Количество устройств, которое можно подключить в одной ЛВС не бесконечно и обусловлено следующими ограничениями:

-физические ограничения на длину кабеля и количество узлов в сегменте;

-логические ограничения на число узлов в сегменте (Ethernet –1024);

-опасность возникновения широковещательных штормов;

-увеличение трафика в сегменте.

Для решения этих проблем используют средства сетевого уровня. Одно из таких средств разделение сети на несколько частей, которые называются подсетями (subnets).

Если сеть не планируется расширять на более чем 300-400 сетевых устройств, то можно воспользоваться Вариантом №1.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

В данном примере рассмотрим разделение одноранговой сети класса С (маска 24 бита, 192.168.х.х) на две подсети.

При таком делении в каждой подсети возможно размещение 254 сетевых устройств (итого 508 сетевых устройств).

Компьютеры в обоих подсетях должны обмениваться пакетами и иметь доступ в интернет.

Назовем сети для понятности СЕТЬ 8 и СЕТЬ 9.

Присвоим сети 8 адрес 192.168.8.0.

Присвоим сети 9 адрес 192.168.9.0.

Выбор номера сети произвольный, без расчета масок и обусловлен занятостью в нашей ЛВС предыдущих номеров. Если других сетей, подсетей нет, можно выбрать нумерацию более стандартного вида 192.168.0.1 и 192.168.1.1.

Структура сети получается как на картинке ниже.

Разделение двух сетей происходит через маршрутизатор (роутер) MikroTik750Rb3.

В разъем №1 подключаем провод от внешней сети (Интернет).

В разъем №2 подключаем провод от СЕТИ8.

В разъем №3 подключаем провод от СЕТИ9.

В каждой из подсетей желательно иметь доступ к одному из компьютеров, чтоб убедится в выполнении настройки.

В сетевых адапторах компьютеров получение IP-адреса автоматическое (DHCP).

Настройка роутера выполняется из компьютера подключенного в СЕТЬ8 (порт2). Нет особого значения из какой подсети выполнять подключение и настройку.

Провайдер раздает IP-адрес для выхода в интернет автоматически (DHCP), без авторизации.

В различных случаях получение интернета от провайдер может быть различным: с авторизацией, через статический IP-адрес, через PPPoE и тп. Это следует учитывать при настройке каждого конкретного роутера.

 Порядок действий.

1.Подключение к роутеру, сброс конфигурации.

2.Создание Bridges (мостов).

3.Привязка портов роутера к созданным мостам.

4.Назначение адресации для мостов.

5.Настройка внешнего IP-адреса.

6.Создание DHCP сервера.

7.Правила для доступа между подсетями.

8.Правило NAT для доступа в Интернет.

9.DNS

10.Привязка MAC-адреса сетевых устройств к IP.

11.Ограничение скорости подключения к Интернету.

12.Разделение IP-пользователей на группы.

13.Ограничения доступа в интернет.

14.Учетная запись администратора.

15.Интерфейсы доступа.

16.Закрытие неиспользуемых портов.

17.Резервная копия конфигурации.

1.Подключение к роутеру, сброс конфигурации.

Все настройки выполняются через WinBox – ПО для подключения в MikroTik (Скачать).

Сбрасываем конфигурацию роутера. Если роутер новый, сбрасывать конфигурацию не нужно.

Сброс можно сделать разными вариантами, например кнопкой в корпусе (ССЫЛКА).

Можно сбросить настройки программно если известны параметры доступа к роутеру или он новый.

1.Запускаем WinBox.

2.Нажимаем на вкладку Neighbors.

3 Кликаем на MAC-адрес нужного роутера.

4.Вводим логин-пароль(базовый логин admin, пароля нет).

5.Нажимаем кнопку «Connect».

Сбрасываем конфигурацию из первого пункта бокового меню Quick Set

Через командную строку терминала.

Переподключаемся и видим сообщение, предлагающее сбросить или оставить конфигурацию по умолчанию.

Удаляем эту заводскую конфигурацию, чтоб она не создавала дополнительных препятствий.

