Команды MikroTik RouterOS

#1by **mexan** » 24.12.2025, 08:48

Команды MikroTik RouterOS для сетевого администратора

1. Системная информация и управление

Показать информацию о системе
Code: Select all
/system resource print
Имя устройства
Code: Select all
/system identity print
Время и дата
Code: Select all
/system clock print
Версия RouterOS
Code: Select all
/system package print
Создать резервную копию
Code: Select all
/system backup save name=backup-name
Загрузить резервную копию
Code: Select all
/system backup load name=backup-name

2. Просмотр интерфейсов и портов

Все интерфейсы
Code: Select all
/interface print
Только Ethernet порты
Code: Select all
/interface ethernet print
Активные порты (со связью)
Code: Select all
/interface ethernet print where status!="no-link"
Мониторинг порта
Code: Select all
/interface ethernet monitor ether1
Статус PoE портов
Code: Select all
/interface ethernet poe print

3. Мост (Bridge) и VLAN

Настройки моста
Code: Select all
/interface bridge print
Порты в мосте
Code: Select all
/interface bridge port print
VLAN на мосте
Code: Select all
/interface bridge vlan print
VLAN интерфейсы
Code: Select all
/interface vlan print
Включить VLAN фильтрацию
Code: Select all
/interface bridge set bridge vlan-filtering=yes
Добавить VLAN на порт
Code: Select all
/interface bridge vlan add bridge=bridge-name vlan-ids=99 tagged=ether1

4. IP адресация и DHCP

Все IP адреса
Code: Select all
/ip address print
DHCP серверы
Code: Select all
/ip dhcp-server print
DHCP пулы адресов
Code: Select all
/ip dhcp-server network print
Арендованные адреса
Code: Select all
/ip dhcp-server lease print
ARP таблица
Code: Select all
/ip arp print
Добавить статический IP
Code: Select all
/ip address add address=192.168.1.1/24 interface=ether1

5. Маршрутизация

Таблица маршрутизации
Code: Select all
/ip route print
Добавить маршрут по умолчанию
Code: Select all
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
Проверка связи (ping)
Code: Select all
/ping 8.8.8.8 count=5
Trace route
Code: Select all
/tool traceroute 8.8.8.8

6. Безопасность и Firewall

Правила фильтрации
Code: Select all
/ip firewall filter print
NAT правила
Code: Select all
/ip firewall nat print
Списки адресов
Code: Select all
/ip firewall address-list print
Сервисы доступа
Code: Select all
/ip service print
Пользователи
Code: Select all
/user print

7. Диагностика и мониторинг

MAC таблица моста
Code: Select all
/interface bridge host print
Поиск устройства по MAC
Code: Select all
/interface bridge host print where mac-address="AA:BB:CC:DD:EE:FF"
LLDP соседи
Code: Select all
/ip neighbor print
Логи системы
Code: Select all
/log print
Мониторинг трафика на порту
Code: Select all
/tool torch interface=ether1
Сканирование MAC адресов
Code: Select all
/tool mac-scan interface=bridge

8. Обновление и обслуживание

Проверить обновления
Code: Select all
/system package update check-for-updates
Скачать обновления
Code: Select all
/system package update download
Установить обновления
Code: Select all
/system package update install
Перезагрузка
Code: Select all
/system reboot
Сброс конфигурации
Code: Select all
/system reset-configuration

9. Полезные комбинации

Количество устройств в сети
Code: Select all
/interface bridge host print count-only
Поиск MikroTik устройств по OUI
Code: Select all
/interface bridge host print where mac-address~"C4:AD:34|4C:5E:0C"
Статус всех портов одной командой
Code: Select all
/interface ethernet monitor 0,1,2,3,4,5,6,7,8,9,10,11
Создать VLAN и назначить IP одной строкой
Code: Select all
/interface vlan add name=vlan99 vlan-id=99 interface=bridge ; /ip address add address=10.0.99.1/24 interface=vlan99

Совет: Всегда делайте backup перед изменениями!

