ROS教程及一些防火墙规则和IP限速脚本Word格式.doc
《ROS教程及一些防火墙规则和IP限速脚本Word格式.doc》由会员分享,可在线阅读,更多相关《ROS教程及一些防火墙规则和IP限速脚本Word格式.doc(18页珍藏版)》请在冰点文库上搜索。
(内网的网关地址)
(内网网卡)通常是靠近CPU的为内网网卡,也就是ether1
好了,网关设置好了,那我们登陆http:
//192.168.0.1来下载Winbox
刚才我安装过一次,有遗留信息的。
现在这个状态是第一次使用WINBOX的画面
通过winbox登陆ROS。
并修改网卡名字还有以后的设置~输入账号admin密码为空。
登陆WINBOX后,首先设置3块网卡的名字。
96不存在手动激活的,所以不必再去激活,默认直接就是激活的~
左边--interfaces
把ether1改名为lan因为ether1接的是内网啦;
也就是靠近CPU的第一块网卡为内网网卡。
把ether2改名为tel,也就是设置为电信;
把ether3改名为cnc,也就是网通;
好的。
3块网卡名字取好了,那么在winbox里设置电信和网通的IP,等信息。
左边ip--address,点+号,先输入电信的地址吧
我的电信IP是59.44.176.190子网掩码255.255.255.252网关59.44.176.189
输入的信息也就是59.44.176.190/30
我的网通IP是221.202.188.62子网掩码255.255.255.224网关221.202.188.33
输入的信息也就是221.202.188.62/27
这里注意了~只需要填写IP/子网掩码1的个数。
其余两项都是ROS自动添加的,上一个教程就是这里出错了~
好的,看我做。
先加个电信的,注意到了吧刚才点的那两个地方是不填任何东西的。
上个教程填了~加网通的
另外这里输入的信息就是电信或网通的IP/电信或网通的子网掩码2进制1的个数~至于/后面的1的个数如何
算,我给大家演示下~看下我的电信子网掩码是多少我的电信IP是59.44.176.190子网掩码255.255.255.252。
好那这里应该添的就是59.44.176.190/255.255.255.252二进制的1的个数,是进制的255等于8个1,呵呵,就是
这么来的,那么3个十进制的255的1的个数就等于3*8=24个1。
还有个252等于二进制的6个1。
24个1加6个1,就是
为何电信添的是59.44.176.190/30了~~明白了吧?
?
OK电信和网通的IP信息设置完成。
4。
设置默认网关地址,以及设置NAT转发。
填写一个默认网关~
左边IP--ROUTE,+号添加默认的网关,默认网通就添网通网关,默认电信就添电信的网关,这里默认电信.
检测网关状态选择PING就可以了。
设置NAT
左边IP--FIREWALL--NAT选项卡,+号添加chain:
srcnat,src.addr:
192.168.0.0/24,
ACTION选项卡里为masquerade.OK,现在可以通过电信上网了。
说明一下,网上传的教程添的都是192.168.1.0/24,但是人家设置的网关是192.168.1.1。
所以是192.168.1.0/24,
但是我们这里设置的网关是192.168.0.1。
如果错误填写为192.168.0.1/24的话,就会出错喽,演示下。
就是这个错误
了。
刚才在百度贴吧里看到有人问,后来自己发现。
就是自己不认真,可真是照葫芦画飘了~~大家注意噢~~
最笨的理解,比如网关设置为192.168.5.1了,你在这里就添192.168.5.0/24就对了,也就是网关最后一位添0。
OK转发做好~呵呵,真是死性不改哈。
还要添错,大家可注意喽。
不要和我学~~
5。
上传路由表,防火墙策略并激活。
上传路由表
FTP:
//admin:
@192.168.0.1上传路由表文件cnc.rsc
WINBOX里激活网通路由表
在WINBOX中,NEWTERMINAL,输入importcnc完成激活
哎呀,又出错?
