Category: Mikrotik

미크로틱 CLI 로 설정을 변경할 때에는 두 가지 방법이 있다. set을 이용하거나 edit를 이용하는 것이다. 기존에 입력된 값을 지울 때에는 “”를 이용하거나 빈 값을 입력할 수 있다. unset 명령어를 지원하는 경우라면 unset을 이용하면 해당 값을 지울 수 있다.

아래와 같이 하면 11번째 규칙의 protocol을 udp로 설정할 수 있다.

/ip firewall filter set 11 protocol=udp

그런데 protocol과 상관없이 모든 경우에 적용하고 싶을 때에는 다음과 같이 unset을 이용한다.

/ip firewall filter unset 11 protocol

집 서버는 데비안으로 운영된다. 오랜 기간동안 재부팅을 하지 않아도 잘 동작한다. 그런데 너무 안하면 설정이 꼬이는 경우가 생긴 적이 있다. 그래서 주기적으로 재부팅을 한다. 재부팅 할 때 마다 beep이 난다. 소리를 끄는 것 보다 집에 사람이 없을 때 재부팅을 하는 쪽으로 시도해 보기로 했다.

외출할 때 항상 휴대폰을 들고 나간다. 우리 집은 스마트폰을 항상 WIFI가 켜져 있다. 공유기에서 충분한 거리가 멀어지면 연결이 끊어지고 DHCP 에 이것이 반영된다. 미크로틱 DHCP 서버가 특정 MAC에 대하여 어떤 상태인지를 알기 위한 명령어는 다음과 같다.

/ip dhcp-server lease print where mac-address=98:C8:54:21:19:A6

결과는 다음과 같다.

이 대로 처리를 해도 된다. 그런데 자신이 없으므로 다음과 같이 as-value라는 명령어를 넣어주면 결과를 묶어서 볼 수 있다. 그런데 이렇게만 하면 결과가 보이지 않는다. 그래서 앞에 명령어를 더 입력한다.

:put [/ip dhcp-server lease print as-value where mac-address=98:C8:54:21:19:A6]

결과는 다음과 같다.

.id=*d3;address=192.168.88.165;comment=SY;last-seen=4h35m36s;mac-address=98:C8:54:21:19:A6;server=dhcp1;status=waiting

DHCP 서버가 특정 MAC에 IP를 할당하면 status에 bound가 그렇지 않으면 waiting 으로 출력된다. 위에서 보면 알 수 있듯이 status가 가장 마지막 항목으로 출력된다. 그래서 글자를 나눈 다음 뒤에서 첫 번째 것을 선택하여 판단 기준으로 삼는다.

import subprocess

command = 'sshpass -p 820958 ssh -p 2222 admin@router.lan ":put [/ip dhcp-server lease print as-value where mac-address=9C:25:95:19:7B:D7]"'
result = subprocess.check_output(command, shell=True, text=True)
result = result.strip()
result = result.split('status=')[-1]

내가 유일하게 무엇인가에 집중할 수 있는 시간대는 오전 9시에서 12시 정도이다. 최대한 컴퓨터를 하지 않으려고 하지만, 컴퓨터를 해야한다면 습관적으로 클릭하는 몇몇 사이트들이 있다. 거의 무의식 영역이기 때문에 장비를 통하여 차단해 보기로 했다. 내가 사용하는 미크로틱 장비를 이용해서 하는 방법들은 크게 3가지 정도가 있다.

• 가짜 DNS 주소 지정하기.
  • 이 방법은 DNS 주소를 질의하는 과정에서 www.youtube.com을 127.0.0.1 같은 주소로 대응하게 함으로써 접속을 차단하는 방법이다.
  • DNS 서버를 외부 서버로 지정하면 바로 회피 가능하다.
• Layer7 Protocol을 이용하여 패킷 drop 혹은 reject 시키기.
  • 이 방법은 인터넷 주소를 지정할 때, 정규식을 이용할 수 있는 장점이 있다.
  • DoH 를 이용하면 회피할 수 있다. 누가 DoH를 이용하나 싶지만, 내가 이용하고 있으므로 이 방법을 이용하지 않았다.
• Address Lists 이용하기
  • IP 주소가 지속적으로 변경된다면 이용하는데 어려움이 있을 것 같다. 그런데 그것도 정기적으로 IP 주소를 새로 지정하면 해결될 문제 같다.
  • 다음에서 그 방법을 하나씩 살펴본다. 예로 네이버를 들어보겠다.

IP – Firewall – Address Lists 에서 저렇게 지정한다. 그러면 nslookup 에서 naver.com 을 질의한 결과에 따라서 IP 주소들이 등록된다.

Filter Rules 에서 +를 눌러서 새 규칙을 만든다.

• Chain은 forward
• Advanced에서 방금전에 만든 목록인 naver 를 선택한다.
• Extra에서 시간대를 설정한다. 항상 차단이면 안해도 된다.
• Action에서 drop 을 해도 되고, reject로 해도 된다.

같은 IP를 이용하는 서비스가 있으면 영향을 받을 수도 있다. 하지만, 애시당초 집중하기 위함이니까 그 정도는 상황보고 결정하면 될 것 같다.

이제 좀 더 응용해서 한 방에 작성하는 스크립트를 만들어 보기로 한다. 몇몇 방법을 시도해 보았는데 일정한 조건을 찾는 find 명령어가 가장 잘 먹히는 방법은 comment를 이용하는 것이다. 첫 번째 것은 기존에 있떤 address-list를 삭제하는 것이다. comment 에 “block_list”를 이용하겠다고 미리 정의가 되어 있어야 한다.

그 다음에는 등록을 원하는 웹사이트를 등록하는 것이다. 이 사이트들은 나의 시간을 뺏는 그러한 곳들이기 때문에 집에서는 최대한 컴퓨터를 적게 해보자는 의미에서 선정하였다. 아내는 페이스북을 하지 않기 때문에 목록에 넣었다.

/ip firewall address-list remove [/ip firewall address-list find comment="block_list"]

/ip firewall address-list add list=block address=2cpu.co.kr comment="block_list"
/ip firewall address-list add list=block address=namu.wiki comment="block_list"
/ip firewall address-list add list=block address=facebook.com comment="block_list"
/ip firewall address-list add list=block address=ddanzi.com comment="block_list"
/ip firewall address-list add list=block address=news.google.com comment="block_list"
/ip firewall address-list add list=block address=www.msn.com comment="block_list"

아래는 만들어진 address-list를 이용하여 해당 IP로 가는 모든 통신을 차단하는 것이다. drop 보다 reject를 이용한 것은 개인 취향이다. 🙂

/ip firewall filter add action=reject chain=forward dst-address-list=block reject-with=icmp-network-unreachable comment="block"

IP 주소는 지속적으로 바꿀 수 있을지 모르지만 이런 경우 도메인은 보통 유지하는 편이다. 그렇기 때문에 주기적으로 address-list를 삭제한 후 재등록시켜주면 된다. Scheduler에 위의 내용을 그대로 입력하고 간격을 지정하면 지정된 시간에 따라 반복 처리를 시킬 수 있다.