Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1.
ViroslashActive Member
Me Gusta recibidos:
Bueno, como se los habia prometido, una mini guia con los comandos y
combinaciones mas comunes para la consola.
Qu importancia tiene? Por ej: se murio nuestro RB y no podemos acceder por
Winbox, ni por IP ni por MAC, enotnces conectamos un cable serie y podemos
obtener acceso por linea de comandos para tratar de solucionar el problema, o en
un caso no tan extremo podriamos enocntrarnos con una PC con RouterOS y sin
ningun puerto de trabajo con Windows o Linux donde podamos correr un Winbox
para acceder a su configuracion, enotnces tendriamos que usar la consola para
poder hacerlo. Tambien es bueno saber que hay comandos u opciones en consola
que no estan reflejados en la interfase del Winbox, asi que para configurarlos
debemos usar consola si o si.
Para este ejemplo vamos a usar un programita llamado PuTTY (Open Source,
gratis) que esta disponible para todos los sistemas operativos, o al menos la
mayoria.
El PuTTY funciona como un cliente que se conecta a un servidor que puede ser
TELNET o SSH (en nuestro caso). El primero es un servicio antiguo que todavia se
sigue usando para realizar conexiones remotas y obtener una consola "virtual" o
"emulada" de tal fora que seria lo mismo que estar tipeando los datos sentado
frente a la PC que nos estamos conectando. La desventaja de este servicio es que a
los datos transmitidos no se les aplica ningun tipo de encriptacion ni seguridad, o
sea que cualquier nene que este observando el trafico de nuestra red podria ver
todo lo que ingresamos. Para enfrentar esta prolematica salio a la luz SSH (Secure
SHell) que su objetivo es el mismo pero con avanzadas tecnicas de encriptacion, o
sea que podemos estar seguros realizando una conexion de este tipo. Asi que
vamos a usar para nuestro ejemplo el PuTTY y conexiones SSH (PuTTY da a elegir
el tipo de conexion que deseamos)
La primera vez que iniciemos sesion nos sale un cartelito al que le damos "Si" o
"Yes".
Luego se abre una ventana con fondo negro (por defecto) con una leyenda que dice
"login as: " es aqui donde debemos ingresar el usuario (Son los mismos datos que
usamos para Winbox), confirmamos con un enter y luego ingresamos una
contrasea la cual no sera mostrada en pantalla ni tampoco la cantidad de
caracteres ingresados. Volvemos a confirmar con un enter.
Finalmente obtenemos nuestra querida consola : )
Ahi esta, esperando a que le ingresemos algo... piensen que los sistemas mas
sofisticados y complejos del mundo como routers, servidores, centrales telefonicas,
robots de produccion en serie, etc, etc, usan un simple linea de comandos para su
programacion.
Ahora vamos con los comandos mas utilizados y necesarios (siempre usamos
minusculas en la consola):
"[admin@Pruebas] >" esto quiere decir que nos encontramos en el nivel superior
del arbol o del menu. Si se oprime dos veces seguidas la tecla TAB podemos ver el
listado de opciones principales:
Como ven, es casi lo mismo que la columna de botones que tenemos en el Winbox.
De esto rescatamos el comando PRINT, que lo que hace es mostrar los datos, listar
configuraciones, es este caso las configuraciones IP.
Podemos ver en el resultado del comando bajo la columna del signo # a los
numeros que se denominan ID's y sirven para identificar a cada entrada, al lado del
"1" vemos una "X" que quiere decir que esa IP esta configurada pero Deshabilitada:
Flags: X - disabled, I - invalid, D - dynamic.
Supongamos que ahora queremos ver que es lo que nos ofrece el menu de IP:
CODE, HTML o PHP Insertado:
[admin@Pruebas] > ip
[admin@Pruebas] ip>(oprimimos dos veces seguidas TAB)
accounting dhcp-client dns hotspot packing route telephony
vrrp
address dhcp-relay export ipsec pool service traffic-flow
arp dhcp-server firewall neighbor proxy socks upnp
[admin@Pruebas] ip>
Entonces lo que obtenemos seria lo que vemos al desplegar las opciones que vemos
en el Winbox cuando hacemos clic en el boton IP del menu. Se va entendiendo?
