oggi andiamo sull’avanzato. Tutti conoscono il DHCP e cosa fa un DHCP Server, ma pochi sanno che tramite DHCP si possono passare altre informazioni agli utenti che si collegano.

In diversi casi, specie in grandi aziende, con molte subnet diverse, è necessario passare delle rotte statiche ai client che si collegano in automatico: questo per semplificare l’aggiunta di rotte statiche sui pc degli utenti.

Per lavoro utilizzo molto due strumenti che permettono l’inserimento di queste opzioni, ma che sono leggermente diversi tra loro.

Il primo è PfSense, uno dei migliori firewall open source presenti in circolazione.

Il secondo è Mikrotik.

Analizziamoli:

1) PfSense

Su PfSense è possibile definire due tipi di rotte statiche via DHCP:

• Single route (DHCP Option 33)
• Classless Static Route (DHCP Option 121)

Nel primo caso si definisce solo l’IP di destinazione ed il Gateway come nella figura:

Il valore Esadecimale è calcolato in questo modo:

• IP Destinazione: 192.168.123.234 (Hex: C0:A8:7B:EA)
• IP Gateway: 10.34.72.42 (Hex: 0A:22:48:2A)

Quindi il valore da inserire sulla PFSense sarà: C0:A8:7B:EA:0A:22:48:2A

Nel secondo caso, si definisce IP destinazione, Subnet Mask e Gateway:

Come si nota anche dall’immagine, la differenza è che il valore che precede tutto è la conversione in Hex della netmask.

• IP Destinazione: 192.168.123.234 (Hex: C0:A8:7B:EA)
• IP Gateway: 10.34.72.42 (Hex: 0A:22:48:2A)
• Netmask: 24 (Hex: 18)

Quindi il valore da inserire sulla PFSense sarà: 18:C0:A8:7B:EA:0A:22:48:2A

2) Mikrotik

Sui dispositivi Mikrotik, a partire dalla versione 6.00 (prima non funziona correttamente) è possibile impostare le rotte statiche via DHCP, utilizzando il seguente formato:

0xnnddddddddgggggggg

Dove:

• nn = Netmask
• dddddddd = IP Destinazione
• gggggggg = IP Gateway

Quindi per aggiungere la regola di esempio precedente dovremmo eseguire:

Source code

/ip dhcp-server option add name=classlessroutes code=121 value=0x18C0A87BEA0A22482A

Per semplificare la vita a chi non ha “voglia” di fare le conversioni ho realizzato un piccolo tool in Java che permette di effettuare la conversione direttamente per il tipo di sistema desiderato.

Da questo link è possibile scaricare il programma da eseguire semplicemente con:

Source code

java -jar frank.jar

Il programma ovviamente si chiama come l’amico che mi ha dato l’idea di realizzarlo!

Enjoy!

L'articolo DHCP Options: Rotte Statiche via DHCP sembra essere il primo su Linux 360° | Italia.

oggi ho deciso di affrontare un argomento interessante.

La maggior parte dei siti web php based oggi utilizza un CMS (Content Management System) come Joomla, WordPress, phpBB, siti di ecommerce etc.

Questi hanno semplificato di molto la vita degli utenti ma hanno anche aperto le porte ad attacchi di cracker sempre più frequenti.

Molto spesso il nostro sito è sotto attacco e noi non ce ne accorgiamo nemmeno!

Vediamo un po’ come accorgersi se un sito web è stato attaccato e quindi compromesso!

ATTENZIONE: questa guida presuppone che voi possiate accedere ai log del vostro server web e soprattutto al terminale.

Possiamo cominciare.

Per prima cosa si cercano i file .php che sono stati modificati negli ultimi giorni:

Source code

find . -type f -name '*.php' | xargs grep -l "eval *(" --color
find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color
find . -type f -name '*.php' | xargs grep -l "gzinflate *(" --color

In genere gli autori degli script utilizzati per attaccare i siti li mascherano per evitare eventuali antivirus o software capaci di identificare codice maligno.

