news.shamcode.ru | Писать скрипты для Mikrotik RouterOS

Писать скрипты для Mikrotik RouterOS — это просто

воскресенье, 2 ноября 2014 г. в 02:11:02

http://habrahabr.ru/post/242143/

RouterOS — сетевая операционная система на базе Linux. Данная операционная система предназначена для установки на аппаратные маршрутизаторы Mikrotik RouterBoard. Также данная система может быть установлена на ПК (или виртуальную машину), превращая его в маршрутизатор. Изначально довольно богатая функционалом ОС нет нет да и удивит отсутствием какой-нибудь нужной фишки из коробки. К сожалению, доступ к Linux-окружению очень сильно ограничен, поэтому, «это есть под Linux» абсолютно не равнозначно «это есть в RouterOS». Но не надо отчаиваться! Эта система предоставляет несколько возможностей для расширения своего функционала. Первая — самая простая и нативная — это возможность писать скрипты на встроенном языке.
В данной статье, в качестве примера будет рассмотрен скрипт, преобразующий DNS-имена в списки IP-адресов (address lists).
Зачем он может быть нужен? Многие сайты используют Round Robin DNS для распределения нагрузки (а некоторые и не только для этого). Чтобы управлять доступом к такому сайту (создать правило маршрутизации или фаервола) нам потребуются все IP-адреса, соответствующие этому доменному имени. Более того список IP-адресов по истечении времени жизни данной DNS-записи (в данном случае речь идёт об A-записи) может быть выдан абсолютно новый, поэтому информацию придётся периодически обновлять. К сожалению в RouterOS нельзя создать правило

блокировать все TCP соединения на порт 80 по адресу example.com

на месте example.com должен быть IP-адрес, но как мы уже поняли, example.com соответствует не один, а несколько IP-адресов. Чтобы избавить нас от мучения создания и поддержки кучи однотипных правил, разработчики RouterOS дали возможность создавать правило так:

блокировать все TCP соединения на порт 80 по любому адресу из списка с именем DenyThis

Дело осталось за малым — автоматически формировать этот самый список. Кто ещё не утомился от моей писанины приглашаю под хабракат.

Сразу приведу текст скрипта, далее последует его пошаговый разбор

:local DNSList {"example.com";"non-exist.domain.net";"server.local";"hostname"}
:local ListName "MyList"
:local DNSServer "8.8.8.8"
:foreach addr in $DNSList do={
     :do {:resolve server=8.8.8.8 $addr} on-error={:log debug ("failed to resolve $addr")}
}
/ip firewall address-list remove [find where list~$ListName]
/ip dns cache all
:foreach i in=[find type="A"] do={
    :local bNew true
    :local cacheName [get $i name]
    :local match false
    :foreach addr in=$DNSList do={
       :if (:typeof [:find $cacheName $addr] >= 0) do={
           :set $match true
       }
    }
    :if ( $match ) do={
        :local tmpAddress [/ip dns cache get $i address]
        :if ( [/ip firewall address-list find ] = "") do={
            :log debug ("added entry: $[/ip dns cache get $i name] IP $tmpAddress")
            /ip firewall address-list add address=$tmpAddress list=$ListName comment=$cacheName
        } else={
            :foreach j in=[/ip firewall address-list find ] do={
                :if ( [/ip firewall address-list get $j address] = $tmpAddress ) do={
                    :set bNew false
                }
            }
            :if ( $bNew ) do={
                :log debug ("added entry: $[/ip dns cache get $i name] IP $tmpAddress")
                /ip firewall address-list add address=$tmpAddress list=$ListName comment=$cacheName
            }
        }
    }
}

Текст скрипта нужно добавить в репозиторий скриптов, находящийся в разделе /system scripts.
Скрипт выполняется построчно. Каждая строка имеет следующий синтаксис:

[prefix] [path] command [uparam] [param=[value]] .. [param=[value]]

[prefix] — ":" — для глобальных комманд, с символа "/" начинается командная строка, которая будет выполняться относительно корня конфигурации, префикс может отсутствовать, тогда командная строка выполняется относительно текущего раздела конфигурации;
[path] — путь до требуемого раздела конфигурации, по которому происходит переход перед выполнением команды;
command — непосредственно действие, выполняемое командной строкой;
[uparam] — безымянный параметр команды;
[param=[value]] — именованные параметры и их значения.

Итак, первым делом, определим параметры работы скрипта в виде переменных. Переменная объявляется командами :local и :global, соответственно получаем локальную переменную, доступную только внутри своей зоны видимости, или глобальную, которая добавляется в список переменных окружения ОС и будет доступна откуда угодно. Локальные переменные живут, пока выполняется их зона видимости, глобальные — пока мы не удалим их.