!!! Следует помнить, что удаляя базовые настройки, удалятся параметры безопасности. Если роутер будет работать шлюзом в интернет необходимо настроить интерфейсы доступа, учетные записи, фильтры и прочие настройки безопасности.

Переподключаемся еще раз.

 

2.Создание Bridges (мостов).

1.В боковом меню выбираем Bridge.

2.В открывшемся окне нажимаем синий крест (плюс).

3.В окне New Interface изменяем по желанию имя (оставляем по умолчанию).

4.В меню ARP выбираем proxy-arp.

5.Нажимаем ОК.

Точно так же создаем еще один мост с именем по умолчанию bridge2.

В результате,  в окне Bridge или Interface List должны быть видны два созданных моста.

Через командную строку терминала:

Мосты нужны для работы подсетей.

Режим Proxy-ARP объединяет две не связанные сети.

 

3.Привязка портов роутера к созданным мостам.

Для первого моста bridge1 привяжем порт ether2 на котором подключена сеть 8 (192.168.8.0)

1.В боковом меню выбираем Bridge.

2.В раскрывшемся окне Bridge переходим на вкладку Ports.

3.Нажимаем синий крест (плюс).

В открывшемся окне Bridge Port  вводим параметры:

4.Interface: ether2

5.Bridge: bridge1

6.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Для второго моста bridge2 привяжем порт ether3 на котором подключена сеть 9 (192.168.9.0).

Действия все те же самые с различием в значениях.

1.В боковом меню выбираем Bridge.

2.В раскрывшемся окне Bridge переходим на вкладку Ports.

3.Нажимаем синий крест (плюс).

В открывшемся окне Bridge Port  вводим параметры:

4.Interface: ether3

5.Bridge: bridge2

6.Нажимаем кнопку «ОК».

Через командную строку терминала:


4.Назначение адресации для мостов.

Для первого моста назначим IP-адрес 192.168.8.1

Для второго моста назначим IP-адрес 192.168.9.1

Каждый мост будет «смотреть» в свою подсеть.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем Addresses.

3.В открывшемся окне Adress List нажимаем синий крест (плюс).

В открывшемся окне New Address вводим параметры:

4.Address: 192.168.8.1/24

5.Network: 192.168.8.0

6.Interface: bridge1

7.Нажимаем кнопку «ОК».

Точно так же назначаем адрес второму мосту с данными сети 9.

В результате в окне Adress List должны появится два адреса.

Через командную строку терминала:

 

5.Получение внешнего IP-адреса.

Назначим получение внешнего IP-адреса для доступа в интернет в автоматическом режиме DHCP через первый порт роутера.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем DHCP Client.

3.В открывшемся окне DHCP Client нажимаем синий крест (плюс).

В открывшемся окне New DHCP Client вводим параметры:

4.Interface: ether1 (первый порт установлен по умолчанию)

5.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

В результате в окне DHCP Client появится строка с интерфейсом ether1 к которому через некоторое время автоматически присвоится внешний IP провайдера.

Через командную строку терминала:

Следует отметить, что в данном случае провайдером, раздающим интернет, является вышестоящий роутер сети нашей же организации. По этой причине отсутствуют пароли и прочие необходимые средства авторизации и доступа. В случае предостовления доступа в Интернет на платной основе через PPPoE или при выдаче статического IP-адреса провадером по договору или еще каки-то варианты подключения, необходимо настраивать подключение в Интернет на роутере по отдельной инструкции, для каждого случая разной.

 

6.DHCP сервер.

Создадим DHCP-сервер, для динамической раздачи IP-адресов в подсетях.

6.1 Укажем сети для DHCP-сервера.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем DHCP Server.

3.Переходим на вкладку Networks.

4.Нажимае синий крест (плюс).

В открывшемся окне DHCP Network вводим параметры:

5.Address: 192.168.8.0/24

6.Gateway: 192.168.8.1

7.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Точно так же создаем сеть по адресу 192.168.9.0/24.

В результате в окне DHCP Server на вкладке Networks появятся две сети.

Через командную строку терминала:

 

6.2 Создадим Пул адресов, которые будет раздавать DHCP сервер.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем Pool.

