Консоль MikroTik RouterOS

Материал из MikroTik Wiki

Полезные материалы по MikroTik

Углубленный курс "Администрирование сетевых устройств MikroTik"
Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA. 
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь

Введение

Эта статья содержит много практических примеров использования консоли MikroTik RouterOS, а не просто перечисление имеющихся команд и их возможностей. Поэтому материал, содержащийся на этой странице, можно уверенно назвать учебником, а не справочником.

Консоль RouterOS используется для настройки устройств MikroTik с помощью введения текстовых команд. Термины "консоль" и "командная строка" являются синонимами. Термин "командная строка" происходит от англоязычного термина Command Line Interface (CLI). В операционной системе RouterOS командная строка является аналогом bash в Linux. Доступ к командной строке может быть получен с помощью серийного порта, протоколов Telnet и SSH или окна терминала в утилитах WinBox или WebFig. Использование командной строки значительно облегчает анализ конфигурации и дает значительный прирост скорости при выполнении некоторых операций. Также некоторые команды доступны только через консоль и недоступны через графический интерфейс.

Как перестать бояться командной строки RouterOS (Введение)

Умение пользоваться консолью является обязательным навыком, который должен быть у каждого администратора устройств MikroTik. Но зачастую у многих начинающих администраторов необходимость использования командной строки вызывает чувство страха. Материал, изложенный на этой странице, содержит большое количество наглядных примеров с помощью повторения которых можно легко и за короткий срок начать общаться с консолью MikroTik RouterOS на "ты". Такой "переход" происходит в несколько этапов:

  • Изучение основ:
    • принципы работы командной строки,
    • закрепление навыков работы с основными командами,
  • Получение навыка чтения конфигураций.

Как перестать бояться командной строки RouterOS (Этап 1. Изучение основ)

В самом начале обучения работе с CLI RouterOS администратор должен:

  • изучить принципы работы командной строки,
  • закрепить навыки работы с основными командами.

К основным принципам работы с командной строкой относятся следующие навыки и знания:

  • разница между командными строками RouterOS v6 и v7,
  • получение информации об имени пользователя и имени устройства,
  • перемещение по структуре меню,
  • использование встроенной помощи,
  • перемещение курсора в рамках строки,
  • манипуляции с текстом,
  • назначение функциональных клавиш,
  • ускорение ввода команд,
  • некоторые другие знания и навыки.

К основным командам, которые должны быть освоены на начальном этапе, относятся команды: add, remove, move, set, unset и print, а также некоторые их ключи. В результате освоения администратор должен не зачитывать определения того, что с помощью этих команд можно сделать, а уметь выполнять через консоль RouterOS следующие базовые операции:

  • создание правил,
  • удаление правил,
  • перемещение правил,
  • манипуляции с параметрами уже имеющихся правил (установка, изменение и удаление значений),
  • включение и выключение правил.

Все эти знания и навыки и можно получить с помощью материала, изложенного ниже. После уверенного закрепления материалов первого этапа освоения консоли RouterOS можно переходить ко второму этапу, который также изложен на этой странице.

Разница между командными строками RouterOS v6 и RouterOS v7

Командные строки RouterOS v6 и RouterOS v7 идентичны. Единственная разница заключается в формате записи пути. В RouterOS v6 при указании пути разные иерархические уровни разделяются пробелами, а в RouterOS v7 – с помощью слэша (/). Разница касается только указания пути. Сами команды записываются одинаково в обеих версиях операционной системы.

Пример указания пути и создания правила брандмауэра в RouterOS v6:

[admin@MikroTik] /ip firewall filter> add action=accept chain=forward connection-state=established,related

Пример указания пути и создания правила брандмауэра в RouterOS v7:

[admin@MikroTik] /ip/firewall/filter> add action=accept chain=forward connection-state=established,related

В обоих приведенных выше примерах до знака > указан путь, а после команда. Поэтому различается только левая часть, которая содержит в себе запись пути.

Далее в этой статье примеры будут приводиться в формате записи для RouterOS v7. Но любая информация из статьи применима и для консоли RouteroOS v6.

Информация об имени пользователя и имени устройства

После получения доступа к консоли начинает отображаться приглашение аналогичное тому, которое приведено ниже. В квадратных скобках [admin@MikroTik] мы можем увидеть два имени, которые указаны через знак @. Первое имя (до знака @) – это имя пользователя от имени которого выполнено подключение, а второе имя (после знака @) – это имя устройства к которому выполнено подключение. Из приведенного ниже примера мы можем сделать вывод, что пользователь с именем admin подключился к устройству с именем MikroTik.

[admin@MikroTik] >

Структура меню

Ввиду того, что существует огромное количество возможных команд, они разбиты по иерархически организованным группам. В зависимости от того в каком месте иерархии происходит управление, будут доступны разные команды и разные наборы дальнейших путей для дальнейшего перемещения по структуре. Такой принцип организации структуры называется "контекстно-ориентированным". Самая верхняя точка меню называется "корень иерархической структуры" или просто "корень".

Пример доступных путей и команд из корня консоли:

[admin@MikroTik] > 
caps-man     interface  partitions  routing        user    password
certificate  ip         port        snmp           beep    ping    
console      ipv6       ppp         special-login  blink   quit    
disk         log        queue       system         export  redo    
file         mpls       radius      tool           import  undo 

Пример доступных путей и команд из раздела /ip:

[admin@MikroTik] /ip >
address      dhcp-server  kid-control  route     ssh           export
arp          dns          neighbor     service   tftp          
cloud        firewall     packing      settings  traffic-flow  
dhcp-client  hotspot      pool         smb       upnp          
dhcp-relay   ipsec        proxy        socks     vrf           

Пример доступных путей и команд из раздела /ip/address:

[admin@MikroTik] /ip/address>
add  comment  disable  edit  enable  export  find  print  remove  reset  set       

В оригинальном отображении командной строки для разных элементов используются разные цвета. Пример:

[admin@MikroTik] > /system/clock set time-zone-name=Europe/Moscow

В приведенном выше примере:

  • /system/clock – путь,
  • set – команда,
  • time-zone-name= – параметр, который необходимо задать,
  • Europe/Moscow – значение параметра, которое должно быть задано.

Чем между собой различаются путь, команда, параметр и значение параметра мы разберем далее в этой статье. Формально имя пути и команда это не одно и тоже. Но для облегчения изучения материала под термином "команда" мы будем подразумевать одновременно оба термина: "имя пути" и "команда".

Структуры интерфейса командной строки (CLI) и графического интерфейса (GUI) чаще всего совпадают, но иногда встречаются и различия. Различия могут заключаться, как в написании отдельных слов, так и в указании полного пути до интересующего раздела с настройками.

