双线不同带宽，学习笔记，有详细注释脚本，欢迎指正

ww111222

01_序言

1. #===================================================================================
   
2. #        基本资料
   
3. #===================================================================================
   
4. #日期：
   
5. #        2011-10-31
   
6. #
   
7. # ros 版本：
   
8. #        3.30
   
9. #
   
10. # 设备环境：
    
11. #        HUAWEI Quidway S2024C SERIES 二层交换机        1台
    
12. #        HUAWEI Quidway S3526-AC 三层交换机        1台
    
13. #        HUAWEI Quidway S2016 二层交换机                1台
    
14. #        CISCO Catalyst 1900 SERIES 交换机        1台
    
15. #        CISCO 2610 路由器                        1台
    
16. #        C3-900/128M内存/128MCF卡(旧电脑)        2台
    
17. #        Intel 82559 PCI网卡                        3片
    
18. #        Intel 82559 双口网卡(Compaq NC3134)        4片
    
19. #        上海贝尔 54M 无线路由猫                        1台
    
20. #        AT&T 2710hg-b 无线路由猫                1台
    
21. #        Cisco 1231G 无线AP                        1台
    
22. #
    
23. # 线路环境：
    
24. #        电信光纤拨号        1条        带宽        10M        (可多拨)
    
25. #        联通ADSL拨号        1条        带宽        4M        (可多拨)
    
26. #         
    
27. #                                         
    
28. # 实现目标：
    
29. #        *、电信、联通，PCC负载，下载带宽叠加
    
30. #        *、上传、下载限速
    
31. #        *、策略路由:电信IP走电信，联通IP走联通
    
32. #        *、断线自动切换。
    
33. #        *、网银正常
    
34. #        *、客户端用PPPOE拨号，到期自动提醒并停止账号
    
35. #        *、特别IP可直接上网
    
36. #        *、DDNS动态域名支持
    
37. #        *、Winbox登录通行密码
    
38. #        *、端口映射、回流，断线自动刷新
    
39. #        *、ROS 日期时间自动与时间服务器同步。
    
40. #
    
41. #运行方式：
    
42. #        登录 WinBox，点开 files, 将本文件(英文文件名！)拖到 winbox里
    
43. #        在[admin@MikroTik] > 状态 执行 : (否则 备注里的中文将会失效！)
    
44. 
    
45. #        [admin@MikroTik] >import ***.rsc

复制代码

ww111222

02_ROS安全配置

1. 
   
2. 
   
3. 
   
4. 
   
5. 
   
6. 
   
7. 
   
8. 
   
9. 
   
10. 
    
11. 
    
12. 
    
13. #===================================================================================
    
14. #配置 用户
    
15. #===================================================================================
    
16. #        1、新增超级用户，设置复杂密码，并限制登录IP地址
    
17. #        2、增加一个自定义full组test，并设置权限为最高，带!表示禁用
    
18. #        3、将ROS系统默认组(full ,read, write)的权限全部设置为最低。
    
19. #        4、在full组新增加一个多位账号及复杂密码的用户。
    
20. #        5、为admin设置复杂密码，移动到 read 组，并限制登录IP地址
    
21. #
    
22. 
    
23. #        变量        LoginRosIP                可访问ROS的IP段，我这里是为了内网192.168.88.*/24和VPN拨号192.168.99.0/24都能访问
    
24. #        变量        CustomFullGroup                自定义最高权限用户组
    
25. #        变量        CustomAdminUserName        自定义超级用户名称(账号不能有中文)
    
26. #        变量        CustomAdminUserPass        自定义超级用户密码(密码可以有中文，这样破解难度加大)
    
27. 
    
28. :global LoginRosIP "192.168.0.0/16"
    
29. :global CustomFullGroup "test"
    
30. :global CustomAdminUserName "ww111222"
    
31. :global CustomAdminUserPass "cQZAQ@wsxZ工QXsw陈cCDEN98"
    
32. 
    
