madlife 发表于 2005-2-2 15:09:20
这几天刚好学会了装ROS系统,从2.811-2.819都可以成功安装(也就是说,系统安装我在论坛中也找到我想要的教程了,ROS的说明下载了,E文不行,看不懂)目标:先让这台路由能代理一批电脑上网。以后其它功能再慢慢学(因为刻了一张2.818的光盘,所以就使用2.818,哈哈,数字也吉利)接下去,我就开始学习如何配置这台路由了在精华贴中,找到routeros的简单使用说明看不明白,因为与我所看到的不一样我将过程的图抓下来,请各位大大指教。(4-25,我还会写下自己的这份学习过程,因为这个ros不比windows,天天要用,有好多命令我会不记得怎么使用,我也会对这个贴子做一个修改)早上起来,昨天与朋友在一起谈无盘服务器的硬件,因为要解决经济投资的问题...madlife 发表于 2005-2-3 10:23:03
(以下内容我根据自己的理解在编辑中)摘:(那个中文资料是在是学不到什么东西我的学习之路是这样的......有一定的 Terminal 操作基础。从最傻瓜的配置开始设置,每当有一点想法就去翻 Handbook 和 Howto(这篇文章趋向于实用),找到类似的就去实践。当看手册和怎样做遇到不认识的缩率语是就狗狗一下,一般都能找到不错的中文解释,且能学到一些相关的知识。往往一件事情不只是有一个解决方案,多想就会多得,只知道张嘴问的人恐怕永远只能做 PC support. )看到很多人在问,简单说说吧,以通常的固定ip的为例: 1)安装 (这个另外有教程)2)启动后,使用 admin 密码为空,进入 3)设第一块网卡的ip: 在提示符下输入setup命令,如果你的网卡是PCI的,会提示你设置ether1(就是第一块网卡),输入ipaddress(ip地址):192.168.0.1、netmask(子网掩码):255.255.255.0、gateway:192.168.0.254、network:192.168.0.0、broadcast:192.168.0.255。默认直接回车就行了。 4)从windows端机器,ip设成192.168.0.x ,在 ie 地址栏输上 192.168.0.1 出现 routeos 的欢迎画面。点击,提示下载 winbox ,保存 5)运行 winbox 输上 192.168.0.1 用户名 admin 密码 不输,选连接。会出现路由的管理界面 6启用网卡:点击 interface ,点击第二块卡,选择对号,启用(颜色不是虚的了) 7)设置地址:ip --》 address ,选择 + 号,输入第二块卡的ip地址(isp给你的) 为了便于管理,最好从这里把两块卡的别名,改成 public 和 local ,另外,这里支持一个网卡多个ip,如果因为管理需要,你可以这样设 8)增加静态路由:ip--》routes 选择 + 号,选中gateway,输上网关地址 在这里,destination 可以使用默认 0.0.0.0 ,表示路由所有的地址,也可以根据你的需要,只对你指定的ip范围路由。静态路由可以有多条,比如可以分别指定多个ip段,达到管理的目的 9)设置NAT共享上网: ip --》firewall -source nat ,选择 + 号,选择action,action里面选择 masquerade ,其余选择默认即可 至此,共享上网就完成了 剩下的,需要增加设置 防火墙规则,否则,安全没有保障 ip -》firewall -》filter fules ,选择 + 号,in interface 选择内网网卡(local),其他默认 这条路由允许来自内网的连接,如果有限制,可以修改 src address 的ip段,或者content 内容过滤 ip -》firewall -》filter chains 选中 input ,选择 drop 这条规则禁止所有的外部连接 以上两条规则,屏蔽来自外网的所有连接 一些恶意网站和广告,也可以从这里屏蔽 例如,可以加一条规则,禁止登陆新浪聊天室: ip -》firewall -》filter fules , 选择 forward 选择 + 号,advanced 里面content 输上 chat.sina.com ,action里面选择return,即可 如果chat.sina.com 换成 ad4.sina.com.cn ,新浪主页的广告就没有了 其他的可以参考有关资料,或者天网等防火墙里面的规则 10)如果需要上网时输入密码认证才可以上网的,可以启用hotspot(注意,不是那种isp认证,是通过这个路由器的客户机上网时,会出现登陆提示,必须输入密码后,才有权上网) mrmx 发表于: Feb 3 2005, 08:59 AM CCF 的一篇文章:【原创】如何用RouteOS实现ip pnp 谢谢rexhsu、闪亮两位大大!MikroTik RouteOS 2.8.17以上的设置好像和一点不一样!