Писать скрипты для Mikrotik RouterOS — это просто
RouterOS — сетевая операционная система на базе Linux. Данная операционная система предназначена для установки на аппаратные маршрутизаторы Mikrotik RouterBoard. Также данная система может быть установлена на ПК (или виртуальную машину), превращая его в маршрутизатор. Изначально довольно богатая функционалом ОС нет нет да и удивит отсутствием какой-нибудь нужной фишки из коробки. К сожалению, доступ к Linux-окружению очень сильно ограничен, поэтому, «это есть под Linux» абсолютно не равнозначно «это есть в RouterOS». Но не надо отчаиваться! Эта система предоставляет несколько возможностей для расширения своего функционала. Первая — самая простая и нативная — это возможность писать скрипты на встроенном языке.В данной статье, в качестве примера будет рассмотрен скрипт, преобразующий DNS-имена в списки IP-адресов (address lists).Зачем он может быть нужен? Многие сайты используют Round Robin DNS для распределения нагрузки (а некоторые и не только для этого). Чтобы управлять доступом к такому сайту (создать правило маршрутизации или фаервола) нам потребуются все IP-адреса, соответствующие этому доменному имени. Более того список IP-адресов по истечении времени жизни данной DNS-записи (в данном случае речь идёт об A-записи) может быть выдан абсолютно новый, поэтому информацию придётся периодически обновлять. К сожалению в RouterOS нельзя создать правило блокировать все TCP соединения на порт 80 по адресу example.com
на месте example.com должен быть IP-адрес, но как мы уже поняли, example.com соответствует не один, а несколько IP-адресов. Чтобы избавить нас от мучения создания и поддержки кучи однотипных правил, разработчики RouterOS дали возможность создавать правило так: блокировать все TCP соединения на порт 80 по любому адресу из списка с именем DenyThis
Дело осталось за малым — автоматически формировать этот самый список. Кто ещё не утомился от моей писанины приглашаю под хабракат.Сразу приведу текст скрипта, далее последует его пошаговый разбор : local DNSList {«example.com»; «non-exist.domain.net»; «server.local»; «hostname»} : local ListName «MyList» : local DNSServer »8.8.8.8» : foreach addr in $DNSList do={ : do {: resolve server=8.8.8.8 $addr} on-error={: log debug («failed to resolve $addr»)} } /ip firewall address-list remove [find where list~$ListName] /ip dns cache all : foreach i in=[find type=«A»] do={ : local bNew true : local cacheName [get $i name] : local match false : foreach addr in=$DNSList do={ : if (: typeof [: find $cacheName $addr] >= 0) do={ : set $match true } } : if ($match) do={ : local tmpAddress [/ip dns cache get $i address] : if ([/ip firewall address-list find ] = ») do={ : log debug («added entry: $[/ip dns cache get $i name] IP $tmpAddress») /ip firewall address-list add address=$tmpAddress list=$ListName comment=$cacheName } else={ : foreach j in=[/ip firewall address-list find ] do={ : if ([/ip firewall address-list get $j address] = $tmpAddress) do={ : set bNew false } } : if ($bNew) do={ : log debug («added entry: $[/ip dns cache get $i name] IP $tmpAddress») /ip firewall address-list add address=$tmpAddress list=$ListName comment=$cacheName } } } } Текст скрипта нужно добавить в репозиторий скриптов, находящийся в разделе /system scripts.Скрипт выполняется построчно. Каждая строка имеет следующий синтаксис:
[prefix] [path] command [uparam] [param=[value]] … [param=[value]] [prefix] — »:» — для глобальных комманд, с символа »/» начинается командная строка, которая будет выполняться относительно корня конфигурации, префикс может отсутствовать, тогда командная строка выполняется относительно текущего раздела конфигурации;[path] — путь до требуемого раздела конфигурации, по которому происходит переход перед выполнением команды; command — непосредственно действие, выполняемое командной строкой;[uparam] — безымянный параметр команды;[param=[value]] — именованные параметры и их значения.Итак, первым делом, определим параметры работы скрипта в виде переменных. Переменная объявляется командами : local и : global, соответственно получаем локальную переменную, доступную только внутри своей зоны видимости, или глобальную, которая добавляется в список переменных окружения ОС и будет доступна откуда угодно. Локальные переменные живут, пока выполняется их зона видимости, глобальные — пока мы не удалим их.
