routeros 我的安装心得[转]

yh66888

先说一下我的网络环境 公司有二根有限通是动态ip，要做负载均衡 内网ip段192.168.0.1-192.168.0.200 要完全开放192.168.0.168主机（就像路由中的dmz主机） 机器配置 赛扬1。1G 64M 3块3com网卡 1。用光盘版全选安装 （软盘版要另外下插件） 注意注册码都用大写 先插上一块网卡以便定下他作为连接内网的网卡 2。使用 admin用户登陆， 密码为空 3。设置第一块网卡的ip 输入setup，提示你设置ether1（第一块网卡连接内网），输入ip地址（192.168.0.1）子网掩码(255.255.255.0) gateway：192.168.0.254一路回车即可。 4。将剩下二块网卡插入电脑 5。在windows机器上，ip设成192.168.0.x ，在 ie 地址栏输上 192.168.0.1 出现 routeos 的欢迎画面。点击，提示下载 winbox ，保存 6。运行 winbox 输上 192.168.0.1 用户名 admin 密码为空，选连接。会出现路由的管理界面 7。激活新插入的二块网卡：点 interface ，点第二块卡，选勾，启用前面由x变为R 8。设置外网的二块网卡地址，在winbox选ip->dhcp-client 在窗口中勾上enabled interface选ether2（第二块网卡）勾上add default route 选hostname并添上wan1 表示第一块外网网卡，然后apply 这时如果拿到ip就会在ip->address里看到ip了 现在设置第三块网卡，现在有问题了routeros只能添加一个dhcp客户，所以如果再按上面的方法获得ip那么前面的到的ip就没有了，所以这里只能将就一下了，因为有限通ip一般只要连接就不会变ip所以就把还有一根线上的ip作为静态ip看，先记下ip然后在ip->address里按加号填入ip如219.233.23.23/24,在这里要注意：其实都是固定ip的话就在这设置即可，但如果你的二个ip在同一网段中如一个是219.233.23.23另一个是219.233.23.147的话就要在/后就是掩码这部分分一下 如219.233.23.23/25 219.233.23.147/24 这样在后面负载均衡时就不会出错了 9。现在你应该能ping通外网了，不过防火墙还没设置，在ip->firewall里选source nat 按加号添加规则，在规则里选action ->action里选masquerade 现在就能局域网里就能上网了。 10。现在来设负载均衡 在控制台里输入 ip route add gat=外网地址1,外网地址2 即可 是不是很简单啊 11。端口映射 端口映射很容易 在控制台里 ip firewall dst-nat> add action=nat protocol=tcp ^ 这是协议可以选all dst-address=外网地址/32:80 to-dst-address=内网ip地址 ^ 这里是你要映射的端口，如果全部就不要添 例子1：将外网所有80端口的请求都指向到168上 ip firewall dst-nat> add action=nat protocol=tcp dst-address=319.23.23.23/32:80 to-dst-address=192.168.0.168 例子2：完全开放192.168.0.168 ip firewall dst-nat> add action=nat protocol=tcp dst-address=319.23.23.23/32 to-dst-address=192.168.0.168 其实在端口映射里这样作，环流（就是内网也可用外网的地址访问内网的主机）功能也自然实现了 12.来看看RouterOS的防火墙吧，功能不错哦 比如现在流行的震荡波和冲击波的端口134－139 在winbox中 ip->firewall->filter rules 先设input(在右边可选的) 选加 general protocl选udp或tcp（其实这二个都要设，只要重复作就好了） src.port勾上填入134－139 dst.port勾上填入134－139 action 在action里选drop丢弃包或reject拒绝包 ok完成 再选forward和output照上面设完，这样不论是外网的机器或内网的机器中毒都不会影响其他用户了。 其实ip filter rules可设很多规则可以作一个非常不错的防火墙不过要注意input，forward，output根据不同情况的设置

smile787

谢谢分享～

hellion

这篇文章在很多网站都找得到

thinks

支持楼主发一些更加经典的帖子!谢谢!

mingongjia

QUOTE (yh66888 @ Sep 28 2004, 08:36 PM)
是你要映射的端口，如果全部就不要添 例子1：将外网所有80端口的请求都指向到168上 ip firewall dst-nat> add action=nat protocol=tcp dst-address=319.23.23.23/32:80 to-dst-address=192.168.0.168 例子2：完全开放192.168.0.168 ip firewall dst-nat> add action=nat protocol=tcp dst-address=319.23.23.23/32 to-dst-address=192.168.0.168 其实在端口映射里这样作，环流（就是内网也可用外网的地址访问内网的主机）功能也自然实现了  
  不行啊！老大环流问题还是没解决啊

lisidong

此??料固然多,但各人的体?不同.

duran

想问一下,3条adsl的线怎么带啊.