ROUTEOS使用笔记之二
生活随笔
收集整理的這篇文章主要介紹了
ROUTEOS使用笔记之二
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
ROUTEOS使用筆記之二[url]http://www.mikrotikrouter.cn/show/318[/url] ROS禁止PING 方法
禁止內網PING :點擊IP -> Firewall -> Filter Rules -> 右面選中 output -> "+" -> General -> Protocol 中選擇 icmp ,在同級界
面上點擊Action 中,將Action選擇為"drop",按"OK"確認
禁止外網PING :點擊IP -> Firewall -> Filter Rules -> 右面選中 input -> "+" -> General -> Protocol 中選擇 icmp ,在同級界
面上點擊Action 中,將Action選擇為"drop",按"OK"確認
------------------------------------------------------------------------------------------
ROS的密碼忘記了,但有臺機子里的winbox里保存了密碼,可用下面的方法:
如果是win2K/XP/2003,密碼就在C:\Documents and Settings\你的用戶名\Application Data\Mikrotik\Winbox\winbox.cfg文件里,你用記事本
打開,里面有類似下面的語句:
typeaddr host192.168.0.1 loginadmin note keep-pwd pwd12345 pwd后面就是密碼.
-------------------------------------------------------------------------------------------
使用高負載ROS的技巧
如果ros的防火墻會話數很高,建議修改相應會話超時參數如下:
[admin@cddst] >ip fire conn tra pr
enabled: yes
tcp-syn-sent-timeout: 30s
tcp-syn-received-timeout: 30s
tcp-established-timeout: 120h
tcp-fin-wait-timeout: 30s
tcp-close-wait-timeout: 30s
tcp-last-ack-timeout: 30s
tcp-time-wait-timeout: 30s
tcp-close-timeout: 10s
udp-timeout: 30s
udp-stream-timeout: 3m
icmp-timeout: 30s
generic-timeout: 10m
------------------------------------------------------------------
各種下載工具 端口 和 網站IP
訊雷
端口:3076-3079
I P: 202.96.155.91, - 210.22.12.53 - 61.128.198.97
-
電騾
端口:4662,4661,4242
I P: 62.241.53.15
屁屁狗(PPGOU)
端口:8505
IP:219.153.0.152 - 61.145.116.186
KUGO酷狗
端口:3318 1043 4224 2371 (UDP 7000)
I P: 218.16.125.227 - 61.143.210.56 - 218.16.125.226
61.129.115.206 - 61.145.114.33
比特精靈:
端口:16881 6881-6890 8881-8890 (tcp udp)
寶酷
端口: 6346 11300
I P: 61.172.197.196- 218.1.14.3 - 218.1.14.4 - 218.1.14.9
61.172.197.209 - 61.172.197.197 - 218.1.14.5 -218.5.72.118
61.172.197.196
百事通下載工具
端口:
I P: 61.145.126.150
百度MP3下載
端口:
I P: 202.108.156.206
PTC下載工具
端口:50007
I P:
eDonkey2000下載工具
端口:4371 4662
I P: 62.241.53.15 - 62.241.53.17
Poco2005
端口:8094 2881 5354(udp src8094 和TCPdst5354drop)
I P: 61.145.118.224 - 210.192.122.147 - 207.46.196.108
卡盟
端口:3751 3753 4772 4774
I P: -211.155.224.67
維宇RealLink
端口:
I P: 211.91.135.114 - 221.233.18.180 - 61.145.119.55 - 221.3.132.99
百寶
端口: 3468
I P: 219.136.251.56 - 61.149.124.173
百花PP
端口: 5093
I P: 221.229.241.243
-
快遞通
端口:
I P: -202.96.137.56
酷樂