Примеры совпадений
CLI GUI
/ip/pool IP → Pool
/ip/cloud IP → Cloud
/system/license System → License
Примеры различий
CLI GUI
/ip/address IP → Addresses
/ping Tools → Ping
/interface/ethernet/switch Switch

Перемещение по структуре меню

Варианты перемещения

С помощью приведенных в предыдущем разделе команд возможны разные способы перемещения по структуре меню RouterOS с помощью командной строки:

  • Переход в раздел меню, являющийся нижестоящим относительно текущего расположения, возможен с помощью:
    • поочередного перехода с указанием одного нижестоящего пункта за один раз,
    • быстрого перехода с указанием более, чем одного нижестоящего пункта за один раз.
  • Переход в раздел меню, который не является нижестоящим относительно текущего расположения, возможен с помощью:
    • указания полного пути с указанием корня в начале команды,
    • предварительного перехода в нужный вышестоящий пункт меню с помощью указания .. (двух точек),
    • предварительного перехода сразу в корень с помощью указания / (слэша).

Далее в статье приведен детальный разбор с примерами каждой из описанных выше ситуаций.

Команды

Для перемещения по меню RouterOS с помощью командной строки используются следующие команды:

  • название вложенного пункта меню - переход в соответствующий подраздел,
  • / – перемещение в корень,
  • .. – перемещение на один уровень вверх.

Определение текущего расположения

Путь по которому происходит управление в консоли, отображается до символа >.

1 [admin@MikroTik] > /ip/firewall/filter
2 [admin@MikroTik] /ip/firewall/filter>

В обоих приведенных выше примерах примерах есть текст /ip/firewall/filter. Разница между примерами, заключается в расположении текста /ip/firewall/filter относительно знака >. В первом случае слева от этого знака пусто, а это значит, что управление происходит из корня иерархической структуры, а /ip/firewall/filter это путь по которому произойдет переход если будет нажата клавиша Enter. Во втором случае слева от знака > указан путь /ip/firewall/filter, а это значит, что этот путь и является путем текущего расположения.

Перемещение вглубь структуры меню

Для перемещения в нижестоящий раздел необходимо ввести название интересующего раздела и нажать Enter.

Перемещение на один пункт за один раз

Если интересующий раздел находится далее, чем в одном шаге от текущего раздела, то процесс перехода необходимо выполнить в несколько этапов пока не будет достигнут нужный раздел.

1 [admin@MikroTik] > ip
2 [admin@MikroTik] /ip> firewall
3 [admin@MikroTik] /ip/firewall> filter
4 [admin@MikroTik] /ip/firewall/filter>
  1. Мы находимся в корне и указываем, что хотим переместиться на один пункт вглубь меню в раздел ip.
  2. Мы оказываемся в разделе /ip и указываем, что хотим переместиться на один пункт вглубь меню в раздел firewall.
  3. Мы оказываемся в разделе /ip/firewall и указываем, что хотим переместиться на один пункт в глубь меню в раздел filter.
  4. Мы оказываемся в разделе /ip/firewall/filter.

Перемещение на два и более пунктов за один раз

Для перемещения сразу в нужный раздел необязательно делать это пошагово. Это можно сделать указав сразу более одного пункта меню за один раз.

1 [admin@MikroTik] > ip/firewall/filter
2 [admin@MikroTik] /ip/firewall/filter>
  1. Мы находимся в корне и указываем, что хотим переместиться сразу в раздел ip/firewall/filter.
  2. Мы оказываемся сразу в разделе /ip/firewall/filter.

Перемещение между пунктами меню, не связанными друг с другом напрямую

Для перемещения в пункт меню, который не является вложенным относительно текущего расположения необходимо указать знак корня / до указания пути по которому необходимо выполнить переход. Использование этого знака даст понять операционной системе, что точкой отсчета пути будет являться корень, а не текущий раздел.

1 [admin@MikroTik] /ip/firewall/filter> nat
2 bad command name nat (line 1 column 1)
3 [admin@MikroTik] /ip/firewall/filter> ip/firewall/nat
4 syntax error (line 1 column 3)
5 [admin@MikroTik] /ip/firewall/filter> /ip/firewall/nat
6 [admin@MikroTik] /ip/firewall/nat> /system/license
7 [admin@MikroTik] /system/license> /
8 [admin@MikroTik] >
  1. Мы находимся в разделе /ip/firewall/filter и хотим перейти в раздел /ip/firewall/nat. Для этого мы указываем nat.
  2. Мы получаем ошибку, т.к. система считает, что мы хотим перейти по пути /ip/firewall/filter/nat. А такой путь отсутствует, т.к. путь до раздела nat не является вложенным в раздел /ip/firewall/filter. Он, идет "параллельно" ему, т.е. тоже находится по пути /ip/firewall, но без входа в подраздел filter.
  3. Мы указываем путь ip/firewall/nat.
  4. Мы получаем ошибку, т.к. система считает, что мы хотим перейти по пути /ip/firewall/filter/ip/firewall/nat. А такой путь отсутствует.
  5. Мы указываем путь /ip/firewall/nat. Разница с пунктом 3 заключается в том, что в этот раз перед путем был указан знак корня /.
  6. Мы оказываемся в разделе /ip/firewall/nat и указываем путь /system/license.
  7. Мы оказываемся в разделе /system/license и указываем путь /.
  8. Мы оказываемся в корне.

Перемещение по меню в обратном направлении (назад к корню)

Для перемещения по иерархической структуре в обратном направлении используется команда .. (две точки).

Перемещение на один пункт за один раз

Для перемещения по иерархической структуре в обратном направлении на один уровень необходимо указать .. (две точки).

1 [admin@MikroTik] /ip/firewall/filter> ..
2 [admin@MikroTik] /ip/firewall> ..
3 [admin@MikroTik] /ip> ..
4 [admin@MikroTik] >
  1. Мы находимся в разделе /ip/firewall/filter и указываем .. для того, чтобы перейти на один уровень наверх (ближе к корню) в раздел /ip/firewall.
  2. Мы оказываемся в разделе /ip/firewall и указываем .. для того, чтобы перейти на один уровень наверх (ближе к корню) в раздел /ip.
  3. Мы оказываемся в разделе /ip/ и указываем .. для того, чтобы перейти на один уровень наверх (ближе к корню).
  4. Мы оказываемся в корне.

Перемещение на два и более пунктов за один раз

Для перемещения по иерархической структуре в обратном направлении более чем на один уровень необходимо указать блоки из двух точек (..) несколько раз. Между разными блоками должны стоять знаки пробела. Количество блоков должно соответствовать количеству уровней на которые необходимо сделать переход назад.

1 [admin@MikroTik] /ip/firewall/filter> .. .. ..
2 [admin@MikroTik] >
  1. Мы находимся в разделе /ip/firewall/filter и указываем .. .. .. (три раза по две точки, с пробелами после первого и второго блока из двух точек).
  2. Мы оказываемся в корне.

Полезные материалы по MikroTik

Углубленный курс "Администрирование сетевых устройств MikroTik"
Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA. 
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь

Встроенные средства помощи

Способы получения помощи

В консоли MikroTik RouterOS имеются встроенные средства помощи, которые так же являются контекстно-ориентированными. Для получения помощи можно использовать:

  • Однократное и двукратное нажатие клавиши Tab
    • в начале строки указания команды,
    • после пробела после команды,
    • сразу после части команды без пробела.
  • Клавишу F1.