33. / user group
    
34. add comment="最高权限组" \
    
35.         name=$CustomFullGroup \
    
36.         policy="local,telnet,ssh,reboot,read,test,winbox,password,web,sniff,sensitive,ftp,write,policy"
    
37. 
    
38. / user group
    
39. set read \
    
40.         comment="系统读权限组，权限改为最低" \
    
41.         policy="!local,!telnet,!ssh,!reboot,!read,!test,!winbox,!password,!web,!sniff,!sensitive,!ftp,!write,!policy"
    
42. 
    
43. set write \
    
44.         comment="系统写权限组，权限改为最低" \
    
45.         policy="!local,!telnet,!ssh,!reboot,!read,!test,!winbox,!password,!web,!sniff,!sensitive,!ftp,!write,!policy"
    
46. 
    
47. #不知道为什么，用脚本无法将系统自带的full权限改为全部没有！！！！
    
48. set full \
    
49.         comment="系统所有权限组，权限改为最低" \
    
50.         policy="!local,!telnet,!ssh,!reboot,!read,!test,!winbox,!password,!web,!sniff,!sensitive,!ftp,!write,!policy"
    
51. 
    
52. 
    
53. 
    
54. / user
    
55. add name=$CustomAdminUserName \
    
56.         password=$CustomAdminUserPass \
    
57.         group=$CustomFullGroup \
    
58.         comment="实际超级用户" \
    
59.         address=$LoginRosIP \
    
60.         disable=no
    
61. 
    
62. / user
    
63. add name="ASDFAF@ZX70980@CVZXVCAasf" \
    
64.         password="asdfaf09ok913中国41*&()&%^^&(*)33345" \
    
65.         group=full \
    
66.         comment="复杂账号/密码超级用户" \
    
67.         address=$LoginRosIP \
    
68.         disable=no
    
69. 
    
70. 
    
71. 
    
72. 
    
73. / user
    
74. set admin \
    
75.         password="C!@#cq2cnzaqWWSXCDERf中国vbgtyhnasdfasdf" \
    
76.         group=read \
    
77.         comment="陷阱超级用户" \
    
78.         address=$LoginRosIP \
    
79.         disable=no
    
80. 
    
81. 
    
82. 
    
83. 
    
84. #===================================================================================
    
85. #配置 WINBOX 服务
    
86. #===================================================================================
    
87. #        禁止不需要的 ROS服务，加强安全
    
88. #        将winbox服务的端口号 由 8291 改变为：自定义端口号 登录IP范围改为内网IP
    
89. 
    
90. #        变量        RosPort                自定义登录ROS的端口
    
91. #        变量        LoginRosIP        自定义登录ROS的IP段范围，在 配置用户 已定义
    
92. #        参数        disable                yes 禁止  /  no 允许
    
93. 
    
94. :global RosPort "9988"
    
95. 
    
96. / ip service
    
97.        set       telnet       address=$LoginRosIP       port=23              disabled=yes
    
98.        set       ftp          address=$LoginRosIP       port=21              disabled=yes
    
99.        set       www          address=$LoginRosIP       port=80              disabled=yes
    
100.        set       ssh          address=$LoginRosIP       port=22              disabled=yes
     
101.        set       www-ssl      address=$LoginRosIP       port=443             disabled=yes  
     
102.        set       api          address=$LoginRosIP       port=8728            disabled=yes
     
103.        set       winbox       address=$LoginRosIP       port=$RosPort        disabled=no
     
104. 
     
105. 
     
106. #===================================================================================
     
107. #配置 MAC 地址登录
     
108. #===================================================================================
     
109. #        enable        允许MAC登录
     
110. #        disable        禁止MAC登录
     
111. 
     
112. :global MacLogin "enable"
     
113. 
     
114. 
     
115. :if ($MacLogin="enable") do={/tool mac-server mac-winbox enable 0} else={/tool mac-server mac-winbox disable 0}
     
116. 
     
117. 
     
118. 
     
119. 
     
120. 
     