端口: 6800-6801 7003
I P:218.244.45.67 - 220.169.192.145
百度下吧
端口: 11000
I P: 202.108.249.171
百兆P2P
端口: 9000
I P: 221.233.19.30
石頭(OPENEXT)
端口:5467 2500 4173 10002 10003
I P:66.197.13.166 - 210.22.12.245 - 69.93.222.56
iLink 1.1
端口:5000
I P:
DDS
端口:11608
I P:210.51.168.13- 211.157.105.252- 212.179.66.17
iMesh 5
端口:4662
I P:212.179.66.17 - 212.179.66.24 - 38.117.175.23
winmx
端口:5690
I P:64.246.15.43
網酷
端口:2122
I P:211.152.22.9 - 211.152.22.101 - 221.192.132.29
PPlive網絡電視
端口:UDP 4004
端口:TCP 8008
QQ直播
端口 udp 13002-13999
---------------------------------------------------------------------------
如何設置防火墻實現禁用QQ、MSN等
一、 阻斷QQ的連接
新版QQ不僅僅通過UDP方式登錄服務器,還能夠以TCP方式登錄。QQ在連接時首先向以下七個服務器的8000端口發送udp包。
sz.tencent.com 61.144.238.145
sz2.tencent.com 61.144.238.146
sz3.tencent.com 202.104.129.251
sz4.tencent.com 202.104.129.254
sz5.tencent.com 61.141.194.203
sz6.tencent.com 202.104.129.252
sz7.tencent.com 202.104.129.253
在阻斷8000端口的連接后,發現QQ還會通過udp的8001和tcp的8000、8001端口進行連接。鑒于這些端口目前只有QQ使用,所以可以基于端口來
作阻斷規則。
在用防火墻阻斷以上端口的數據包后,發現QQ還會通過tcp的80和443端口進行連接。如果針對這兩個端口作阻斷規則,會影響用戶的正常上網
,所以只能對服務器的ip地址來作規則。通過試驗發現了以下可通過80和443端口建立連接的QQ服務器:
218.17.217.106
219.133.40.95
219.133.40.97,
219.133.40.157,
219.133.40.177,
219.133.40.73,
219.133.40.189
218.18.95.153
218.17.209.23
202.104.129.253
218.17.209.42
在針對這些IP作阻斷規則后,QQ已基本無法登錄。
在試驗中還發現,QQ安裝目錄下的Config.db文件,其中記錄了QQ服務器的地址,與我們上面找到的完全符合。
因此,在用防火墻阻止用戶使用QQ上網時,除了阻止tcp和udp的8000、8001端口外,還需阻斷與QQ服務器的連接。下面列舉了在試驗中找到的
和在網上查到的QQ服務器IP:
61.141.194.203
61.144.238.145/146/149/155
61.172.249.135
65.54.229.253
202.96.170.164
202.104.129.151/251/252/253/254
211.157.38.38
218.17.209.23/42
218.17.217.106
218.18.95.153/165
219.133.40. 21/73/89/90/92/95/97/157/177/189(這個網段的服務器地址較多,可以考慮阻斷整個網段)
雖然以上方法可以起到阻斷QQ連接的作用,但如果騰訊增加新的QQ服務器,QQ也還是可以登錄的。另外,用第三方的代理軟件如NEC E-BORDER
等,支持Anonymous的Socks5代理還是可能繞過去,登陸使用QQ。
二、 阻斷MSN的連接
MSN的連接在除使用常規的1863端口外,還會使用7001和80端口,因為這兩個端口涉及到其他網絡服務的應用,所以也只能采用阻斷QQ連接的
方法,通過阻斷與MSN服務器的連接,來達到用戶要求。
以下列舉了在試驗中找到的服務器IP:
64.4.12.200/201
65.54.194.117
207.46.68.23
207.46.104.20
207.46.107.14/125
207.46.110.27/28/254
經查詢,這些服務器IP都是北美地區的。
同樣,如微軟添加新的MSN服務器或者用戶使用代理,還是可以登錄MSN。
三、 阻斷聯眾的連接
阻斷聯眾的連接相對來說就比較容易啦。在客戶端連接服務器時,首先會與服務器的2000端口建立連接(61.55.138.219:2000)。在連接建
立后,會用到服務器的1007、2001、2002、3015端口。
在試驗中,只阻斷了2000端口的數據包,客戶端就已經無法連接服務器了
----------------------------------------------------------------------------------
封殺QQ游戲方法
