+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Отключить неиспользуемые пакеты

Отключить неиспользуемые пакеты, RouterOS

sterod

Guest

21.12.2021 17:49:00

Сегодня я установил V7.1.1 на свой личный RB4011. Очень разочаровало, что RouterOS теперь представляет собой один большой, единый пакет. Мне бы хотелось сохранить возможность из версии V6 отключать ненужные пакеты. Например, беспроводные и hotspot-пакеты на устройствах без радиомодулей, ipv6, mpls и маршрутизация. Надеюсь, что в будущем эту функцию снова вернут, а если нет — было бы здорово узнать, почему решили изменить подход.

rga

Guest

31.01.2022 19:01:00

Это не совсем так. Можно заметить, что, например, даже когда никакой протокол динамической маршрутизации не настроен, некоторые из их процессов всё равно работают в фоне. Это видно из лога:

09:15:52 route,rpki,debug stats roas 0 roa 0 nodes4 0 nodes6 0
09:15:54 route,debug,calc 1.3.3 Загрузка новых значений префиксов
09:15:54 route,debug,calc 3 Основная публикация
09:15:55 route,rpki,debug wipe stats roas 0 roa 0 nodes4 0 nodes6 0
09:15:59 route,debug,calc 1.3.1 Пометка обновлённых маршрутов для слияния
09:15:59 route,debug,calc 1.3.3 Загрузка новых значений префиксов
09:15:59 route,debug,calc 1.3.4 Слияние обновлений маршрутов
09:15:59 route,debug,calc 2.2 Слияние обновлений путей передачи
09:15:59 route,debug,calc 3 Основная публикация
09:15:59 route,debug,calc 6.1 Очистка после слияния
09:15:59 route,debug,calc 1.3.1 Пометка обновлённых маршрутов для слияния
09:15:59 route,debug,calc 1.3.3 Загрузка новых значений префиксов
09:15:59 route,debug,calc 1.3.4 Слияние обновлений маршрутов
09:15:59 route,debug,calc 2.2 Слияние обновлений путей передачи
09:15:59 route,debug,calc Подготовка очереди LINK/%*7/10-5/0/SRC192.168.188.1%*7
09:15:59 route,debug,calc Установка начальной достижимости для интерфейса LINK/%*7/10-5/0/SRC192.168.188.1%*7
09:15:59 route,debug,calc Применение достижимости к LINK/%*7/10-5/0/SRC192.168.188.1%*7
09:15:59 route,debug,calc Разрешение LINK/%*7/10-5/0/SRC192.168.188.1%*7
09:15:59 route,debug,calc 3 Основная публикация
09:15:59 route,debug,calc 6.1 Очистка после слияния
09:16:01 route,debug,calc 1.3.1 Пометка обновлённых маршрутов для слияния
09:16:01 route,debug,calc 1.3.3 Загрузка новых значений префиксов
09:16:01 route,debug,calc 1.3.4 Слияние обновлений маршрутов
09:16:01 route,debug,calc 2.2 Слияние обновлений путей передачи
09:16:01 route,debug,calc 3 Основная публикация
09:16:01 route,debug,calc 6.1 Очистка после слияния
09:16:03 route,debug,calc 1.3.1 Пометка обновлённых маршрутов для слияния
09:16:03 route,debug,calc 1.3.4 Слияние обновлений маршрутов
09:16:03 route,debug,calc 2.2 Слияние обновлений путей передачи
09:16:03 route,debug,calc 3 Основная публикация
09:16:03 route,debug,calc 6.1 Очистка после слияния
09:16:07 route,debug,calc 1.3.1 Пометка обновлённых маршрутов для слияния
09:16:07 route,debug,calc 1.3.4 Слияние обновлений маршрутов
09:16:07 route,debug,calc 2.2 Слияние обновлений путей передачи
09:16:07 route,debug,calc 3 Основная публикация
09:16:07 route,debug,calc 6.1 Очистка после слияния
09:16:07 route,debug,calc 1.3.1 Пометка обновлённых маршрутов для слияния
09:16:07 route,debug,calc 1.3.4 Слияние обновлений маршрутов
09:16:07 route,debug,calc 2.2 Слияние обновлений путей передачи
09:16:07 route,debug,calc 3 Основная публикация
09:16:07 route,debug,calc 6.1 Очистка после слияния
09:16:07 route,debug,calc 1.3.1 Пометка обновлённых маршрутов для слияния
09:16:07 route,debug,calc 1.3.4 Слияние обновлений маршрутов
09:16:07 route,debug,calc 2.2 Слияние обновлений путей передачи
09:16:07 route,debug,calc Подготовка очереди IP/192.168.128.1/30-10/0
09:16:07 route,debug,calc Разрешение IP/192.168.128.1/30-10/0
09:16:07 route,debug,calc 3 Основная публикация
09:16:07 route,debug,calc 6.1 Очистка после слияния
09:16:07 route,debug,calc 1.3.1 Пометка обновлённых маршрутов для слияния
09:16:07 route,debug,calc 1.3.3 Загрузка новых значений префиксов
09:16:07 route,debug,calc 1.3.4 Слияние обновлений маршрутов
09:16:07 route,debug,calc Нужно обновить fwp-ссылку IP/192.168.128.1/30-10/0 через 192.168.128.0/24->LINK/%*1/10-5/0/SRC192.168.128.2%*1 FLD{0}
09:16:07 route,debug,calc 2.2 Слияние обновлений путей передачи
09:16:07 route,debug,calc Подготовка очереди LINK/%*1/10-5/0/SRC192.168.128.2%*1
09:16:07 route,debug,calc Очередь рекурсивно обновлённого IP/192.168.128.1/30-10/0
09:16:07 route,debug,calc Подготовка очереди IP/192.168.128.1/30-10/0
09:16:07 route,debug,calc Установка начальной достижимости для интерфейса LINK/%*1/10-5/0/SRC192.168.128.2%*1
09:16:07 route,debug,calc Применение достижимости к LINK/%*1/10-5/0/SRC192.168.128.2%*1
09:16:07 route,debug,calc Распространение достижимости для IP/192.168.128.1/30-10/0
09:16:07 route,debug,calc Применение достижимости к IP/192.168.128.1/30-10/0
09:16:07 route,debug,calc Разрешение LINK/%*1/10-5/0/SRC192.168.128.2%*1
09:16:07 route,debug,calc Разрешение IP/192.168.128.1/30-10/0
09:16:07 route,debug,calc Ссылка IP/192.168.128.1/30-10/0 через 192.168.128.0/24->LINK/%*1/10-5/0/SRC192.168.128.2%*1 FLD{1} tr имеет метрику BEST/24
09:16:07 route,debug,calc 3 Основная публикация
09:16:07 route,debug,calc 6.1 Очистка после слияния

