的device-mode在设备上设置特定限制或限制对特定配置选项的访问的特性。
有两种模式:企业和首页.缺省情况下,所有设备均采用该模式企业,允许所有功能除了容器.的Home模式禁用以下功能:调度器,袜子,获取,带宽测试,流量生成,嗅探器,romon,代理,热点,电子邮件,zerotier,容器。
[admin@雷竞技网站MikroTik] > system/device-mode/打印模式:enterprise
用户可以改变设备模式,但远程访问设备不足以改变它。在更改设备模式后,您需要通过按下设备本身的按钮来确认,或者执行“冷重启”—即拔下电源。
[admin@雷竞技网站MikroTik] >系统/设备模式/更新模式=home更新:请在5毫秒内关闭电源或按复位或模式按钮激活——[Q quit|D dump|C-z pause]
如果在设置的时间内没有下电或按下按钮,则取消切换模式。如果另一个更新命令同时运行,两个更新命令都将被取消。
命令行中可以使用以下命令系统/ device-mode /菜单:
| 财产 | 描述 |
|---|---|
得到 |
返回可以赋值给变量或打印在屏幕上的值。 |
| 打印 | 显示活动模式及其属性。 |
| 更新 | 将更改应用到指定的属性,请参见下面。 |
可用属性列表
财产 |
描述 |
|---|---|
| 容器,获取,调度器,流量生成, Ipsec, pptp, smb, l2tp, proxy, sniffer, zerotier, bandwidth-test, email, hotspot, romon, socks。(是|不是;默认值:是的,为企业模式) |
控件控制的可用特性的列表device-mode选择。 |
| activation-timeout(默认值:5米); | 复位按钮或下电激活时间范围可设置为00:00:10。1 d00:00:00。如果在此间隔内未按下重置按钮(或未执行冷重启),则更新将被取消。 |
| flagging-enabled(是|不是;默认值:是的) | 启用或禁用标记的地位。请参见下面的详细描述。 |
| 标记(是|不是;默认值:没有) | l雷竞技RouterOS使用各种机制来检测对其系统文件的篡改。如果系统检测到未授权访问RouterOS,则将状态“flags”设置为“yes”。l雷竞技如果“标记”设置为“是”,为了您的安全,将设置某些限制。更多信息请参见下面章节。 |
| 模式:(家庭、企业;默认值:企业); | 允许从限制设备功能的可用模式中进行选择。在未来,可以添加各种模式。 默认情况下,企业模式允许除容器以外的所有选项。所以要使用容器功能,您将需要通过执行设备模式更新来打开它。 默认情况下,首页Mode禁用以下功能:调度器,袜子,获取,带宽测试,流量生成,嗅探器,romon,代理,热点,电子邮件,zerotier,容器。 |
可以对可用特性进行更具体的控制。由device-mode控制的每个功能都可以具体地打开或关闭,例如:
[admin@雷竞技网站MikroTik] > system/device-mode/update mode=home email=yes [admin@MikroTik] > system/device-mode/update mode=enterprise zerotier=no
如果update命令指定了任何一种模式参数,此更新将替换整个设备模式配置。在这种情况下,所有“per-feature”设置都将丢失,除了使用该命令指定的设置。例如:
[admin@雷竞技网站MikroTik] > system/device-mode/update mode=home email=yes fetch=yes [admin@MikroTik] > system/device-mode/print mode: home fetch: yes email: yes [admin@MikroTik] > system/device-mode/update mode=企业嗅探=no——reboot——[admin@MikroTik] > system/device-mode/print mode:企业嗅探:no
我们看到fetch = yes和email = yes缺失了,因为它们被模式更改覆盖了。但是,只指定“per-feature”设置只会改变这些:
[admin@雷竞技网站MikroTik] > system/device-mode/update hotspot=no——reboot——[admin@MikroTik] > system/device-mode/print mode:企业嗅探:no hotspot: no
如果该特性被禁用,交互命令将返回错误提示:
[admin@雷竞技网站MikroTik] > system/device-mode/print mode: enterprise sniffer: no hotspot: no [admin@MikroTik] > tool/sniffer/quick failure: device-mode不允许
但是,可以将配置添加到禁用的特性中,但是在device-mode中会有一个注释显示禁用的特性:
[admin@雷竞技网站MikroTik] > ip hotspot/add interface=ether1 [admin@MikroTik] > ip hotspot/print标志:X, S - HTTPS列:NAME, interface, PROFILE, IDLE-TIMEOUT # NAME interface PROFILE IDLE-TIMEOUT;;;0 X hotspot1 ether1默认5m
标记状态
伴随着通过设备模式功能,RouterOS现在可以l雷竞技在系统启动时分析整个配置,以确定是否有任何未经授权访问路由器的迹象。如果检测到可疑配置,将禁用可疑配置标记参数将被设置为“yes”。设备现在处于标记状态,并强制执行某些限制。
[admin@雷竞技网站MikroTik] > system/device-mode/print mode: enterprise flags: yes sniffer: no hotspot: no
如果系统有此标记状态,则当前配置有效,但不能执行以下操作:
带宽测试,流量生成器,嗅探器,以及为以下程序启用或创建新配置项的配置操作(仍然可以禁用或删除它们):系统调度,SOCKS代理,pptp, l2tp, ipsec,代理,smb.
当路由器处于标记状态时执行上述操作时,你将收到一条错误消息:
[admin@雷竞技网站MikroTik] > /tool sniffer/quick failure: configuration标记,check all router configuration for unauthorized change and update device-mode [admin@MikroTik] > /int l2tp-client/add connect-to=1.1.1.1 user=user failure: configuration标记,check all router configuration for unauthorized change and update device-mode
要退出标记状态,必须执行命令"/system/device-mode/update flags =no"。系统将要求按下按钮,或者发出硬重启(物理切断电源或硬重启虚拟机)。
重要!尽管系统已经禁用了任何触发标记状态的恶意查看规则,但在退出标记状态之前,检查所有配置是否有其他未知的东西是至关重要的。如果您的系统已被标记,则假定您的系统已被破坏,并在重新启用系统使用之前对所有设置进行全面审计。审计完成后,请修改所有系统密码,并升级到最新的RouterOS版本。l雷竞技
概述
内容的工具