我重新整理了一下楼主的步骤:更改网卡名 >/interface interface>set ether1 name=local interface>set ether2 name=public interface>enable local interface>enable public我使用的是固定IP,设置网卡IP,以外部IP我是用202.102.229.199/24 interface>/ip address ip address>add address="192.168.2.1/24" interface=local ip address>add address="202.102.229.199/24" interface=public设置(Public)正确的DNS ip address>/ip dns ip dns>set primary-dns=202.102.224.68 secondary-dns=202.102.227.68 ip dns>set allow-remote-requests=yes设置(Public)正确的网关 ip dns>/ip route ip route>add gateway=202.102.229.254添加ip pool ip route>/ip pool ip pool>add ranges=192.168.2.1-192.168.2.100 name=local_User_Pool ip pool>add ranges=192.168.2.101-192.168.2.200 name=Universal_User_Pool添加DHCP Server ip pool>/ip dhcp-server ip dhcp-server>add name=local interface=local address-pool=local_User_Pool ip dhcp-server>enable local ip dhcp-server>network add address="192.168.2.0/24" dns-server=192.168.2.1 gateway=192.168.2.1设置NAT ip dhcp-server>/ip firewall src-nat ip firewall src-nat>add action=masquerade设置ip pnp ip firewall src-nat>/ip hotspot universal ip hotspot universal>add address-pool=Universal_User_Pool disabled=no interface=local设置DNS规则 ip hotspot universal>/ip firewall dst-nat ip firewall dst-nat>add dst-port=53 protocol=udp action=nat to-dst-address=192.168.2.1 to-dst-port=53下面的客户端就可以任意IP上internet了。madlife 发表于 2005-2-3 10:57:49
ROUTEOS可以做VLAN的安装完成 重启 admin 登陆 默认密码为空 直接回车 setup 配置ip地址 连接好网络 在浏览器里输入http://ip 再用web方式配置另外的网卡和其他配置 RouteOS 怎么复位呢?恢复到初始状态??? 1、admin登陆 2、输入"system" 回车 3、输入"reset" 回车 4、输入".." 回车 5、输入"setup"重新配置RouteOS 在routeos中,如何知道连接内网和外网的网卡的mac地址.有什么命令吗?我现在进不了win-box中,只能进入命令方式,怎么知道网卡的mac地址啊?另外,用别的软件在其他的计算机中能扫到routeos的计算机中的网卡的mac地址吗?interface ethernet print detail 就要过年了过了年再将这论坛的文章全看一下过了年,找一台电脑出来,线路上还有一个固定IP闲着做好2.818后,将自己的电脑接在上面慢慢学一下要学的基础还很多啊顺便在这里集中一下,自认为有用的东东明年见bow 发表于 2005-2-3 11:27:54
