==================================================================================== === Начальная настройка: === ==================================================================================== == Переименование интерфейсов: == # /interface address set 0 name="LAN" disabled=no set 1 name="WAN" disabled=no == Назначение ip для интерфейса: == # /ip address add address= 192.168.0.1/24 interface=LAN == Создание dhcp сервера и пула dhcp: == # /ip pool add name="dhcp_pool1" ranges=192.168.0.2-192.168.0.254 /ip dhcp-server add name="dhcp1" interface=LAN address-pool=dhcp_pool1 disabled=no /ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 dns-server=192.168.0.1 == Настройка DNS: == # /ip dns set primary-dns=212.0.200.1 secondary-dns=212.0.200.2 allow-remote-requests=yes == Создание PPPoE соединения: == # /interface pppoe-client add name="pppoe-out1" interface=WAN user="test" use-peer-dns=yes disabled=no password="test" add-default-route=yes == Если не PPPoE соединение, а IP раздается DHCP сервером, то вместо создания PPPoE соединения создать DHCP Client: == # /ip dhcp-client add interface=WAN use-peer-dns=yes add-default-route=yes disabled=no == Дать доступ из локальной сети в интернет посредством NAT: == # /ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masquerade == Настройка VPN сервера (PPTP): == # /interface pptp-server server set enabled=yes == Добавление пользователя: == # /ppp secret add name=user password=pass local-address=10.0.0.1 remote-address=10.0.0.2 ==================================================================================== === Создание резервной копии настроек в виде файлов конфигурации: === ==================================================================================== # export file=backup.rsc - для сохранения import file=backup.rsc - для восстановления == Часть настроек можно сохранить, указав перед export file путь к экспортируемым данным, например: == # ip address export file=ip.rsc ==================================================================================== === Начальная настройка файерволла: === ==================================================================================== # add chain=input protocol=icmp action=accept comment="Allow Ping" add chain=forward protocol=icmp action=accept add chain=input connection-state=established action=accept comment="Accept established connections" add chain=forward connection-state=established action=accept add chain=input connection-state=related action=accept comment="Accept related connections" add chain=forward connection-state=related action=accept add chain=input connection-state=invalid action=drop comment="Drop invalid connections" add chain=forward connection-state=invalid action=drop add chain=input protocol=udp action=accept comment="Allow UDP" add chain=forward protocol=udp action=accept add chain=forward src-address=192.168.0.0/24 in-interface=isp_interface(?) action=accept comment="Access to Internet from local network" add chain=input src-address=192.168.0.0/24 action=accept comment="Access to Mikrotik only from our local network" add chain=input action=drop comment="All other drop" add chain=forward action=drop ==================================================================================== === Чтобы использовать mikrotik в качестве primary-dns (который, в свою очередь, обращается к вышестоящим), нужно, помимо allow remote requests в /ip dns, добавить нижеуказанные правила (насчет необходимости tcp еще не уверен): ==================================================================================== # add chain=forward protocol=tcp dst-port=53 action=accept disabled=no add chain=forward protocol=udp dst-port=53 action=accept disabled=no add chain=input protocol=tcp dst-port=53 action=accept disabled=no add chain=input protocol=udp dst-port=53 action=accept disabled=no == Вся эта хрень подвергает локальный dns-сервер атаке dns-amplification == ==================================================================================== === Создание интернет-подключения для 3g-модема Intertelecom: === ==================================================================================== # /interface ppp-client add name="Intertelecom" max-mtu=1500 max-mru=1500 mrru=disabled port=usb1 data-channel=0 info-channel=0 apn="IT" pin="UM185US" user="IT" password="IT" profile=default phone="#777" dial-command="ATDT" modem-init="" null-modem=no dial-on-demand=no add-default-route=yes use-peer-dns=yes keepalive-timeout=30 allow=pap,chap,mschap1,mschap2 ==================================================================================== === Проброс портов: === ==================================================================================== # ip firewall filter add action=accept chain=input dst-address=1.1.1.1 protocol=tcp dst-port=20000 ip firewall nat add action=dst-nat chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=20000 to-addresses=192.168.0.1 to-ports=22 ==================================================================================== === Переместить правило на другую позицию: === ==================================================================================== # /ip firewall filter move numbers=37 destination=30 ==================================================================================== === Предотвратить атаку типа dns amplification: === ==================================================================================== # /ip firewall filter add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp ==================================================================================== === Сделать перенаправление http-запроса на разные локальные сервера с одного внешнего ip: === ==================================================================================== # /ip firewall layer7-protocol name=test_name regexp=demo.test.external.com /ip firewall mangle add action=add-dst-to-address-list address-list=test_list address-list-timeout=0s chain=prerouting comment="test_comm" disabled=no dst-port=80 layer7-protocol=test_name protocol=tcp /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-address-list=test_list to-addresses=1.1.1.1 ==================================================================================== === Настроить hairpin-NAT (в моем случае для доступности каждого из двух внешних IP маршрутизатора из локальной сети): === ==================================================================================== == 192.168.0.0/24 - LAN == == 192.168.0.1 - web-server == # /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.0.1 protocol=tcp dst-address=!192.168.0.0/24 dst-address-type=local dst-port=80 /ip firewall nat add chain=srcnat action=masquerade protocol=tcp src-address=192.168.0.0/24 dst-port=80 ==================================================================================== === Удалить запись из таблицы leases: === ==================================================================================== # /ip dhcp-server lease remove 101 ==================================================================================== === Просмотреть данные о соединениях между $SRC_IP и $REMOTE_IP по конкретному порту: === ==================================================================================== # /torch eth2-local src-address=$SRC_IP dst-address=$REMOTE_IP port=$PORT' ==================================================================================== === Просмотреть данные по подключениям с $SRC_IP: === ==================================================================================== # /ip firewall connection print detail where src-address ~"$SRC_IP" ==================================================================================== === Включает устройство с указанным mac, используя возможность Wake on PME/PCIE: === ==================================================================================== # tool wol mac=30:85:a9:91:B6:68 interface=eth2-local