Клавиша Tab

Использование клавиши Tab в начале строки или после пробела

После первого нажатия на Tab в консоли будет выведен список доступных команд из "основного" списка. В приведенном ниже примере показан список команд, которые доступны из корня.

[admin@MikroTik] > [Tab]
caps-man     interface  partitions  routing        user    password
certificate  ip         port        snmp           beep    ping    
console      ipv6       ppp         special-login  blink   quit    
disk         log        queue       system         export  redo    
file         mpls       radius      tool           import  undo    


После второго нажатия на Tab в консоли будет выведен список доступных команд для встроенного скриптового языка. В приведенном ниже примере показан список команд скриптового языка, которые доступны из корня.

[admin@MikroTik] > [Tab]
/            error    if       put      time       toip6 
:            execute  len      resolve  timestamp  tonum 
environment  find     local    return   toarray    tostr 
terminal     for      nothing  rndnum   tobool     totime
delay        foreach  parse    rndstr   toid       typeof
do           global   pick     set      toip       while


В приведенном ниже примере показан список команд из "основного" списка, которые доступны из раздела /ip/firewall/filter.

[admin@MikroTik] /ip/firewall/filter> [Tab]
add      disable  enable  find  print   reset           reset-counters-all  unset
comment  edit     export  move  remove  reset-counters  set                 


В приведенном ниже примере показан список команд из "основного" списка, которые доступны для команды add из раздела /ip/firewall/filter.

[admin@MikroTik] /ip/firewall/filter> add [Tab]
action                dst-address       in-bridge-port-list  log-prefix                 place-before  src-address-list
address-list          dst-address-list  in-interface         nth                        port          src-address-type
address-list-timeout  dst-address-type  in-interface-list    out-bridge-port            priority      src-mac-address 
chain                 dst-limit         ingress-priority     out-bridge-port-list       protocol      src-port        
comment               dst-port          ipsec-policy         out-interface              psd           tcp-flags       
connection-...        fragment          ipv4-options         out-interface-list         random        tcp-mss         
content               hotspot           jump-target          p2p                        realm         time            
copy-from             hw-offload        layer7-protocol      packet-mark                reject-with   tls-host        
disabled              icmp-options      limit                packet-size                routing-mark  ttl             
dscp                  in-bridge-port    log                  per-connection-classifier  src-address

Использование клавиши Tab без пробела после указания части команды

Клавишу Tab можно нажать сразу после введенной части команды (без пробела). В этом случае выйдет подсказка, которая будет зависеть от конкретной ситуации: есть продолжение или его нет. Если оно есть, то оно уникальное или нет.

В случае неуникальной части команды

На букву "p" начинается три подчиненных подраздела (partition, port и ppp), две "обычные" команды (password и ping) и три команды скриптового языка (parse, pick и put).

Первое нажатие Tab результата не принесло.

[admin@MikroTik] > p[Tab]

Второе нажатие Tab показало доступные пути и "обычные" команды, которые начинаются с буквы "p" и не показало ни одной команды скриптового языка.

[admin@MikroTik] > p[Tab]
partitions  port  ppp  password  ping
В случае уникальной части команды
Ситуация № 1

На букву "d" начинается один подчиненный подраздел (disk), не начинается ни одна "обычная" команда и начинается две команды скриптового языка (delay и do);

Первое нажатие клавиши Tab в результате дало полное написание единственного доступного варианта который начинается на букву "p", из "основного" списка путей и команд.

[admin@MikroTik] > d[Tab]
[admin@MikroTik] > disk/ 
Ситуация № 2

На букву "w" не начинается ни один подраздел и ни одна команда из "обычного" меню и начинается одна команда скриптового языка (while). Первое нажатие клавиши Tab в результате дало полное написание единственного доступного варианта который начинается на букву "w", из списка команд скриптового языка.

[admin@MikroTik] > w[Tab]
[admin@MikroTik] > while  
Ситуация № 3

На букву "y" не начинается ни один подраздел и ни одна команда из "обычного" меню и не начинается ни одна команда скриптового языка, но при этом буква "y" является второй буквой в одно названии пути (system), не является второй буквой ни у одной из "обычных" команд и является второй буквой у одной команды скриптового языка (typeof). Первое нажатие клавиши Tab в результате дало полное написание единственного доступного варианта который начинается на букву "y", из "основного" списка путей и команд.

[admin@MikroTik] > y[Tab]
[admin@MikroTik] > system/  
Ситуация № 4

На букву "h" не начинается ни один подраздел и ни одна команда из "обычного" меню, но при этом буква "h" встречается в трех командах скриптового языка (foreach, nothing, while). Первое нажатие клавиши Tab результата не дало.

[admin@MikroTik] > h[Tab]


Второе нажатие клавиши Tab показало три варианта из списка команд скриптового языка, которые не начинаются с буквы "h", но при этом содержат ее в имени.

[admin@MikroTik] > h[Tab]
foreach  nothing  while

Клавиша F1

С помощью нажатия клавиши F1 при нахождении курсора в самом начале командной строки можно увидеть список команд, доступных из текущего раздела. Разница, по сравнению с использованием клавиши Tab, заключается в том, что с помощью F1 можно увидеть описание части команд.

Пример для корня:

[admin@MikroTik] > [F1]

beep -- 
blink -- 
caps-man -- 
certificate -- Certificate management
console -- 
delay -- does nothing for a while
disk -- 
do -- executes command
environment -- list of all variables
error -- make error value
 
Часть выдачи пропущена

while -- executes command while condition is true
export -- Print or save an export script that can be used to restore 
configuration

Press F1 for general console usage help


Пример для раздела /ip:

[admin@GW] /ip> [F1]

.. -- go up to root
address -- Address management
arp -- ARP entries management
cloud -- 
dhcp-client -- DHCP client settings
dhcp-relay -- DHCP relay settings
dhcp-server -- DHCP server settings

Часть выдачи пропущена

vrf -- 
export -- Print or save an export script that can be used to restore 
configuration

Press F1 for general console usage help

Комбинации клавиш и функциональные клавиши

Перемещение курсора

В консоли MikroTik RouterOS в пределах строки можно перемещать курсор следующими способами:

  • Control-\ – разбиение строки на две отдельные строки в месте расположения курсора с последующим отображением второй из двух строк.
  • Control+B или – перемещение курсора на один знак назад.
  • Control+F или – перемещение курсора на один знак вперед.
  • Control+A или клавиша Home – перемещение курсора в начало строки.
  • Control+E или клавиша End – перемещение курсора в конец строки.

Манипуляции с текстом

В командной строке MikroTik RouterOS манипуляции с текстом можно выполнять следующими способами:

  • Ctrl+C – скопировать выделенный текст.
  • Ctrl+V – вставить выделенный текст.
  • Ctrl+K – удалить все знаки, начиная со знака, на котором находится курсор, и до конца строки.
  • Ctrl+U – удалить все знаки от начала строки и до знака, на котором находится курсор, не считая самого этого знака.
  • Delete – удалить знак, на котором находится курсор.
  • Ctrl+H или клавиша Backspace – удалить знак перед курсором и сдвинуть курсор на один знак.