Ahora vamos a entrar a la configuracion del proxy:
Y ahora vamos a ver que opciones tenemos dentro del menu proxy:
Otra forma:
CODE, HTML o PHP Insertado:
[admin@Pruebas] ip proxy> ..
[admin@Pruebas] ip> ..
[admin@Pruebas] >
NOTA: Podemos usar la tecla TAB mientras escribimos el nombre de los menues u
opciones para completar la palabra, por ejemplo: si escribimos en el menu
principal:
CODE, HTML o PHP Insertado:
[admin@Pruebas] > syst(TAB)
Obtenemos:
[admin@Pruebas] > system
Con esto concuimos que ingresando ".." vamos retrocediendo uno a uno en los
menues u opciones.
Veamos ahora las opciones que tenemos o lo que podemos hacer con una regla que
ya esta creada:
Usamos una del firewall, filter, para eso tenemos que ir hasta ahi:
Ahi vemos la regla con ID 0 que lo que hace es bloquear el ping que entra por la
cadena input.
Supongamos que queremos consultarle a un amigo por esta regla y el nos pide que
le pasemos el codigo para que la vea, enotnces hacemos lo siguiente:
CODE, HTML o PHP Insertado:
[admin@Pruebas] ip firewall filter> export from=0
# jul/16/2010 10:11:07 by RouterOS 2.9.27
# software id = 9X0H-PLT
#
/ ip firewall filter
add chain=input protocol=icmp action=accept comment="" disabled=no
[admin@Pruebas] ip firewall filter>
Asi que el comando export nos devuelve toda la consiguracion del FIlter del Firewall
en modo de codigo, si nuestro amigo copia este codigo y lo pega en su consola la
regla automaticamente se le configura en su equipo, asi como un script, la regla en
codigo seria esta:
Ahora nuestro amigo nos dice que para bloquear el ping en la cadena input
deberiamos cambiar el valor action=accept por action=drop, lo hariamos asi:
CODE, HTML o PHP Insertado:
[admin@Pruebas] ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input protocol=icmp action=accept
[admin@Pruebas] ip firewall filter> set 0 action=
accept add-dst-to-address-list add-src-to-address-list drop jump log
passthrough reject return tarpit
[admin@Pruebas] ip firewall filter> set 0 action=accept
Primero usamos el PRINT para saber que numero de regla le corresponde, luego
con el comando SET decimos que vamos a configurarle un valor al campo ACTION
de la regla 0, enotnces escribimos:
[admin@Pruebas] ip firewall filter> set 0 action=
Y presionamos dos veces TAB para ver que opciones se le pueden configurar al
campo ACTION, al hacerlo nos devuelve:
accept add-dst-to-address-list add-src-to-address-list drop jump log passthrough
reject return tarpit
Lo que nos interesa es bloquearlo, asi que escribimos "dr" despues del igual y
apretamos TAB para completar la palabra drop o bien la escribimos toda a mano:
CODE, HTML o PHP Insertado:
[admin@Pruebas] ip firewall filter> set 0 action=drop
Para habilitarla:
CODE, HTML o PHP Insertado:
[admin@Pruebas] ip firewall filter> set 0 disabled=no
Para borrarla:
CODE, HTML o PHP Insertado:
[admin@Pruebas] ip firewall filter> remove 0
Para mover reglas: (Siempre listar las reglas antes con print, es necesario para el
sistema)
CODE, HTML o PHP Insertado:
[admin@Pruebas] ip firewall filter> move 5 0
Vemos que no tiene ningun ID, por lo tanto no hay nada configurado, vamos a
agregar la IP 10.10.128.128 con mascara 255.255.255.0:
CODE, HTML o PHP Insertado:
[admin@Pruebas] ip address> add address=10.10.128.128/24 interface=lan
Si hacemos TAB TAB luego de interface= vamos a ver las interfaces disponibles, en
este caso es lan. Aceptamos la regla con un enter.
