请高手写个教程
谢谢 DDD 呵呵!才学会的!
IP-FILTER RULES 最右边对话框选择 forward
添加 IP和MAC在action中选择DROP就可以了!
here you
一、系统及网络环境1、路由器的硬件要求:
CPU 和主板?更先进的地代的CPU (核心频率100MHz或更高), 新生产的(Intel Pentium, Cyrix 6X86, AMD K5 或兼容的)或更新的IntelIA-32 (i386)兼容。
RAM ? 最小的48 MB, 最大的1 GB; 推荐是64 MB或更高。
主机插两块网卡,一块为外网网卡,一块为内网网卡。
2、外网为固定IP:219.146.118.210,网关:219.146.118.209,
子网掩码:255.255.255.252,DNS:219.146.0.130,219.150.32.132
3、内网ip段为:192.168.10.1-192.168.10.254,网关:192.168.10.1,子网掩码:255.255.255.0,
二、基本部分配置过程
1、路由软件登录
MikroTik v2.8
Login: admin
Password:空密码回车进入。
2、改变登录密码
> password
old password:
new password: ************
retype new password: ************
3、设置一块网卡为内网网卡(设Ether2为内网网卡)
>setup,a , a
enable interface: >ether2
ip address/netmask: 192.168.10.1/24
your choice :g
gateway:192.168.10.1(默认为:192.168.10.254改为.1)
再选X退出。
―――――――――以上为路由器上起始的配置。―――――――
4、下载WINBOX配置程序
内网计算机IP设为内网的一个IP,子网掩码255.255.255.0、网关192.168.10.1设好后,用IE打开路由器网页,在浏览器地址栏输入:192.168.10.1回车,内网如果连通会出现如下图所示网页。
点选“MikroTik WinBox Console”前图,系统提示要下载“WINbox”系统配置程序,下载到Windows计算机上,以后用它进行对路由器的配置。
5、启用外网网卡
在Windows下打开“Winbox”程序,因第一块网卡已设为内网网卡。首先启用第二块网卡,点选Interface项,启用前边带“X”标志的另一块网卡,点击该网卡再在窗口上方点选“√”,这时该网卡前标志会改为“R”。
6、设置外网IP地址
点选IP项,选Addresses项,点窗口上方“+”,在出现的窗口中的Address中输入ISP提供的外网IP:219.146.118.210/30(不能输入32),在下边要选一下网卡即:Ether1,点选OK。
7、设置网关路由
点选IP项,选Routes项,点窗口上方“+”,再点选Gateway项,这里设置ISP提供的外网网关:219.146.118.209,再加选Pref. Source项,并输入外网IP地址: 219.146.118.210。其它默认不设置。
8、设置防火墙(ip firewall)
点选IP项,选Firewall项,点窗口上方的Source NAT项,再点“+”,在窗口中点选Action项,在该窗口中点选Action内的Masquerad项。点OK退出。
9、DNS设置
①设置DNS:
在Winbox内,用Terminal直接用命令设置DNS:
>ip
ip> dns
ip dns> set primary-dns=219.146.0.130
ip dns> set secondary-dns=219.150.32.132
②启用DNS缓存
在Winbox内,用Terminal直接用命令:
ip dns> set allow-remote-requests=yes
③查询前两步DNS的设置
在Winbox内,用Terminal直接用命令:
ip dns> print
primary-dns: 219.146.0.130
secondary-dns: 219.150.32.132
allow-remote-requests: yes
cache-size: 4096 kB
cache-max-ttl: 7d
cache-used: 33 kB
④DNS 的 Static 设置(DNS静态设置)
用Winbox的IP设置内的,选DNS项,再选Static项,再点“+”,在DNS Static Entry窗口内输入以下内容:
Name:随便定义,如“Local”。
Address:内网的网关地址“192.168.10.1”。
TTL:默认即可,不用修改。
10、设置DHCP服务器(DHCP server)
自动为每台机器分配IP地址、DNS服务器地址、网关地址,省去了逐台配置的麻烦。
点选IP项,选DHCP server项,首先选DHCP项,再点窗口上方Setup选项,DHCP Server interface(接口):选择内网网卡(Ether2),点NEXT,在DHCP Address Space:输入内网起始IP(192.168.10.0/24),点NEXT,在Gateway For DHCP Network:输入内网网关(192.168.10.1),点NEXT,在Addresses TO Give Out:输入DHCP服务器需分配的IP地址段,点NEXT,选择DNS Server并输入内网网关地址(192.168.10.1),点NEXT,接着是确定Lease Time(租借时间)自定,完成点OK。
注:内网用户计算机上网络配置:
如设固定IP方式:IP为192.168.10.X,子网掩码为255.255.255.0,网关为192.168.10.1,DNS为ISP提供的DNS地址或内网网关地址。
如设自动获取方式:就必须要设路由器的DHCP服务器(可能还要先设置好DNS的配置),在用户机器上设为IP、DNS自动即可上网。
在内网用户配置时,DNS最好设上ISP提供的外网DNS,这样会减轻路由器的解析负担。
―――――――以上路由器基本部分配置完成。―――――――
11、系统配置的备份。为方便今后系统重装的麻烦,在你配置好路由器后,要做一下配置备份。=后边的为自定义文件名,该文件备份后放在FTP://192.168.10.1的FTP目录内。
恢复设置:用load name=备份设置文件名,回车,按要求重启即可。
三、高级设置部分
1、端口映射(用命令行方式写比较省事)
1:将外网所有80端口的请求都指向到内网.2计算机。
(外网IP:219.146.118.210,内网的计算机IP:192.168.10.2)
ip firewall dst-nat>add action=nat protocol=tcp dst-address=219.146.118.210/32:80 to-dst-address=192.168.10.2
2、完全开放内网一个IP(即DMZ主机)。
(外网IP:219.146.118.210,内网的计算机IP:192.168.10.2)
192.168.5.68 (外网IP:192.168.100.10)
ip firewall dst-nat>add action=nat protocol=tcp dst-address=219.146.118.210/32 to-dst-address=192.168.10.2
注:就是在端口映射里设环流(即内网也可用外网IP或域名访问内网的主机)。
2、routeros的防火墙配置(ip firewall)(用WINBOX写较直观)
防震荡波和冲击波的端口134-139的配置:(TCP端口:134-139 (其中包抱共享端口)、其余端口: 如445 4444 39213 要一个一个添加上,UDP端口:134-139 (其中包抱共享端口)、 其余的445 4444 39213也同样要一个个加上)。
在winbox中 ,ip->firewall->filter rules ,首先选右边input,再点“+”,在New firewall rules窗口中,点选General项,protocl选udp和tcp(要分别设),在src.port项,在NOT后选“√”并填入要防的端口134-139段,或单个端口;再在dst.port项,在NOT后选“√”并填入要防的端口134-139段,或单个端口。再点选action 项,在action里选drop丢弃包或reject拒绝包,点ok完成。
再选forward和output照上面设完,这样不论是外网的机器或内网的机器中毒都不会影响其他用户了。
其实ip filter rules可设很多规则可以作一个非常不错的防火墙不过要注意input,forward,output根据不同情况的设置。
3、限制在LAN中计算机的带宽(下载时128kbps上传是64kbps)
带宽限制是在你的流量控制中稳妥的使用于输出接口队列.
添加一条充足得队列到MikroTik路由器.
对所有的限制带宽:(上限为64K,下限为128K)
queue simple> add max-limit=64000/128000 interface=Local
对单IP限制带宽:(192.168.0.2\3\4\)
/queue simple add name="pc002" target-address=192.168.0.2/32 dst-address=0.0.0.0/0 \ interface=all queue=default priority=8 limit-at=100000/100000 \ max-limit=256000/256000 disabled=no
/queue simple add name="pc003" target-address=192.168.0.3/32 dst-address=0.0.0.0/0 \ interface=all queue=default priority=8 limit-at=100000/100000 \ max-limit=256000/256000 disabled=no
/queue simple add name="pc004" target-address=192.168.0.4/32 dst-address=0.0.0.0/0 \ interface=all queue=default priority=8 limit-at=100000/100000 \ max-limit=256000/256000 disabled=no
4、为路由器网卡指定名字。(为方便以后配置用起来更直观)
首先要查看一下网卡对应的相关标识:
interface>Print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0R ether1 ether 0 0 1500
1R ether2 ether 0 0 1500
设置Ether1外网网卡的名称:
interface> set 0 name=”internet”
设置Ether2内网网卡的名称:
interface> set 1 name=”hotspot”
5、来自每个IP地址最多允许有4个并发连接
/ip firewall rule forward add protocol=tcp tcp-options=syn-only connection-limit=5 \action=drop
页:
[1]