/interface ethernet pr看路由mac用/ip arp pr 看mac表给你个工具扫描内网Mac和更改自己的mac地址madlife 发表于 2005-2-12 18:37:46
呵呵祝各位新年快乐初四在单位值班,找了一台810主板+C433CPU+128内存+10G硬盘和两张8139网卡因为在虚拟机中安装过系统,在实际操作当中也就方便了过程中,不管我怎么搞,硬盘设在第一个IDE口上,就是安装不成功安装在第二个IDE口上,顺利安装。进入系统后,setup设好一块网卡的IP为内网的,一般为ether1,将装了ROS的电脑放在网络中,可ping通使用http://IP下载winbox,在winbox设置,顺利实好nat共享上网。具体如何做,前面有别的朋友写的教程。之后,就加了个admin的密码,加了一个user用户。什么也没去做,先试着运行一下。(学习归学习,实际给网吧使用的还是使用win2003自带的nat,C1G+256M内存+普通8139,除了装了个norton,加了自带的防火墙,装了VNC与数据统计软件,其它什么也没装,正常使用60台电脑.在考虑使用ISA2004.win下的出了故障自己解决方便一点)看我用的计算机:(文摘)赛-500+2*32MB内存+INTEL440BX主板 属于奔腾II级别的。在看网卡布局:外网:D-LINK 530TX 使用电信给分配的IP。内网1:D-LINK 530TX 使用192.168.0.0/24网段内网2:金浪8139D 使用192.168.1.0/24网段内网3:TP-LINK 8019 使用192.168.2.0/24网段其中ROS开启了DHCP服务使用了(内网3:TP-LINK 8019网卡 使用192.168.3.0/24网段。)开启PPTP和L2TP、PPPOE服务。使用了(内网2:金浪8139D 使用192.168.4.0/24网段)这样在配合带VLAN的交换机来管理整个内部网。加了该加的防火墙规则。使用了快半年了,一直没出过问题。怎么样???比你的复杂多了吧?madlife 发表于 2005-2-12 18:38:23
文摘: 正确设置ROS的DNShttp://www.routerclub.com/ipb/index.php?showtopic=5523madlife 发表于 2005-2-12 19:04:00
把TCP MMS的值设置少点。。。打开网页的速度会快点。。 还有是不要限制速度的上下限。。。我做好了,ADSL的固定IP的路由器可以做端口映射么? 完全可以的,在IP FI 下面 ISP级的路由器操作系统RouteOS RouteOS2.7.4可以将一台普通的PC机变成一台专业的路由器,高到ISP的核心路器/认证网关?因为它功能强大稳定,低到家庭网关防火墙?因为它免费。它可以提供以下几个主要功能: 1、Winbox 图形界面远程管理 2、telnet/serial 控制台管理 3、高级带宽管理 4、防火墙提供连接监视功能 5、以太网10/100/1000Mb/s 6、无线网络Clients和 AP 2.4GHz 11 Mb/s 7、无线网络Clients和AP 5.2GHz 54 Mb/s 8、v.35 synchronous 5Mb/s with frame-relay 9、asynch PPP/RADIUS (up to 32 ports) Cyclades with E1/T1支持 10、IP电话网关 11、热点服务用户管理系统(hotspot gateway) 更多的其他功能 下面我就介绍一下作为家庭网关的配置方法。 第一步:你要准备一台计算机,比486DX高就行,当然最好是奔腾以上的,至少32M内存,32M硬盘,最好都是64M。有条件的可以使用DOM来代替硬盘,因为它的使用寿命比硬盘长。一个3.5”软盘驱动器。两张网卡NE2000兼容网卡,或者是RTL8XXX的,PCI的最好了,显示器和键盘只是在安装时使用。你可以到mikrotik.com.cn 软件介绍/兼容列表下查看一下你的硬件是否兼容。 第二步:到mikrotik.com.cn 软件下载下下载一个安装磁盘制作程序。准备8张质量好一点的3.5”磁盘,在Windows的计算机上运行它,先是一个许可协议点YES就行了,下面出来的就是软盘制作界面图一,插入第一张软盘单击一下Contiune ,过一会它会提示你插入第二,直到第八张。 第三步:将作路由器使用的计算机显示器和键盘连接好,为从软盘启动,插入第一张软盘,启动计算机,正常的话画面会出现软盘启动过程,过一会会提示你插入第二张软盘、第二张直到第八张。当第八张磁盘读完之后回提示你重起计算机,不要忘了取出磁盘,设置为从硬盘启动。 