3.В открывшемся окне IP Pool нажимаем синий крест (плюс).

В открывшемся окне NEW IP Pool вводим параметры:

4.Name: LAN8

5.Addresses: 192.168.8.2-192.168.8.254

6.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Точно так же создаем Пул для сети 9.

В результате в окне IP Pool появятся два Пула раздаваемых адресов для каждой подсети.

Через командную строку терминала:

 

6.3 Создадим DHCP-сервер.

Назначим его на созданный ранее мост и привяжем созданный Пул раздаваемых адресов.

Сделаем эти действия для каждой из подсетей.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем DHCP Server.

3.На вкладке DHCP нажимае синий крест (плюс).

В открывшемся окне DHCP Server вводим параметры:

4.Name: dhcp1

5.Interface: bridge1

6.Address Pool: LAN8

7.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Повторяем действия и создаем DHCP сервер для подсети 9.

В результате в окне DHCP Server можно увидеть созданные сервера.

Через командную строку терминала:

 

7.Правила для доступа между подсетями.

Создадим в Firewall правила для беспрепятственной передачи пакетов между подсетями.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем Firewall.

3.Переходим на вкладку Filter Rules (открывается по умолчанию)

4.Нажимаем синий крест (плюс).

В открывшемся окне New Firewall Rule вводим параметры:

На вкладке General:

5.Chain: forward

6.In.Interface: bridge1

7.Out.Interface: bridge2

8.Нажимаем кнопку «Apply».

9.Переходим на вкладку Action.

10.Action: accept

11.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Создаем второе правило, в котором, по сравнению с первым меняем местами интерфейсы входа-выхода.

В результате на вкладке Filter Rules должно оказаться два правила.

Через командную строку терминала:

 

8.Правило NAT для доступа в Интернет.

Правило будет транслировать локальные IP-адреса компьютеров во внешний IP-адрес и обратно.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем Firewall.

3.В открывшемся окне Firewall переходим на вкладку NAT.

4.Добавляем правило нажав синий крест (плюс).

В открывшемся окне NAT Rule вводим параметры:

На вкладке General:

5.Chain: srcnat

6.Out.Interface: ether1

7.Нажимаем кнопку «Apply».

9.Переходим на вкладку Action.

На вкладке Action:

9.Action: masquerade

10.Нажимаем кнопку «ОК».

Другие настройки не изменяем.

Через командную строку терминала:

 

9.DNS

Настройка DNS не требуется.

Динамический DNS сам прилетает от вышестоящего роутера. Причем в данном случае настройка выполняется в подсети, сети подсети, и DNS транслируется еще через три роутера и поступает в конечном итоге от верхнего роутера на компьютер пользователя в первоначальном виде.

На стороне городской АТС роутер так же раздает динамический DNS. Однако, ситуации бывают разные, как и в случае с внешним IP-адресом, при особых условиях провайдера может потребоваться вводить IP и DNS вручную (как это происходит на втором шлюзе сети нашей организации, где работает Kerio Control).

В случае ручного ввода нужно заполнить поле Servers тем адресом DNS, который сообщит провайдер. Напротив надписи Allow Remote Requests установить галочку. Так же понадобится указать DNS-сервер в раздаче DHCP на подсети.

Перезагружаем роутер, чтоб актуализировались IP-адреса раздаваемые по DHCP во все компьютеры. Можно перезагрузить компьютеры или их сетевые адапторы, или передернуть LAN-провода или через командную строку каждого компьютера (ipconfig/release, ipconfig /renew) или подождать, но это все дольше.

Проверяем пинг между компьютерами в разных подсетях.

Если пинг не проходит нужно приостановить защиту антивируса или отключить брандмауэр на тестируемых компьютерах.

Проверяем доступ в интернет из обоих сетей. Интернет работает.

Выполним еще несколько настроек, которые желательно должны быть.

 

10.Привязка MAC к IP.

Привязка первоначально требует настроенный DHCP-сервер.

Проще и удобнее привязывать устройства, которые уже находятся в списке Leases DHCP-сервера. Не требуется вручную вписывать MAC-адрес.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем DHCP Server.