121. #===================================================================================
     
122. #更改ROS名称
     
123. #===================================================================================
     
124. #       
     
125. 
     
126. / system identity set name="ROS3.30_CQ"
     
127. 
     
128. 
     
129. 
     
130. 
     
131. 
     
132. 
     
133. #===================================================================================
     
134. #限制TTL值为1
     
135. #===================================================================================
     
136. #        PING IP或计算机名能探测到你电脑的一些信息。比如说用的是什么操作系统或目标主机是否存活。
     
137. #操作系统就可以通过PING通后返回的TTL值看出。若TTL值为128,则为WINDOWS NT系列的操作系统。
     
138. #若为64,则一般为Unix/Linux。当然这只是一般情况，因为TTL值是可以自己修改的。有些管理员通
     
139. #过修改TTL值来迷惑入侵者，让其不能很容易判断出主机上到底安装了何种操作系统和对自己的一些
     
140. #非法攻击。
     
141. 
     
142. #下级路由器的限制
     
143. 
     
144. 
     
145. /ip firewall mangle
     
146. add action=change-ttl \
     
147.         chain=prerouting \
     
148.         comment="修改TTL，禁止二级路由" \
     
149.         disabled=no \
     
150.         new-ttl=decrement:1
     
151. 
     
152. 
     
153. 
     
154. 
     
155. 
     
156. #===================================================================================
     
157. #设置 ROS 服务端口
     
158. #===================================================================================
     
159. #        用不上的服务全部禁止掉
     
160. 
     
161. #        参数        disabled        yes 禁止 /   no 允许
     
162. 
     
163. / ip firewall service-port
     
164.         set        ftp        disabled=yes
     
165.         set         h323         disabled=yes
     
166.         set         irc         disabled=yes
     
167.         set         pptp         disabled=yes
     
168.         set         sip         disabled=yes
     
169.         set         tftp         disabled=yes
     
170. 
     
171. 
     
172. 
     
173. 
     
174. 
     
175. 
     
176. #===================================================================================
     
177. #设置 ROS 访问防火墙
     
178. #===================================================================================
     
179. #        在些感谢 bbs.routerclub.com 论坛的 YAWPYNG 提供的脚本
     
180. #        网址：http://bbs.routerclub.com/forum.php?mod=viewthread&tid=48223
     
181. 
     
182. #        感谢 网大群 菩提祖师 提供的脚本
     
183. 
     
184. 
     
185. #        通关密码是"*****" <---- 自定义变量里的数字
     
186. #        在浏览器输入http://你的ROS IP:****
     
187. #        ROS 解析到"****"时 , 就自动将外网访问者的IP 加到白名单.
     
188. #        再通过 WinBox 登录 你的ROS IP:****
     
189. 
     
190. # ========   ROS本身的防火墙规则一定要在其它规则之前。 ==========
     
191. 
     
192. 
     
193. #        变量        PassWD                IP登录ROS时的通关密码
     
194. #        变量        DropScanIPList        非法扫描IP列表名_黑名单
     
195. #        变量        AcceptAdminIP        合法登录IP列表名_白名单
     
196. 
     
197. 
     
198. :global PassWD "64888"
     
199. :global DropScanIPList "DropScanIPList_List"
     
200. :global AcceptAdminIP "AcceptAdminIP_List"
     
201. 
     
202. 
     
203. 
     
204. 
     
205. /ip firewall filter   
     
206. add action=drop \
     
207.         chain=input \
     
208.         comment="封 非法扫描IP列表_黑名单" \
     
209.         disabled=no \
     
210.         src-address-list=$DropScanIPList
     
211. 
     
212. 
     
213. 
     
214. /ip firewall filter
     
215. add action=drop \
     
216.         chain=output \
     
217.         comment="禁止ping" \
     
218.         disabled=no \
     
219.   protocol=icmp
     
220.   
     
221.   
     
222. 
     
223. /ip firewall filter
     
224. add action=drop \
     
225.         chain=input \
     
226.         comment="封tracert路由跟踪" \
     
227.         disabled=no \
     
228.         icmp-options=11:0 \
     
229.         protocol=icmp
     
230.        
     
231.        
     
232.        
     
233. 
     
234. 
     
235. 
     
236. #
     
237. # PSD (Port scan detecting) 端口扫描检测技术是保护RouterOS路由器安全的一项有效技术。
     
238. # 扫描开放的端口往往是黑客攻击的第一步，比如NMAP就是很好的端口扫描工具。
     
239. # 在RouterOS加入以下规则 add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="detect and drop port scan connections" disabled=no
     
240. # 可以有效阻断外部ip对RouterOS路由器的扫描。
     
241. # Action中可以直接drop,或者先log，再drop, 还可以将对你进行的端口扫描的ip地址放入 address list,禁止这些ip对路由器的后续访问。
     
242. # 但是 Psd=21,3s,3,1 这四个参数的具体含义又是什么呢？
     
243. #  iptables的官方文档是这样描述的
     
244. # 第一个参数 21  -> Portscan detection weight threshold  (端口扫描检测权重阈值)
     
245. # 第二个参数 3s  -> Portscan detection delay threshold   (端口扫描检测延迟阈值)
     
246. # 第三个参数 3   -> Privileged ports weight              (1-1024端口权重)
     
247. # 第四个参数 1   -> High ports weight                    (1024以上端口权重)
     
248. 
     
249. #我来翻译一下，假设有一台机器对你的RouterOS路由器的不同端口持续发送一系列数据包，每两个数据包之间的时间间隔不超过3秒，这些包的目的端口如果是1024以下端口，
     
250. #那么权重就记为3，如果目的端口是1024以上端口，则权重记为1，这些连续的包的权重将会被累加，如果累加的值超过21，将会启用以上的端口扫描检测防火墙规则，其后续的数据包将会被丢弃。
     
251. #也就是说，对低端口连续发送7个至不同端口的数据包，或者对高端口发送21个，或者其混合权重达到21，都会触发该防火墙规则。
     
252. #21,3s,3,1是默认参数，理解了以上参数的详细内容以后，可以根据自己的特定需求对其进行修改。
     
253. 
     
254. 
     
255. 
     
256. 
     
257. 
     
258.        
     
259. 
     
260. /ip firewall filter
     
261. add action=add-src-to-address-list \
     
262.         address-list=$DropScanIPList \
     
263.     address-list-timeout=2w \
     
264.     chain=input \
     
265.     comment="端口扫描 加入列表" \
     
266.     disabled=no \
     
267.     protocol=tcp \
     
268.     psd=21,3s,3,1
     
269.    
     
270.    
     
271. /ip firewall filter   
     
272. add action=add-src-to-address-list \
     
273.         address-list=$DropScanIPList \
     
274.     address-list-timeout=2w \
     
275.     chain=input \
     
276.     comment="NMAP FIN 隐蔽扫描 加入列表" \
     
277.     disabled=no \
     
278.     protocol=tcp \
     
279.     tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
     
280.    
     
281.    
     
282.    
     
283. /ip firewall filter      
     
284. add action=add-src-to-address-list \
     
285.         address-list=$DropScanIPList \
     
286.     address-list-timeout=2w \
     
287.     chain=input \
     
288.     comment="SYN/FIN 扫描 加入列表" \
     
289.     disabled=no \
     
290.     protocol=tcp \
     
291.     tcp-flags=fin,syn
     
292.    
     
293.    
     
294.    
     
295. /ip firewall filter   
     
296. add action=add-src-to-address-list \
     
297.         address-list=$DropScanIPList \
     
298.     address-list-timeout=2w \
     
299.     chain=input \
     
300.     comment="SYN/RST 扫描 加入列表" \
     
301.     disabled=no \
     
302.     protocol=tcp \
     
303.     tcp-flags=syn,rst
     
304.    
     
305.    
     
306. /ip firewall filter   
     
307. add action=add-src-to-address-list \
     
308.         address-list=$DropScanIPList \
     
309.     address-list-timeout=2w \
     
310.     chain=input \
     
311.     comment="FIN/PSH/URG 扫描 加入列表" \
     
312.     disabled=no \
     
313.     protocol=tcp \
     
314.     tcp-flags=fin,psh,urg,!syn,!rst,!ack
     
315.    
     
316.    
     
317. /ip firewall filter   
     
318. add action=add-src-to-address-list \
     
319.         address-list=$DropScanIPList \
     
320.     address-list-timeout=2w \
     
321.     chain=input \
     
322.     comment="ALL/ALL 扫描 加入列表" \
     
323.     disabled=no \
     
324.     protocol=tcp \
     
325.     tcp-flags=fin,syn,rst,psh,ack,urg
     
326.    
     
327.    
     
328. /ip firewall filter   
     
329. add action=add-src-to-address-list \
     
330.         address-list=$DropScanIPList \
     
331.     address-list-timeout=2w \
     
332.     chain=input \
     
333.     comment="NMAP NULL 扫描IP 加入列表" \
     
334.     disabled=no \
     
335.     protocol=tcp \
     
336.     tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
     
337.    
     
338.    
     
339. 
     
340. 
     
341. 
     
342. 
     
343. #通关密码功能,将外网访问者的IP 加到白名单
     
344. 
     
345. #通关密码就是"64888" <---- 自己更改换成其它数字
     
346. #在浏览器输入http://你的ROS IP:64888
     
347. #ROS 解析到"64888"时 , 就自动将外网访问者的IP 加到address list.
     
348. 
     
349. 
     
350. 
     
351. /ip firewall filter
     
352. add action=add-src-to-address-list \
     
353.         address-list=$AcceptAdminIP \
     
354.          address-list-timeout=4w2d2h \
     
355.          chain=input \
     
356.          comment="将通关IP加入到_白名单" \
     
357.          disabled=no \
     
358.          dst-port=$PassWD \
     
359.          protocol=tcp  \
     
360.          src-address-list=("!" . $AcceptAdminIP)
     
361. 
     
362. 
     
363. 
     
364. 
     
365. 
     
366. 
     
367. 
     
368. 
     
369. 
     
370. #以下这一条是除了允许名单之外的IP 都拒绝访问自定义的 PORT
     
371. 
     
372. 
     
373. 
     
374. 
     
375. /ip firewall filter
     
376. add action=drop \
     
377.         chain=input \
     
378.         comment="禁止所有 非白名单 IP 访问 ROS登录端口" \
     
379.         disabled=no \
     
380.         dst-port=$RosPort \
     
381.         protocol=tcp \
     
382.         src-address-list=("!" . $AcceptAdminIP)
     
383. 
     
384. 
     
385. 
     

复制代码

ww111222

bobwalker 发表于 2011-10-31 22:59

                               
登录/注册后可看大图

注册测试ADSL多拨带宽能否加倍，如果不能加倍，推荐4MADSL移除。

  已经测试， 不能加倍

      

         

9939781

楼主是程序员吧，排版这么有杀气。。。

peckpock

太有耐心了

ww111222

9939781 发表于 2011-10-31 23:14

                               
登录/注册后可看大图

楼主是程序员吧，排版这么有杀气。。。

  算是吧， N年前 考过，


        习惯了。



  这样看着 清晰， 明白。



    大家也好理解。

wpsliu

楼主超级厉害....精神可嘉

hs_wupan

排版确实有霸气。。。看着清晰 漂亮

jiangyufu

赞一个，哈哈啊

注册马

看上 去果然有杀气啊!~做得这么清淅

tonykong

谢谢楼主,学习一下.

白头

不管楼主男的女的，我都给力一抱~！学习了

老树昏鸦

中国要多一些牛人，创造国产的ROS，不说让外国了用我们中国的软件，起码可以不用老外的软件。

风轻

好长 好长！！！！！

michaelyuan

支持原创