной строке.
В командной строке вы увидите вот такую строку [admin@GW-Mikrotik] <SAFE> .
Если всё в порядке и вы хотите применить изменения отожмите клавишу или снова нажмите сочетание Ctrl+x
Т.е. пока вы не вышли из безопасного режима или устройство не перезагрузилось настройки не будут применены.
Если вы потеряли доступ к устройству подождите 10 минут или просто переподключитесь к устройству.
Покажу на примере.
Я хочу ограничить доступ с сети 80.0.0.0/8 и ввожу соответсвующую команду в безопасном режиме:
/ip firewall filter<SAFE> add chain=input action=drop protocol=tcp src-address=80.0.0.0/8
Сразу после нажатия кнопки Enter обрывается сессия. И тут я вспоминаю что IP моего комьютера начинается на 80 и я обрубил себе доступ.
Благодаря тому, что я работал в безопасном режиме я просто заново подключаюсь к роутеру и все внесенные изменения не сохранятся
Если устройство находится очень далеко, лучше выполняйте каждую настройку в безопасном режиме, поменяйте её и снова активируйте безопасный режим