找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 7903|回复: 9

[其它] ROUTEOS使用笔记

[复制链接]
发表于 2005-6-18 01:48:51 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
宽带和ADSL(PPPoE)不一样。  
宽带:单击IP,DHCP  Clients,Enable,Add  Default  Route,Interface  选择ether2,hostname为Client1,OK。再次打开DHCP  Clients,查

看Status页看是否获取IP地址,如果获取了就完工了。
ADSL拨号设置如下:
在WINBOX中,点interfaces-->增加(+)-->pppoe  clients-->dial  out
在user框输入adsl拨号用户名,在password框输入密码,并对选项框打勾(保存ADSL密码)-->APPLY.
------------------------------------------------------------------------------------------
设置NAT共享上网ip --》firewall -source nat ,选择 + 号,选择action,action里面选择 masquerade

/ip  firewall  mangle  add  protocol  tcp  tcp-options  syn-only  tcp-mss  1448  
------------------------------------------------------------------------
开DHCP
添加ip pool地址池
再开 ip dhcp server设上网关和dns
---------------------------------------------------------------------------
routeros封PP点点通和VPP

因为本网吧经常有人利用PP点点通和VPP下载黄色电影,不但影响不好,而且很占
网络资源,降底网速,其它玩游戏者老是叫卡.所以作了以下处理:

用WINBOX登录,在IP-->Firewall的forward处添加:
第一条规则:
General页中的Dst.address改为210.15.29.67/32
Action页中的Action改为drop或reject
第二条规则:
General页中的Dst.address改为210.15.29.68/32
Action页中的Action改为drop或reject
第三条规则:
Advanced页中的content改为pp365
Action页中的Action改为drop或reject

这样设置后,别人登录PP点点能或VPP时就会提示说网络不通.
不知道PP和VPP还有没有其它服务器,有的话请告诉我IP址.

装个天网防火墙,然后分别登录pp点点通和pp,登陆的时候防火墙会提示ip连接的,将ip记下来,然后写在防火墙的规则里面.

用CommView可以看连接的。我就是用它来看QQ的连接。并封掉了其IP。QQGame也玩不了了
-------------------------------------------------------------------
RouterOS下限IP的TCP连接数(限线程),
来自每个IP地址最多允许有15个并发连接

/ip firewall rule forward add protocol=tcp tcp-options=syn-only connection-limit=15 \
action=drop

??限制一?IP的?接?
/ip firewall rule forward add protocol=tcp tcp-options=syn-only
src-address=192.168.0.249/32 connection-limit=15 action=drop
--------------------------------------------------------------------------------------
如果有一些网页打不开,你ISP的MTU=1492,请在IP > Firewall > Mangle > 单击红加号 > Protocol选择TCP > Tcp Options 选择 sync >

Actions选择 accept >TCP MSS:1448。
------------------------------------------------------------------------------------------
ip -》firewall -》filter fules ,选择 + 号,in interface 选择内网网卡(local),其他默认
这条路由允许来自内网的连接,如果有限制,可以修改 src address 的ip段,或者content 内容过滤

ip -》firewall -》filter chains 选中 input ,选择 drop
这条规则禁止所有的外部连接

以上两条规则,屏蔽来自外网的所有连接

一些恶意网站和广告,也可以从这里屏蔽
例如,可以加一条规则,禁止登陆新浪聊天室:
ip -》firewall -》filter fules ,选择forward
选择+号,advanced 里面content 输上chat.sina.com ,action里面选择return,即可
如果chat.sina.com 换成ad4.sina.com.cn ,新浪主页的广告就没有了
防火墙设置需要较强的网络知识,可以参考有关资料,或者天网等防火墙里面的规则

---------------------------------------------------------------------------------------------------
如果内部有需要对外发布的服务,例如ftp、web等,可以在ip  firewall  的destination  nat中设置,添加是注

意:dst.address  要用你对外的ip,选择相应的协议,端口号,另外acction中选择  nat  ,天上内网对应主机

ip  、端口号。  
--------------------------------------------------------------------------------------------------
全面解决ROUTER OS IP 限速问题

比如我要限:172.18.62.63的下载为:上限100Kbit-下限256Kbit,上行为:上限100Kbit-200Kbit下限,具体可以这样做:


1、下载带宽 IP---Simple Queues---"+"
Name=down SrcAddress=0.0.0.0/0 DstAddress=192.168.0.8/32 terface=eth1(内网网卡) limit at=100000 Maxlimit=256000
2、上传带宽 IP---Firewall---Mangle---"+"
SrcAddress=192.168.0.8/32 InInterface=eth1(内网网卡)DstAddress=0.0.0.0/0 Protocol=all Action=accept FlowMark=UP
3.Queues---QueuesTree---"+"
Name=UP Parent=eth2(外网网卡) Flow=UP limit=100000MaxLimit=200000

