ROUTEOS使用笔记

luoshenwen

宽带和ADSL（PPPoE）不一样。  
宽带：单击IP，DHCP  Clients，Enable，Add  Default  Route，Interface  选择ether2，hostname为Client1,OK。再次打开DHCP  Clients，查

看Status页看是否获取IP地址，如果获取了就完工了。
ADSL拨号设置如下:
在WINBOX中,点interfaces-->增加(+)-->pppoe  clients-->dial  out
在user框输入adsl拨号用户名,在password框输入密码,并对选项框打勾(保存ADSL密码)-->APPLY.
------------------------------------------------------------------------------------------
设置NAT共享上网ip －－》firewall －source nat ，选择 ＋ 号，选择action，action里面选择 masquerade

/ip  firewall  mangle  add  protocol  tcp  tcp-options  syn-only  tcp-mss  1448  
------------------------------------------------------------------------
开DHCP
添加ip pool地址池
再开 ip dhcp server设上网关和dns
---------------------------------------------------------------------------
用routeros封PP点点通和VPP

因为本网吧经常有人利用PP点点通和VPP下载黄色电影,不但影响不好,而且很占
网络资源,降底网速,其它玩游戏者老是叫卡.所以作了以下处理:

用WINBOX登录,在IP-->Firewall的forward处添加:
第一条规则:
General页中的Dst.address改为210.15.29.67/32
Action页中的Action改为drop或reject
第二条规则:
General页中的Dst.address改为210.15.29.68/32
Action页中的Action改为drop或reject
第三条规则:
Advanced页中的content改为pp365
Action页中的Action改为drop或reject

这样设置后,别人登录PP点点能或VPP时就会提示说网络不通.
不知道PP和VPP还有没有其它服务器,有的话请告诉我IP址.

装个天网防火墙,然后分别登录pp点点通和pp,登陆的时候防火墙会提示ip连接的,将ip记下来,然后写在防火墙的规则里面.

用CommView可以看连接的。我就是用它来看QQ的连接。并封掉了其IP。QQGame也玩不了了
-------------------------------------------------------------------
RouterOS下限IP的TCP连接数(限线程),
来自每个IP地址最多允许有15个并发连接

/ip firewall rule forward add protocol=tcp tcp-options=syn-only connection-limit=15 \
action=drop

??限制一?IP的?接?
/ip firewall rule forward add protocol=tcp tcp-options=syn-only
src-address=192.168.0.249/32 connection-limit=15 action=drop
--------------------------------------------------------------------------------------
如果有一些网页打不开，你ISP的MTU=1492，请在IP > Firewall > Mangle > 单击红加号 > Protocol选择TCP > Tcp Options 选择 sync >

Actions选择 accept >TCP MSS:1448。
------------------------------------------------------------------------------------------
ip －》firewall －》filter fules ，选择 ＋ 号，in interface 选择内网网卡（local），其他默认
这条路由允许来自内网的连接，如果有限制，可以修改 src address 的ip段，或者content 内容过滤

ip －》firewall －》filter chains 选中 input ，选择 drop
这条规则禁止所有的外部连接

以上两条规则，屏蔽来自外网的所有连接

一些恶意网站和广告，也可以从这里屏蔽
例如，可以加一条规则，禁止登陆新浪聊天室：
ip －》firewall －》filter fules ，选择forward
选择＋号，advanced 里面content 输上chat.sina.com ,action里面选择return，即可
如果chat.sina.com 换成ad4.sina.com.cn ,新浪主页的广告就没有了
防火墙设置需要较强的网络知识，可以参考有关资料，或者天网等防火墙里面的规则

---------------------------------------------------------------------------------------------------
如果内部有需要对外发布的服务，例如ftp、web等，可以在ip  firewall  的destination  nat中设置，添加是注

意：dst.address  要用你对外的ip，选择相应的协议，端口号，另外acction中选择  nat  ，天上内网对应主机

ip  、端口号。  
--------------------------------------------------------------------------------------------------
全面解决ROUTER OS IP 限速问题

比如我要限：172.18.62.63的下载为：上限100Kbit-下限256Kbit,上行为：上限100Kbit-200Kbit下限，具体可以这样做：


1、下载带宽 IP---Simple Queues---"+"
Name=down SrcAddress=0.0.0.0/0 DstAddress=192.168.0.8/32 terface=eth1(内网网卡） limit at=100000 Maxlimit=256000
2、上传带宽 IP---Firewall---Mangle---"+"
SrcAddress=192.168.0.8/32 InInterface=eth1(内网网卡）DstAddress=0.0.0.0/0 Protocol=all Action=accept FlowMark=UP
3.Queues---QueuesTree---"+"
Name=UP Parent=eth2(外网网卡） Flow=UP limit=100000MaxLimit=200000

你要限多少个IP，就写多少个。我写了近：300来个IP，上行下行没有问题。
我这里是250台这样的网络，才4M的带宽，随时保持60-100来户人同时在线。ROUTER OS运行了4天4夜，PING 值一般小于：10MS,没有发现丢包现像

，速度用户反馈速度很快，不过我的防火墙设了一些规则，朋友们如果感兴趣，自己编些规则，与天网差不多，如果不熟TCP/IP的朋友，买一本回

来，不出1个月，你就精通了。
在Queues---QueuesTree里面还可以看在线用户当前速率。
方便无比。你要限谁就限谁。
我这里有6万个IP，我只开放172.18.60.0-172.18.60.127;172.18.61.0-172.18.61.127;
172.18.62.0-172.18.62.63

所以限了近：300来个IP。还可以限一个网段如：172.18.60.0/25
限制一个网段用PCQ

1. Mark all packets with flow all:用flow all 标记所有数据包
/ip firewall mangle add action=accept mark-flow=all

2. Create two PCQ queue types - one for download and one for upload. For download traffic：创建两条PCQ类型，下载和上传
queues will be classified by dst-address and for upload - by src-address:
/queue type add name=PCQ-Download kind=pcq pcq-rate=65536 \
pcq-classifier=dst-address
/queue type add name=PCQ-Upload kind=pcq pcq-rate=32768 \
pcq-classifier=src-address

3. Add two queue rules - one for download and one for upload:添加PCQ规则，下载和上传/
queue tree add parent=Local queue=PCQ-Download flow=all
/queue tree add parent=Public queue=PCQ-Upload flow=all
-----------------------------------------------------------------------------------------------
关于解决不能上百度的问题
把TCP  MSS  1448改成1432
----------------------------------------------------------------------------------------------------
这是官方的在线模拟
http://demo.mt.lv/
下载  MikroTik  WinBox  Console
我们做好的管理登陆界面也是这样的，  
打开winbox
在Connect  To填  demo.mt.lv
用户名Login填  demo
密码留空
然后点connect连接
---------------------------------------------------------------------------------------------------------------
Routeros的端口映射很简单.
在终端中的ip/firewall/dst-nat里面
比如我要映射80端口到192.168.0.100,外网地址是218.26.x.x(假设)
输入add action=nat protocol=tcp dst-address=218.26.x.x/32:80 to-dst-address=192.168.0.100
就ok了,需要注意的是做nat的时候,dst-address的子网掩码必须是32,也就是255.255.255.255,否则不行,很多朋友出问题就是出在这里.
----------------------------------------------------------------------------------------------------------
记录网卡MAC地址才能限制网卡上网。具体设置如下。
在防火墙里面的filter rules项选择forward然后添加一项设定也就是“＋”号，
在advanced项里面的src .mac.address项里面加入网卡的MAC地址，然后在ACTION中选择DROP项。这样子添加后，那块网卡的ip地址无论咋换，都

无法上网。除非它把网卡换了。我就是这样子作出来得，效果不错。
-----------------------------------------------------------------------------------------
[admin@MikroTik] system backup>save导出配置文件，就是备份
[admin@MikroTik] system backup>load导入配置文件，就是恢复
-----------------------------------------------------------------------
如果改了端口用winbox打不开了的解决方法
用SSH进入

/ip ser

/ip ser/>set www port 80

/ip ser/>set ftp port 21
-------------------------------------------------------
官方防火墙设置如下：

/ ip firewall
set input name="input" policy=accept comment=""
set forward name="forward" policy=accept comment=""
set output name="output" policy=accept comment=""
add name="virus" policy=none comment=""
/ ip firewall rule forward
add connection-state=invalid action=drop comment="Drop invalid \
connections" disabled=no
add connection-state=established action=accept comment="Established \
connections" disabled=no
add connection-state=related action=accept comment="Related connections" \
disabled=no
add action=jump jump-target=virus comment="!!! Check for well-known \
viruses !!!" disabled=no
add protocol=udp action=accept comment="UDP" disabled=no
add protocol=icmp limit-count=50 limit-burst=2 limit-time=5s \
action=accept comment="Allow limited pings" disabled=no
add protocol=icmp action=drop comment="Drop excess pings" disabled=no
/ ip firewall rule input
add connection-state=invalid action=drop comment="Drop invalid \
connections" disabled=no
add tcp-options=non-syn-only connection-state=established action=accept \
comment="Accept established connections" disabled=no
add connection-state=related action=accept comment="Accept related \
connections" disabled=no
add action=jump jump-target=virus comment="!!! Check for well-known \
viruses !!!" disabled=no
add protocol=udp action=accept comment="UDP" disabled=no
add protocol=icmp limit-count=50 limit-burst=2 limit-time=5s \
action=accept comment="Allow limited pings" disabled=no
add protocol=icmp action=drop comment="Drop excess pings" disabled=no
add dst-address=:22 protocol=tcp action=accept comment="SSH for demo \
purposes" disabled=no
add dst-address=:23 protocol=tcp action=accept comment="Telnet for demo \
purposes" disabled=no
add dst-address=:80 protocol=tcp action=accept comment="http for demo \
purposes" disabled=no
add dst-address=:3987 protocol=tcp action=accept comment="winbox for \
demo purposes" disabled=no
add src-address=159.148.172.192/28 action=accept comment="From \
Mikrotikls network" disabled=no
add src-address=10.0.0.0/8 action=accept comment="From Mikrotikls \
network" disabled=no
add action=drop log=yes comment="Log and drop everything else" \
disabled=no
/ ip firewall rule output
add protocol=tcp tcp-options=syn-only action=drop log=yes comment="" \
disabled=no
/ ip firewall rule virus
add dst-address=:134-139 protocol=tcp action=drop comment="Drop Blaster \
Worm" disabled=no
add dst-address=:134-139 protocol=udp action=drop comment="Drop \
Messenger Worm" disabled=no
add dst-address=:445 protocol=tcp action=drop comment="Drop Blaster \
Worm" disabled=no
add dst-address=:445 protocol=udp action=drop comment="Drop Blaster \
Worm" disabled=no
add dst-address=:593 protocol=tcp action=drop comment="________" \
disabled=no
add dst-address=:1024-1030 protocol=tcp action=drop comment="________" \
disabled=no
add dst-address=:1080 protocol=tcp action=drop comment="Drop MyDoom" \
disabled=no
add dst-address=:1214 protocol=tcp action=drop comment="________" \
disabled=no
add dst-address=:1363 protocol=tcp action=drop comment="ndm requester" \
disabled=no
add dst-address=:1364 protocol=tcp action=drop comment="ndm server" \
disabled=no
add dst-address=:1368 protocol=tcp action=drop comment="screen cast" \
disabled=no
add dst-address=:1373 protocol=tcp action=drop comment="hromgrafx" \
disabled=no
add dst-address=:1377 protocol=tcp action=drop comment="cichlid" \
disabled=no
add dst-address=:1433-1434 protocol=tcp action=drop comment="Worm" \
disabled=no
add dst-address=:2745 protocol=tcp action=drop comment="Bagle Virus" \
disabled=no
add dst-address=:2283 protocol=tcp action=drop comment="Drop Dumaru.Y" \
disabled=no
add dst-address=:2535 protocol=tcp action=drop comment="Drop Beagle" \
disabled=no
add dst-address=:2745 protocol=tcp action=drop comment="Drop Beagle.C-K" \
disabled=no
add dst-address=:3127-3128 protocol=tcp action=drop comment="Drop \
MyDoom" disabled=no
add dst-address=:3410 protocol=tcp action=drop comment="Drop Backdoor \
OptixPro" disabled=no
add dst-address=:4444 protocol=tcp action=drop comment="Worm" \
disabled=no
add dst-address=:4444 protocol=udp action=drop comment="Worm" \
disabled=no
add dst-address=:5554 protocol=tcp action=drop comment="Drop Sasser" \
disabled=no
add dst-address=:8866 protocol=tcp action=drop comment="Drop Beagle.B" \
disabled=no
add dst-address=:9898 protocol=tcp action=drop comment="Drop Dabber.A-B" \
disabled=no
add dst-address=:10000 protocol=tcp action=drop comment="Drop Dumaru.Y" \
disabled=no
add dst-address=:10080 protocol=tcp action=drop comment="Drop MyDoom.B" \
disabled=no
add dst-address=:12345 protocol=tcp action=drop comment="Drop NetBus" \
disabled=no
add dst-address=:17300 protocol=tcp action=drop comment="Drop Kuang2" \
disabled=no
add dst-address=:27374 protocol=tcp action=drop comment="Drop SubSeven" \
disabled=no
add dst-address=:65506 protocol=tcp action=drop comment="Drop PhatBot, \
Agobot, Gaobot" disabled=no
------------------------------------------------------
解决因防火墙屏蔽来自内网的所有连接
进入后输入 /ip f ru o   可打开OUTPUT  输入 //ip f ru in   可打开INPUT
再、输入p 可看结果
按REM O（此0为数字）可删除相应0的规则
你输入/ip f set i p a  可恢复系统默认input改回accept。
或者，使用system 里面的reset 复位路由（会删除所有规则）
----------------------------------------------------------------------
HotSpot设置一步一步指导
首先你要安装好routeROS 2.8.7以上的版本。


CODE  
[admin@MikroTik] > system reset



（系统自动复位清除设置并重新启动）

让我们来看看这个机器上有哪些网卡：

CODE  
[admin@MikroTik] > /interface print

Flags: X ? disabled, D ? Dynamic, R - Running
#  NAME     TYPE   MTU
0 X ether1    ether  1500
1 X ether2    ether  1500


你可以看到这个机器上有两张网卡显示，但是却是禁止的。
让我们来来给网卡指定名字，让以后看起来更方便

CODE  
[admin@MikroTik] interface> set 0 name=”hotspot”
[admin@MikroTik] interface> set 1 name=”internet”
[admin@MikroTik] interface> print

Flags: X ? disabled, D ? Dynamic, R - Running
#  NAME      TYPE    MTU
0 R internet    ether   1500
1 R hotspot    ether   1500



我们能根据名字更容易的查看某一张网卡的状态，让我们来给网卡指定IP地址。
设置routeros的inernet网卡的地址为192.168.1.2，设置网关为192.168.1.1，dns用你的isp给你的。我们用212.159.13.50

CODE  
[admin@MikroTik] > /ip
[admin@MikroTik] ip> address add address=192.168.1.2/24 interface=internet
[admin@MikroTik] ip> route add gateway=192.168.1.1
[admin@MikroTik] ip> dns
[admin@MikroTik] ip dns> set primary-dns=212.159.13.50
[admin@MikroTik] ip dns> set secondary-dns=212.159.11.50



启用dns缓存

CODE  
[admin@MikroTik]  ip dns> set allow-remote-requests=yes
[admin@MikroTik]  ip dns> ..


现在设置hotspot这张网卡

CODE  
[admin@MikroTik]  ip> hotspot
[admin@MikroTik]  ip hotspot> setup
Select interface on which to run HotSpot
Hotspot interface: hotspot
Enable universal client configuration?
Enable universal client: yes


这个功能是允许远程机器连接到即使他们使用完全不同的网络设置

CODE  
Local address of hotspot network gateway: 10.5.50.1/24
Masquerade hotspot network: yes
Address pool of hotspot network will be: 10.5.50.2-10.5.50.254
ip address of smtp server: 192.168.1.3


我们必须输入你的ISP的smtp服务器的IP，如果你没有，你可以给一个“internet” 段的IP。

CODE  
Use local DNS cache?
use local DNS cache: yes
Setup DNS Configuration
dns servers: 192.168.1.2



设置dns

CODE  
Name of hotspot user: admin
Password for the user: admin


设置hotspot超级管理员的用户名和口令（一定要保证安全）

CODE  
Select another port for (www) service
Another port for service: 8081  


指定另外一个端口8081给winbox用

CODE  
Use transparent web proxy for hotspot clients?
Use transparent web proxy: yes


使用web代理缓存

最后就设置好了。
-----------------------------------------------------------------------------
如何映射和回流（详细，有图）

映射
winbox----ip-----firewall-----Destination nat
+---- ⑴General 页
SRC。ADDRES |__ __ _ 默认
SRC。PORT |
INTEface all
Dst.address 外网ip /32（此32是定值）
Dst.port 映射端口（我这里是27015-27016）
⑵ ACTION 页
Action: nat
To Dst. address 192.168.1.253-192.168.1.253（内网提供服务的机器IP）
To Dst. Ports:27015-27016

回流

winbox----ip-----firewall-----Source NAT
+----- ⑴GERENAL页
Src.Address 192.168.1.253(内网提供服务器机器的IP) /32（此32是定值）
src.port
Dst.Address 192.168.1.0(你内网IP的前3位+0)/24（这里是你掩码的换算值）
Protocol 你自己的协议
⑵ Action页
action: nat
to Src.addresses 0.0.0.-0.0.0.0
TO src.ports:27015-27016
----------------------------------------------------------------------------
RouterOS整体限速
ip firewall mangle add action=accept mark-flow=all
以限制下载速度64K上行速度32K为例
/queue type add name=PCQ-Download kind=pcq pcq-rate=65536  pcq-classifier=""
/queue type add name=PCQ-Upload kind=pcq pcq-rate=32768    pcq-classifier=""
在WINBOX里PCQ-Download勾上Src.，PCQ-Upload勾上Dst.
/queue tree add parent=Local queue=PCQ-Download flow=all     //Local为本地网卡
/queue tree add parent=Public queue=PCQ-Upload flow=all      //Public为外网网卡

以上方法同样适用于对P2P限速。在ip firewall mangle里Advanced下p2p加上P2P-ALL就可以了。
------------------------------------------------------------------------------------
1。备份和恢复设置

绝对是好东东！你想想辛辛苦苦设置好的防火墙规则，网卡设置，各个路由，端口映射万一弄错了或重新安装时，是不是都要重新自已设置？这个

巨麻烦！！！但ROUETOS却为你考虑得很周到，可以手工备份你的设置文件，需要时只要一个命令即可恢复！

大家可以用WINBOX登陆，注意用ADMIN帐号，在左边是不是有个FILES？点开，再点对话框上面的BACKUP，这样就把当前的设置保存一个文件里面了

，再用IE登陆你的路由，用ftp://网管帐号：密码@路由IP:端口，登陆到你的路由后就会到你保存的文件了！用IE直接下载吧！

当你重新安装时，只要把内网弄通，用IE再登陆你的路由，把这个设置文件传上去，在WINBOX左边下面有个TE开头的英文，这是终端模拟，点开后

就像在路由上操作一样，用以下命令恢复你以前的设置：

system回车

backup回车

load name=你保存的设置文件名   回车

提示重启就一下子恢复到你以前设置了！！

是不是方便实用啊？

大家可能会说用WINBOX备份不爽，那我们也可以用终端备份呀！

在WINBOX左边下面有个TE开头的英文，这是终端模拟，点开后就像在路由上操作一样，用以下命令备份你以前的设置：

system回车

backup回车

save name=你保存的设置文件名   回车

建议文件名用日期表示可以很直观。这样就按你的文件名保存了。

用LOAD NAME命令就是恢复了。。。]

2.恢复路由本身默认值。

如果设错了规则或者地址，造成win不能进入管理界面，可以这样复原：
使用 admin 登陆
system 回车
reset 选择 y
将删除所有改动，恢复新装的状态

这个是恢复到出厂设置，很适合刚开始设置ROUTEOS时用用！

3。备份ROUTEOS

可以用GHOST8。0备份，注意是要用全盘备份，DISK TO IMG才行。

4。简单化输入

在ROUTEOS是不是感觉输入命令很麻烦？

其实ROUTEOS可以只要输入前两位字母就可以了。。。

比如上面的命令：

system

backup

这是进入目录的，可以简化成：

sy

ba

即可！很适合一些懒人。。。哈哈

5。检查磁盘

在路由或终端模拟下用下面命令：

system

check-disk

检查磁盘，要重启。 但是很慢，一分钟一G。。。哈哈

6。关机

可以在WINBOX中关机，也可以用命令关：

system

sh

即可

master

不错，好全面，给刚开始使用的朋友有很大帮助

xhb912

非常不错..感谢!!

hp_811007

有VPN的吗？不要PPTP的，要IPSEC的

zhangweizj

强烈要求精华

soft_route

好！比较详细！

浩如烟海

好啊，学习中。。。。。

ynboyinkm

辛苦了!!!

jack_i5

为了更好的服务于其他同学，建议楼主按照标准的文档格式再自行修改一下。

1、涉及到的一些网络术语，建议给出连接或者做出备注

2、尽可能按照ROS的使用难易顺序整理此文档。『当前版本感觉有些乱』

改完之后或许会再次提高你的技术水平！

感谢为论坛做出自己的贡献！！