第四步:重新启动之后路由器会提示你的“Software ID”是什么,让你输入”Licensing key”。你需要一个免费的许可,获取方法请见网站上下载页面的说明。获得后将其输入注意大小写,正确的Licening key 输入后回出现登录过程,“Username”、“Password”,默认的管理员帐号是admin,没有密码。 第五步:配置路由器,你以管理员身份登录,在提示付下输入setup命令,如果你的网卡是PCI的,会提示你设置ether1(就是第一块网卡),输入ipaddress(ip地址):192.168.0.1、netmask(子网掩码):255.255.255.0、gateway:192.168.0.254、network:192.168.0.0、broadcast:192.168.0.255。有默认直接回车就行了,在这里我将ether1作为局域网口,ehher2作为广域网口。将你的局域网连通。客户端(windows的计算机)设置ip地址:192.168.0.10,子网掩码:255.255.255.0,网关:192.168.0.1,DNS:192.168.0.1。好了试试网络通不通,在开始-运行中敲command点确定,在出来的DOS窗口敲ping 192.168.0.1 看通不通,如果出现Reply from 192.168.0.1 : bytes=32 time DNS Cache > DNS Cache Settings > Enable 输入ISP的DNS服务器地址。 > OK > OK。 以下步骤分两种,宽带和ADSL(PPPoE)不一样。 宽带:单击IP,DHCP Clients,Enable,Add Default Route,Interface 选择ether2,hostname为Client1,OK。再次打开DHCP Clients,查看Status页看是否获取IP地址,如果获取了就完工了。 ADSL:点击Interface,点击加号PPPoE Client 修改MTU为1492(大多数是),切换Dail Out页面输入Service:(可以从ISP处获得也可以用RASPPPoE查到。),输入用户名密码,勾上Use peer DNS,OK,查看Status页看是否连接上。如果有一些网页打不开,你ISP的MTU=1492,请在IP > Firewall > Mangle > 单击红加号 > Protocol选择TCP > Tcp Options 选择 sync > Actions选择 accept >TCP MSS:1448。 大多数情况是不用的。 以上就是配置家庭网关的过程,在终端更多的网络配置方法差不多,只是需要购买License。注意这里使用的是免费License,有一些限制的如下: 最多 PPTP server 连接 - 4. 最多PPPoE server 连接 - 4. 最多 DHCP server 租约 - 8. 最多热点服务客户数量 - 4. 最多queues数量 - 4. 最多NAT策略数量 - 4. 最多EoIP界面数量 - 4. Web Cache 禁止 祝你成功,欢迎读者来信探讨。 RouteOS 的流量控制功能非常强大,可以根据IP地址、端口、协议来控制,最小单位Bit/S。 大型网络的话用RouteOS 比它可好多了你看上面的图,Queue就是带宽管理界面。 它还是有点用的,可以用上两条线路,流量平衡 设置防火墙吧。。 允许ICMP包进入。。 inputmadlife 发表于 2005-2-12 19:20:45
浅谈IP近几年来,计算机网络迅猛发展,基于IP协议的Internet已发展成为当今世界上规模最大,并拥有最多用户、最多资源的一个超大型计算机网络。IP协议也因此成为事实上的工业标准,IP网络也成为计算机网络的主流。一、Internet 中的IP地址 IP地址标识了IP网络中的一个通信实体,一台主机可以有多个IP地址。IP分组中的IP源/目的地址在网络传输过程中保持不变,因而总是由确定的源通信实体送往指定的目的通信实体。 从网络的层次结构考虑,一个IP地址必须指明两点: 属于哪个网络 是这个网络中的哪台主机 于是,IP地址的格式为:网络号、主机号。1 IP地址的类型及其表示 现在的IP网络使用32位地址,通常由点分十进制表示,如:202.112.14.1。它主要由两部分组成:一部分是用于标识所属网络的网络地址;另一部分是用于标识给定网络上的某个特定的主机的主机地址。 为了给不同规模的网络提供必要的灵活性,IP的设计者将IP地址空间划分为几个不同的地址类别。 