Маршрутизаторы Mikrotik. Настройка доступа к... настройкам.
Итак, допустим, нам нужно отключить возможность коннектиться к нашему Микротику посредством Winbox, а telnet и ssh нужно оставить только для определенного IP или узкой подсетки. Что делать? Можно полезть в дебри Firewall'а, но если вы новичок, то либо убьете на настройку очень много времени, либо просто не получите желаемого результата.
Для людей непосвященных в таинство RouterOS есть специальный пункт в меню - IP > Services, где представлены все возможные службы, посредством которых можно конфигурить нашу железяку:
Кнопками с крестиком и галочкой мы можем, соответственно, выключить или включить нужную нам службу - самые продвинутые при этом оставляют только православный SSH, а всё остальное без жалости зарезают. Согласитесь, это проще, чем городить правила?
Что еще... Можно поменять заданные по-умолчанию порты для всех служб (столбец Port). Для чего? Ну, допустим, мы хотим опубликовать Микротик для доступа по web, но при этом решили сделать ассиметричный проброс портов вдобавок через нестандартные TCP-порты. Всё это делается по двойному клику на нужной службе:
И в этом месте вы уже должны были заметить хитрую надпись Available From, которая дефолтно неактивна, но вы можете смело вбить туда IP или диапазон адресов.
Внимание! Задавайте эту настройку вдумчиво, т.к. потеря доступа на удаленный Микротик часто чревата большими проблемами! В этом месте лайфхаком будет работа в режиме Safe Mod (кнопа в верхней части Winbox) или резервный доступ через другую службу, которая позволит обратить изменения вспять.
Всю касающуюся служб настройку можно сделать через CLI Микротика. Давайте разберемся как. В терминале говорим ip service и попадаем в соответствующую ветку меню. Командой print можно посмотреть текущую ситуацию:
Как видим, заглушен у нас только сервис www-ssl. Операции здесь проводятся не с учетом названия службы, а по её порядковому номеру. Т.е. чтобы отключить доступ к интерфейсу через web нам нужно сказать:
Проверяем:
Чтобы вернуть всё взад пишем enable [item_number] - всё логично. Так, командой set 2 address=192.168.88.0/24 мы сделаем доступным web-интерфейс доступным только из домашней сети роутера (той, что по-умолчанию). Порт меняется аналогичным образом.
Как-то так. Статья не располагает к пространным объяснениям и сложным настройкам, это очередная зарисовка из серии полезных мелочей. Всем спасибо за внимание!
Для людей непосвященных в таинство RouterOS есть специальный пункт в меню - IP > Services, где представлены все возможные службы, посредством которых можно конфигурить нашу железяку:
Кнопками с крестиком и галочкой мы можем, соответственно, выключить или включить нужную нам службу - самые продвинутые при этом оставляют только православный SSH, а всё остальное без жалости зарезают. Согласитесь, это проще, чем городить правила?
Что еще... Можно поменять заданные по-умолчанию порты для всех служб (столбец Port). Для чего? Ну, допустим, мы хотим опубликовать Микротик для доступа по web, но при этом решили сделать ассиметричный проброс портов вдобавок через нестандартные TCP-порты. Всё это делается по двойному клику на нужной службе:
И в этом месте вы уже должны были заметить хитрую надпись Available From, которая дефолтно неактивна, но вы можете смело вбить туда IP или диапазон адресов.
Внимание! Задавайте эту настройку вдумчиво, т.к. потеря доступа на удаленный Микротик часто чревата большими проблемами! В этом месте лайфхаком будет работа в режиме Safe Mod (кнопа в верхней части Winbox) или резервный доступ через другую службу, которая позволит обратить изменения вспять.
Всю касающуюся служб настройку можно сделать через CLI Микротика. Давайте разберемся как. В терминале говорим ip service и попадаем в соответствующую ветку меню. Командой print можно посмотреть текущую ситуацию:
[admin@MT0] /ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23
1 ftp 21
2 www 80
3 ssh 22
4 XI www-ssl 443 none
5 api 8728
6 winbox 8291
7 api-ssl 8729 noneКак видим, заглушен у нас только сервис www-ssl. Операции здесь проводятся не с учетом названия службы, а по её порядковому номеру. Т.е. чтобы отключить доступ к интерфейсу через web нам нужно сказать:
disable 2Проверяем:
[admin@MT0] /ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23
1 ftp 21
2 XI www 80
3 ssh 22
4 XI www-ssl 443 none
5 api 8728
6 winbox 8291
7 api-ssl 8729 noneЧтобы вернуть всё взад пишем enable [item_number] - всё логично. Так, командой set 2 address=192.168.88.0/24 мы сделаем доступным web-интерфейс доступным только из домашней сети роутера (той, что по-умолчанию). Порт меняется аналогичным образом.
Как-то так. Статья не располагает к пространным объяснениям и сложным настройкам, это очередная зарисовка из серии полезных мелочей. Всем спасибо за внимание!
