交流 › RouterOS › 为学校做的RouterOS2.9.6配置日志(有VLAN)

ljc_168 发表于 2006-9-28 21:48:22

为学校做的RouterOS2.9.6配置日志(有VLAN)

我为学校的配置,希望对大家有帮助吧!

我学校超七百台机咖!

如果有更好建议,请留贴!


RouterOS2.9.6配置日志

主三层交换机是联想的3508GF

PORT 1 192.168.1.0/24 综合楼 VLAN 1
PORT 2 192.168.2.0/24 中学楼 VLAN 2
PORT 3 192.168.3.0/24 小学楼 VLAN 3
PORT 4 192.168.4.0/24 科技楼 VLAN 4
PORT 5 192.168.5.0/24 幼儿园 VLAN 5
PORT 6 192.168.6.0/24 教师公寓 VLAN 6
PORT 7 172.16.3.0/24 服务器组 VLAN 7
PORT 8 172.16.1.2 连接路由器 VLAN 100

路由器是由CPU：P4 1.5G 内存：128M DDR CF TO IDE + 128MCF卡 两张Intel网卡
配置：外网IP：10.3.1.x/24 网关IP：10.3.1.x
内网IP：172.16.1.1

**********************************************************************************
RotuerOS 2.9.6安装完后重启
Login：admin
Password：空
图片：

1、设置接口（网卡），/interface>
显示机上的网络接口（网卡），命令：print
更改网络接口的名字，
命令：set <接口numbers > name NewName(如外网为wan，内网为lan) 例：set 0 name Wan
激活网络接口，命令：enable <接口numbers > 例：enable 0

2、设置内网接口IP 172.16.1.1 ，/ip address>
添加内网（lan）IP，
命令：ADD ADDRESS address/ 30 INTERFACE interface 例：add address 172.16.1.1/24 interface Lan

用电脑连接RouterOS的内网，并IP设置为同网段(如：172.16.1.2)，可以Ping到RouterOS，用IE输入http:// 172.16.1.1，下载WinBox，运行WinBox，连接到RouterOS

3、设置外网接口IP 10.3.1.X (用WinBox设置) ，IP->Address 点击 “+”
Address：10.3.1.X/30
Network(外网网关)：10.3.1x
Broadcast(掩码)：255.255.255.0
点击“OK”完成

4、设置NAT，IP->Firewall点击 “NAT”，点击 “+”
General->Chain：srcnat
如果多WAN口或不是固定IP用设置A：Action->Action：masquerade
如果单WAN口及；固定IP用设置B：
Action->Action：src-nat
Action->To Addresses：10.3.1.x(WAN口的IP地址)
点击“OK”完成

5、设置静态路由，IP->Route，点击 “+”
Destination：0.0.0.0/0
Gateway：10.3.1.Y
点击“OK”完成(所有网络上网都要路由到外网网关10.3.1.Y)
如此类推添加：
Destination：192.168.1.0/24Gateway：172.16.1.2
Destination：192.168.2.0/24Gateway：172.16.1.2
Destination：192.168.3.0/24Gateway：172.16.1.2
Destination：192.168.4.0/24Gateway：172.16.1.2
Destination：192.168.5.0/24Gateway：172.16.1.2
Destination：192.168.6.0/24Gateway：172.16.1.2
到些，内网都可以上网啦！

6、先添加WinBox端口（在CMD中输入netstat –b 有显示RouterOS(172.16.1.1)的连接端口）8291，后封445、134-139、900以上的端口，IP->Firewall点击 “Filter Rules”，点击 “+”

允许WinBox连接设置：
General->Chain：input
General->Dst.Address：0.0.0.0/0
General->;Protocol：6 (tcp)
General->Dst.Port：8291
Action->Action：accept
点击“OK”完成

封端口134-139设置(禁止网络共享)：
General->Chain：forward
General->Dst.Address：0.0.0.0/0
General->;Protocol：6 (tcp)
General->Dst.Port：134-139
Action->Action：drop
点击“OK”完成

封端口445设置：
General->Chain：forward
General->Dst.Address：0.0.0.0/0
General->;Protocol：6 (tcp)
General->Dst.Port：445
Action->Action：drop
点击“OK”完成

封端口900以上设置：
General->Chain：input
General->Dst.Address：0.0.0.0/0
General->;Protocol：6 (tcp)
General->Dst.Port：900-65535
Action->Action：drop
点击“OK”完成

封端口900以上设置：
General->Chain：input
General->Dst.Address：0.0.0.0/0
General->;Protocol：17 (udp)
General->Dst.Port：900-65535
Action->Action：drop
点击“OK”完成

