MikroTik RouterOS – ръководство за командите и конфигурацията

MikroTik RouterOS – Пълно ръководство за командите

Съдържание

🔧 MikroTik RouterOS

Пълно ръководство за командите и конфигурацията

🛡Firewall управление

Преглед на Filter правилата

/ip firewall filter print

Показва всички firewall правила с техните флагове и настройки. Флаговете означават: X = изключено, I = невалидно, D = динамично.

Филтриране на правила по chain

/ip firewall filter print where chain=input

Показва само правилата за входящ трафик към рутера.

Добавяне на ново правило

/ip firewall filter add chain=input action=accept protocol=tcp dst-port=22 comment="SSH Access"

Добавя правило за разрешаване на SSH достъп на порт 22.

Изтриване на правило

/ip firewall filter remove [номер_на_правилото]

Съвет: Винаги добавяйте firewall правилата преди drop/reject правилата за да работят правилно.

🔄NAT Rules управление

Преглед на NAT правилата

/ip firewall nat print

Показва всички NAT правила включително port forwarding и masquerade настройки.

Филтриране по коментар

/ip firewall nat print where comment~"nginx"

Показва само правилата съдържащи "nginx" в коментара.

Добавяне на Port Forwarding

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.100 protocol=tcp dst-port=80,443 comment="Web Server"

Пренасочва HTTP/HTTPS трафик към вътрешен сървър.

Masquerade за интернет достъп

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

Основно правило за осигуряване на интернет достъп.

Внимание: Променете IP адресите според вашата мрежова топология.

🛣Routing Table

Преглед на routing таблицата

/ip route print

Показва всички route записи в системата.

Филтриране на default gateway

/ip route print where dst-address=0.0.0.0/0

Показва само default route записите.

Добавяне на статичен route

/ip route add dst-address=10.0.0.0/8 gateway=192.168.1.1

Добавя статичен route за конкретна мрежа.

🔌Мрежови интерфейси

Преглед на всички интерфейси

/interface print

Показва статуса и настройките на всички мрежови интерфейси.

IP адреси на интерфейсите

/ip address print

Показва всички IP адреси конфигурирани на интерфейсите.

Мониторинг на трафика

/interface monitor-traffic ether1

Показва трафика в реално време на конкретен интерфейс.

WireGuard интерфейси

/interface wireguard print detail

Детайлна информация за WireGuard VPN интерфейсите.

/interface wireguard peers print

Показва всички WireGuard клиенти и техния статус.

👤Управление на потребители

Преглед на потребителите

/user print

Показва всички потребители, техните групи и статус.

Детайлна информация

/user print detail

Подробна информация включително последен достъп.

Активни сесии

/user active print

Показва кои потребители са логнати в момента.

Потребителски групи и права

/user group print detail

Показва всички групи и техните permissions.

Услуги за достъп

/ip service print

Показва кои услуги са включени (SSH, WinBox, HTTP, и т.н.).

Група	Права	Описание
full	Всички права	Пълен администраторски достъп
read	Само четене	Може да разглежда настройки
write	Четене и писане	Може да променя настройки
reboot	Рестартиране	Може да рестартира устройството

📊Мониторинг и диагностика

Системна информация

/system resource print

CPU, памет, uptime и други системни ресурси.

История на логовете

/log print

Последните системни съобщения и грешки.

Филтриране на логове по тема

/log print where topics~"account"

Показва само логовете свързани с потребителски акаунти.

Neighbor Discovery

/ip neighbor print

Показва открити устройства в мрежата.

DHCP клиенти

/ip dhcp-server lease print

Показва всички DHCP клиенти и техните IP адреси.

🔐VPN конфигурация

WireGuard сървър

# Създаване на WireGuard интерфейс /interface wireguard add listen-port=51820 name=wireguard1 # Добавяне на IP адрес /ip address add address=10.0.0.1/24 interface=wireguard1 # Firewall правило за WG порт /ip firewall filter add chain=input action=accept protocol=udp dst-port=51820 # NAT за WG клиенти /ip firewall nat add chain=srcnat action=masquerade src-address=10.0.0.0/24

Пълна настройка на WireGuard VPN сървър.

Добавяне на WireGuard клиент

/interface wireguard peers add interface=wireguard1 public-key="CLIENT_PUBLIC_KEY" allowed-address=10.0.0.2/32

Добавя нов клиент към WireGuard сървъра.

Забележка: Заменете CLIENT_PUBLIC_KEY с действителния публичен ключ на клиента.

🌐DNS и Cloud услуги

DynDNS настройки

/ip cloud print

Показва статуса на MikroTik Cloud DynDNS услугата.

Включване на DynDNS

/ip cloud set ddns-enabled=yes ddns-update-interval=10m

Включва автоматичното обновяване на DynDNS всеки 10 минути.

DNS настройки

/ip dns print

Показва DNS сървърите и кеш настройките.

DNS кеш статистики

/ip dns cache print

Показва DNS записите в кеша.

Препоръка: При използване на статично IP, DynDNS не е необходим освен за backup.

💡Полезни съвети

Backup на конфигурацията

/system backup save name=backup-$(date)

Създава backup файл с текущата дата.

Export на конфигурацията

/export file=config-export

Експортира конфигурацията като .rsc скрипт.

Рестартиране на системата

/system reboot

Рестартира MikroTik устройството.

Най-добри практики:

Винаги правете backup преди промени
Тествайте правилата преди production
Използвайте коментари за по-лесно управление
Редовно обновявайте RouterOS

Федя Серафиев

Федя Серафиев e собственик на уебсайта urocibg.eu. Той намира удовлетворение в това да помага на хората да решават и най-сложните технически проблеми. Сегашната му цел е да пише лесни за следване статии, така че подобни проблеми изобщо да не възникват.

Благодарим ви за прочитането на статията! Ако намерихте информацията за полезна, можете да дарите посредством бутоните по-долу:

Donate ☕️ Дарете с PayPal Donate 💳 Дарете с Revolut