Настройка совместной работы rfw5 (UTM5.1.10-017) и MikroTik v2.9.27
1. Настройка MikroTik
1.1. Создание пользователя и группы
Создадим группу и пользователя для доступа UTM5 к Mikrotik по ssh
Код: Выделить всё
/user group add name=ssh policy ssh,write
/user add name=USER_MIKROTIK group=ssh address=IP_ADDR_UTM5
IP_ADDR_UTM5 – IP адрес сервера UTM5
1.2. Настройка Filter Rules
Для того, чтобы добавляемые правила работали, надо заблокировать пересылку пакетов:
Код: Выделить всё
/ip firewall filter add chain=forward action=accept dst-address-list=allow_ip
/ip firewall filter add chain=forward action=accept src-address-list=allow_ip
/ip firewall filter add chain=forward action=drop
2. Настройка UTM5
2.1. Редактируем rfw5.cfg
Код: Выделить всё
firewall_type=local
firewall_path=/usr/local/bin/mikrotik_ssh.sh
rfw_name=127.0.0.1
core_host=127.0.0.1
core_port=11758
rfw_login=init
rfw_password=init
log_level=3
log_file_main=/netup/utm5/log/rfw_main.log
log_file_debug=/netup/utm5/log/rfw_debug.log
log_file_critical=/netup/utm5/log/rfw_critical.log
ee /usr/local/bin/mikrotik_ssh.sh
Код: Выделить всё
#!/bin/sh
ssh USER_MIKROTIK@IP_ADDRESS "$*"
где USER_MIKROTIK – пользователь без пароля, заведенный на MikroTik и прявязанный к IP сервера UTM5
IP_ADDRESS – IP адрес роутера MikroTik
Для того, чтобы скрипт можно было выполнять, меняем права доступа:
Код: Выделить всё
chmod 711 /usr/local/bin/mikrotik_ssh.sh
2.3. Настройка брандмауэра
Заходим в интерфейс администратора UTM5. Далее Настройки  Список брандмауэров  Добавить.
Тип – Local
IP-адрес – 127.0.0.1
Логин – LOGIN_UTM5
Пароль – PASSWORD_UTM5
Комментарии – router MikroTik
где LOGIN_UTM5 – логин доступа на сервер UTM5
PASSWORD_UTM5 – пароль доступа на сервер UTM5
Запоминаем ID брандмауэра.
2.4. Настройка правил firewall-a
В интерфейсе администратора UTM5 выбираем Настроики  Правила firewall  Добавить.
Все пользователи – v
ID пользователя – 0
ID группы – 0
ID тарифа – 0
Включение - ip firewall address-list add address=UIP list=allow_ip comment=UID
Выключение - ip firewall address-list remove UID
ID брандмауэра – ID_FIREWALL,
где ID_FIREWALL – ID брандмауэра (см. 1.3.)
2.5. Первичное подключение по ssh
Для того, что бы всё корректно заработало надо с сервера UTM5 зайти на MikroTik по ssh, что бы публичный ssh-ключ скопировался на сервер, после этого команда через ssh будет отправляться на MikroTik самостоятельно.
Dmitry.