В жизни каждого начальника наступает момент, когда подчиненные начинают казаться злостнейшими прокрастинаторами и бездельниками. Тогда начальник вызывает к себе сисадмина и требует его срочно заблокировать доступ ко всяким интереснейшим порносайтам, фейсбукам и вконтактикам. Админ, чувствуя себя филиалом Роскомнадзора, понуро возвращается на рабочее место, заходит на роутер, открывает меню IP -> DNS -> Static и начинает добавлять в DNS кнопкой + запрещенные сайты, заворачивая их на разрешенный адрес или «заглушку» (на скриншоте мы блокируем попытки зайти на youtube.com, заворачивая их на 127.0.0.1):

Особый шик и цинизм — заворачивать пользователей с запрещенных сайтов на корпоративный.Актуальные версии Router OS позволяют использовать вместо имен DNS регулярные выражения в нотации POSIX Basic (небольшое пояснение тут; «сухая выжимка» по синтаксису тут. Это позволяет работу сисадмина сильно упростить и ускорить. Например, добавив DNS-запись .*\\.youtube\\.com и завернув ее на заглушку, мы заблокируем доступ ко всем узлам в домене youtube.com.Если использовать запись .*youtube\\.com, то заблокируются все узлы, имя которых заканчивается на youtube.com добавив DNS-запись .*youtube.* и завернув ее на заглушку, можно заблокировать все сайты, в адресе которых содержится youtube.

Вот такие DNS-репрессии.

Установили и настроили новенький роутер Mikrotik? Пора подумать об его защите.

Интернет полон агрессивно настроенных хакеров и автоматических ботов, которые почти наверняка попробуют на прочность ваш роутер. Наш, например, пробуют постоянно:

Обломаем им зубки. Для этого откроем меню IP -> Services. В появившемся окне IP Service List представлены все запущенные сервисы, которые можно использовать для управления роутером:

Как подсказывает наш опыт, подавляющему большинству пользователей Mikrotik для управления за глаза хватает Winbox (если вам не хватает — либо вы еще неопытны, либо уже слишком опытны). Выделим все сервисы, кроме Winbox, и отключим их, нажав на X:

Если вы уверены в том, что управлять роутером будете со строго определенных сетей или узлов, то можно их прописать в параметр Available From; в этом случае доступ к устройству будет возможен только с явно заданных адресов. Мы пропишем своему роутеру свою локальную сеть (будьте внимательны: у вас она почти наверяка имеет другой адрес!):

Итак, лишние протоколы управления выключены, пиратские попытки залогиниться на роутер прекратились. Также вы, конечно, сменили пароль администратора по умолчанию. Еще нет?! Срочно меняем! Для этого переходим в меню System -> Users, входим в учетную запись admin, жмем Password… и вводим новый пароль. Кстати, возможность пользователя логиниться на роутер тоже можно ограничить определенными IP-адресами или сетями — за это отвечает параметр Allowed Address (в примере на скриншоте мы разрешили доступ к роутеру пользователю admin только из сети 10.20.30.0):

Теперь можно вздохнуть спокойно: наш роутер почти в безопасности.