Прочие комбинации клавиш

Ниже перечислены прочие возможности консоли MikroTik, которые не были перечислены ранее:

  • Ctrl+C – прервать выполнение команды.
  • Ctrl+D – завершить сессию и выйти из консоли (поле ввода должно быть пустым).
  • Ctrl+L или F5 – очистить экран.
  • Ctrl+R или F3 – поиск по истории введенных команд.
  • Ctrl+X или F4 – активация/деактивация безопасного режима.
  • Ctrl+P или – перемещение назад по истории команд.
  • Ctrl+N или – перемещение вперед по истории команд.

Функциональные клавиши

  • F1 – контекстно ориентированная помощь.
  • F2 – не используется.
  • F3 – поиск по истории введенных команд.
  • F4 – активация/деактивация безопасного режима.
  • F5 – очистить экран.
  • F6 – переключение между окнами в WinBox.
  • F7 – активация/деактивация режима Hot Lock.
  • F8 – F12 – не используются.

Ускорение ввода команд

В консоли RouterOS можно ускорить введение команд после того как будет введена уникальная комбинация символов, которая позволит однозначно идентифицировать команду в текущем разделе. Для ускорения ввода команд можно использовать:

  • клавишу Tab,
  • указание только уникальной части команды,
  • режим Hot Lock.

Ниже мы разберем эти способа более подробно.

Клавиша [Tab]

Этот вариант уже разбирался в этой статье ранее, но в несколько ином контексте.

[admin@MikroTik] > ip/firewall/filter

На самом деле была введена следующая последовательность команд ip/f[Tab]f[Tab]. Т.е. всего было выполнено семь нажатий клавиш. Остальная часть была подставлена автоматически.

Указание только уникальной части команды

Сокращение имени пути

1 [admin@MikroTik] > s
2 bad command name s (line 1 column 1)
3 [admin@MikroTik] > sn
4 [admin@MikroTik] /snmp> 
  1. Мы находимся в корне консоли, ввели s и нажали клавишу Enter.
  2. Система выдала ошибку, т.к. с буквы s начинается более одного наименования пути или команды (snmp, special-login, system).
  3. Мы ввели sn и нажали клавишу Enter.
  4. Мы оказываемся в разделе /snmp потому, что комбинация символов "sn" является уникальной и с нее начинается только название раздела system.


[admin@MikroTik] > ip/fi/fi
[admin@MikroTik] /ip/firewall/filter> 
  1. Мы находимся в корне консоли, ввели ip/fi/fi и нажали клавишу Enter.
  2. Мы оказываемся в разделе /ip/firewall/filter потому, что "ip" – это полное название вложенного раздела, который доступен из корня; первое "fi" является уникальной частью, которая есть только в имени раздела "firewall", который доступен в разделе /ip, а второе "fi" является уникальной частью, которая есть только в имени раздела "filter", который доступен в разделе /ip/firewall.


[admin@MikroTik] > ip/f/f
[admin@MikroTik] /ip/firewall/filter>

Приведенный выше пример аналогичен предыдущему, но разница заключается в том, что вместо ip/fi/fi мы указали еще более короткий вариант ip/f/f и система успешно приняла его. Логика принятия такая же как и в предыдущем варианте.

Сокращение команд

Использование уникальной части команды можно применять не только для сокращения названия пути, но и для сокращения команд. Вместо [admin@MikroTik] > ping 10.0.0.1 count 3 size 100 можно указать [admin@MikroTik] > pi 10.1 c 3 si 100.

Режим Hot Lock

С помощью клавиши F7 в консоли MikroTik RouterOS активируется режим Hot Lock в котором команды автоматически дополняются до полного написания как только будет введен уникальный набор символов, который позволит однозначно идентифицировать эту команду.

1 [admin@MikroTik] > [F7]
2 [admin@MikroTik] >> ip/firewall/filter
3 [admin@MikroTik] ip/firewall/filter>> 
  1. Мы нажали клавишу F7 и затем клавишу Enter.
  2. Консоль перешла в режим Hot Lock. Об этом свидетельствует изменение > на >>. Если ориентироваться на визуальную выдачу, то может показаться что был введен путь ip/firewall/filter. На на самом деле были введены только следующие символы ip/ff, а все остальное было подставлено автоматически.


[admin@MikroTik] >> ip/firewall/i

В приведенном выше примере мы указали ip/fi. И в итоге был получен нежелательный результат. Символы fi являются уникальными для имени пути firewall в разделе /ip. Но самой короткой уникальной частью является самый первый символ f. Поэтому как только был введен этот символ выдача консоли была автоматически дополнена до ip/firewall/ и после этого был добавлен символ i. А в разделе /ip/firewall нет ничего что начиналось бы на символ i. Именно поэтому на практике режим Hot Lock редко используется из-за того, что для его использования надо уверенно знать уникальные части всех команд.

Углубленный курс "Администрирование сетевых устройств MikroTik"
Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA. 
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь

Полезные материалы по MikroTik

Чек-лист

Список обязательных действий при настройке маршрутизатора MikroTik. Бесплатно через подписку по форме ниже.

Подписка на чек-лист


Характеристики чек-листа
RouterOS: v6 и v7
Дата публикации: апрель 2022
Применимость: сети до 100 и более компьютеров
Темы: Firewall, NAT, QoS, DHCP, DNS, Wi-Fi, основная и гостевая сеть и многое другое
Формат: файл, состоящий из 28 пунктов на 2-х листах в формате pdf
Автор: Скоромнов Дмитрий, практикующий инженер и сертифицированный тренер MikroTik (TR0680)
Время получения: в течение 5-ти минут после подписки

Telegram-канал

На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik.

Основные операции

Разница между путем, командой, параметром и значением параметра

В оригинальной выдаче командной строки RouterOS для разных элементов используются разные цвета. Пример:

[admin@MikroTik] > /system/clock set time-zone-name=Europe/Moscow

В приведенном выше примере:

  • /system/clock – путь,
  • set – команда,
  • time-zone-name= – параметр, который необходимо задать,
  • Europe/Moscow – значение параметра, которое должно быть задано.


Попробуем разобрать разницу между этими элементами на примере:

Руководитель говорит сотруднику в офисе: подготовь отчет в формате pdf, крайний срок исполнения конец дня.

В приведенном выше примере:

  • Руководитель говорит сотруднику – аналогия для "системный администратор настраивает маршрутизатор MikroTik".
  • В офисе – путь.
  • Подготовь – команда.
  • Отчет – параметр № 1.
  • В формате pdf – значение параметра "отчет".
  • Крайний срок исполнения – параметр № 2.
  • Конец дня – значение параметра "крайний срок исполнения".


Для одной команды должен быть указан хотя бы один параметр. Значение параметра указывается после самого параметра и знака равно. Если в значении параметра используется хотя бы один пробел, то все значение должно быть взято в кавычки. Пример: comment="rule № 1".

Выполнение команд из раздела к которому они не относятся

В процессе работы иногда требуется выполнить команду, которая не относится к текущему разделу. При этом переход в соответствующий раздел возможен, но нежелателен. Например, потому что потом опять надо вернуться в исходный раздел. В таких ситуациях надо указать полный путь до интересующей команды, включая знак корня (/). В приведенном ниже примере команда ping выполнена из раздела /ip/route:

[admin@MikroTik] /ip/route> /tool/ping 8.8.8.8

Определение номера правила

Для дальнейшего понимания принципа работы с командной строкой MikroTik RouterOS надо понять по какому принципу происходит нумерация правил и как можно определить номер конкретного интересующего нас правила.

[admin@MikroTik] /ip/firewall/filter> print
Flags: X - disabled, I - invalid; D - dynamic 
 0    ;;; rule_1
      chain=forward action=accept

 1    ;;; rule_2
      chain=forward action=accept

 2    ;;; rule_3
      chain=forward action=accept

В приведенном выше примере в разделе /ip/firewall/filter с помощью команды print мы получили информацию о списке имеющихся правил и их номерах. Учтите, что в жизни такие правила не имеют никакого смысла. Они сделаны в таком виде исключительно для удобства обучения. Первое правило имеет комментарий "rule_1", второе правило имеет комментарий "rule_2" и т.д. Но это именно комментарий к правилу, а не номер, который будет учитывать операционная система. Все правила нумеруются по порядку начиная с нуля: 0, 1, 2, 3, 4 и т. д. В итоге самое первое правило с комментарием "rule 1" с точки зрения RouterOS имеет номер 0, второе правило с комментарием "rule 2" с точки зрения операционной системы имеет номер 1, и т.д. Это очень важно учитывать и при настройке и через CL и через GUI, и при общении с коллегами. Если это не учитывать, то может получиться, что один человек имел ввиду номер в "человеческом" исчислении, а другой человек имел ввиду номер в "машинном" исчислении. Результат такого недопонимания может быть очень плачевным.

Список основных команд

  • add – добавить правило.
  • remove – удалить правило.
  • move – переместить правило.
  • set – изменить значение параметра.
  • unset – удалить значение параметра.

Добавление нового правила

Для создания новых правил используется команда add.

В конце списка

По умолчанию любое вновь созданное правило добавляется в конец списка.

1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic

2 [admin@MikroTik] /ip/firewall/filter> add chain=forward action=accept comment=rule_1

3 [admin@MikroTik] /ip/firewall/filter> add chain=forward action=accept comment=rule_2

4 [admin@MikroTik] /ip/firewall/filter> add chain=forward action=accept comment=rule_3
 
5 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept
  
   1    ;;; rule_2
        chain=forward action=accept
  
   2    ;;; rule_3
        chain=forward action=accept
  1. Мы находимся в разделе /ip/firewall/filter и выполняем команду print в выдаче которой мы видим, что правила в текущем разделе отсутствуют.
  2. Мы создаем правило с комментарием rule_1.
  3. Мы создаем правило с комментарием rule_2.
  4. Мы создаем правило с комментарием rule_3.
  5. В выдаче команды print мы видим, что в разделе /ip/firewall/filter появились правила с номерами 0, 1 и 2 и эти правила имеют комментарии "rule_1", "rule_2", "rule_3".

На заданную позицию

В некоторых таблицах порядок правил играет роль, а в некоторых нет. Например, в /ip/route порядок правил роли не играет, а в /ip/firewall/filter порядок правил роль играет. Поэтому иногда может потребоваться поместить правило не в конец списка, а на какую-то конкретную позицию. Это делается с помощью параметра place-before в котором указывается номер правила перед которым должно быть помещено вновь создаваемое правило.

1 [admin@MikroTik] /ip/firewall/filter> print
   Flags: X - disabled, I - invalid; D - dynamic 
    0    ;;; rule_1
         chain=forward action=accept 
  
    1    ;;; rule_2
         chain=forward action=accept 
  
    2    ;;; rule_3
         chain=forward action=accept
 
2 [admin@MikroTik] /ip/firewall/filter> add chain=forward action=accept comment=rule_4 place-before=1

3 [admin@MikroTik] /ip/firewall/filter> print 
  Flags: X - disabled, I - invalid; D - dynamic 
    0    ;;; rule_1
         chain=forward action=accept 
  
    1    ;;; rule_4
         chain=forward action=accept 
  
    2    ;;; rule_2
         chain=forward action=accept 
  
    3    ;;; rule_3
         chain=forward action=accept

  1. В выдаче команды print мы видим, что отсутствует правило с комментарием "rule_4".
  2. Мы указываем, что хотим создать новое правило с комментарием "rule_4" и сразу поместить его до текущего правила с номером 1 (place-before=1).
  3. В выдаче команды print мы видим, что созданное на предыдущем шаге правило с комментарием "rule_4" сразу было помещено на место с номером 1, а предыдущее правило, которое ранее имело номер 1 и комментарий "rule_2" переместилось на позицию с номером 2.

Перемещение существующего правила

Для перемещения правил используется команда move и ее параметры numbers и destination. В параметре numbers задается какое правило или правила мы хотим переместить, а в параметре destination задается позиция куда должно быть перенесено правило. Итоговый номер перенесенного правила зависит от того в каком направлении производится перемещение: вверх или вниз по списку.

Перемещение правила ниже по списку

В любое место кроме последнего

Если правило должно быть перемещено ниже по списку, то в параметре destination необходимо указать номер правила перед которым должно быть помещено перемещаемое правило.

1 [admin@MikroTik] /ip/firewall/filter> print 
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 
  
   1    ;;; rule_4
        chain=forward action=accept 
  
   2    ;;; rule_2
        chain=forward action=accept 
  
   3    ;;; rule_3
        chain=forward action=accept

2 [admin@MikroTik] /ip/firewall/filter> move numbers=1 destination=3

3 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 
  
   1    ;;; rule_2
        chain=forward action=accept 
  
   2    ;;; rule_4
        chain=forward action=accept
  
   3    ;;; rule_3
        chain=forward action=accept
  1. В выдаче команды print мы видим, что правило с комментарием "rule_4" имеет номер 1.
  2. С помощью команды move мы указываем, что надо взять правило с номером 1 (numbers=1) и поместить его перед правилом номер 3 (destination=3).
  3. В выдаче команды print мы видим, что правило, которое ранее имело номер 1 и комментарий "rule_4", было помещено перед правилом с номером 3 и комментарием "rule_3".
На последнее место

Если правило должно быть перемещено в самый конец списка, то необходимо не указывать значение параметра destination. Т.е. запись должна выглядеть так: destination=.