In questo modo i file che verranno restituiti saranno al 90% sicuramente compromessi (a meno che non abbiate acquisto un qualche script php che non viene fornito con codice sorgente ma viene mascherato!)

Vediamo un esempio pratico che cerca nella cartella wp-content di WordPress:

Source code

find wp-content -type f -name '*.php' | xargs grep -l "gzinflate *(" --color

In alcuni casi, dove gli script sono in chiaro alcune delle opzioni che usano sono quelle di aprire dei socket oppure lanciare comandi per eseguire operazioni sul server: Ecco come cercare questo tipo di files:

Source code

find . -type f -name '*.php' | xargs egrep -i "(mail|fsockopen|pfsockopen|stream_socket_client|exec|system|passthru|eval|base64_decode) *("

Ma chi attacca i siti queste cose le sa bene, per cui spesso maschera questo tipo di operazioni utilizzando direttamente la codifica Esadecimale (HEX)

In questo modo noi non troveremmo niente eppure il sito rimane compromesso…

Ecco come fare:

Source code

find . -type f -name '*.php' | xargs egrep -i "preg_replace *((['|"])(.).*2[a-z]*e[^1]*1 *," --color

Con il codice che ho scritto sopra si vanno a cercare tutti i preg_replace dove si cerca di inserire del codice esadecimale!

Continuiamo con l’esempio di WordPress.

Mettiamo il caso di avere il sospetto o la certezza che il sito sia stato compromesso.

Possiamo effettuare un upload sul server di una versione “pulita” di wordpress( o un altro cms) in un’altra cartella ed effettuare un diff per notare eventuali differenze (Attenzione perchè in questo caso le versioni del CMS devono essere uguali!)

Source code

diff -r wordpress-ok/ wordpress-hack/ -x wp-content

Inoltre la maggior parte degli attacchi prolificano su server dove vengono concessi (volontariamente o meno) i permessi di scrittura sulle cartelle.

Di seguito un breve script per aiutare a capire i file .php presenti nelle cartelle con permessi 777:

Source code

#!/bin/bash
 
search_dir=$(pwd)
writable_dirs=$(find $search_dir -type d -perm 0777)
 
for dir in $writable_dirs
do
    #echo $dir
    find $dir -type f -name '*.php'
done

Reso eseguibile lo script è possibile verificare i file in questo modo:

Source code

./search_php777 > results.txt

Questo script può essere variato nel seguente modo (in base a quanto abbiamo detto prima):

Source code

#!/bin/bash
 
IFS=$'n'
 
while read php_file
do
    egrep -i "(mail|eval|base64_decode|str_rot13|chmod|fwrite|exec|passthru|shell_exec|system|proc_open|popen|curl_exec|curl_multi_exec|show_source|fsockopen|pfsockopen|stream_socket_client) *(" "$php_file"
done < php_in_writable.txt

Da eseguire in questo modo:

Source code

./find_malicious

Ultima ma non meno importante delle cose da verificare, è la possibilità che del codice php sia “nascosto” dentro una immagine:

Source code

find wp-content/uploads -type f -iname '*.jpg' | xargs grep -i php

Per chi preferisce avere un unico script che fa tutto, può utilizzare NeoPI che racchiunde gran parte delle analisi che vi ho mostrato solo scritte in Python!

Buona analisi a tutti.

Enjoy!

L'articolo Sito Web attaccato? Strategie di Difesa sembra essere il primo su Linux 360° | Italia.

oggi vi spiego un po’ di info basilari su come implementare delle policy di strong security per Apache2.

Quello che andremo a fare sarà principalmente la disattivazione della compressione SSL, per evitare attacchi di tipo CRIME e la disabilitazione di SSL v.3

Per chi volesse saperne di più sui tipi di attacchi che può subire un server Apache2 con SSL:

• BEAST Attack
• CRIME Attack
• Perfect Forward Secrecy
• Dealing with RC4 and BEAST

Vediamo adesso come proteggerci.