3.В открывшемся окне переходим на вкладку Leases.

4.Нажимаем дважды левой кнопкой мыши на строчку с IP адресом.

5.В открывшемся окне нажимаем кнопку Make Static.

6.Нажимаем кнопку ОК, для сохранения настроек.

Альтернативный способ — нажимаем на строку с IP-адресом правой кнопкой мыши и в раскрывшемся меню выбираем строчку Make Statik.

При повторном нажатии на строчку с привязанным IP откроется окно, в котором можно изменить IP-адрес на любой.

Еще один вариант привязки – нажать на синий крест (плюс), ввести MAC и IP адреса вручную.  Нажать ОК для сохранения.

Как-правило, для сис.админа переписать MAC-адрес вручную составляет большие затруднения, особенно если переписать нужно 100-200 компьютеров. Проще привязать любой IP и затем откорректировать.

Другие строчки в этом окне не изменяем (или изменяем по необходимости).

Client ID – это особая функция в микротик, позволяющая делать привязку не только по MAC (на случай подделки MAC).

Server — если в роутере работает несколько DHCP серверов, а привязать устройство необходимо только к одному конкретному, то его нужно указать.

Lease Time  — время аренды IP-адреса. Если ничего не указывать, то время будет спользоваться из настройки DHCP сервера, но привязка будет бесконечной.

В комментарии (кнопка Comment) можно дописать к какому пользователю относится привязанный IP.

Через командную строку терминала:

 

11.Ограничение скорости  Интернета

Перед началом настроек желательно провести тест скорости Интернета любым доступным способом, например через сервис SpeedTest.

По тарифному плану скорость на этом канале составляет 20Мбит/с.

Ограничим скорость на уровне 3Мбит/с для всех пользователей сети.

1.В боковом меню выбираем пункт Queues.

2.В открывшемся окне переходим на вкладку Simple Queues.

3.Нажимаем синий крест (плюс).

В открывшемся окне для нового правила вводим:

4.Name: LIMIT_3M (любое понятное имя)

5. Target: bridge1 (мост на котором подключена сеть)

В поле Target Upload (загрузка)

6.Max Limit:3M

В поле Target Download (скачивание)

7.Max Limit:3M

8.Нажимаем кнопку «ОК».

На этом простая настройка завершена.

Проверяем скорость через SpeedTest с любого устройства. Она составляет:

Через командную строку терминала:

Теперь сделаем скорость админу без ограничений, а у всех остальных оставим 3Мбит/с.

1.Переходим в Simple Queues.

2.Нажимаем синий крест (плюс).

В открывшемся окне для нового правила вводим:

3.Name: LIMIT_ADMIN101 (любое понятное имя)

4.Target: 192.168.8.101 (IP адрес компьютера админа)

В поле Target Upload (загрузка)

5.Max Limit:20M

В поле Target Download (скачивание)

6.Max Limit:20M

7.Нажимаем кнопку «ОК».

* в поле Target Upload\Download нужно указывать цифровое значение и нельзя оставлять «unlimited», иначе правило не заработает.

Через командную строку терминала:

В результате получится два правила. Чтоб правила работали, их нужно расположить в таком порядке, как на картинке (админ верхнее, пользователи – ниже). Если правила не перетаскиваются нужно нажать на значок # и перетащить админское правило вверх.

По результатам проверки у пользователей в этой подсети скорость 3Мбит/с, а у админа 20Мбит/с.

Если нужно добавить еще одного админа или сервер без ограничений скорости, следует добавить требуемые IP-адреса в первое правило (LIMIT_ADMIN101) . К сожалению, в данном варианте прикрепит список пользователей в одно правило не получится, и добавлять нужно по одному IP-адресу, привязанному к MAC-адресу.

Если ограничение не срабатывает, то следует проверить и отключить в Firewall правило fasttrack (пересылка трафика без обработки).

В микротик существует глубокая настройка ограничений скорости разными вариантами, о которой можно прочитать в wiki_MikroTik. Выше описан простейший способ, примененный на практике.

 

12.Разделение IP-пользователей на группы.