你要限多少个IP,就写多少个。我写了近:300来个IP,上行下行没有问题。
我这里是250台这样的网络,才4M的带宽,随时保持60-100来户人同时在线。ROUTER OS运行了4天4夜,PING 值一般小于:10MS,没有发现丢包现像

,速度用户反馈速度很快,不过我的防火墙设了一些规则,朋友们如果感兴趣,自己编些规则,与天网差不多,如果不熟TCP/IP的朋友,买一本回

来,不出1个月,你就精通了。
在Queues---QueuesTree里面还可以看在线用户当前速率。
方便无比。你要限谁就限谁。
我这里有6万个IP,我只开放172.18.60.0-172.18.60.127;172.18.61.0-172.18.61.127;
172.18.62.0-172.18.62.63

所以限了近:300来个IP。还可以限一个网段如:172.18.60.0/25
限制一个网段用PCQ

1. Mark all packets with flow all:用flow all 标记所有数据包
/ip firewall mangle add action=accept mark-flow=all

2. Create two PCQ queue types - one for download and one for upload. For download traffic:创建两条PCQ类型,下载和上传
queues will be classified by dst-address and for upload - by src-address:
/queue type add name=PCQ-Download kind=pcq pcq-rate=65536 \
pcq-classifier=dst-address
/queue type add name=PCQ-Upload kind=pcq pcq-rate=32768 \
pcq-classifier=src-address

3. Add two queue rules - one for download and one for upload:添加PCQ规则,下载和上传/
queue tree add parent=Local queue=PCQ-Download flow=all
/queue tree add parent=Public queue=PCQ-Upload flow=all
-----------------------------------------------------------------------------------------------
关于解决不能上百度的问题
把TCP  MSS  1448改成1432
----------------------------------------------------------------------------------------------------
这是官方的在线模拟
http://demo.mt.lv/
下载  MikroTik  WinBox  Console
我们做好的管理登陆界面也是这样的,  
打开winbox
在Connect  To填  demo.mt.lv
用户名Login填  demo
密码留空
然后点connect连接
---------------------------------------------------------------------------------------------------------------
Routeros的端口映射很简单.
在终端中的ip/firewall/dst-nat里面
比如我要映射80端口到192.168.0.100,外网地址是218.26.x.x(假设)
输入add action=nat protocol=tcp dst-address=218.26.x.x/32:80 to-dst-address=192.168.0.100
就ok了,需要注意的是做nat的时候,dst-address的子网掩码必须是32,也就是255.255.255.255,否则不行,很多朋友出问题就是出在这里.
----------------------------------------------------------------------------------------------------------
记录网卡MAC地址才能限制网卡上网。具体设置如下。
在防火墙里面的filter rules项选择forward然后添加一项设定也就是“+”号,
在advanced项里面的src .mac.address项里面加入网卡的MAC地址,然后在ACTION中选择DROP项。这样子添加后,那块网卡的ip地址无论咋换,都

无法上网。除非它把网卡换了。我就是这样子作出来得,效果不错。
-----------------------------------------------------------------------------------------
[admin@MikroTik] system backup>save导出配置文件,就是备份
[admin@MikroTik] system backup>load导入配置文件,就是恢复
-----------------------------------------------------------------------
如果改了端口用winbox打不开了的解决方法
用SSH进入

/ip ser

/ip ser/>set www port 80

/ip ser/>set ftp port 21
-------------------------------------------------------
官方防火墙设置如下:

/ ip firewall
set input name="input" policy=accept comment=""
set forward name="forward" policy=accept comment=""
set output name="output" policy=accept comment=""
add name="virus" policy=none comment=""
/ ip firewall rule forward
add connection-state=invalid action=drop comment="Drop invalid \
connections" disabled=no
add connection-state=established action=accept comment="Established \
connections" disabled=no
add connection-state=related action=accept comment="Related connections" \
disabled=no
add action=jump jump-target=virus comment="!!! Check for well-known \
viruses !!!" disabled=no
add protocol=udp action=accept comment="UDP" disabled=no
add protocol=icmp limit-count=50 limit-burst=2 limit-time=5s \
action=accept comment="Allow limited pings" disabled=no
add protocol=icmp action=drop comment="Drop excess pings" disabled=no
/ ip firewall rule input
add connection-state=invalid action=drop comment="Drop invalid \
connections" disabled=no
add tcp-options=non-syn-only connection-state=established action=accept \
comment="Accept established connections" disabled=no
add connection-state=related action=accept comment="Accept related \
connections" disabled=no
add action=jump jump-target=virus comment="!!! Check for well-known \
viruses !!!" disabled=no
add protocol=udp action=accept comment="UDP" disabled=no
add protocol=icmp limit-count=50 limit-burst=2 limit-time=5s \
action=accept comment="Allow limited pings" disabled=no
add protocol=icmp action=drop comment="Drop excess pings" disabled=no
add dst-address=:22 protocol=tcp action=accept comment="SSH for demo \
purposes" disabled=no
add dst-address=:23 protocol=tcp action=accept comment="Telnet for demo \
purposes" disabled=no
add dst-address=:80 protocol=tcp action=accept comment="http for demo \
purposes" disabled=no
add dst-address=:3987 protocol=tcp action=accept comment="winbox for \
demo purposes" disabled=no
add src-address=159.148.172.192/28 action=accept comment="From \
Mikrotikls network" disabled=no
add src-address=10.0.0.0/8 action=accept comment="From Mikrotikls \
network" disabled=no
add action=drop log=yes comment="Log and drop everything else" \
disabled=no
/ ip firewall rule output
add protocol=tcp tcp-options=syn-only action=drop log=yes comment="" \
disabled=no
/ ip firewall rule virus
add dst-address=:134-139 protocol=tcp action=drop comment="Drop Blaster \
Worm" disabled=no
add dst-address=:134-139 protocol=udp action=drop comment="Drop \
Messenger Worm" disabled=no
add dst-address=:445 protocol=tcp action=drop comment="Drop Blaster \
Worm" disabled=no
add dst-address=:445 protocol=udp action=drop comment="Drop Blaster \
Worm" disabled=no
add dst-address=:593 protocol=tcp action=drop comment="________" \
disabled=no
add dst-address=:1024-1030 protocol=tcp action=drop comment="________" \
disabled=no
add dst-address=:1080 protocol=tcp action=drop comment="Drop MyDoom" \
disabled=no
add dst-address=:1214 protocol=tcp action=drop comment="________" \
disabled=no
add dst-address=:1363 protocol=tcp action=drop comment="ndm requester" \
disabled=no
add dst-address=:1364 protocol=tcp action=drop comment="ndm server" \
disabled=no
add dst-address=:1368 protocol=tcp action=drop comment="screen cast" \
disabled=no
add dst-address=:1373 protocol=tcp action=drop comment="hromgrafx" \
disabled=no
add dst-address=:1377 protocol=tcp action=drop comment="cichlid" \
disabled=no
add dst-address=:1433-1434 protocol=tcp action=drop comment="Worm" \
disabled=no
add dst-address=:2745 protocol=tcp action=drop comment="Bagle Virus" \
disabled=no
add dst-address=:2283 protocol=tcp action=drop comment="Drop Dumaru.Y" \
disabled=no
add dst-address=:2535 protocol=tcp action=drop comment="Drop Beagle" \
disabled=no
add dst-address=:2745 protocol=tcp action=drop comment="Drop Beagle.C-K" \
disabled=no
add dst-address=:3127-3128 protocol=tcp action=drop comment="Drop \
MyDoom" disabled=no
add dst-address=:3410 protocol=tcp action=drop comment="Drop Backdoor \
OptixPro" disabled=no
add dst-address=:4444 protocol=tcp action=drop comment="Worm" \
disabled=no
add dst-address=:4444 protocol=udp action=drop comment="Worm" \
disabled=no
add dst-address=:5554 protocol=tcp action=drop comment="Drop Sasser" \
disabled=no
add dst-address=:8866 protocol=tcp action=drop comment="Drop Beagle.B" \
disabled=no
add dst-address=:9898 protocol=tcp action=drop comment="Drop Dabber.A-B" \
disabled=no
add dst-address=:10000 protocol=tcp action=drop comment="Drop Dumaru.Y" \
disabled=no
add dst-address=:10080 protocol=tcp action=drop comment="Drop MyDoom.B" \
disabled=no
add dst-address=:12345 protocol=tcp action=drop comment="Drop NetBus" \
disabled=no
add dst-address=:17300 protocol=tcp action=drop comment="Drop Kuang2" \
disabled=no
add dst-address=:27374 protocol=tcp action=drop comment="Drop SubSeven" \
disabled=no
add dst-address=:65506 protocol=tcp action=drop comment="Drop PhatBot, \
Agobot, Gaobot" disabled=no
------------------------------------------------------
解决因防火墙屏蔽来自内网的所有连接
进入后输入 /ip f ru o   可打开OUTPUT  输入 //ip f ru in   可打开INPUT
再、输入p 可看结果
按REM O(此0为数字)可删除相应0的规则
你输入/ip f set i p a  可恢复系统默认input改回accept。
或者,使用system 里面的reset 复位路由(会删除所有规则)
----------------------------------------------------------------------
HotSpot设置一步一步指导
首先你要安装好routeROS 2.8.7以上的版本。


CODE  
[admin@MikroTik] > system reset



(系统自动复位清除设置并重新启动)

让我们来看看这个机器上有哪些网卡:

CODE  
[admin@MikroTik] > /interface print

Flags: X ? disabled, D ? Dynamic, R - Running
#  NAME     TYPE   MTU
0 X ether1    ether  1500
1 X ether2    ether  1500


你可以看到这个机器上有两张网卡显示,但是却是禁止的。
让我们来来给网卡指定名字,让以后看起来更方便

CODE  
[admin@MikroTik] interface> set 0 name=”hotspot”
[admin@MikroTik] interface> set 1 name=”internet”
[admin@MikroTik] interface> print

Flags: X ? disabled, D ? Dynamic, R - Running
#  NAME      TYPE    MTU
0 R internet    ether   1500
1 R hotspot    ether   1500



我们能根据名字更容易的查看某一张网卡的状态,让我们来给网卡指定IP地址。
设置routeros的inernet网卡的地址为192.168.1.2,设置网关为192.168.1.1,dns用你的isp给你的。我们用212.159.13.50

CODE  
[admin@MikroTik] > /ip
[admin@MikroTik] ip> address add address=192.168.1.2/24 interface=internet
[admin@MikroTik] ip> route add gateway=192.168.1.1
[admin@MikroTik] ip> dns
[admin@MikroTik] ip dns> set primary-dns=212.159.13.50
[admin@MikroTik] ip dns> set secondary-dns=212.159.11.50



启用dns缓存

CODE  
[admin@MikroTik]  ip dns> set allow-remote-requests=yes
[admin@MikroTik]  ip dns> ..


现在设置hotspot这张网卡

CODE  
[admin@MikroTik]  ip> hotspot
[admin@MikroTik]  ip hotspot> setup
Select interface on which to run HotSpot
Hotspot interface: hotspot
Enable universal client configuration?
Enable universal client: yes


这个功能是允许远程机器连接到即使他们使用完全不同的网络设置

CODE  
Local address of hotspot network gateway: 10.5.50.1/24
Masquerade hotspot network: yes
Address pool of hotspot network will be: 10.5.50.2-10.5.50.254
ip address of smtp server: 192.168.1.3


我们必须输入你的ISP的smtp服务器的IP,如果你没有,你可以给一个“internet” 段的IP。

CODE  
Use local DNS cache?
use local DNS cache: yes
Setup DNS Configuration
dns servers: 192.168.1.2



设置dns

CODE  
Name of hotspot user: admin
Password for the user: admin


设置hotspot超级管理员的用户名和口令(一定要保证安全)

CODE  
Select another port for (www) service
Another port for service: 8081  


指定另外一个端口8081给winbox用

CODE  
Use transparent web proxy for hotspot clients?
Use transparent web proxy: yes


使用web代理缓存

最后就设置好了。
-----------------------------------------------------------------------------
如何映射和回流(详细,有图)

映射
winbox----ip-----firewall-----Destination nat
+---- ⑴General 页
SRC。ADDRES |__ __ _ 默认
SRC。PORT |
INTEface all
Dst.address 外网ip /32(此32是定值)
Dst.port 映射端口(我这里是27015-27016)
⑵ ACTION 页
Action: nat
To Dst. address 192.168.1.253-192.168.1.253(内网提供服务的机器IP)
To Dst. Ports:27015-27016

回流

winbox----ip-----firewall-----Source NAT
+----- ⑴GERENAL页
Src.Address 192.168.1.253(内网提供服务器机器的IP) /32(此32是定值)
src.port
Dst.Address 192.168.1.0(你内网IP的前3位+0)/24(这里是你掩码的换算值)
Protocol 你自己的协议
⑵ Action页
action: nat
to Src.addresses 0.0.0.-0.0.0.0
TO src.ports:27015-27016
----------------------------------------------------------------------------
RouterOS整体限速
ip firewall mangle add action=accept mark-flow=all
以限制下载速度64K上行速度32K为例
/queue type add name=PCQ-Download kind=pcq pcq-rate=65536  pcq-classifier=""
/queue type add name=PCQ-Upload kind=pcq pcq-rate=32768    pcq-classifier=""
在WINBOX里PCQ-Download勾上Src.,PCQ-Upload勾上Dst.
/queue tree add parent=Local queue=PCQ-Download flow=all     //Local为本地网卡
/queue tree add parent=Public queue=PCQ-Upload flow=all      //Public为外网网卡

以上方法同样适用于对P2P限速。在ip firewall mangle里Advanced下p2p加上P2P-ALL就可以了。
------------------------------------------------------------------------------------
1。备份和恢复设置

绝对是好东东!你想想辛辛苦苦设置好的防火墙规则,网卡设置,各个路由,端口映射万一弄错了或重新安装时,是不是都要重新自已设置?这个

巨麻烦!!!但ROUETOS却为你考虑得很周到,可以手工备份你的设置文件,需要时只要一个命令即可恢复!

大家可以用WINBOX登陆,注意用ADMIN帐号,在左边是不是有个FILES?点开,再点对话框上面的BACKUP,这样就把当前的设置保存一个文件里面了

,再用IE登陆你的路由,用ftp://网管帐号:密码@路由IP:端口,登陆到你的路由后就会到你保存的文件了!用IE直接下载吧!

当你重新安装时,只要把内网弄通,用IE再登陆你的路由,把这个设置文件传上去,在WINBOX左边下面有个TE开头的英文,这是终端模拟,点开后

就像在路由上操作一样,用以下命令恢复你以前的设置:

system回车

backup回车

load name=你保存的设置文件名   回车

提示重启就一下子恢复到你以前设置了!!

是不是方便实用啊?

大家可能会说用WINBOX备份不爽,那我们也可以用终端备份呀!

在WINBOX左边下面有个TE开头的英文,这是终端模拟,点开后就像在路由上操作一样,用以下命令备份你以前的设置:

system回车

backup回车

save name=你保存的设置文件名   回车

建议文件名用日期表示可以很直观。这样就按你的文件名保存了。

用LOAD NAME命令就是恢复了。。。]

2.恢复路由本身默认值。

如果设错了规则或者地址,造成win不能进入管理界面,可以这样复原:
使用 admin 登陆
system 回车
reset 选择 y
将删除所有改动,恢复新装的状态

这个是恢复到出厂设置,很适合刚开始设置ROUTEOS时用用!

3。备份ROUTEOS

可以用GHOST8。0备份,注意是要用全盘备份,DISK TO IMG才行。

4。简单化输入

在ROUTEOS是不是感觉输入命令很麻烦?

其实ROUTEOS可以只要输入前两位字母就可以了。。。

比如上面的命令:

system

backup

这是进入目录的,可以简化成:

sy

ba

即可!很适合一些懒人。。。哈哈

5。检查磁盘

在路由或终端模拟下用下面命令:

system

check-disk

检查磁盘,要重启。 但是很慢,一分钟一G。。。哈哈

6。关机

可以在WINBOX中关机,也可以用命令关:

system

sh

即可
routeros
发表于 2005-6-18 02:22:58 | 显示全部楼层
不错,好全面,给刚开始使用的朋友有很大帮助
routeros
回复

使用道具 举报

发表于 2005-6-18 17:14:23 | 显示全部楼层
非常不错..感谢!!
routeros
回复

使用道具 举报

发表于 2005-6-18 22:40:15 | 显示全部楼层
有VPN的吗?不要PPTP的,要IPSEC的
routeros
回复

使用道具 举报

lishinian 该用户已被删除
发表于 2005-6-18 23:39:30 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
routeros
回复

使用道具 举报

发表于 2005-6-19 13:35:41 | 显示全部楼层
强烈要求精华
routeros
回复

使用道具 举报

发表于 2005-6-19 16:19:07 | 显示全部楼层
好!比较详细!
routeros
回复

使用道具 举报

发表于 2005-6-23 22:37:09 | 显示全部楼层
好啊,学习中。。。。。
routeros
回复

使用道具 举报

发表于 2005-6-25 16:42:01 | 显示全部楼层
辛苦了!!!
routeros
回复

使用道具 举报

发表于 2005-6-26 00:11:45 | 显示全部楼层
为了更好的服务于其他同学,建议楼主按照标准的文档格式再自行修改一下。

1、涉及到的一些网络术语,建议给出连接或者做出备注

2、尽可能按照ROS的使用难易顺序整理此文档。『当前版本感觉有些乱』

改完之后或许会再次提高你的技术水平!

感谢为论坛做出自己的贡献!!
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-25 00:11 , Processed in 0.140564 second(s), 17 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表