7、设置管理ROUTEROS固定IP，IP->Service，分别修改ftp、telnet、www的Avaiable From值



8、禁某一网站

9、分时段上网IP->Firewall->Filter Rules，点击 “+”，在
General->Chain：forward
General->Src.Address：192.168.1.0/24（你要禁止的网络）
Extra->Time：时段及星期(其中Time为设置操作时间段，下面的是星期几的选择)
Action->Action：drop
点击“OK”完成


10、限速，System->Script，点击 “+”，在
Source：添加
:for ip from 11 to 254 do={queue simple add name=("queue1." . $ip ) dst-address=("192.168.1." . $ip . "/32") limit-at=120000/60000 max-limit=256000/128000 burst-limit=400000/128000 burst-threshold=256000/128000 burst-time=15/15}

点击“OK”，在Script List选择刚才的脚本，点击“Run Script”运行脚本，再双击脚本，修改红色的地方，保存后再选择并点击“Run Script”运行脚本

完成后，在Queue 就可以看到运行脚本后的结果

10、限制线程，System->Script，点击 “+”，在
Source：添加
:for ip from 11 to 254 do={ip firewall filter add chain=forward src-address=("192.168.1. " . $ip . "/32") protocol=tcp connection-limit=50,32 action=drop}

改正后：
:for ip from 11 to 254 do={ip firewall filter add chain=forward src-address=("192.168.1. " . $ip . "/32") protocol=tcptcp-flags=syn connection-limit=50,32 action=drop}

点击“OK”，在Script List选择刚才的脚本，点击“Run Script”运行脚本，再双击脚本，修改红色的地方，保存后再选择并点击“Run Script”运行脚本

完成后，在Queue 就可以看到运行脚本后的结果

11、配置备份，File 点击“backup”既可

12、配置还原，File 选择要还原的文件，点击“Restore”既可，或命令：/system backup
命令：load name= <备份文件名>)

13、保存上网日志
先把IP->Service中的WWW的IP设置为允许日志保存服务器访问的范围，不然运行LogDownloader.exe会出错：“error while receiving:10054”，

WinBox中设置：
13.1、System->Logging，点击 “Actions”，双击remote，把Remote Address修改成日志保存服务器的IP，点击 “Rules”， 点击 “+”，在NewLogRule中设置：
Topics：
Action：remote
13.2、IP->Accounting，点击“Settings”，选取“Enable Accounting”后点击“OK”；再点击“Web Access”，选取“Accessible via Web”，Address：填写你要监察的网络
13.3、LogDownloader设置：点击“添加”，填写你路由的IP，当路由列表中路由对应的Status显示为Ok是，在日志的目录中既可看到日志文件，可用记事本打开

14、禁网站或内容
IP->Firewall Rule
General->Chain=forward
Advanced->Content=内容（或域名）
Action->Action=drop

15、定时断网
IP->Firewall Rule
General->Chain=forward
Extra->Time=选择星期和时间（时间只能从0:00-23:59，如果从晚上十点到次日早上六点，那就要做两条规则：规则一时间为22:00-23:59、规则二时间为00:00-06:00）
Action->Action=drop

[ 本帖最后由 cracks 于 2007-2-22 17:45 编辑 ]

mywangba 发表于 2006-9-28 22:17:33

这样对新手很不错   支持

binlovepc 发表于 2006-9-29 09:08:23

很好！太好了！学习得中！好好研究研究！
   
    希望楼主出点教程！教教我们这些菜鸟啦！

ljc_168 发表于 2006-9-29 09:19:36

只下不顶既!:L

tty2xzy 发表于 2006-9-29 09:35:32

我下了。

ljc_168 发表于 2006-10-8 21:37:33

这个没人需要了吗?

wyhkarl88 发表于 2006-10-9 00:23:08

xiexie

KENT 发表于 2006-10-9 02:15:47

这个，大大的支持

naboo 发表于 2006-10-9 09:00:14

你把你交换上的vlan划分配置贴出来，也能给不少人学习的～～呵呵:)

再接再励;P

caoxa 发表于 2006-10-9 09:56:42

谢谢

crown 发表于 2006-10-10 14:36:19

谢谢，，顶！！！！！

wind7825 发表于 2006-10-10 18:26:49

支持！学习中！

x_hacker 发表于 2006-10-10 20:32:40

thanks

haiqing_lau 发表于 2006-10-10 22:12:32

8错8错，偶正在学习，弄这个玩意回来，老板花了不少钱哦！

必须支持` 在看中....................

tsingchina 发表于 2006-10-10 22:18:38

不错，支持。

查看完整版本: 为学校做的RouterOS2.9.6配置日志(有VLAN)