Per prima cosa aprire il file di configurazione del webserver che utilizza SSL e aggiungiamo la seguente riga:

Source code

SSLCompression off

In questo modo disattiviamo la compressione SSL e quindi si evitamo attacchi Crime.

Per evitare problemi di sicurezza relativi alle versioni 2 e 3 di SSL quello che si fa è abilitare solo la versione 1 con la seguente stringa:

Source code

SSLProtocol All -SSLv2 -SSLv3

Infine vanno modificate le cifrature possibili…Diciamo che le ideali sono 2-3 ma purtroppo per rendere il sito retrocompatibile con IE e Windows è necessario abilitarne diverse:

Source code

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

Il gioco è fatto.

Salvare e verificare la configurazione di apache, se tutto è ok si può fare un restart:

Source code

#Controllo Config
 
apache2ctl -t
 
#Riavvio Apache
 
/etc/init.d/apache2 restart

Per controllare il risultato:

https://www.ssllabs.com/ssltest/analyze.html?d=miodominio.it

Enjoy!

L'articolo Aumentare Sicurezza SSL Apache2 sembra essere il primo su Linux 360° | Italia.

Source code

apt-get install postfix libsasl2-2 ca-certificates libsasl2-modules mailutils

Rinconfiguriamo Postfix selezionando “Sito internet con SmartHost” ed inseriamo il seguente server:

Source code

[smtp.gmail.com]:587

Una volta ultimato il wizard editiamo il file /etc/postfix/main.cf ed aggiungiamo le seguenti righe:

Source code

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CAfile = /etc/postfix/cacert.pem
smtp_use_tls = yes
sender_canonical_maps = hash:/etc/postfix/sender_canonical

Adesso creiamo il file contenente il nome utente e la password dell’email google:

Source code

vim /etc/postfix/sasl_passwd
[smtp.gmail.com]:587    username@gmail.com:password

Modifichiamo i permessi del file:

Source code

chmod 400 /etc/postfix/sasl_passwd

Modifichiamo il file per essere letto da postfix:

Source code

postmap /etc/postfix/sasl_passwd

Risciviamo il mittente sostituendo root con la nostra email:

Source code

vim /etc/postfix/sender_canonical
root        username@gmail.com

Modifichiamo i permessi anche di questo file:

Source code

chmod 400 /etc/postfix/sender_canonical

Modifichiamo anche questo file per essere letto da postfix:

Source code

postmap /etc/postfix/sender_canonical

Ora usiamo un certificato compatibile per la negoziazione con i server di google:

Source code

cat /etc/ssl/certs/Equifax_Secure_CA.pem >> /etc/postfix/cacert.pem

Per terminare facciamo un bel restart del servizio:

Source code

/etc/init.d/postfix restart

Facciamo una prova d’invio da console:

Source code

echo "Questa è una prova d'invio tramite Gmail." | mail -s "Email di Test" francesco.gabriele@gmail.com

L'articolo Configurare Postfix come smtp Gmail Relay sembra essere il primo su Linux 360° | Italia.

Rsync è un potentissimo software a riga di comando per la sincronizzazione di file e cartelle in ambiente Unix, Windows e Mac OS.

Esso può funzionare in due modalità
1) Come Demone Rsyncd
2) All’interno di un Tunnell SSH

Oggi andremo a vedere la prima modalità,  la modalità Demone rispetto al tunnell ssh ha un trasferimento è molto più veloce  in quanto non usando nessuna crittografia impegna meno banda ed elimina eventuali overhead dovuto proprio alla crittografia.

