Как восстановить доступ к микротику?

Question

[Nabi Alimetov]

Здравствуйте!
Настраивал Firewall Mikrotik и потерял к нему доступ. Настраивал цепочку (chain) output. Как восстановить доступ?
Разве за доступ к нему отвечает не цепочка input?

Comments

[Lynn «Кофеман»]

Ну принял он от вас запрос, но он же ответить должен, а ответ идёт через OUTPUT.

[Lynn «Кофеман»]

Мне в такой ситуации помог только сброс до заводских настроек.

[Lynn «Кофеман»]

В следующий раз пользуйтесь Safe Mode https://wiki.mikrotik.com/wiki/Manual:Console#Safe_Mode (в WinBox есть кнопка)

[Nabi Alimetov]

Алексей Тен, Safe Mode как работает?

[Nabi Alimetov]

Алексей Тен, а как тогда написать правила?

[Lynn «Кофеман»]

alnabi, как работает Safe Mode написано по ссылке выше

Answer 1

[Иван Елисеев]

Через удалённое подключение, к сожалению, уже никак.
Если с микротиком в одной сети, то через мак адрес к нему получится подключиться ещё, и исправиться.
Вторая вкладка в winbox, Neighbors.

Comments

[Nabi Alimetov]

Спасибо большое. А как связано это новое мое правило к полному отказу от доступа?
Я сделал правило, которое дропает все в цепочке output.

[Иван Елисеев]

alnabi, честно говоря, мало представляю почему, т.к. у меня тоже такое правило есть. разве что, это правило стоит после нужных мне разрешающих ;)) а это важно.

[Иван Елисеев]

Иван Елисеев, уот, лайтовый вариант настройки. это на моём домашнем роутере.

[Nabi Alimetov]

Иван Елисеев, У меня тоже это правило после нужных стоит в самом конце. Хочу разобраться до конца.

[Wexter]

alnabi, потому что вы выбрали самый удачный вариант выстрелить себе в ногу. chain=output - все пакеты на выход, chain=input - все пакеты на входе. если вы почитаете как работает tcp/ip то узнаете что для этого трафик должен не только в сторону роутера ходить, но ещё и от него

[Иван Елисеев]

Wexter, как вариант, что доступ к интерфейсу был порезан, работал только при наличии определённых правил

[Wexter]

Иван Елисеев, тут больше уместен вопрос зачем лезть в цепочку output. хотя мало ли у кого какая паранойя, может человек боится что роутер сливает инфу. хотя тут как мне кажется его встроенный файрвол не поможет

[Иван Елисеев]

Wexter, скорее всего, товарисч не знает, что если у тебя паранойя, то нужно пользовать ipsec, влуплять себе два/три впн через ипсек в роллтон, и рандомно трафик по всем выходам пулять.

[Nabi Alimetov]

Wexter, цепочку output вообще не трогать?

[Иван Елисеев]

alnabi, настолько хардкорно, чтобы всё резать - конечно же нет. хотя бы, в белый список, закинуть свою сеть, правилом ниже.

[Wexter]

alnabi, не нужно. тем более что цепочки input/output относятся только к трафику самого роутера. если input ещё имеет смысл ограничивать, то output не желательно трогать без понимания.

[Nabi Alimetov]

Всем спасибо!

[I_Rusakov]

input нужно ограничивать в любом случае, разрешать доступ только со своей подсети или с интерфейса куда воткнута сеть смотрящая внутрь сети, делать белые списки и т.д.

[I.CaR Soft]

Огромное спасибо!

Answer 2

[ToPneDoll]

попробуйте подключится по мак адрессу, если не получится, сбивайте настройки микротика, найти как сбить можно в гугле