:local DNSList {"example.com";"non-exist.domain.net";"server.local";"hostname"}
:local ListName "MyList"
:local DNSServer "8.8.8.8"

Переменная DNSList содержит массив доменов, с которым мы хотим работать. Переменная ListName содержит строку, которой будет называться полученный address-list. Переменная DNSServer — содержит адрес DNS-сервера, который будет использоваться для получения информации о записях доменов.

:foreach addr in $DNSList do={
     :do {:resolve server=$DNSServer $addr} on-error={:log debug ("failed to resolve $addr")}
}

В цикле «для каждого» обойдём массив доменов и отрезолвим их IP-адреса. Конструкция

:do {command} on-error={command}

служит для отлова runtime-ошибок. Если не использовать её, то скрипт может прервётся при ошибке резолва несуществующего или ошибочного адреса.

/ip firewall address-list remove [find where list~$ListName]

Перейдём в раздел конфигурации /ip firewall address-list и удалим все записи, в которых название списка содержит значение переменной $ListName. Конструкция из квадратных скобок позволяет в рамках текущей команды выполнить другую, а результат выполнения передать текущей в виде параметра.

/ip dns cache all
:foreach i in=[find type="A"] do={

перейдём в раздел конфигурации /ip dns cahe all. Там содержатся DNS-кэш роутера в виде таблицы Name — Type — Data — TTL. Выполним отбор по типу — нам требуются только A-записи. И результат отбора обойдём в цикле «для каждого». Это и будет главным циклом нашего скрипта.

:local bNew true
:local cacheName [get $i name]
:local match false

Создадим переменные, обновляемые в каждом цикле: два флага — bNew, исключающий дублирования, match, показывающий, входит ли текущая запись кэша в наш список доменов; переменная cacheName содержит поле Name текущей записи кэша, то есть домен.

:foreach addr in=$DNSList do={
  :if (:typeof [:find $cacheName $addr] >= 0) do={
    :set $match true
  }
}

Обойдём список доменов и для каждого проверим, содержится ли в строке cacheName подстрока в виде домена из этого списка.

Почему не использовать сравнение на равенство?

Очень просто — логика скрипта предполагает что под-домены должны обрабатываться так же как домены. Если мы хотим блокировать социалочки, то имеет смысл блокировать не только основной домен, но и, к примеру, сервера отдающие статику, картинки, скрипты, и находящиеся на под-доменах данного сайта. Так же это позволит избежать перечисления отдельно доменов с «www» и без. То что, эти домены не попали в кэш при резолве — не страшно, т.к. они могут попасть туда при резолве браузером пользователя (правда для этого нужно, чтобы DNS-запросы пользователя обрабатывались в RouterOS).

Если содержится, установим значение флага match в true.

:if ( $match ) do={
  :local tmpAddress [/ip dns cache get $i address]
  :if ( [/ip firewall address-list find ] = "") do={
    :log debug ("added entry: $[/ip dns cache get $i name] IP $tmpAddress")
    /ip firewall address-list add address=$tmpAddress list=$ListName comment=$cacheName
  } else={
    :foreach j in=[/ip firewall address-list find ] do={
      :if ( [/ip firewall address-list get $j address] = $tmpAddress ) do={
        :set bNew false
      }
    }
    :if ( $bNew ) do={
      :log debug ("added entry: $[/ip dns cache get $i name] IP $tmpAddress")
      /ip firewall address-list add address=$tmpAddress list=$ListName comment=$cacheName
    }
  }
}

В заключающем этапе если текущий адрес требует добавления (match установлен в true), то мы его добавляем в список адресов. Коментарий к добавляемой записи будет содержать домен, к которому она относится. При этом выполняем несколько проверок. Если address-list пустой, то добавляем сразу, если что-то там есть, проверяем, нет ли там уже записи с таким IP-адресом и если нет — добавляем.

Список адресов нужно периодически обновлять. Для этого в RouterOS есть диспетчер заданий. Задание можно добавить из консоли или из графического интерфейса winbox

/system scheduler
add interval=5m name=MyScript on-event="/system script run MyScript" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=may/08/2014 \
    start-time=10:10:00

Сценарии работы со списком адресов не ограничиваются созданием правил в фаерволе. Поэтому приведу несколько примеров. Можно выполнять в консоли, можно добавлять мышкой в winbox'е.
Чёрный список:

/ip firewall filter 
add chain=forward protocol=tcp dst-port=80 address-list=DenyThis \
    action=drop

Статический маршрут до данных узлов

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=AntiZapret \
    in-interface=bridge_lan new-routing-mark=RouteMe

/ip route
add distance=1 gateway=172.16.10.2 routing-mark=RouteMe

Сбор информации о клиентах

/ip firewall mangle
add action=add-src-to-address-list address-list=FUPer chain=prerouting \
    dst-address-list=Pron log=yes log-prefix=critical

Список источников:
Документация по написанию скриптов
Простые примеры от разработчиков RouterOS
Скрипты, добавленные пользователями