Когда все пользователи сети привязаны к IP-адресам, их можно объеденить в тематические группы и создать правила на ограничение и контроль доступа к определенным ресурсам Интернета.

Создадим группу администраторов с правами без ограничений.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Address Lists.

4.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

5.Name: ADMINS (имя группы)

6.Address: 192.168.8.100-192.168.8.110 (IP-адреса администраторов)

7.Нажимаем кнопку ОК, для сохранения настроек.

В комментариях можно добавить описание группы. В итоге получится созданная группа как на картинке ниже.

Через командную строку терминала:

Создадим группу пользователей USERS

Порядок действий идентичный (см. создание группы ADMINS).

Через командную строку терминала:

 

13.Ограничение доступа.

13.1 Зададим отсутствие ограничений любого трафика у группы ADMINS, для этого создадим 2 правила с разницей в источнике и назначении.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Filter Rules.

4.Нажимаем синий крест (плюс).

В открывшемся окне для нового правила вводим:

5.Chain: forward

6.Нажимаем кнопку «Apply».

7.Переходим на вкладку «Advanced».

8.Dst.Address List: ADMINS (выбираем группу IP-адресов).

9.Нажимаем кнопку «Apply».

10.Переходим навкладку «Action».

11.Action: accept

12.Нажимаем кнопку ОК, для сохранения настроек.

Создаем еще одно правило по точно такому же алгоритму действий, с разницей в поле  назначения на вкладке «Advanced».

Src.Address List: ADMINS

В результате в Firewall можно наблюдать два новых правила, позволяющие всем, кто в группе ADMINS беспрепятственно передавать и принимать любой трафик.

Через командную строку терминала:

13.2 Теперь ограничим доступ в Интернет по списку USERS.

[Как у нас было сказано – «На работе нужно заниматься работой».]

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Filter Rules.

4.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

5.Chain: forward

6.Нажимаем кнопку Apply.

7.Переходим на вкладку Advanced и вводим данные:

8.Src.Address List: USERS (созданный ранее список IP пользователей).

9.Нажимаем кнопку Apply.

10.Переходим на вкладку Action и вводим данные:

11.Action: drop

12.Нажимаем кнопку ОК.

В списке правил должно появится новое.

Правило ограничивает доступ в интернет всем кто в списке USERS. Правило нужно размещать в самом низу списка.

Через командную строку терминала:

13.3 Добавим список сайтов, на которые можно заходить. Назовем его – белый лист (WHITE_LIST).

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Address Lists.

4.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

5.Name: WHITE_LIST(любое понятное имя латиницей)

6.Address: PC360.ru (требуемый ресурс в Интернете)

7.Нажимаем кнопку ОК.

В результате в списке появится указанный ресурс, а ниже автоматически добавится его IP-адрес.  В комментарии можно добавить описание или как-то обозначить правило.

Через командную строку терминала:

Добавим еще один Интернет-ресурс, для наглядности.

Через командную строку терминала:

В списке появится яндекс и все его IP-адреса.

Желательно добавить так же адрес с приставкой  www и проверить появляются ли IP-адреса. Если появляются, то оставить, если нет – удалить.

Для доступа в яндекс-почту, которую у нас используют, нужно добавлять в список адреса серверов почты.

13.4 Теперь создадим правило в Firewall которое будет разрешать созданный список WHITE_LIST.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Filter Rules.

4.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

5.Chain: forward

6.In. Interface: bridge1 (мост, на котором сеть)

7.Нажимаем кнопку Apply.

8.Переходим на вкладку Advanced и вводим данные:

9.Src.Address List: USERS (созданный ранее список IP пользователей).

10.Dst.Address List: WHITE_LIST (перечень разрешенных сайтов)

11.Нажимаем кнопку Apply.

12.Переходим на вкладку Action и вводим данные:

13.Action: accept

14.Нажимаем кнопку OK.

Через командную строку терминала:

Проверяем компьютеры пользователей и видим, что обозначенные сайты открываются, а остальные нет. Причем на открывающихся сайтах не подгружаются некоторые элементы, потому что они берутся из других источников, а правило их блокирует. Это очень жесткий метод, и применим в отделах, где недопустимы лишние интернет соединения.