1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 
  
   1    ;;; rule_2
        chain=forward action=accept 
  
   2    ;;; rule_4
        chain=forward action=accept
  
   3    ;;; rule_3
        chain=forward action=accept

2 [admin@MikroTik] /ip/firewall/filter> move numbers=2 destination=

3 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 
  
   1    ;;; rule_2
        chain=forward action=accept 
  
   2    ;;; rule_3
        chain=forward action=accept
  
   3    ;;; rule_4
        chain=forward action=accept
  1. В выдаче команды print мы видим, что правило с комментарием "rule_4" имеет номер 2.
  2. С помощью команды move мы указываем, что надо взять правило с номером 2 (numbers=2) и поместить в самый конец списка (destination=).
  3. В выдаче команды print мы видим, что правило с комментарием "rule_4", которое ранее имело номер 2, было поставлено в самый конец списка, т.е. теперь оно имеет номер 3.

Перемещение правила выше по списку

Если правило должно быть перемещено выше по списку, то в параметре destination указывается номер, который должно занять перемещаемое правило.

1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 
  
   1    ;;; rule_2
        chain=forward action=accept 
  
   2    ;;; rule_3
        chain=forward action=accept
  
   3    ;;; rule_4
        chain=forward action=accept

2 [admin@MikroTik] /ip/firewall/filter> move numbers=3 destination=1

3 [admin@MikroTik] /ip/firewall/filter> print
 Flags: X - disabled, I - invalid; D - dynamic 
  0    ;;; rule_1
       chain=forward action=accept 

  1    ;;; rule_4
       chain=forward action=accept

  2    ;;; rule_2
       chain=forward action=accept 

  3    ;;; rule_3
       chain=forward action=accept 
  1. В выдаче команды print мы видим, что правило с комментарием "rule_4" имеет номер 3.
  2. С помощью команды move мы указываем, что мы хотим взять правило с номером 3 (numbers=3) и поместить его на место правила с номером 1 (destination=1).
  3. В выдаче команды print мы видим, что правило с комментарием "rule_4" было перемещено на место правила с номером 1.

Перемещение более, чем одного правила

С помощью команды move можно переместить более одного правила за один раз. Для этого в в параметре numbers надо через запятую указать номера правил, которые мы хотим переместить. Правила переносятся в том порядке в котором они указаны в параметре numbers .

Перемещение правил с номерами, идущими по порядку
1 [admin@MikroTik] /ip/firewall/filter> print
 Flags: X - disabled, I - invalid; D - dynamic 
  0    ;;; rule_1
       chain=forward action=accept 

  1    ;;; rule_4
       chain=forward action=accept

  2    ;;; rule_2
       chain=forward action=accept

  3    ;;; rule_3
       chain=forward action=accept

2 [admin@MikroTik] /ip/firewall/filter> move numbers=2,3 destination=1

3 [admin@MikroTik] /ip/firewall/filter> print
 Flags: X - disabled, I - invalid; D - dynamic 
  0    ;;; rule_1
       chain=forward action=accept 

  1    ;;; rule_2
       chain=forward action=accept

  2    ;;; rule_3
       chain=forward action=accept

  3    ;;; rule_4
       chain=forward action=accept
  1. В выдаче команды print мы видим, что правила с комментариями "rule_2" и "rule_3" имеют номера 2 и 3 соответственно.
  2. С помощью команды move мы указываем, что мы хотим взять правила с номерами 2 и 3 (numbers=2,3) и поместить их на место правила с номером 1 (destination=1).
  3. В выдаче команды print мы видим, что правила с комментариями "rule_2" и "rule_3" были перемещены и получили номера 1 и 2 соответственно.
Перемещение правил с номерами, идущими не по порядку
1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept

   1    ;;; rule_2
        chain=forward action=accept

   2    ;;; rule_3
        chain=forward action=accept

   3    ;;; rule_4
        chain=forward action=accept

2 [admin@MikroTik] /ip/firewall/filter> add chain=forward action=accept comment=rule_5

3 [admin@MikroTik] /ip/firewall/filter> add chain=forward action=accept comment=rule_6

4 [admin@MikroTik] /ip/firewall/filter> add chain=forward action=accept comment=rule_7

5 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 

   1    ;;; rule_2
        chain=forward action=accept 

   2    ;;; rule_3
        chain=forward action=accept
 
   3    ;;; rule_4
        chain=forward action=accept 

   4    ;;; rule_5
        chain=forward action=accept

   5    ;;; rule_6
        chain=forward action=accept 

   6    ;;; rule_7
        chain=forward action=accept

6 [admin@MikroTik] /ip/firewall/filter> move numbers=6,2,4 destination=0

7 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_7
        chain=forward action=accept

   1    ;;; rule_3
        chain=forward action=accept

   2    ;;; rule_5
        chain=forward action=accept

   3    ;;; rule_1
        chain=forward action=accept

   4    ;;; rule_2
        chain=forward action=accept

   5    ;;; rule_4
        chain=forward action=accept

   6    ;;; rule_6
        chain=forward action=accept
  1. В выдаче команды print мы видим, что есть 4 правила с номерами 0–3 и комментариями "rule_1", "rule_2", "rule_3", "rule_4" имеет номер 2.
  2. Мы добавляем правило с комментарием "rule_5".
  3. Мы добавляем правило с комментарием "rule_6".
  4. Мы добавляем правило с комментарием "rule_7".
  5. В выдаче команды print мы видим, что есть 7 правил с номерами 0–6 и комментариями "rule_1" – "rule_7". Правило 0 имеет комментарий "rule_1", правило 1 имеет комментарий "rule_2", Правило 2 имеет комментарий "rule_3" и т. д. по порядку.
  6. С помощью команды move мы говорим, что хотим переместить правила с номерами 6, 2 и 4 (numbers=6,2,4) на место правила с номером 0 (destination=0).
  7. В выдаче команды print мы видим, что привила 6 ("rule_7"), 2 ("rule_3") и 4 ("rule_2") были перенесены на место правила 0. Так же мы видим, что перенос был выполнен с учетом порядка в котором номера правил были перечислены в параметре numbers.

Удаление правила

Для удаления правил используется команда remove. Номер удаляемого правила должен быть указан в параметре numbers. За один раз можно удалить как одно, так и более одного правил.

1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_7
        chain=forward action=accept

   1    ;;; rule_3
        chain=forward action=accept

   2    ;;; rule_5
        chain=forward action=accept

   3    ;;; rule_1
        chain=forward action=accept

   4    ;;; rule_2
        chain=forward action=accept

   5    ;;; rule_4
        chain=forward action=accept

   6    ;;; rule_6
        chain=forward action=accept

2 [admin@MikroTik] /ip/firewall/filter> remove numbers=0,1,2

3 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 

   1    ;;; rule_2
        chain=forward action=accept 

   2    ;;; rule_4
        chain=forward action=accept 

   3    ;;; rule_6
        chain=forward action=accept
  1. В выдаче команды print мы видим, что правила с номерами 0, 1 и 2 имеют комментарии "rule_7", "rule_3" и "rule_5".
  2. С помощью команды remove мы указываем, что хотим удалить правила с номерами 0, 1 и 2 (numbers=0,1,2).
  3. В выдаче команды print мы видим, что правила с комментариями "rule_7", "rule_3" и "rule_5" удалены.