: local DNSList {«example.com»; «non-exist.domain.net»; «server.local»; «hostname»} : local ListName «MyList» : local DNSServer »8.8.8.8» Переменная DNSList содержит массив доменов, с которым мы хотим работать. Переменная ListName содержит строку, которой будет называться полученный address-list. Переменная DNSServer — содержит адрес DNS-сервера, который будет использоваться для получения информации о записях доменов. : foreach addr in $DNSList do={ : do {: resolve server=$DNSServer $addr} on-error={: log debug («failed to resolve $addr»)} } В цикле «для каждого» обойдём массив доменов и отрезолвим их IP-адреса. Конструкция : do {command} on-error={command} служит для отлова runtime-ошибок. Если не использовать её, то скрипт может прервётся при ошибке резолва несуществующего или ошибочного адреса. /ip firewall address-list remove [find where list~$ListName] Перейдём в раздел конфигурации /ip firewall address-list и удалим все записи, в которых название списка содержит значение переменной $ListName. Конструкция из квадратных скобок позволяет в рамках текущей команды выполнить другую, а результат выполнения передать текущей в виде параметра. /ip dns cache all : foreach i in=[find type=«A»] do={ перейдём в раздел конфигурации /ip dns cahe all. Там содержатся DNS-кэш роутера в виде таблицы Name — Type — Data — TTL. Выполним отбор по типу — нам требуются только A-записи. И результат отбора обойдём в цикле «для каждого». Это и будет главным циклом нашего скрипта. : local bNew true : local cacheName [get $i name] : local match false Создадим переменные, обновляемые в каждом цикле: два флага — bNew, исключающий дублирования, match, показывающий, входит ли текущая запись кэша в наш список доменов; переменная cacheName содержит поле Name текущей записи кэша, то есть домен. : foreach addr in=$DNSList do={ : if (: typeof [: find $cacheName $addr] >= 0) do={ : set $match true } } Обойдём список доменов и для каждого проверим, содержится ли в строке cacheName подстрока в виде домена из этого списка. Почему не использовать сравнение на равенство? Очень просто — логика скрипта предполагает что под-домены должны обрабатываться так же как домены. Если мы хотим блокировать социалочки, то имеет смысл блокировать не только основной домен, но и, к примеру, сервера отдающие статику, картинки, скрипты, и находящиеся на под-доменах данного сайта. Так же это позволит избежать перечисления отдельно доменов с «www» и без. То что, эти домены не попали в кэш при резолве — не страшно, т.к. они могут попасть туда при резолве браузером пользователя (правда для этого нужно, чтобы DNS-запросы пользователя обрабатывались в RouterOS).
Если содержится, установим значение флага match в true. : if ($match) do={ : local tmpAddress [/ip dns cache get $i address] : if ([/ip firewall address-list find ] = ») do={ : log debug («added entry: $[/ip dns cache get $i name] IP $tmpAddress») /ip firewall address-list add address=$tmpAddress list=$ListName comment=$cacheName } else={ : foreach j in=[/ip firewall address-list find ] do={ : if ([/ip firewall address-list get $j address] = $tmpAddress) do={ : set bNew false } } : if ($bNew) do={ : log debug («added entry: $[/ip dns cache get $i name] IP $tmpAddress») /ip firewall address-list add address=$tmpAddress list=$ListName comment=$cacheName } } } В заключающем этапе если текущий адрес требует добавления (match установлен в true), то мы его добавляем в список адресов. Коментарий к добавляемой записи будет содержать домен, к которому она относится. При этом выполняем несколько проверок. Если address-list пустой, то добавляем сразу, если что-то там есть, проверяем, нет ли там уже записи с таким IP-адресом и если нет — добавляем.Список адресов нужно периодически обновлять. Для этого в RouterOS есть диспетчер заданий. Задание можно добавить из консоли или из графического интерфейса winbox
/system scheduler add interval=5m name=MyScript on-event=»/system script run MyScript» policy=\ ftp, reboot, read, write, policy, test, password, sniff, sensitive start-date=may/08/2014 \ start-time=10:10:00 Сценарии работы со списком адресов не ограничиваются созданием правил в фаерволе. Поэтому приведу несколько примеров. Можно выполнять в консоли, можно добавлять мышкой в winbox’е.Чёрный список:
/ip firewall filter add chain=forward protocol=tcp dst-port=80 address-list=DenyThis \ action=drop Статический маршрут до данных узлов /ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=AntiZapret \ in-interface=bridge_lan new-routing-mark=RouteMe
/ip route add distance=1 gateway=172.16.10.2 routing-mark=RouteMe Сбор информации о клиентах /ip firewall mangle add action=add-src-to-address-list address-list=FUPer chain=prerouting \ dst-address-list=Pron log=yes log-prefix=critical Список источников: Документация по написанию скриптовПростые примеры от разработчиков RouterOSСкрипты, добавленные пользователями