Альтернативный вариант – создать черный список заблокированных сайтов, а доступ для всех разрешить. Но в таком методе есть очень много лазеек, которые очень активно используются продвинутыми пользователями.

В качестве итога, по результатам некоторого времени использования, можно отметить, что на MikroTik довольно хлопотно ограничить доступ к различным ресурсам Интернета.

 

14.Учетная запись.

Удалим стандартную учетную запись, создадим новую с паролем. Это делается в целях безопасности. Если посмотреть логи, то из внешней  сети сканеры и боты постоянно пытаются подключится к роутеру и подобрать пароль.

1.В боковом меню выбираем пункт System.

2.В выпадающем меню выбираем Users.

3.В открывшемся окне переходим на вкладку Users.

4.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

5.Name: Laitamorkenna (имя для нового админа, не использовать admin1 ..xx, user1 ..xx и т.п.)

6.Group: full (все разрешено)

7.Password: kfqnfvjhrtyyf!@# (новый сложный пароль)

Confirm Password: kfqnfvjhrtyyf!@# (подтверждаем новый  пароль)

8.Нажимаем кнопку OK.

Пользователя admin удаляем! (выбрать пользователя и нажать красный минус)

Через командную строку терминала:

 

15.Доступ в MikroTik.

Определим через какие сервисы будет выполнятся подключение в роутер. Неиспользуемые сервисы заблокируем в целях безопасности.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Services.

3.В открывшемся окне IP Service List выбираем нужный сервис двойным кликом левой кнопкой мыши.

4.В открывшемся окне нажимаем кнопку Disable (отключить).

5.Нажимаем кнопку OK.

Дополнительно тут можно указать с какого IP-адреса разрешено подключаться.

Альтернативный вариант – выбрать сервис и нажать красный крестик.

Или  нажать правой кнопкой мыши на выбранном сервисе и в выпадающем меню выбрать строчку Disable.

В нашей подсети отключены все сервисы, кроме WinBox.

Через командную строку терминала:

 

16.Закрытие не используемых портов.

Первоначально запускаем сканер портов из внешней сети или из Интернет-сервиса.

Сканируем IP-адрес на котором подключен MikroTik.

По результатам сканирования определяем какие порты необходимо заблокировать.

Для примера открыт 21 порт ftp (в предыдущем пункте инструкции мы его закрывали, но открыли для примера).

Закроем порт с помощью правила Firewall.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Filter Rules.

4.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

5.Chain: input

6.Protocol: tcp

7.Dst.Port: 21

8.In.Interface: ether1 (интерфейс на котором внешняя сеть)

9.Нажимаем кнопку Apply.

10.Переходим на вкладку Action и вводим данные:

11.Action: drop

12.Нажимаем кнопку OK.

В результате, в списке правил появилось новое. В комментариях можно описать назначение правила.

Через командную строку терминала:

Проверяем еще раз порты сканером из внешней сети.

На сей раз порт 21 закрыт.

Таким способом можно закрыть любой порт. Все порты без разбора закрывать не следует. Нужно уточнить какой порт за что отвечает, например тут, и только потом закрывать. Необходимые порты можно перечислить в одном правиле через запятую или тире.

 

17.Резервная копия конфигурации.

После выполнения всех настроек делаем резервную копию конфигурации.

1.В боковом меню выбираем пункт Files.

2.В открывшемся окне нажимаем кнопку Backup.

В открывшемся окне вводим:

3.Name: Config_02_11_2020 (любое понятное имя латинскими буквами)

4.Don’t Encrypt: отмечаем галочкой

5.Нажимаем кнопку Backup.

Сохраняем создавшуюся резервную копию где-нибудь вне роутера, например перетягиваем ее мышкой в папку на компьютере.

Для восстановления конфигурации из резервной копии, выбираем нужную копию, перетягиваем в окно File List и нажимаем кнопку Restore.

Через командную строку терминала:

Каждый пункт описания с этой страницы заслуживает отдельного более полного рассмотрения, однако в таком упрощенном виде сеть тоже может работать.

Чтоб посмотреть все введенные настройки, необходимо в терминале ввести команду:

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.