Установка, изменение и удаление значения параметров у имеющихся правил

Установка значения параметра, который ранее не использовался

Для установки значения для какого-либо параметра у уже имеющегося правила, необходимо с помощью команды set и параметра numbers= определить интересующее правило, а далее необходимо указать интересующий параметр и его значение.

1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 

   1    ;;; rule_2
        chain=forward action=accept 

   2    ;;; rule_4
        chain=forward action=accept 

   3    ;;; rule_6
        chain=forward action=accept

2 [admin@MikroTik] /ip/firewall/filter> set numbers=2 dst-address=8.8.8.8

3 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 

   1    ;;; rule_2
        chain=forward action=accept 

   2    ;;; rule_4
        chain=forward action=accept dst-address=8.8.8.8 

   3    ;;; rule_6
        chain=forward action=accept
  1. В выдаче команды print мы видим, что ни у одного из правил не указано значение параметра dst-address.
  2. С помощью команды set мы указываем, что у правила с номером 2 (numbers=2) необходимо установить значение параметра dst-address равное 8.8.8.8 (dst-address=8.8.8.8).
  3. В выдаче команды print мы видим, что у правила с номером 2 параметр dst-address получил значение 8.8.8.8.

Изменение значения параметра, который ранее использовался

Процедура изменения значения какого-либо параметра происходит аналогично процедуре установке значения у параметра, который ранее уже использовался. Для установки значения для какого-либо параметра у уже имеющегося правила, необходимо с помощью команды set и параметра numbers= определить интересующее правило, а далее необходимо указать интересующий параметр и его значение.

1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 

   1    ;;; rule_2
        chain=forward action=accept 

   2    ;;; rule_4 
        chain=forward action=accept dst-address=8.8.8.8

   3    ;;; rule_6
        chain=forward action=accept

2 [admin@MikroTik] /ip/firewall/filter> set numbers=2 comment=rule_3

3 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 

   1    ;;; rule_2
        chain=forward action=accept 

   2    ;;; ;;; rule_3
        chain=forward action=accept dst-address=8.8.8.8 

   3    ;;; rule_6
        chain=forward action=accept 
  1. В выдаче команды print мы видим, что у правила с номером 2 указан комментарий "rule_4".
  2. С помощью команды set мы указываем, что у правила с номером 2 (numbers=2) необходимо изменить значение параметра comment на "rule_3" (comment=rule_3).
  3. В выдаче команды print мы видим, что у правила с номером 2 комментарий изменился на "rule_3".

Удаление значения параметра

Для удаления значения параметра используется команда unset, но в некоторых случаях можно использовать частный случай команды set: set="".

С помощью параметра unset
1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept

   1    ;;; rule_2
        chain=forward action=accept

   2    ;;; ;;; rule_3
        chain=forward action=accept dst-address=8.8.8.8

   3    ;;; rule_6
        chain=forward action=accept 

2 [admin@MikroTik] /ip/firewall/filter> unset numbers=2 dst-address

3 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept

   1    ;;; rule_2
        chain=forward action=accept

   2    ;;; rule_3
        chain=forward action=accept

   3    ;;; rule_6
        chain=forward action=accept
  1. В выдаче команды print мы видим, что у правила номер 2 есть настройка dst-address=8.8.8.8.
  2. С помощью команды unset мы указываем, что у правила с номером 2 (numbers=2) необходимо удалить значение параметра dst-address.
  3. В выдаче команды print мы видим, что у правила номер 2 пропала настройка dst-address=8.8.8.8.
С помощью параметра set

В некоторых случаях удалить значение параметра можно с помощью команды set="".

1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept

   1    ;;; rule_2
        chain=forward action=accept

   2    ;;; rule_3
        chain=forward action=accept

   3    ;;; rule_6
        chain=forward action=accept

2 [admin@MikroTik] /ip/firewall/filter> set numbers=3 comment=""

3 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 

   1    ;;; rule_2
        chain=forward action=accept 

   2    ;;; rule_3
        chain=forward action=accept 

   3   chain=forward action=accept 
  1. В выдаче команды print мы видим, что у правила номер 3 указан комментарий "rule_6".
  2. С помощью команды set мы указываем, что у правила с номером 3 (numbers=2) необходимо указать пустой комментарий (comment="").
  3. В выдаче команды print мы видим, что у правила номер 3 больше нет комментария.

Включение и выключение чего-либо

В заголовке раздела не случайно написано "чего-либо", т.к. включать и выключать можно: правила, интерфейсы или функционал. Включение и выключение производится с помощью параметров disabled и enabled. Команда disabled встречается намного чаще. Важно помнить, что в зависимости от того какая именно команда используется один и тот же параметр (yes или no) будет иметь прямо противоположное значение.

Параметр disabled

Disabled – команда включения или выключения чего-либо при наличии нумерации. Возможные значения:

  • =yes выключено,
  • =no включено.
1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept

   1    ;;; rule_2
        chain=forward action=accept

   2    ;;; rule_3
        chain=forward action=accept

   3    chain=forward action=accept

2 [admin@MikroTik] /ip/firewall/filter> set numbers=1,3 disabled=yes

3 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept

   1 X  ;;; rule_2
        chain=forward action=accept

   2    ;;; rule_3
        chain=forward action=accept

   3 X  chain=forward action=accept
  1. В выдаче команды print мы видим, что у правил номер 1 и 3 отсутствуют флаги X. Наличие этого флага говорило бы о том, что правило выключено (X - disabled).
  2. С помощью команды set мы указываем, что правила с номерами 1 и 3 (numbers=1,3) необходимо выключить (disabled=yes).
  3. В выдаче команды print мы видим, что у правил номер 1 и 3 появился флаг X. а это означает, что правила оказались выключенными.

Параметр enabled

Enabled – команда включения или выключения чего-либо при отсутствии нумерации (пример: /interface/l2tp-server/server). Возможные значения:

  • =yes включено,
  • =no выключено.
1 [admin@MikroTik] /interface/l2tp-server/server> print
                   enabled: no
                   max-mtu: 1450
                   max-mru: 1450
                      mrru: disabled
            authentication: pap,chap,mschap1,mschap2
         keepalive-timeout: 30
              max-sessions: unlimited
           default-profile: default-encryption
                 use-ipsec: no
              ipsec-secret: 
            caller-id-type: ip-address
      one-session-per-host: no
           allow-fast-path: no
         l2tpv3-circuit-id: 
      l2tpv3-cookie-length: 0
        l2tpv3-digest-hash: md5
    accept-pseudowire-type: all
      accept-proto-version: all

2 [admin@MikroTik] /interface/l2tp-server/server> set enabled=yes

3 [admin@MikroTik] /interface/l2tp-server/server> print
                   enabled: yes
                   max-mtu: 1450
                   max-mru: 1450
                      mrru: disabled
            authentication: pap,chap,mschap1,mschap2
         keepalive-timeout: 30
              max-sessions: unlimited
           default-profile: default-encryption
                 use-ipsec: no
              ipsec-secret: 
            caller-id-type: ip-address
      one-session-per-host: no
           allow-fast-path: no
         l2tpv3-circuit-id: 
      l2tpv3-cookie-length: 0
        l2tpv3-digest-hash: md5
    accept-pseudowire-type: all
      accept-proto-version: all
  1. Мы находимся в разделе с настройками L2TP-сервера (/interface/l2tp-server/server) и в выдаче команды print можно увидеть, что нумерация не используется, а сам L2TP-сервер выключен (enabled: no).
  2. С помощью команды set мы указываем, что необходимо включить L2TP-сервер (enabled=yes).
  3. В выдаче команды print мы видим, что L2TP-сервер активировался (enabled: yes).
Углубленный курс "Администрирование сетевых устройств MikroTik"
Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA. 
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. Подписывайтесь

Почему нельзя использовать кириллицу

Консоль RouterOS не примет кириллические символы. Но это ограничение можно обойти, если использовать графический интерфейс. В WinBox кириллические символы использовать получится. Проблема проявится, когда надо будет такую конфигурацию проанализировать в консольном режиме. В приведенном ниже режиме выполнены команды print и export после того как в GUI для правила номер 3 был задан комментарий "правило_3".

1 [admin@MikroTik] /ip/firewall/filter> print
  Flags: X - disabled, I - invalid; D - dynamic 
   0    ;;; rule_1
        chain=forward action=accept 

   1 X  ;;; rule_2
        chain=forward action=accept 

   2    ;;; rule_3
        chain=forward action=accept 

   3 X  ;;;        _3
        chain=forward action=accept log=no log-prefix="" 
2 [admin@MikroTik] /ip/firewall/filter> export 
  # mar/31/2022 21:48:45 by RouterOS 7.1.1
  # software id = VP5J-JC7C
  #
  # model = RBD52G-5HacD2HnD
  # serial number = BEEB0AC80265
  /ip firewall filter
  add action=accept chain=forward comment=rule_1
  add action=accept chain=forward comment=rule_2 disabled=yes
  add action=accept chain=forward comment=rule_3
  add action=accept chain=forward comment="\EF\F0\E0\E2\E8\EB\EE_3" disabled=yes
  1. В выдаче команды print мы видим, что у правила номер 3 не отображается та часть комментария в которой были использованы кириллические символы.
  2. С выдаче команды export (команда будет изучена позже) мы видим, что у последнего правила вместо кириллических символов используется непонятная кодировка.

======================

ВАЖНО: вся приведенная ниже информация является черновиками будущего продолжения статьи.

Как перестать бояться работать в командной строке (Этап 2. Чтение конфигураций)

Просмотр конфигурации

Команда export. Перенос выдачи на другую строку.

Команда find

Команда print

  • print - показывает всю информацию, которая доступна из определенного уровня команд. Таким образом, /system clock print показывает системные дату и время, /ip route print показывает все маршруты и т.д. Если есть список элементов в текущем уровне, и они не только для чтения, то есть вы можете изменить или удалить их (пример только для чтения элемента списка или системной истории, которая показывает историю выполненных действий), а затем напечатать команду также правопреемников номера, которые используются всеми командами, которые работают с элементами в этом списке.
    • from - показать только указанные элементы, в том же порядке, в котором они даны.
    • where - показать только те элементы, которые соответствуют указанным критериям. Синтаксис свойства where аналогичен команде find.
    • brief - заставляет команду печати использовать табличную форму вывода
    • detail - заставляет команду печати использовать форму вывода property=value(свойство=значение)
    • count-only - показывает количество элементов
    • file - печатает содержимое конкретного подменю в файл на маршрутизаторе.
    • interval - обновление вывода команды print через интервал, заданный в секундах.
    • oid - печатает значение OID для свойств, которые доступны из SNMP
    • without-paging - печатает вывод без остановки после каждого заполненного экрана.


Результаты последних команд print запоминаются и, таким образом, один раз назначенные, номера позиций можно использовать даже после того, как применены операции add, remove and move.

Вы не должны использовать команду print перед обращением к элементам по их именам. Как правило, названия элементов являются более "стабильными", чем цифры, а также более информативными, так что отдавайте предпочтение их номерам при написании консольных скриптов.

Многие из уровней команды работают с массивами элементов: интерфейсы, маршруты, пользователей и т.д. Такие массивы отображаются как списки. У каждого элемента в списке есть номер элемента с последующим флагом и значениями параметров.

Прочие команды

  • quit – завершение сессии.
  • edit – редактировать значение в текстовом редакторе.
  • edit - эта команда связана с командой set. Она может быть использована для редактирования значений свойств, которые содержат большое количество текста, например, скрипты, но она работает со всеми редактируемыми свойствами. В зависимости от возможностей терминала, либо полноэкранный редактор, или один редактор строки запускается для редактирования значения указанного свойства.
  • add - эта команда обычно имеет все те же аргументы, как set, кроме аргумента с номером элемента. Это добавляет новый элемент со значениями, которые Вы определили, как правило, в конце списка позиций, в тех местах, где порядок элементов имеет значение. Есть некоторые необходимые свойства, которые вы должны поставить, например, как интерфейс для нового адреса, в то время как для других свойств устанавливаются значения по умолчанию, если вы явно не указали их.
    • Общие параметры:
      • copy-from - копировать параметры из уже существующего элемента. Если вы не хотите, сделать точную копию, то вы можете указать новые значения для некоторых свойств. При копировании элементов, которые имеют имена, вы, как правило, должны дать новое имя копии;
    • Возвращаемые значения:
      • добавляет команду возврата внутреннего номера элемента который был добавлен.
  • set - позволяет изменять значения общих параметров или параметров изделия. Команда имеет множество аргументов с именами соответствующих значений, которые вы можете изменить. Используйте ? или двойной [Tab], чтобы увидеть список всех аргументов. Если есть список элементов для которых доступны действия, установите аргумент соответственно номеру элемента (или список номеров), который(е) вы хотите настроить. Эта команда не возвращает ничего.

Прочее

Указать что не изучаем что значат различные настройки, например у файрвола. А изучаем те команды, которые изучаем.

С помощью move и можно указать просто первый и второй элементы без указания numbers= и place-before? Аналогично для move.

Некоторые списки имеют элементы с конкретными именами, заданными для каждого из них. Например для пунктов interface или user. Там вы можете использовать имена элементов вместо номера позиций. Вы не должны использовать команду print перед обращением к элементам по их именам. Как правило, названия элементов являются более "стабильными", чем цифры, а также более информативными, так что отдавайте предпочтение их номерам при написании консольных скриптов.

кстати, две точки (..) можно использовать и для перехода в соседний раздел в один присест. юникс-стайл же) [admin@mt-test] /ip firewall filter> ..nat [admin@mt-test] /ip firewall nat>

Видеоурок

Полезные материалы по MikroTik