Ho effettuato alcuni test di trasferimento su rete gigabit “Rsyncd vs SSH” di seguito i risultati:
rsync with ssh – 200-300 Mbps
rsyncd – 800 Mbps

Veniamo a noi, procediamo con la parte Server

Installiamo il demone lato server

Source code

apt-get install rsync

Abilitiamo il servizio

Source code

vim /etc/default/rsync
 
RSYNC_ENABLE=true

Creiamo il file di configurazione in questo modo

Source code

vim /etc/rsyncd.conf
 
log file = /var/log/rsyncd
transfer logging = yes
hosts allow = 192.168.7.200, 192.168.7.110
max connections = 2
hosts deny = *
uid = root
gid = root
list = true
use chroot = false
strict modes = false
read only = false
ignore nonreadable = yes
dont compress = *.gz *.tgz *.zip *.rpm *.deb *.iso *.bz2 *.jpg *.mpg *.mpeg
reverse lookup = no # Solo dalla versione 3.1.x
 
[Backup]
path = /backup
comment = Cartella Backup

Creiamo la cartella 

Source code

mkdir /backup

Riavviamo il servizio

Source code

service rsync restart

Ora proviamo a sincronizzare una cartella verso il server rsync

Source code

ex. rsync -avzP folder [hostname/IP address]::Backup/
 
rsync -avzP documenti 192.168.7.50::Backup

Questo comando copiera la cartella documenti sul server rsync.
Una cosa da notare, per impostazione predefinita il demone Rsync utilizza la porta
TCP 873 per comunicare con i client, quindi ricordiamoci di aprire questa porta
se abbiamo firewall intermedi

L'articolo Configurare un Server Rsync in modalità Demone sembra essere il primo su Linux 360° | Italia.

dopo qualche giorno di pausa si ritorna alla carica!

Oggi vi spiego come mettere su una VPN tra due siti che utilizzano come punto di accesso alla rete.

Una VPN (Virtual Private Network) è una rete che permette a due punti, connessi ad internet, distanti fisicamente tra loro di apparire come se fossero sulla stessa rete fisica.

Generalmente questo tipo di tunnel viene cifrato per evitare lo “sniffing” dei pacchetti dalla rete.

Esistono diversi sistemi per realizzare VPN sui dispositivi Mikrotik ognuno con vantaggi e svantaggi, ma quello più diffuso è sicuramente IPSec.

Nella figura sopra possiamo vedere come le due rete private abbiano indirizzi ip di classi diverse, 192.168.1.0/24 e 192.168.2.0/24 questo non è fondamentale ma è preferibile per evitare conflitti IP tra le due sedi remote.

Gli indirizzi 1.1.1.1 e 2.2.2.2 sono invece gli IP Pubblici con i quali le due sedi “escono” su Internet.

Quello che dobbiamo configurare principalmente sono 3 cose:

- Policy IPSec;

- Peers IPSec;

- NAT Firewall per permettere il passaggio dei pacchetti

Iniziamo!

 SITO 1

IP Pubblico: 1.1.1.1

IP privato: 192.168.1.0/24

Configurazione Indirizzi IP:

Source code

/ip address
add address=192.168.1.1/24 interface=ether1-local network=192.168.1.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

Source code

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

Come avrete notato come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

Source code

/ip ipsec peer
add address=2.2.2.2/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes

Per il Sito 1 abbiamo finito…passiamo al Sito 2

SITO 2

IP Pubblico: 2.2.2.2

IP privato: 192.168.2.0/24

Configurazione Indirizzi IP:

Source code

/ip address
add address=192.168.2.1/24 interface=ether1-local network=192.168.2.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

Source code

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

Anche per il Sito 2 come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

Source code

/ip ipsec peer
add address=1.1.1.1/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes

Il gioco è fatto!

Enjoy!

L'articolo Mikrotik Site to Site IPsec VPN sembra essere il primo su Linux 360° | Italia.

Riavvio immediato:

Source code

echo 1 > /proc/sys/kernel/sysrq 
echo b > /proc/sysrq-trigger

Se invece per qualche motivo vogliamo spegnerla completamente basta fare:

Source code

echo 1 > /proc/sys/kernel/sysrq 
echo o > /proc/sysrq-trigger

Spero di aver rallegrato la giornata a molti con questa soluzione

L'articolo Reboot Forzato su Linux sembra essere il primo su Linux 360° | Italia.

oggi parliamo di Informatica Forense.

