Device‑mode - инструмент ограничения доступа к ряду функций и настроек роутера MikroTik. Его главная задача — повысить безопасность сети: если кто‑то попытается взломать устройство, у него будет куда меньше возможностей что‑либо натворить. Впервые эта функция появилась в RouterOS 7.17. С тех пор она стала популярным решением для защиты от несанкционированного доступа и разного рода злоупотреблений — особенно там, где важна стабильность и защищённость инфраструктуры.

Представьте ситуацию: злоумышленник всё-таки получил доступ к вашему устройству. Без Device‑mode он мог бы, скажем, запустить атаку на соседние сети или выполнить опасные команды. Но если режим включён, многие такие действия уже заблокированы — даже при наличии учётных данных.

В RouterOS 7.17 реализованы три варианта настройки — каждый под свои сценарии использования:
1. Advanced (раньше назывался Enterprise):
- даёт почти полный доступ ко всем функциям, но с небольшими ограничениями;
- заблокированы: traffic-gen, container, partitions, install-any-version, routerboard;
- по умолчанию активирован на устройствах серий CCR и 1100 — видимо, разработчики сочли, что здесь нужна гибкость, но без излишеств.

2. Home:
- отключает целый набор потенциально опасных инструментов: scheduler, socks, fetch, bandwidth-test, traffic-gen, sniffer, romon, proxy, hotspot, email, zerotier, container;
- идеально подходит для домашних сетей: риски сведены к минимуму, а базовых возможностей хватает с головой.

3. Basic:
- самый строгий режим — отключает практически всё, что может представлять угрозу;
- среди заблокированного: socks, bandwidth-test, traffic-gen, proxy, hotspot, zerotier, container, install-any-version, partitions, routerboard;
выбирайте его, если безопасность — приоритет № 1. Например, для публичных точек доступа или устройств с ограниченным кругом задач.

Ключевые механизмы Device‑mode:

1. Ограничение функций
В зависимости от выбранного режима часть возможностей RouterOS просто не отображается или блокируется. К примеру, в Home нельзя запустить hotspot или sniffer — даже если очень хочется.

2. Подтверждение изменений
Чтобы поменять режим, недостаточно одной команды. Нужно физическое подтверждение: либо нажать кнопку на корпусе устройства, либо выполнить холодную перезагрузку (отключить и включить питание). Это исключает возможность удалённого взлома и смены настроек злоумышленником.

3. Лимит попыток
Система позволяет изменить режим не более трёх раз подряд. После этого счётчик блокируется — чтобы его сбросить, придётся перезагрузить устройство или нажать кнопку. Ещё один барьер против автоматизированных атак.

4. Флаг flagged
Если система замечает подозрительные изменения в конфигурации (например, кто‑то пытается массово менять настройки), она автоматически переводит устройство в состояние flagged. В этом режиме:
- блокируется создание новых конфигураций;
- недоступны функции вроде bandwidth-test и sniffer;
- общий уровень доступа снижается — как тревожный сигнал: что‑то идёт не так.

Практическое использование:

1. Проверить текущий режим
Выполните в терминале:

/system/device-mode/print

Команда покажет, какой режим активен сейчас, и какие функции доступны. Полезно делать это перед любыми изменениями.

2. Сменить режим
Чтобы переключиться, например, на Home, используйте:

/system/device-mode/update mode=home

После ввода обязательно подтвердите действие: нажмите кнопку на устройстве или отключите питание. Без этого изменение не применится — система вас об этом предупредит.

3. Включить отдельную функцию
Допустим, в текущем режиме отключён container, а вам он срочно нужен. Можно активировать выборочно:

/system/device-mode/update container=yes

Как и в случае с режимом, потребуется подтверждение — без физического доступа не обойтись.

4. Сбросить флаг flagged
Если устройство перешло в это состояние, вернуть его в нормальный режим можно командой:

/system/device-mode/update flagged=no