地址分类如下表所示: 高位 网络 主机 类型 0 7位网络 24为主机 A类IP地址 10 14位网络 16位主机 B类IP地址 110 21位网络 8位主机 C类IP地址 1110 28位 多点广播组标号 D类IP地址 1111 保留试验使用 E类IP地址 网络编号是由Internet权力机构分配的,目的是为了保证网络地址的全球唯一性。主机地址是由各个网络的的系统管理员统一分配的。因此,网络地址的唯一性与网络内主机地址的唯一性,就确保了IP地址的全球唯一性。2 有类地址的局限性 最初的Internet设计者没有预想到网络会有如此快速地发展,因此现在网络面临的问题都可以追溯到Internet发展的早期决策上,在IP地址的分配上更是能够看到这点。 在Internet早期,地址空间在表面上看来几乎是无限的,人们便将IP地址基于其申请而分配给某个组织或者公司,而很少会考虑到是否真的需要这个地址空间,没有考虑到IP地址空间最终会用尽。IPv4使用32位的地址,即在IPv4的地址空间中只有232(4,294,967,296,低于43亿)个地址可用。与此相比,世界人口数已达60多亿。也就是说,将出现IP地址的赤贫人群。因此,IP地址的长度决定了IPV4的地址空间,决定了地址的有限。 另外,IPv4的地址是按照网络的大小(所使用的IP地址数)来分类的,它的寻址方案使用“类”的概念。A、B、C三类IP地址的定义很容易理解,也很容易划分,但是在实际网络规划中,他们并不利于有效地分配有限的地址空间。对于A,B类地址,很少有这么大规模的公司能够使用,对于C类地址所容纳的主机数又相对太少。所以有类别的IP地址并不适用于网络规划。 在这种情况下,人们开始致力于下一代Internet技术的研究。但是,由于现在在IPv6下的互连网设施还不完善,IPv4上的资源有待进一步利用,因此,我们仍有必要在IPv4上实现网络和网络互连。因此,IPv4到IPv6的完全过渡将是一个比较长的过程。 二、IP地址与路由的关系 为了提高IP地址使用效率及路由效率,在基础的IP地址分类上对IP编址进行了相应改进。1 子网编址 一般地,32的IP地址被分为两部分,即网络号和主机号。为提高IP地址的使用效率,子网编址的思想是将主机号部分进一步划分为子网号和主机号: 网络号 子网号 主机号 在原来的IP地址模式中,网络号部分就标识一个独立的物理网络, 引入子网模式后,网络号部分加上子网号才能全局唯一地标识一个物理网络。 子网编址使得IP地址具有一定的内部层次结构,这种层次结构便于IP地址分配和管理。 它的使用关键在于选择合适的层次结构?如何既能适应各种现实的物理网络规模,又能充分地利用IP地址空间(即:从何处分隔子网号和主机号)。2 子网路由 在子网编址模式下,仅凭地址类别提取地址的网络号和主机号将是不正确的,而必须在路由表的每一个表目中加入子网掩码,于是子网编制模式下的路由表条目变为: {子网掩码,目的网络地址,下一路由器地址} 这样可以用子网掩码的设置来区分不同的情况,使路由算法更为简单。 子网结构 设子网掩码,子网掩码与目的地址相与,获得子网地址。 特定主机 掩码32位为全“1”,将32位地址全部截下。 缺省路由 掩码为全“0”,目的地址也为全“0”,将报文直接送往缺省端口地址。 无子网结构 掩码中“1”的个数与网络号位数相同。3 VLSM可变长子网掩码 VLSM(Variable Length Subnet Mask, 可变长子网掩码),这是一种产生不同大小子网的网络分配机制。VLSM将允许给点到点的链路分配子网掩码255.255.255.252,而给Ethernet网络分配255.255.255.0。VLSM技术对高效分配IP地址(较少浪费)以及减少路由表大小都起到非常重要的作用。但是需要注意的是使用VLSM时,所采用的路由协议必须能够支持它,这些路由协议包括RIP2,OSPF,EIGRP和BGP。4 CIDR无类别编址 1992年引入了CIDR,它意味着在路由表层次的网络“类”的概念已经被取消,代之以“网络前缀”的概念。Internet中的CIDR(Classless Inter-Domain Routing, 无类别域间路由)的基本思想是取消地址的分类结构,取而代之的是允许以可变长分界的方式分配网络数。它支持路由聚合,可限制Internet主干路由器中必要路由信息的增长。 IP地址中A类已经分配完毕,B类也已经差不多了, 剩下的C类地址已经成为大家瓜分的目标。显然,对于一个国家、地区、组织来说分配到的地址最好是连续的, 那么如何来保证这一点呢? 于是提出了CIDR的概念。CIDR是Classless Inter Domain Routing 的缩写, 意为无类别的域间路由。 “无类型”的意思是现在的选路决策是基于整个32位IP地址的掩码操作。而不管其IP地址是A类、B类或是C类,都没有什么区别。 它的思想是: 把许多C类地址合起来作B类地址分配。采用这种分配多个IP地址的方式,使其能够将路由表中的许多表项归并(summarization)成更少的数目。 要使用这种归并,必须满足以下三种特性。1 为进行选路要对多个IP地址进行归并时,这些IP地址必须具有相同的高位地址比特。2 路由表和选路算法必须扩展成根据32位IP地址和32位掩码做出选路决策的算法。3 必须扩展选路协议使其除了32位地址外,还要有32位掩码。OSPF和RIP-2都能够携带第4版BGP所提出的32位掩码。 根据RFC1466建议,整个世界被分为四个地区,每个地区分配一段连续的C类地址: 欧洲: 194.0.0.0 ~ 195.255.255.255 北美: 198.0.0.0 ~ 199.255.255.255 中南美: 200.0.0.0 ~ 201.255.255.255 亚太地区: 202.0.0.0 ~ 203.255.255.255 通过这种方式,每个地区拥有约3200万的地址,另有约3200万的地址204.0.0.0 ~ 223.255.255.255保留备用。 这种分配方式的优点是很明显的: 1. 地址的分配是连续的 2. CIDR使路由表的设置更容易 因此,我们在做IP规划的时候,刻意将子网作成2^n模式,目的便是为了尽量支持路由归并,以减少路由表规模。此外,2^n子网规划模式也是为了保证IP地址划分的规范性。 通过以上几种方法,一方面可以在一段时间内保障IP地址的耗尽,另一方面可以使路由表更加简洁查找更加高效。 技术小窍门――子网的计算 有不少学员在进行IP规划时,总是头疼子网和掩码的计算,其主要原因是对十进制和二进制的转换不熟练。现在给一窍门,可以解决这个问题。首先,我们看一个例子: 一个主机的IP地址是202.112.14.37,掩码是255.255.255.240,要求计算这个主机所在网络的网络地址和广播地址。 常规办法是把这两个都换算成二进制,然后相与,就可得到网络地址。其实大家只要仔细想想,可以得到一个方法:掩码为255.255.255.240那么可以知道这个掩码所容纳的IP地址有256-240=16个(包括网络地址和广播地址),那么具有这种掩码的网络地址一定是16的倍数。而网络地址是子网IP地址的开始,广播地址是结束,可使用的IP地址在这个范围内,因此比37刚刚小的,又是16的倍数的数只有32,所以得出网络地址为202.112.14.32。而广播地址就是下一个网络的网络地址减一。而下一个16的倍数是48,因此可以得到广播地址为202.112.14.47。 那么,如果给定一IP地址范围,根据每个网络的主机数量,要进行IP地址规划,可以按照同样原则进行计算。比如一个子网有13台主机,那么对于这个子网就需要22+1+1+1=25个IP地址。(注意加的第一个1是指这个网络连接时所需的网关地址,接着的两个1分别是指网络地址和主机地址。)那么大于或等于25,又是2^n的数目是32,因此子网部分的掩码只有256-32=224,最后得到掩码255.255.255.224。 引伸:到后面学习中,学员在学习访问控制表,可能遇到通配符的计算。同样道理计算出需要设置的网络大小即掩码,然后用255.255.255.255减去掩码,就得到通配符。注意这只对一个完整的网络校验有效,对于子网中部分主机限制就无效了madlife 发表于 2005-2-12 19:30:17
我的内网网卡IP 是192。168。0。1,最近经常内网掉线,换成WIN2K后提示IP与某块网卡冲突,不过我死活在内网中找不到那块网卡,估计有人搞破坏吧,我参考以前的帖子,在ARP中登陆网卡的IP和MAC,在网卡界面中选REPLAY-ARP,我试试一台客户机IP改成192。168。0。1,过一会就又搞线了。。。。。。。。。请问如果在ROUTEOS中绑定192。168。0。1这个IP啊??最近很急啊,请教各位了! 楼主是说:RouterOS 的内网IP是192.168.0.1有人在WIN2K在内网改192.168.0.1抢了RouterOS 的内网IP。造成掉线!我也有这样的问题啊!有谁可以解决这个问题吗?如果这个问题解决不了的话那么RouterOS 就是垃圾路由了,因为没有一个路由器会连IP也被人抢到的! ip arp 里选择所有内网ip tools copy interface 里 General arp 选relay-onlymadlife 发表于 2005-2-12 19:32:57