y visualizamos con print:
CODE, HTML o PHP Insertado:
[admin@Pruebas] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.10.128.128/24 10.10.128.0 10.10.128.255 lan
[admin@Pruebas] ip address>
Veamos un ejemplo mas complejo con alguna regla de firewall, supongamos ahora
que necesitamos bloquear el puerto 23 de TCP para todos los hosts menos para la
red 10.10.128.0/24 en la interfase de entrada LAN:
Escribimos add y vemos toooodas las opciones que tenemos para una regla de
firewall, vamos a usar solo unas pocas, asi que:
CODE, HTML o PHP Insertado:
[admin@Pruebas] ip firewall filter> add chain=forward protocol=tcp dst-
port=23 src-address=!10.10.128.0/24 in-interface=lan
[admin@Pruebas] ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward in-interface=lan src-address=!10.10.128.0/24 protocol=tcp
dst-port=23 action=accept
[admin@Pruebas] ip firewall filter>
En cada valor podemos ir apretando TAB para ver las opciones y completar
palabras.
interval=1s hace que el print se ejecute cada 1 segundo, salimos con Ctrl+C
etc...
(Solo se puede con el usuario admin, no deja cambiar el login por root, por
ejemplo)
(Si apretamos TAB TAB a la hora de poner la MAC vemos cuales podemos acceder)
Con eso ya pueden configurar un RouterOS desde la consola sin problemas, espero
que les sea de mucha utilidad, cualquier otra cosa que quieran saber que no este
contamplado preguntenlo aca mismo. Saludos!
Contents
[hide]
1 Resmen
2 Descripcin
3 System Backup
o 3.1 Descripcin
o 3.2 Ejemplo
4 Exportando la configuracin
o 4.1 Descripcin del comando
o 4.2 Ejemplo
5 Importando la configuracin
o 5.1 Descripcin del comando
o 5.2 Ejemplo
6 Limpieza de la configuracin
o 6.1 Descripcin
o 6.2 Descripcin del comando
o 6.3 Notas
o 6.4 Ejemplo
Resmen
Este manual lo introduce con los comandos que son usados para realizar la siguientes
funciones:
system backup;
system restore from a backup;
configuration export;
configuration import;
system configuration reset.
Descripcin
La configuracin puede ser respaldada usando el archivo de configuracin binario para
MikroTik RouterOS, el cual puede ser utilizardo para restaurar la configuracin de un
router, exactamente tal cual estaba al momento de la creacin del backup. El
procedimiento de restauracin asume que la configuracin ser colocada en el mismo
router, donde fue creado originalmente el backup, y tambin crear configuraciones
daadas parcialmente si el hardware ha sido cambiado.
La configuracin puede ser exportada total o parcialmente en la pantalla de consola o en
un archivo de texto (script), el cual puede ser descargado desde el router usando el
protocolo FTP. La configuracin volcada es un batch (procesos) de comando para agregar
(sin remover la config existente) la parte de la configuracin seleccionada en el router. La
importacin de la configuracin facilita el ejecutar un conjunto de comandos de consola
desde un archivo de script.
El comando System Reset es usado para borrar toda la configuracin del router. Antes de
hacer esto, puede ser til el crear un archivo de backup para la configuracin.
System Backup
Submenu level: /system backup
Descripcin
El comando backup save es usado para guardar una configuracin completa en un
archivo de backup. El archivo se muestra en el submen /file . Este puede ser descargado
via ftp para guardar el archivo de backup.
Importante! El archivo de backup contiene informacin sensible, no guarde sus archivo de
backup dentro del directorio Files, en cambio, descarguelas y mantengalas en un lugar
seguro
Para recuperar la configuracin del sistema, por ejemplo, despus de un /system reset-
configuration, es posible subir el archivo va ftp y cargar el backup usando el comando load
en el submen /system backup
Descripcin del comando
Exportando la configuracin
Command name: /export
El comando export muestra un script que puede ser usado para restaurar la configuracin.
El comando puede ser invocado desde cualquier nivel de men, y acta para ese nivel y
todos los niveles inferiores a el. La salida puede ser guardada en un archivo y luego desde
descargado va FTP.
Descripcin del comando
Importando la configuracin
Comando: /import
El nivel raz de comando /import [file_name] ejecuta un script, y agrega la configuracin
desde un archivo existente de configuracin. Este archivo contiene comandos de consola
que incluyen scripts. Es usado para recuperar toda o parte de la configuracin despus de
un evento como /system reset o cualquiera que cause una prdida de la configuracin.
Nota: Es imposible incorporar toda la configuracin con esta funcionalidad. Esta puede
nicamente ser usada para importar parte de la configuracin (por ejemplo, reglas de
firewall) para ahorrar el escribirlas.
Descripcin del comando