Services на MikroTik — управление системными сервисами
Сервисы MikroTik — отключение ненужных для безопасности
RouterOS по умолчанию запускает восемь сетевых сервисов, каждый из которых — потенциальная точка входа для атакующего. Роутер с белым IP и открытыми стандартными портами получает тысячи попыток подключения ежедневно. Первый и самый простой шаг по защите MikroTik — отключить всё, что не используется, сменить порты и ограничить доступ по IP. Настройка занимает 5 минут, но закрывает большинство автоматических атак.
Описание
Список сервисов по умолчанию
[admin@MikroTik] >/ip/service/print
| Сервис | Порт | Протокол | По умолчанию | Риск |
|---|---|---|---|---|
api | 8728 | TCP | Включён | Высокий — программный доступ к роутеру |
api-ssl | 8729 | TCP | Включён | Высокий — то же, но с TLS |
ftp | 21 | TCP | Включён | Средний — доступ к файлам роутера |
ssh | 22 | TCP | Включён | Высокий — полный доступ к CLI |
telnet | 23 | TCP | Включён | Критический — логин/пароль открытым текстом |
winbox | 8291 | TCP | Включён | Высокий — основной инструмент управления |
www | 80 | TCP | Включён | Средний — WebFig без шифрования |
www-ssl | 443 | TCP | Отключён | Низкий (при использовании TLS) — WebFig с шифрованием |
Из восьми сервисов в типовой конфигурации реально нужны два-три: Winbox, SSH и, возможно, WebFig (HTTPS). Остальные создают ненужную поверхность атаки.
Что отключить и почему
- Telnet — передаёт пароли в открытом виде. Нет ни одной причины использовать Telnet в 2026 году, когда есть SSH
- FTP — доступ к файловой системе роутера. Если не загружаете файлы на роутер через FTP — отключайте. Для передачи файлов используйте Winbox (drag & drop) или SCP через SSH
- API / API-SSL — программный интерфейс для скриптов и сторонних приложений (Ansible, The Dude, кастомные скрипты). Если не используете автоматизацию — отключайте. Если используете — ограничьте по IP
- WWW (HTTP) — WebFig без шифрования. Пароль передаётся в открытом виде (базовая HTTP-аутентификация). Используйте только HTTPS-версию (www-ssl) или отключите вовсе
Настройка
Шаг 1. Отключение ненужных сервисов
[admin@MikroTik] ># Отключаем Telnet (НИКОГДА не нужен) /ip/service/set telnet disabled=yes # Отключаем FTP /ip/service/set ftp disabled=yes # Отключаем API (если не используете автоматизацию) /ip/service/set api disabled=yes /ip/service/set api-ssl disabled=yes # Отключаем HTTP (используем только HTTPS) /ip/service/set www disabled=yes
Одной командой:
[admin@MikroTik] >/ip/service/set telnet,ftp,api,api-ssl,www disabled=yes
Шаг 2. Смена стандартных портов
Сканеры ботнетов проверяют стандартные порты. Смена порта не является защитой сама по себе (security through obscurity), но отсекает 99% автоматических сканов:
[admin@MikroTik] ># SSH на нестандартный порт /ip/service/set ssh port=2222 # Winbox на нестандартный порт /ip/service/set winbox port=18291
Важно: после смены порта Winbox нужно подключаться как
203.0.113.10:18291. Запомните или запишите новый порт — иначе потеряете доступ.
Шаг 3. Ограничение доступа по IP
Самая эффективная мера — разрешить подключение только с определённых IP-адресов или подсетей:
[admin@MikroTik] ># Winbox — только из LAN и VPN /ip/service/set winbox address=192.168.88.0/24,10.10.10.0/24 # SSH — только из LAN, VPN и IP администратора /ip/service/set ssh address=192.168.88.0/24,10.10.10.0/24,203.0.113.50/32 # WebFig HTTPS — только из LAN /ip/service/set www-ssl address=192.168.88.0/24
Если вы подключаетесь с динамического IP из интернета — укажите подсеть провайдера или не ограничивайте Winbox по IP, но обязательно используйте надёжный пароль и port knocking (см. статью о защите от брутфорса).