在Winbox怎么查看某个内网IP上网的流量? tools torch 用限IP流量脚本madlife 发表于 2005-2-12 19:38:04
用WEB PROXY浏览速度是快了,但有的网页打开不正常如《仙境传说》的充值网页。 用ROUTEROS如何映射WEB服务?http://www.routerclub.com/ipb/index.php?showtopic=1125madlife 发表于 2005-2-12 19:39:30
架好了服务器 怎么限制访问某个IP IP-FILTER RULES 最右边对话框选择 forward 添加 IP和MAC 在action中选择DROP就可以了!madlife 发表于 2005-2-12 19:44:26
启用了WebProxy,并且在IE的连接那里设置了代理服务器后, 就出现有些网页无法打开的情况, 这种情况也不是经常出现, 大概隔1个小时左右一次, 刷新一二次又能正常访问. 细看了一下,好像又是DNS Cache的问题. 原因是这样的, WebProxy中Status有一栏是uptime, 里面有时间在跳,不知道什么原因, 跳到8分钟左右就会自动从零开始, 而这个时候刚好打开网页的, 就会出现上面的错误信息. 各位帮帮忙,这是怎么回事呢? 今天看了E文说明书,终于解决了. 我在终端进去,ip->web-proxy->monitor 到8分钟的时候出现了dns-missing的提示, 在ip->dns里加入DNS就解决了, 怪的事为什么不填也可以上网,但会断呢?madlife 发表于 2005-2-12 19:53:37
用ROUTEROS如何禁止访问CY07和封25端口 IP-firewall-filter rules-forward Dst.Address:61.136.171.57/32 Action:drop 其他取默认请问怎么设置才能启用web cache? http://www.routerclub.com/ipb/index.php?showtopic=1210madlife 发表于 2005-3-17 08:57:24
(以下内容有点乱。。。how to..)ROS死机很可能是日志生成太快造成的,跟CISCO的Debug all一样,日志设置要谨慎特别是防火墙的防冲击波的规则,最好不要让他长期产生日志 把TCP MMS的值设置少点。。。打开网页的速度会快点。。 还有是不要限制速度的上下限。。。 使用"/system reboot“命令重起基本安装只包含"system"包,它包含基本IP路由和路由管理Mikrotik充分体现了“right out of the box”,所以说,我强烈向那些需要配置Hotspots或是需要功能强大而价格低廉的路由解决方案的人们推荐Mikrotik Router OS。 带宽控制软件主要应用 防火墙 ISP核心路由器 用户认证管理系统 拨号服务器(拨入/拨出) 高性能ADSL/宽带共享器 流量记录(源地址,目标地址) 认证管理网关。****RosCPU是越强越好,内存128就够了****怎么用RouterOS 架设DHCP服务器****先建地址池 ip pool 再建DHCP服务模板 ip dhcp-server****如何封QQ****封掉udp协议的8000端口 ****如何备份ROS****在winbox中备份:files---backup恢复:files---restorereset和/file load没有本质区别一个是载入出厂状态,一个是载入你设定的状态 system backup>save导出配置文件,就是备份 system backup>load导入配置文件,就是恢复 ****如何导出导入防火墙设置****将设置用FTP上传到你的routeros主机,再用import导入。关于import(导入脚本)和export(导出脚本)的使用。在这里我举个例子简单说下他们的使用格式:1.如我想导出input防火墙的设置。(在routeros主机操作export,下面的“input ”是导出的脚本文件名,生成的文件放在/files文件夹下)/ ip firewall rule input export file=input 2.如我想导入下面附件中的forward.rsc文件。首先下载forward.rsc文件到你的内网任何一台机子上,再通过FTP上传到你routeros主机/files文件夹下,在routeros主机打入如下命令。