Code: Select all: /system backup save name=before-changes-$(/system clock get date)-$(/system clock get time)

#2by **mexan** » 20.01.2026, 11:45

10. Безопасность MikroTik

10.1 Базовая безопасность

Сменить пароль администратора
Code: Select all
/user set admin password="strong_password"
Создать пользователя с правами только для чтения
Code: Select all
/user add name=monitor group=read password="readonly_pass"
Просмотр активных сессий
Code: Select all
/user active print
Заблокировать пользователя
Code: Select all
/user disable monitor

10.2 Защита сервисов

Ограничить доступ к сервисам по IP
Code: Select all
/ip service set ssh address=10.0.0.0/8,192.168.0.0/16
Отключить неиспользуемые сервисы
Code: Select all
/ip service disable telnet,ftp,api
Изменить порты сервисов
Code: Select all
/ip service set www port=8080 /ip service set ssh port=2222
Настройка сертификатов для SSL
Code: Select all
/certificate print

10.3 Firewall - основные правила защиты

Блокировка spoofing атак (RFC1918)
Code: Select all
/ip firewall filter add chain=input action=drop src-address=10.0.0.0/8 in-interface=ether1 comment="Block private IP from WAN" /ip firewall filter add chain=input action=drop src-address=192.168.0.0/16 in-interface=ether1 /ip firewall filter add chain=input action=drop src-address=172.16.0.0/12 in-interface=ether1
Защита от SYN flood
Code: Select all
/ip firewall filter add chain=input action=drop protocol=tcp tcp-flags=syn connection-state=new in-interface=ether1 limit=10,5 comment="SYN flood protection"
Детектор сканеров портов
Code: Select all
/ip firewall filter add chain=input action=add-src-to-address-list address-list=bad_guys address-list-timeout=1d protocol=tcp connection-state=new in-interface=ether1 limit=5,5 comment="Port scan detection" /ip firewall filter add chain=input action=drop src-address-list=bad_guys in-interface=ether1 comment="Block port scanners"
Блокировка управления с WAN
Code: Select all
/ip firewall filter add chain=input action=drop protocol=tcp dst-port=22,443,8291,80,53 in-interface=ether1 comment="Block management from WAN"

10.4 Безопасность VLAN

Настройка безопасных портов
Code: Select all
Access порт: /interface bridge port set ether2 frame-types=admit-only-untagged-and-priority-tagged pvid=99 Trunk порт: /interface bridge port set ether6 frame-types=admit-only-vlan-tagged pvid=1
Блокировка меж-VLAN трафика
Code: Select all
/ip firewall filter add chain=forward action=drop src-address=192.168.0.0/24 dst-address=10.0.99.0/24 comment="Block CCTV → Management"
Изоляция сети CCTV от интернета
Code: Select all
/ip firewall filter add chain=forward action=drop src-address=192.168.0.0/24 out-interface=ether1 comment="Block CCTV internet access"

10.5 Мониторинг безопасности

Просмотр заблокированных IP
Code: Select all
/ip firewall address-list print where list="bad_guys"
Мониторинг атак
Code: Select all
/log print where topics=firewall
Проверка неавторизованных подключений
Code: Select all
/ip connection print
Сканирование сети на наличие rogue DHCP
Code: Select all
/tool netwatch add host=192.168.1.1 interval=60s up-script="/log warning "Rogue DHCP detected!""

10.6 Рекомендации по харденингу

Отключить ненужные протоколы
Code: Select all
/interface bridge set bridge igmp-snooping=no mld-snooping=no
Включить защиту от ARP spoofing
Code: Select all
/interface bridge set bridge arp=proxy-arp
Настройка времени неактивности для пользователей
Code: Select all
/user set admin inactivity-timeout=30m
Регулярная смена паролей
Code: Select all
# Добавить в планировщик

10.7 Экстренные меры

Блокировка IP вручную
Code: Select all
/ip firewall address-list add address=1.2.3.4 list=blacklist timeout=1d comment="Manual block"
Отключение всех внешних сервисов
Code: Select all
/ip service disable www,ssh,winbox,api /ip service set www disabled=yes /ip service set ssh disabled=yes
Включение только localhost доступа
Code: Select all
/ip service set www address=127.0.0.1/32 /ip service set ssh address=127.0.0.1/32

Важно:

Всегда тестируйте правила фаервола перед применением в production
Используйте "accept established,related" первым правилом в chain=input
Регулярно обновляйте RouterOS для закрытия уязвимостей
Ведите журнал всех изменений конфигурации