Внимание: если указать неверную подсеть в
address, вы потеряете удалённый доступ. Всегда проверяйте, что ваш текущий IP входит в разрешённый диапазон. Для восстановления потребуется физический доступ — консольный кабель или MAC-Telnet из той же L2-сети.
Шаг 4. Включение HTTPS для WebFig
Если нужен веб-интерфейс (WebFig), используйте HTTPS. Для этого нужен SSL-сертификат:
Self-signed сертификат (быстрый способ):
[admin@MikroTik] ># Создаём сертификат /certificate/add name=webfig-cert common-name=router.local \ key-size=2048 days-valid=3650 \ key-usage=digital-signature,key-encipherment,tls-server /certificate/sign webfig-cert # Назначаем сертификат на www-ssl /ip/service/set www-ssl certificate=webfig-cert disabled=no
Браузер покажет предупреждение о недоверенном сертификате — это нормально для self-signed. Добавьте исключение в браузере.
Импорт стороннего сертификата:
Если есть сертификат от Let's Encrypt или другого CA:
[admin@MikroTik] ># Загрузите файлы cert.pem и key.pem на роутер (через Winbox drag&drop) /certificate/import file-name=cert.pem /certificate/import file-name=key.pem # Назначьте на www-ssl /ip/service/set www-ssl certificate=cert.pem_0 disabled=no
Проверка
[admin@MikroTik] ># Текущее состояние всех сервисов /ip/service/print # Ожидаемый вывод после настройки: # Columns: NAME, PORT, ADDRESS, CERTIFICATE, DISABLED # NAME PORT ADDRESS CERTIFICATE DISABLED # telnet 23 yes # ftp 21 yes # www 80 yes # ssh 2222 192.168.88.0/24,10.10.10.0/24 no # api 8728 yes # api-ssl 8729 yes # winbox 18291 192.168.88.0/24,10.10.10.0/24 no # www-ssl 443 192.168.88.0/24 webfig-cert no
[admin@MikroTik] ># Проверка: сканирование портов с внешнего устройства (не с роутера) # С Linux/macOS: # nmap -p 21,22,23,80,443,2222,8291,8728,8729,18291 203.0.113.10 # На роутере — проверка, кто подключён /ip/service/print detail # Проверка активных подключений Winbox # В Winbox: Tools → Sessions
Проверка ограничений
Попробуйте подключиться с IP, не входящего в разрешённый список — соединение должно быть отклонено. Если подключаетесь из LAN (192.168.88.x) — всё должно работать.
Дополнительные рекомендации
Отключение Bandwidth Test Server
Сервис BTest (порт 2000) не отображается в /ip/service, но по умолчанию включён и может использоваться для DDoS-амплификации:
[admin@MikroTik] >/tool/bandwidth-server/set enabled=no
Отключение MAC-Server на WAN
MAC-Telnet и MAC-Winbox позволяют подключаться по MAC-адресу без IP. Это удобно для первоначальной настройки, но должно быть отключено на WAN-интерфейсах:
[admin@MikroTik] ># Разрешить MAC-подключение только на LAN /tool/mac-server/set allowed-interface-list=LAN /tool/mac-server/mac-winbox/set allowed-interface-list=LAN
Если списка интерфейсов LAN нет, создайте:
[admin@MikroTik] >/interface/list/add name=LAN /interface/list/member/add interface=bridge-LAN list=LAN
Отключение Neighbor Discovery на WAN
MikroTik Neighbor Discovery (MNDP) отправляет broadcast с информацией о роутере (модель, версия, IP). На WAN это утечка информации:
[admin@MikroTik] >/ip/neighbor/discovery-settings/set discover-interface-list=LAN
Связь с защитой от брутфорса
Отключение сервисов и ограничение по IP — первый уровень защиты. Для полной безопасности добавьте:
- Правила firewall для блокировки брутфорса (address-list + drop)
- Port knocking для доступа к SSH/Winbox из интернета
- Отключение пользователя
adminи создание нового с надёжным паролем
Подробная настройка — в статье «Защита MikroTik от брутфорса и сканирования портов».