/import forward.rsc********备份:export file=(fileneme)恢复:import****请问怎么设置才能启用web cache****admin@MikroTik] ip web-proxy> print enabled: yes address: 0.0.0.0:3128 hostname: "" transparent-proxy: no parent-proxy: 0.0.0.0:0 cache-administrator: "webmaster" max-object-size: 4096 kB max-cache-size: unlimited status: running reserved-for-cache: 10240 kB ip web-proxy> ip firewall dst-nat> print Flags: X - disabled, I - invalid 0 src-address=192.168.0.0/32:0-65535 in-interface=8139 dst-address=!192.168.0.0/32:80 protocol=tcp icmp-options=any:any flow="" src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=redirect to-dst-address=0.0.0.0 to-dst-port=3218 ip firewall dst-nat> 按上面设好web-proxy,在firewall dst-nat设置重定向就行了 摄制web-proxy不需要设置dst-nat就能用的,只要在客户机ie属性的连接属性中加上你的服务器ip和端口就行,与用外面的代理一样。 dst-nat是设置对外服务用的端口映射,例如在内网存在web服务器,需要从外面访问的话,就做80端口。****屏蔽恶意网站和广告****例如,可以加一条规则,禁止登陆新浪聊天室: ip ->firewall ->filter Rules , 选择 forward 选择 + 号,advanced 里面content 输上 chat.sina.com ,action里面选择return,即可 如果chat.sina.com 换成 ad4.sina.com.cn ,新浪主页的广告就没有了需要增加设置 防火墙规则,否则,安全没有保障 ip -》firewall -》filter Rules ,选择 + 号,in interface 选择内网网卡(local),其他默认 这条路由允许来自内网的连接,如果有限制,可以修改 src address 的ip段,或者content 内容过滤 ip -》firewall -》filter chains 选中 input ,选择 drop 这条规则禁止所有的外部连接内网的电脑就无访问网页内网不能上网的电脑的DNS是192.168.0.1将DNS的IP设为允许,就能上网了add src-address=202.101.172.37/32 action=accept comment="" disabled=no Rx就是接收到的;Tx就是传输出的。#用ROUTEOS分网段上网两个子网,不同IP段上网,只要在ROUTEOS中加一块网卡,管理那个IP段,就可以直接上网#有没有好办法避免RouterOS的ip地址被客户机占用RouterOS好是好,但客户机一旦使用了网关的IP就没搞了买三层式交换机吧。呵呵。其实呢ARP欺骗的是交换机通过MAC地址和IP地址绑定,把路由器内网的IP和网卡的MAC地址用手工进行绑定?然后通过设置内网网卡为reply-only1、指定内网的机器为指定IP地址2、将ROS的ARP列表里的动态ARP地址全部复制添加成静态ARPip->arp3、设置内网网卡ARP属性为reply-onlyinterface-> #怎样更改ros的web端口?就是进管理页面下载winbox的那个页面的端口中。ip service> set www port=xxx #input、forward、output的详细说明学习一下ip tableinputoutputforward才是管内外网的进出的forward是指路由转发数据设置,即哪些包允许被路由转发#有没有好办法避免RouterOS的ip地址被客户机占用通过MAC地址和IP地址绑定,把路由器内网的IP和网卡的MAC地址用手工进行绑定?然后通过设置内网网卡为reply-only1、指定内网的机器为指定IP地址2、将ROS的ARP列表里的动态ARP地址全部复制添加成静态ARPip->arp3、设置内网网卡ARP属性为reply-onlyinterface->
页:
[1]
2