Se non lo sapete, la prima regola per l’informatica forense è quella di “non alterare i dati originali”

Questa cosa è fondamentale perchè altrimenti si rischia di compromettere le eventuali prove rinvenute sui dispositivi elettronici (pc, tablet, smartphone etc.)

Oggi vi insegno come disattivare il blocco schermo di Android, non quello numerico, ma la combinazione visiva precedentemente memorizzata.

Questo ovviamente può servire anche a chi ha scordato erroneamente la combinazione!

Elemento fondamentale per questa operazione è ADB anche conosciuto come Android Debug Bridge ed è l’elemento che ci permette di entrare in modalità debug del telefono via pc.

Seconda cosa fondamentale è che sul telefono sia abilitata la modalità USB Debugging.

Per installare ADB esistono diverse guide, quella classica si trova sul sito ufficiale di android a questo link

Cominciamo!

Esistono 2 Metodi per farlo:

METODO 1

Per prima cosa aprite il terminale (o il prompt di windows) e digitate i seguenti comandi:

Source code

adb shell
cd /data/data/com.android.providers.settings/databases
sqlite3 settings.db
update system set value=0 where name='lock_pattern_autolock';
update system set value=0 where name='lockscreen.lockedoutpermanently';
.quit

Riavviate il dispositivo.

METODO 2

Aprite un terminale (o il prompt di windows) e digitate:

Source code

adb shell rm /data/system/gesture.key

Edit.

In molti mi hanno chiesto la possibilità di attivare la modalità Usb Debug in caso di telefono con lo schermo danneggiato. Non c’é una soluzione precisa, ma un buon metodo é quello di utilizzare Android Screencast un’applicazione che permette di controllare il dispositivo android anche con lo schermo danneggiato collegandolo al pc!

Il software é disponibile a questo link

Enjoy!

L'articolo Informatica Forense: Disattivare il blocco schermo Android sembra essere il primo su Linux 360° | Italia.

oggi andiamo sul tecnico.

Questo articolo server a chi utilizza Postfix come SMTP Server e nel caso specifico ad implementare l’autenticazione mediante il sistema Simple Authentication and Security Layer (SASL)

Questo sistema prevede la possibilità di integrare diverse modalità di autenticazione:

- EXTERNAL, in cui l’autenticazione è implicita nel contesto (per esempio, nei protocolli che già utilizzano IPsec o TLS)
- ANONYMOUS, per accessi guest non autenticati
- PLAIN, per gli accessi in testo chiaro
- OTP, un meccanismo one-time password. (OTP è stato reso obsoleto da SKEY)
- SKEY, meccanismo S/KEY.
- CRAM-MD5, un semplice schema challenge-response basato su HMAC-MD5.
- DIGEST-MD5 (storico), meccanismo challenge-response compatibile parzialmente con HTTP Digest basato su MD5.
- SCRAM (RFC 5802), schema moderno challenge-response con supporto al binding del canale
- NTLM, schema di autenticazione NT LAN Manage
- GSSAPI, per Kerberos V5 authentication attraverso il GSSAPI.
- BROWSERID-AES128, per Mozilla Persona authentication
- EAP-AES128, per GSS EAP authentication
- GateKeeper (& GateKeeperPassport), meccanismo challenge-response sviluppato da Microsoft per MSN Chat

Quello che vediamo oggi per Postfix è il più semplice ovvero il PLAIN con login tramite username e password memorizzati in un Database MySQL.

In questo articolo do per scontato che Postfix sia installato e funzionante.

Installiamo il demone di SASL:

Source code

apt-get install libsasl2-2 libsasl2-modules libsasl2-modules-sql sasl2-bin libpam-mysql

Fatto questo modifichiamo il file /etc/default/saslauthd sostituendo START=no con START=yes così il demone partirà all’avvio del pc.