name=QQ游戲服務器(北方服務器)
ip=210.22.23.14
name=QQ游戲服務器(上海)
ip=61.172.204.82
name=QQ游戲服務器(深圳)1
ip=219.133.41.17
name=QQ游戲服務器(深圳)2
ip=219.133.41.231
name=QQ游戲服務器(深圳)3
ip=219.133.41.168
name=QQ游戲服務器(深圳)4
ip=219.133.41.16
name=QQ游戲服務器(深圳)5
ip=219.133.41.47
name=QQ游戲服務器(深圳)6
ip=219.133.41.13
-----------------------------------------------------------------------------------
ROS下配置DMZ
下面將說明怎么樣在網絡中配置一臺DMZ站點
DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網
絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內,在這個小網
絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內
部網絡,因為這種網絡部署,比起一般的防火墻方案,對***者來說又多了一道關卡。網絡結構如下圖所示。
路由器有3塊網卡
CODE
[admin@gateway] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R Public ether 0 0 1500
1 R Local ether 0 0 1500
2 R DMZ-zone ether 0 0 1500
[admin@gateway] interface>
給網卡添加所有需要的ip地址
CODE
[admin@gateway] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.2/24 192.168.0.0 192.168.0.255 Public
1 10.0.0.254/24 10.0.0.0 10.0.0.255 Local
2 10.1.0.1/30 10.1.0.0 10.1.0.3 DMZ-zone
3 192.168.0.3/24 192.168.0.0 192.168.0.255 Public
[admin@gateway] ip address>
給路由器添加默認靜態路由
CODE
[admin@MikroTik] ip route> print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 192.168.0.254 1 Public
1 DC 10.0.0.0/24 r 0.0.0.0 0 Local
2 DC 10.1.0.0/30 r 0.0.0.0 0 DMZ-zone
3 DC 192.168.0.0/24 r 0.0.0.0 0 Public
[admin@MikroTik] ip route>
給DMZ服務器添加ip地址10.1.0.2 ,網關地址10.1.0.1
配置dst-nat 規則,使DMZ服務器能通過192.168.0.3這個互聯網地址訪問
CODE
[admin@gateway] ip firewall dst-nat> add action=nat \
\... dst-address=192.168.0.3/32 to-dst-address=10.1.0.2
[admin@gateway] ip firewall dst-nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=192.168.0.3/32 action=nat to-dst-address=10.1.0.2
[admin@gateway] ip firewall dst-nat>
----------------------------------------------
限定某個IP只能訪問某個網站
如限定內網IP為 192.168.1.20 僅能連接 202.116.150.245 這個IP
方法步驟:
IP-FORWARD
1 ACCEPT SRC ADD 192.168.1.20/32 DST ADD 202.116.150.245/32 PROTROCL ALL
2 DROP SRC ADD 192.168.1.20/32 DST ADD 0.0.0.0
-----------------------------------------------------------------------
防火墻規則規則封閉端口對某些網絡游戲的負面影響如下:
2000端口封閉導致聯眾無法登陸,。其他的未知
3076-3078端口封閉導致網絡游戲"傳奇私服"無法進入游戲.
upd 7000端口封閉導致QQ游戲平臺CS1.5無法刷新服務器,但同時又封閉了KUGO酷狗
7777端口封閉導致網絡游戲“×××”無法進入游戲。
9898-9999端口封閉導致網絡游戲“征服風云天下”無法進入游戲
10000端口封閉導致網絡游戲“街頭籃球”無法進入游
11000端口封閉導致網絡游戲"洛奇"無法進入游戲.
13000端口封閉導致網絡游戲"熱血江湖"無法進入游戲.
---------------------------------------------------------
限制TCP連接包設置方法
/ip firewall filter add chain=forward protocol=tcp tcp-options=syn connection-limit=限制數目 action=drop
------------------------------------------------------------------------------------
正確設置ROS的DNS
在客戶機基本有三種做法
1、 直接使用ISP 給的DNS(遠程解析)
在這種情況下,無論使用ADSL或者光纖固定IP上網,ROS端均無需設置DNS服務器,就可以保證客戶端正常上網。
2、 客戶機的DNS使用ROS路由器的地址(本地解析)
這種情況下,一般是將路由器的內部IP地址做為DNS地址來使用的。而且大多數朋友也是這么做的。比較適合一般的C類網絡。但是對于規模較大,
且數據量非常大的網絡來說,一塊內部網卡既要做NAT轉換,又要提供DNS解析,恐怕會影響效率。解決辦法是在路由中單獨插一塊網卡,并設置一
個IP,用它來專門負責地址解析。目前電信好像就是這么干的,用過光纖的朋友一定不陌生。
方法:
IP>>>DNS 選擇“static”選項卡,點擊“+”,name隨便起,address填你的路由器內網IP,TTL默認。“OK”
此時應該已經存在了一個你剛剛建立的DNS服務器名,選擇它,并點擊“settings”,分別填寫主輔DNS地址,選擇“allow remote requeste” ,
如果你的網絡夠大并且比較繁忙(可能網吧符合這個條件),可以將cache Size稍微設置大一點,前提是你的內存要夠大!最后點擊“ok”
3、方法2也存在一定的不足。比如對于一些企業或有自己內網主頁并啟用了內部域名的朋友來說,方法2就不能滿足需求了。因為當你在IE中輸入
自己公司的一個內部域名,比如:[url]www.AAA.COM[/url]?(對應IP:192.168.0.154 ),但是這個請求會被公網上的DNS服務器處理,并返回一個錯誤的頁面
。怎么辦呢?我的辦法是在方法2的基礎上,將本地DNS的IP地址指到局域網內的一臺windows服務器上去,這樣問題就可以得到解決。
----------------------------------------------------------------------------------------------------------
訪問下面的網站!就可以查出你最理想的MTU,MSS,MRU數值 (MTU = 1500 MSS = 1460 )(MTU = 1488 MSS = 1448 )
[url]http://forums.speedguide.net:8117[/url]
[url]http://www.speedguide.net:8080[/url]
ADSL:點擊Interface,點擊加號PPPoE Client 修改MTU為1492(大多數是),切換Dail Out頁面輸入Service:(可以從ISP處獲得也可以用
RASPPPoE查到。),輸入用戶名密碼,勾上Use peer DNS,OK,查看Status頁看是否連接上。如果有一些網頁打不開,你ISP的MTU=1492,請在IP
>Firewall >Mangle >單擊紅加號 >Protocol選擇TCP >Tcp Options 選擇 sync >Actions選擇 accept >TCP MSS:1448 [url]http://www.mikrotikrouter.cn/[/url]? routeros介紹
禁止內網PING :點擊IP -> Firewall -> Filter Rules -> 右面選中 output -> "+" -> General -> Protocol 中選擇 icmp ,在同級界
面上點擊Action 中,將Action選擇為"drop",按"OK"確認
禁止外網PING :點擊IP -> Firewall -> Filter Rules -> 右面選中 input -> "+" -> General -> Protocol 中選擇 icmp ,在同級界
面上點擊Action 中,將Action選擇為"drop",按"OK"確認
------------------------------------------------------------------------------------------
ROS的密碼忘記了,但有臺機子里的winbox里保存了密碼,可用下面的方法:
如果是win2K/XP/2003,密碼就在C:\Documents and Settings\你的用戶名\Application Data\Mikrotik\Winbox\winbox.cfg文件里,你用記事本
打開,里面有類似下面的語句:
typeaddr host192.168.0.1 loginadmin note keep-pwd pwd12345 pwd后面就是密碼.
-------------------------------------------------------------------------------------------
使用高負載ROS的技巧
如果ros的防火墻會話數很高,建議修改相應會話超時參數如下:
[admin@cddst] >ip fire conn tra pr
enabled: yes
tcp-syn-sent-timeout: 30s
tcp-syn-received-timeout: 30s
tcp-established-timeout: 120h
tcp-fin-wait-timeout: 30s
tcp-close-wait-timeout: 30s
tcp-last-ack-timeout: 30s
tcp-time-wait-timeout: 30s
tcp-close-timeout: 10s
udp-timeout: 30s
udp-stream-timeout: 3m
icmp-timeout: 30s
generic-timeout: 10m
------------------------------------------------------------------
各種下載工具 端口 和 網站IP
訊雷
端口:3076-3079
I P: 202.96.155.91, - 210.22.12.53 - 61.128.198.97
-
電騾
端口:4662,4661,4242
I P: 62.241.53.15
屁屁狗(PPGOU)
端口:8505
IP:219.153.0.152 - 61.145.116.186
KUGO酷狗
端口:3318 1043 4224 2371 (UDP 7000)
I P: 218.16.125.227 - 61.143.210.56 - 218.16.125.226
61.129.115.206 - 61.145.114.33
比特精靈:
端口:16881 6881-6890 8881-8890 (tcp udp)
寶酷
端口: 6346 11300
I P: 61.172.197.196- 218.1.14.3 - 218.1.14.4 - 218.1.14.9
61.172.197.209 - 61.172.197.197 - 218.1.14.5 -218.5.72.118
61.172.197.196
百事通下載工具
端口:
I P: 61.145.126.150
百度MP3下載
端口:
I P: 202.108.156.206
PTC下載工具
端口:50007
I P:
eDonkey2000下載工具
端口:4371 4662
I P: 62.241.53.15 - 62.241.53.17
Poco2005
端口:8094 2881 5354(udp src8094 和TCPdst5354drop)
I P: 61.145.118.224 - 210.192.122.147 - 207.46.196.108
卡盟
端口:3751 3753 4772 4774
I P: -211.155.224.67
維宇RealLink
端口:
I P: 211.91.135.114 - 221.233.18.180 - 61.145.119.55 - 221.3.132.99
百寶
端口: 3468
I P: 219.136.251.56 - 61.149.124.173
百花PP
端口: 5093
I P: 221.229.241.243
-
快遞通
端口:
I P: -202.96.137.56
酷樂
端口: 6800-6801 7003
I P:218.244.45.67 - 220.169.192.145
百度下吧
端口: 11000
I P: 202.108.249.171
百兆P2P
端口: 9000
I P: 221.233.19.30
石頭(OPENEXT)
端口:5467 2500 4173 10002 10003
I P:66.197.13.166 - 210.22.12.245 - 69.93.222.56
iLink 1.1
端口:5000
I P:
DDS
端口:11608
I P:210.51.168.13- 211.157.105.252- 212.179.66.17
iMesh 5
端口:4662
I P:212.179.66.17 - 212.179.66.24 - 38.117.175.23
winmx
端口:5690
I P:64.246.15.43
網酷
端口:2122
I P:211.152.22.9 - 211.152.22.101 - 221.192.132.29
PPlive網絡電視
端口:UDP 4004
端口:TCP 8008
QQ直播
端口 udp 13002-13999
---------------------------------------------------------------------------
如何設置防火墻實現禁用QQ、MSN等
一、 阻斷QQ的連接
新版QQ不僅僅通過UDP方式登錄服務器,還能夠以TCP方式登錄。QQ在連接時首先向以下七個服務器的8000端口發送udp包。
sz.tencent.com 61.144.238.145
sz2.tencent.com 61.144.238.146
sz3.tencent.com 202.104.129.251
sz4.tencent.com 202.104.129.254
sz5.tencent.com 61.141.194.203
sz6.tencent.com 202.104.129.252
sz7.tencent.com 202.104.129.253
在阻斷8000端口的連接后,發現QQ還會通過udp的8001和tcp的8000、8001端口進行連接。鑒于這些端口目前只有QQ使用,所以可以基于端口來
作阻斷規則。
在用防火墻阻斷以上端口的數據包后,發現QQ還會通過tcp的80和443端口進行連接。如果針對這兩個端口作阻斷規則,會影響用戶的正常上網
,所以只能對服務器的ip地址來作規則。通過試驗發現了以下可通過80和443端口建立連接的QQ服務器:
218.17.217.106
219.133.40.95
219.133.40.97,
219.133.40.157,
219.133.40.177,
219.133.40.73,
219.133.40.189
218.18.95.153
218.17.209.23
202.104.129.253
218.17.209.42
在針對這些IP作阻斷規則后,QQ已基本無法登錄。
在試驗中還發現,QQ安裝目錄下的Config.db文件,其中記錄了QQ服務器的地址,與我們上面找到的完全符合。
因此,在用防火墻阻止用戶使用QQ上網時,除了阻止tcp和udp的8000、8001端口外,還需阻斷與QQ服務器的連接。下面列舉了在試驗中找到的
和在網上查到的QQ服務器IP:
61.141.194.203
61.144.238.145/146/149/155
61.172.249.135
65.54.229.253
202.96.170.164
202.104.129.151/251/252/253/254
211.157.38.38
218.17.209.23/42
218.17.217.106
218.18.95.153/165
219.133.40. 21/73/89/90/92/95/97/157/177/189(這個網段的服務器地址較多,可以考慮阻斷整個網段)
雖然以上方法可以起到阻斷QQ連接的作用,但如果騰訊增加新的QQ服務器,QQ也還是可以登錄的。另外,用第三方的代理軟件如NEC E-BORDER
等,支持Anonymous的Socks5代理還是可能繞過去,登陸使用QQ。
二、 阻斷MSN的連接
MSN的連接在除使用常規的1863端口外,還會使用7001和80端口,因為這兩個端口涉及到其他網絡服務的應用,所以也只能采用阻斷QQ連接的
方法,通過阻斷與MSN服務器的連接,來達到用戶要求。
以下列舉了在試驗中找到的服務器IP:
64.4.12.200/201
65.54.194.117
207.46.68.23
207.46.104.20
207.46.107.14/125
207.46.110.27/28/254
經查詢,這些服務器IP都是北美地區的。
同樣,如微軟添加新的MSN服務器或者用戶使用代理,還是可以登錄MSN。
三、 阻斷聯眾的連接
阻斷聯眾的連接相對來說就比較容易啦。在客戶端連接服務器時,首先會與服務器的2000端口建立連接(61.55.138.219:2000)。在連接建
立后,會用到服務器的1007、2001、2002、3015端口。
在試驗中,只阻斷了2000端口的數據包,客戶端就已經無法連接服務器了
----------------------------------------------------------------------------------
封殺QQ游戲方法
name=QQ游戲服務器(北方服務器)
ip=210.22.23.14
name=QQ游戲服務器(上海)
ip=61.172.204.82
name=QQ游戲服務器(深圳)1
ip=219.133.41.17
name=QQ游戲服務器(深圳)2
ip=219.133.41.231
name=QQ游戲服務器(深圳)3
ip=219.133.41.168
name=QQ游戲服務器(深圳)4
ip=219.133.41.16
name=QQ游戲服務器(深圳)5
ip=219.133.41.47
name=QQ游戲服務器(深圳)6
ip=219.133.41.13
-----------------------------------------------------------------------------------
ROS下配置DMZ
下面將說明怎么樣在網絡中配置一臺DMZ站點
DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網
絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內,在這個小網
絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內
部網絡,因為這種網絡部署,比起一般的防火墻方案,對***者來說又多了一道關卡。網絡結構如下圖所示。
路由器有3塊網卡
CODE
[admin@gateway] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R Public ether 0 0 1500
1 R Local ether 0 0 1500
2 R DMZ-zone ether 0 0 1500
[admin@gateway] interface>
給網卡添加所有需要的ip地址
CODE
[admin@gateway] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.2/24 192.168.0.0 192.168.0.255 Public
1 10.0.0.254/24 10.0.0.0 10.0.0.255 Local
2 10.1.0.1/30 10.1.0.0 10.1.0.3 DMZ-zone
3 192.168.0.3/24 192.168.0.0 192.168.0.255 Public
[admin@gateway] ip address>
給路由器添加默認靜態路由
CODE
[admin@MikroTik] ip route> print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 192.168.0.254 1 Public
1 DC 10.0.0.0/24 r 0.0.0.0 0 Local
2 DC 10.1.0.0/30 r 0.0.0.0 0 DMZ-zone
3 DC 192.168.0.0/24 r 0.0.0.0 0 Public
[admin@MikroTik] ip route>
給DMZ服務器添加ip地址10.1.0.2 ,網關地址10.1.0.1
配置dst-nat 規則,使DMZ服務器能通過192.168.0.3這個互聯網地址訪問
CODE
[admin@gateway] ip firewall dst-nat> add action=nat \
\... dst-address=192.168.0.3/32 to-dst-address=10.1.0.2
[admin@gateway] ip firewall dst-nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=192.168.0.3/32 action=nat to-dst-address=10.1.0.2
[admin@gateway] ip firewall dst-nat>
----------------------------------------------
限定某個IP只能訪問某個網站
如限定內網IP為 192.168.1.20 僅能連接 202.116.150.245 這個IP
方法步驟:
IP-FORWARD
1 ACCEPT SRC ADD 192.168.1.20/32 DST ADD 202.116.150.245/32 PROTROCL ALL
2 DROP SRC ADD 192.168.1.20/32 DST ADD 0.0.0.0
-----------------------------------------------------------------------
防火墻規則規則封閉端口對某些網絡游戲的負面影響如下:
2000端口封閉導致聯眾無法登陸,。其他的未知
3076-3078端口封閉導致網絡游戲"傳奇私服"無法進入游戲.
upd 7000端口封閉導致QQ游戲平臺CS1.5無法刷新服務器,但同時又封閉了KUGO酷狗
7777端口封閉導致網絡游戲“×××”無法進入游戲。
9898-9999端口封閉導致網絡游戲“征服風云天下”無法進入游戲
10000端口封閉導致網絡游戲“街頭籃球”無法進入游
11000端口封閉導致網絡游戲"洛奇"無法進入游戲.
13000端口封閉導致網絡游戲"熱血江湖"無法進入游戲.
---------------------------------------------------------
限制TCP連接包設置方法
/ip firewall filter add chain=forward protocol=tcp tcp-options=syn connection-limit=限制數目 action=drop
------------------------------------------------------------------------------------
正確設置ROS的DNS
在客戶機基本有三種做法
1、 直接使用ISP 給的DNS(遠程解析)
在這種情況下,無論使用ADSL或者光纖固定IP上網,ROS端均無需設置DNS服務器,就可以保證客戶端正常上網。
2、 客戶機的DNS使用ROS路由器的地址(本地解析)
這種情況下,一般是將路由器的內部IP地址做為DNS地址來使用的。而且大多數朋友也是這么做的。比較適合一般的C類網絡。但是對于規模較大,
且數據量非常大的網絡來說,一塊內部網卡既要做NAT轉換,又要提供DNS解析,恐怕會影響效率。解決辦法是在路由中單獨插一塊網卡,并設置一
個IP,用它來專門負責地址解析。目前電信好像就是這么干的,用過光纖的朋友一定不陌生。
方法:
IP>>>DNS 選擇“static”選項卡,點擊“+”,name隨便起,address填你的路由器內網IP,TTL默認。“OK”
此時應該已經存在了一個你剛剛建立的DNS服務器名,選擇它,并點擊“settings”,分別填寫主輔DNS地址,選擇“allow remote requeste” ,
如果你的網絡夠大并且比較繁忙(可能網吧符合這個條件),可以將cache Size稍微設置大一點,前提是你的內存要夠大!最后點擊“ok”
3、方法2也存在一定的不足。比如對于一些企業或有自己內網主頁并啟用了內部域名的朋友來說,方法2就不能滿足需求了。因為當你在IE中輸入
自己公司的一個內部域名,比如:[url]www.AAA.COM[/url]?(對應IP:192.168.0.154 ),但是這個請求會被公網上的DNS服務器處理,并返回一個錯誤的頁面
。怎么辦呢?我的辦法是在方法2的基礎上,將本地DNS的IP地址指到局域網內的一臺windows服務器上去,這樣問題就可以得到解決。
----------------------------------------------------------------------------------------------------------
訪問下面的網站!就可以查出你最理想的MTU,MSS,MRU數值 (MTU = 1500 MSS = 1460 )(MTU = 1488 MSS = 1448 )
[url]http://forums.speedguide.net:8117[/url]
[url]http://www.speedguide.net:8080[/url]
ADSL:點擊Interface,點擊加號PPPoE Client 修改MTU為1492(大多數是),切換Dail Out頁面輸入Service:(可以從ISP處獲得也可以用
RASPPPoE查到。),輸入用戶名密碼,勾上Use peer DNS,OK,查看Status頁看是否連接上。如果有一些網頁打不開,你ISP的MTU=1492,請在IP
>Firewall >Mangle >單擊紅加號 >Protocol選擇TCP >Tcp Options 選擇 sync >Actions選擇 accept >TCP MSS:1448 [url]http://www.mikrotikrouter.cn/[/url]? routeros介紹
轉載于:https://blog.51cto.com/ciscoteam/63133
總結
以上是生活随笔為你收集整理的ROUTEOS使用笔记之二的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: GC时间过长优化方法
- 下一篇: 软件推荐【TreeSizeFree】