又是不小心,貌似这样噢。
把网通路由表打开看看写的是啥~汗,,大家注意了,我就犯了这个毛病了~
咋激活都激活不了。
原来这里的。
电信网关,和网通网关是要改成自己的真实网关地址的,下面我就改下了~~
OK。
统统改完~~保存。
再重新上传~再激活一次~好了。
激活成功~~
添加一个防火墙策略脚本
上传防火墙脚本FTP:
@192.168.0.1上传fw.rsc
WINBOX里激活防火墙策略脚本
在WINBOX中,NEWTERMINAL,输入importfw完成激活
好地,激活成功~~继续做。
6。
通过NETWATCH检测,实现掉线后自动切换线路。
检测掉线后自动切换功能
左边tools--netwatch,点+号,HOST添电信的网关,UP中添dxup,DOWN中添dxdown,OK,
插一句,这个Timeout延时这项,上一个教程说的是设置为20MS。
但是今天一实践,发现20MS有点太快了,导致了检测
信息不正确,所以还是默认1000MS吧,这个就根据自己的体会来设置好了~
同样再添加网通的网关,和cncup,cncdown.
然后添加执行的脚本文件,这个脚本是网上有人发布的比较不错的切换策略~
将红字部分添上自己的网关,注意,我是在routerlist中电信0.0.0.0/0做了comment注释为tel.
(再插一句,网通策略里已经写好了,不需要我们再次填写注释的~)好啦。
按照要求,把红字改为
自己真实的网关地址,也就是刚才让大家看的文本里的“汉字”
/systemscript
addname="
dxup"
policy=ftp,reboot,read,write,policy,test,winbox,password
cncup"
\
policy=ftp,reboot,read,write,policy,test,winbox,password
dxdown"
cncdown"
在WINBOX中选newterminal中右键paste回车就可以了~~当然了。
得先复制了内容。
唉,还得交代下这个操作,由于本人马虎,没理解透这句话意思~完整说法是,复制这段改好的切换策略脚
本。
到这里鼠标右键。
然后看到不~~paste。
开始我理解错了~我还纳闷。
哪里有paste哇。
如今
一想,汗死~回车一下。
检测线路状态策略添好了~~看看添到哪里去了?
原来是添加到这里了。
类似
2826里的脚本添加方法。
看看内容,貌似全部正确~看看原理吧~~
切换的原理是
dxup(电信上线)修改comment为tel的项的gateway为电信
(电信可用时默认0.0.0.0/0为电信网关)
dxdown(电信掉线)修改comment为tel的项gateway为网通
(电信不可用修改0.0.0.0/0为网通)
cncup(网通上线)启用所有gateway为网通的项
(当网通可用进行路由选择~)
cncdown(网通掉线)禁用所有gateway为网通的项~
(当网通不可用走默认线路不经过选择)
理解有难度?
演示下就知道了~~
routelist是路由表~~最上面那个就是刚才我们添的默认电信网关~~
现在我的电信线,和网通线都没有接,所以全部掉线。
但是电信线为默认,所以第一个现实是电信的网关
地址。
好。
那么我们通过ScriptList这个东西测试一下4种状态第一个cncdown网通掉线是什么情况~
注意观察routelist默认网关的变化。
看。
下面的网通策略都变灰了。
也就是禁止使用了~~意思就是网通
掉线了。
就不经过网通的路由表了。
直接全部走电信线~理解网通掉线的线路选择方式了吧~再试验下一项,
网通如果连上了呢(CNCUP)?
哈。
所有为网通策略的网关又恢复正常了~当然路由表里的默认网关地址没有变化
,因为现在测试的是网通线路的正常与不正常~所以干预不到默认网关。
那么看看上面对cncup的解释~恩,
符合~~测试电信掉线了会如何(DXDOWN)?
我们对dxdown操作,注意看默认网关的变化了~也就是刚才鼠标点的那里~
倒。
电信网关毫不留情的断了。
网通跑到前面去了~~再回到上面看看对dxdown的解释~好,也符合,那
再试验下电信上线的状况~默认网关恢复为电信网关了,再回上面,看看对dxup的解释~好的。
那么现在看来
掉线后,切换功能是正常的了~~
继续下面设置~~
7。
设置DNS。
设置DNS后,客户机的DNS可以设置为192.168.0.1也就是网关地址
IP--DNS--Settings--PrimaryDNS添电信主DNSSecondayDNS添网通主DNS把这个
AllowRemoteRequests的钩打上,如果不打会出问题的,上次做2826似乎就忘记选了吧,结果出问题了,
具体问题已经忘的一干二净了~好的DNS添好了。
如果我们现在上网的话cache里就会有缓存的DNS了。
我现在没有连接电信和网通的线路,,所以我也不知道如果我现在访问。
cache里会有
DNS出现。
测试下吧~(呵呵,不用测试了,不会出现DNS信息的,但是如果你的电信和网通线路已经接通
那cache里就会有东西出现了,大家可以自己试验下~)
8。
刚学会的一些小型设置
路由做好了,如何备份设置信息?
看我做~
呵呵左面files--filelist里~~点backup就可以备份ROS的一切设置信息了~~我们可以通过ftp:
//192.168.0.1给下载下来~
如果以后出现问题。
直接使用Restore来恢复下就可以了~~
如何修改ROS的登陆密码以及端口?
再看我做~
修改密码,左面--password。
第一个是旧密码,也就是啥多没有,空。
第二个为新密码,第三个为重复密码~也就是说2。
3都是一样的密码
修改ROS的WEB登陆端口~大家看~我用http:
//192.168.0.1可以访问到ros的WEB页面~但是如果修改了端口,就不能了~~
左面--ip--services--www服务,看到port了吗。
WWW服务的端口是80,那我们改下,改成8080,再直接访问192.168.0.1看看
还能打开不。
哈哈。
无法显示了~加上端口看看。
嘿。
又打开了。
这就是修改ROS的WEB登陆端口了~~
嘿嘿,就记住这两招~大家不要见笑~
到这里基本上双线路由做好了。
至于ROS的绑定ARP。
回流,影射,怎么做,,目前我还不会哈~还得去学习~
我也是刚刚会搞2.96所以教程做的不是很流畅,有些功能还不会用,但是大家可以一起交流的~知识是要
交流的,如果故步自封的话,世界将会退步~毕竟学无止境,不吹了,呵呵。
教程完成了~不负大家对这个教程
的期望~。
愿意一起搞ROS,,请加我Q:
83704429。
OVER。
竣工!
===============================================================================================================================
批量限速设置
:
foryxcsfrom2to254do={
/queuesimple
addname=("
第"
.$yxcs."
号机"
)dst-address=("
192.168.0."
/32"
)max-limit=6500000/3250000
}
把connect的track里的连接时间改下
TCPSycSentTimeout:
00:
50
TCPSycReceivedTimeout:
30
TCPEstablishedTimeout:
2d
中国软路由论坛部分精华帖子
如何用ros限一个IP的并发连接数(精华)限线程
如何用ros限一个IP的并发连接数--限线程
这个操作主要是在ip-firewall下的转发链中操作的.
如:
/ipfirewallruleforwardaddprotocol=tcptcp-opti-onlyconnection-limit=25\
action=drop
看他们的连接数是在connection项中观看!
!
注意:
不要放的太小!
不然打开网页很慢
当然也可以对网段做限制!
对单个IP也可以的!
----------------
如何映射和回流
映射
winbox----ip-----firewall-----Destinationnat
+----⑴General页
SRC。
ADDRES|_____默认
PORT|
INTEfaceall
Dst.address外网ip/32(此32是定值)
Dst.port映射端口(我这里是27015-27016)
⑵ACTION页
Action:
nat
ToDst.address192.168.1.253-192.168.1.253(内网提供服务的机器IP)
ToDst.Ports:
27015-27016
回流
winbox----ip-----firewall-----SourceNAT
+-----⑴GERENAL页
Src.Address192.168.1.253(内网提供服务器机器的IP)/32(此32是定值)
src.port
Dst.Address192.168.1.0(你内网IP的前3位+0)/24(这里是你掩码的换算值)
Protocol你自己的协议
⑵Action页
action:
toSrc.addresses0.0.0.-0.0.0.0
TOsrc.ports:
-------------------
[原创]关于如何限制速度
应许多朋友的要求,这里把如何限制局域网内机器的速度发一下(特指限制外网连接速度)
winbox---queues----simplequeues
点“+”,NAME里随便填,下面是IP地址的确定
①TargetAddress不管,Dst.Address里填你要限制的内网机器的IP,比如我这里有个1号机器IP为192.168.1.101,那dst.address里就填192.168.1.101然后是/32(这里的32不是指掩码了,个人理解为指定的意思)!
②interface里记着要选你连接外网那个卡,我这里分了“local和public”,所以选public
③其他的不管,我们来看最重要的东西拉,Maxlimit,这个东西是你限制的上限,注意的是这里的数值是比特位,比如我要限制下载的速度为500K那么就填入多少呢?
500X1000X8=4000000=4M。
④另外,很多朋友都有个疑问,到底一般的用户会有多大流量呢?
一般的网络游戏,如梦幻西游传奇封神榜等等,其下行在20Kbps以内!
最耗网络资源的就是下载-----我们就是为了限制它拉,其次是VOD点播,一般DVD格式的大约要2M多吧,所以你看情况限制拉别搞的太绝!
!
Ip防火墙应用--ros
Ip防火墙应用
描述
在这个部分,我们讨论防火墙的一些的应用和例子。
防火墙设置基本原则
假定我们有一个本地网通过路由连接到internet,那么基本的防火墙构建原则由以下几部分组成:
1、保护路由避免没有认证的访问
必须监控那些到路由的连接。
只能允许某些特定的主机到路由某些特定的tcp端口的访问。
这项工作可以在input中设置,以便比较匹配通过路由所有连接界面到路由目的地址的数据包。
2、保护本地主机
必须监控那些到本地网络地址的连接。
只有有权到某些主机和服务的连接才能被允许。
这项工作可以在forward中设置,以便比较匹配决定通过路由所有连接界面到本地网路目的地址的数据包。
3、利用nat将本地的网络隐藏在一个公网的ip后面。
所有本地网络的连接被伪装成来自路由本身的公网地址。
这项工作可以通过启用伪装行为来实现源地址转换规则。
4、强制本地网络连接到公网的访问原则。
必须监控那些来自本地网络地址的连接。
这项工作可以通过forward中设置,或者通过伪装哪些被允许的连接来实现。
数据的过滤会对router的性能造成一定的影响,为了把这个影响降到最低,这些过滤的规则必须放在各个chain的顶部。
这个在传输控制协议选项non-syn-only中.
防火墙过滤实例
实现目标:
目标1、让路由只允许来自10.5.8.0/24网络地址的访问。
目标2、保护本地主机(192.168.0.0/24)远离未授权的访问。
目标3、让公网可以访问本地主机192.168.0.17的****和smtp服务。
目标4、只允许本地网络中的主机进行icmpping操作。
强制使用在192.168.0.17主机上的代理服务。
假设我的网络设置如下:
公网ip:
10.0.0.217/24网关ip:
10.0.0.254
内网ip:
192.168.0.254/24内网服务器地址:
192.168.0.17/24
step1
为了实现第一个目标,我们必须对所有通过路由的数据包进行过滤,只接受哪些我们允许的数据。
因为所有通过路由的数据包都要经过inputchain进行处理,所以,我们可以在ip->
firewall->
ruleinput中加入以下规则。
[admin@MikroTik]>
ipfirewallruleinput
[admin@MikroTik]ipfirewallruleinput>
addprotocol=tcp[admin@MikroTik]ipfirewallruleinput>
tcp-opti-syn-onlyconnection-state=established
addprotocol=udp
addprotocol=icmp
addsrc-addr=10.5.8.0/24
addaction=rejectlog=yes
通过上述设置,inputchain就可以实现只接受10.5.8.0/24地址段的连接,而把其他连接都拒绝并且记录到日志。
Step2
为了保护本地网络,我们必须对通过路由访问本地网络也就是对192.168.0.0/24一段地址的访问的数据包进行比对筛选,这个功能可以在forwardchain中实现。
在forward中,我们可以依靠ip地址对数据包进行匹配,然后跳转到我们自己创建的chain中,比如这里我们创建一个customerchain并加入一些规则。
[admin@MikroTik]ipfirewall>
addname=customer
print
#NAMEPOLICY
0inputaccept
1forwardaccept
2outputaccept
3customernone
rulecustomer
[admin@MikroTik]ipfirewallrulecustomer>
protocol=tcptcp-opti-syn-onlyconnection-state=established
addprotocol=udp
addprotocol=icmp
[admin@MikroTik]ipfirewallr