Inoltre modificate la stringa OPTIONS=…. così OPTIONS=”-c -r -m /var/spool/postfix/var/run/saslauthd” questo è necessario perchè Postfix è eseguito come chroot e ha bisogno di accedere al socket di saslauthd

Inoltre dobbiamo creare la directory:

Source code

mkdir -p /var/spool/postfix/var/run/saslauthd

Sempre per l’ambiente chroot è necessario creare il link simbolico:

Source code

rm -rf /var/run/saslauthd
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd

ATTENZIONE: se non cancellate il file /var/run/saslauthd testando il sistema avrete l’errore “connect() : No such file or directory 0″

Creiamo un nuovo file:

Source code

vi /etc/pam.d/smtp

Modifichiamo il file come segue:

Source code

auth    required   pam_mysql.so user=mailadmin passwd=newpassword host=127.0.0.1 db=mail table=mailbox usercolumn=username passwdcolumn=password crypt=1
account sufficient pam_mysql.so user=mailadmin passwd=newpassword host=127.0.0.1 db=mail table=mailbox usercolumn=username passwdcolumn=password crypt=1

Abbiamo necessità di un secondo file:

Source code

vi /etc/postfix/sasl/smtpd.conf

Che editiamo come segue:

Source code

pwcheck_method: saslauthd
mech_list: plain login
allow_plaintext: true

Nel caso di autenticazione basata su DB MySQL il file va editato come segue (attenzione a mettere i nomi giusti del db e delle tabelle!):

Source code

pwcheck_method: saslauthd
mech_list: plain login
allow_plaintext: true
auxprop_plugin: sql
sql_engine: mysql
sql_hostnames: 127.0.0.1
sql_user: dbuser
sql_passwd: dbpassword
sql_database: dbname
sql_select: SELECT password FROM user WHERE username = '%u@%r'

Aggiungiamo l’utente postfix al gruppo sasl:

Source code

adduser postfix sasl

Poi provvediamo ad inserire le voci per l’autenticazione SASL dentro il main.cf di Postfix:

Source code

smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Riavviamo i servizi:

Source code

/etc/init.d/postfix restart
/etc/init.d/saslauthd restart

E proviamo che tutto funziona correttamente:

Source code

razorblade:~# testsaslauthd -s smtp -u root@example.com -p newpassword
0: OK "Success."

Enjoy!

L'articolo Postfix: Autenticazione SASL sembra essere il primo su Linux 360° | Italia.

1) Upgrade all’ultima versione, che alla stesura di questo post è la 6.20.
Ovviamente scarichiamo la versione in base all’architettura della nostra routerboard che in questo esempio è la “mipsbe” (mipsbe CRS series, RB4xx series, RB7xx series, RB9xx series, RB2011 series, SXT, OmniTik, Groove, METAL, SEXTANT)

Di seguito le altre serie

“powerpc” (RB3xx series, RB600 series, RB800 series, RB1xxx series)

“mipsle” (RB1xx series, RB5xx series, RB Crossroads)

“tile” (CCR series)

“x86″ (PC / X86, RB230 series)

Source code

/tool fetch url="http://download2.mikrotik.com/routeros/6.20/routeros-mipsbe-6.20.npk" mode=http

Appena vediamo uscire la scritta  “status: finished” possiamo fare un bel reboot e dopo troveremo la nostra routerboard alla 6.20.

2) Downgrade all’ultima versione rilasciata della serie 5 che nel dettaglio è la 5.26

Source code

/tool fetch url="http://download2.mikrotik.com/routeros/5.26/routeros-mipsbe-5.26.npk" mode=http

Qui invece di effettuare il reboot dobbiamo dirgli di fare il downgrade e lo facciamo in questo modo:

system package downgrade;

Questo comando esegue in automatico un reboot ed effettua il downgrade dei pacchetti al primo avvio.

Spero sia utile a molti

—-
Frank                  

L'articolo Upgrade e Downgrade Mikrotik da Linea di Comando sembra essere il primo su Linux 360° | Italia.