Типичные ошибки
-
Ограничили Winbox по IP и потеряли доступ — текущий IP не входил в разрешённый диапазон. Решение: подключиться через MAC-Winbox из той же L2-сети, через консольный кабель или сбросить настройки кнопкой Reset
-
Сменили порт SSH и забыли — через месяц не могут подключиться. Решение: документируйте нестандартные порты. Используйте SSH config (
~/.ssh/config) для сохранения портов -
Отключили все сервисы, включая Winbox — полная потеря удалённого доступа. Всегда оставляйте хотя бы один сервис (Winbox или SSH) и проверяйте доступ перед отключением остальных
-
Не отключили www, но включили www-ssl — оба работают параллельно. Пользователи подключаются по HTTP (порт 80) без шифрования. Обязательно отключите
wwwесли включилиwww-ssl -
API оставлен открытым «на всякий случай» — API без ограничения по IP и с простым паролем — прямой путь к компрометации роутера. Отключайте или ограничивайте
/ip/service/print # Отключаем Telnet (НИКОГДА не нужен) /ip/service/set telnet disabled=yes # Отключаем FTP /ip/service/set ftp disabled=yes # Отключаем API (если не используете автоматизацию) /ip/service/set api disabled=yes /ip/service/set api-ssl disabled=yes # Отключаем HTTP (используем только HTTPS) /ip/service/set www disabled=yes /ip/service/set telnet,ftp,api,api-ssl,www disabled=yes # SSH на нестандартный порт /ip/service/set ssh port=2222 # Winbox на нестандартный порт /ip/service/set winbox port=18291 # Winbox — только из LAN и VPN /ip/service/set winbox address=192.168.88.0/24,10.10.10.0/24 # SSH — только из LAN, VPN и IP администратора /ip/service/set ssh address=192.168.88.0/24,10.10.10.0/24,203.0.113.50/32 # WebFig HTTPS — только из LAN /ip/service/set www-ssl address=192.168.88.0/24 # Создаём сертификат /certificate/add name=webfig-cert common-name=router.local \ key-size=2048 days-valid=3650 \ key-usage=digital-signature,key-encipherment,tls-server /certificate/sign webfig-cert # Назначаем сертификат на www-ssl /ip/service/set www-ssl certificate=webfig-cert disabled=no # Загрузите файлы cert.pem и key.pem на роутер (через Winbox drag&drop) /certificate/import file-name=cert.pem /certificate/import file-name=key.pem # Назначьте на www-ssl /ip/service/set www-ssl certificate=cert.pem_0 disabled=no # Текущее состояние всех сервисов /ip/service/print # Ожидаемый вывод после настройки: # Columns: NAME, PORT, ADDRESS, CERTIFICATE, DISABLED # NAME PORT ADDRESS CERTIFICATE DISABLED # telnet 23 yes # ftp 21 yes # www 80 yes # ssh 2222 192.168.88.0/24,10.10.10.0/24 no # api 8728 yes # api-ssl 8729 yes # winbox 18291 192.168.88.0/24,10.10.10.0/24 no # www-ssl 443 192.168.88.0/24 webfig-cert no # Проверка: сканирование портов с внешнего устройства (не с роутера) # С Linux/macOS: # nmap -p 21,22,23,80,443,2222,8291,8728,8729,18291 203.0.113.10 # На роутере — проверка, кто подключён /ip/service/print detail # Проверка активных подключений Winbox # В Winbox: Tools → Sessions /tool/bandwidth-server/set enabled=no # Разрешить MAC-подключение только на LAN /tool/mac-server/set allowed-interface-list=LAN /tool/mac-server/mac-winbox/set allowed-interface-list=LAN /interface/list/add name=LAN /interface/list/member/add interface=bridge-LAN list=LAN /ip/neighbor/discovery-settings/set discover-interface-list=LAN