calc topis должен логировать расчёт маршрутизации. Выполняется ли какой-то расчёт для конфигурации статической маршрутизации?

Zacharias Guest	#3 0 31.01.2022 19:15:00 Значит, их считают отключёнными, если ты их не настраиваешь?

mducharme

Guest

01.02.2022 01:38:00

Функции, которые потенциально представляют угрозу безопасности (или, по крайней мере, большинство из них), можно отключить, используя новую настройку device-mode и переключив режим с «enterprise» на «home». Это отключит точку доступа, socks-прокси и другие возможности, которые эксплуатирует ботнет Maris.

mducharme

Guest

01.02.2022 02:01:00

Это, скорее всего, ничего бы не сэкономило — скорее наоборот, заняло бы ещё больше места. Пакет RouterOS v6 в виде набора «подпакетов» больше, чем монолитный пакет RouterOS v7, отчасти из-за дополнительных заголовков, которые нужны для создания этих «подпакетов» и возможности включать или отключать их. Плюс, вероятно, в v7 убрали какие-то проверки (например, «если IPv6 тоже установлен, делай так, иначе — иначе»), потому что теперь IPv6 всегда гарантированно присутствует. Мне кажется, если бы в v7 попытались вернуться к пакетам в стиле v6, добавленные заголовки и дополнительные проверки заняли бы столько места, что на устройствах с флеш-памятью 16 МБ это вообще бы не сработало. Лично для меня, как пользователя IPv6, тоже раздражающим был факт, что в RouterOS v6 IPv6 не работал с некоторыми функциями, очевидно, чтобы не писать лишние проверки на наличие тех пакетов. Поэтому мне лично нравится переход к монолитному пакету — так выше шанс, что дополнительные функции будут поддерживать такие вещи, как IPv6, ведь они там гарантированно есть, а не по выбору.

savage

Guest

08.02.2022 17:47:00

Потому что во всём всегда есть маленькая вещь под названием баги. Как вы думаете, что произойдет, когда через 5 лет выйдет версия 7.10 «долгосрочная поддержка», а в ней вдруг окажется смертельная уязвимость в SMB, socks, веб-прокси, выбирай любую — и все эти штуки в интернете вдруг окажутся уязвимыми? Но да, критически важному маршрутизатору нужен samba-сервер… Или socks-прокси, или HTTP-прокси… MT должно чётко провести границу между пакетом для малого офиса и домашнего пользования (SOHO) и корпоративным пакетом (ENTERPRISE).

Sob

Guest

08.02.2022 18:05:00

Я не буду слишком сильно заступаться за SMB. И вообще, для ясности — мне нравятся пакеты и возможность выбирать, что установить. Но давайте будем честны: если всё сделано так, как ожидается, то есть это отдельный исполняемый файл, который можно запустить или нет, а если не включён — он просто лежит и ничего не делает, разве что занимает место на диске, то вряд ли он может навредить.

Amm0 Guest	#8 0 08.02.2022 18:41:00 Честно говоря, у них есть /system/device-mode, который действительно разделяет «домашний» и «корпоративный» режимы. Полностью согласен, что чем больше пакетов — тем лучше. Но с зависимостями это не так просто (см. комментарии @Sob), и, кажется, новые функции в версии 7 действительно реализованы через пакеты (zeroteir, wifiwave2, контейнеры). Поэтому я смирился с тем, что функции из версии 6 теперь идут одним пакетом. Но возможность полностью удалить какую-то функцию определённо была частично утеряна. Векторы атак Mêris покрываются /system/device-mode, который не даёт их включить (без физического доступа к устройству). Но даже это не позволяет отключить другие функции, которые могут быть использованы в похожей атаке (например, при скомпрометированном пароле администратора), используя другой набор протоколов или «фич». Снова — это не решает проблему неиспользуемого кода, который может вызывать баги или уязвимости, но и множество пакетов с запутанными зависимостями тоже потенциально может привести к ошибкам в будущем… В целом я предпочитаю удалять как можно больше ненужного кода, а не просто конфигураций. Учитывая, что Mikrotik вряд ли скоро вернётся к отдельным пакетам, я бы поддержал расширение возможностей /system/device-mode, чтобы контролировать более широкий набор протоколов и функций — хотя бы в качестве дополнительного уровня защиты.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры