:foreach i in=[/system logging facility find local=memory ] do=[/system logging facility set $i local=none]
RO防syn
ip-firewall-connections
Tracking:TCP Syn Sent Timeout:50
TCP syn received timeout:30
限線程腳本:
:for aaa from 2 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $aaa) protocol=tcp connection-limit=50,32 action=drop}
RO端口的屏蔽
ip-firewall-Filer Rules裏面選擇
forward的意思代表包的轉發
firewall rule-General
Dst.Address:要屏蔽的端口
Protocol:tcp
Action:drop(丟棄)
ros限速
手動限速
winbox---queues----simple queues
點“+”,NAME裏隨便填,下面是IP地址的確定
①Target Address 不管,Dst. Address裏填 你要限制的內網機器的IP,比如我這裏有個 1號機器 IP爲 192.168.1.101,那dst.address 裏就填 192.168.1.101 然後是/32(這裏的32不是指掩碼了,個人理解爲指定的意思)!
②interface裏 記着要選你連接外網那個卡,我這裏分了“local和public”,所以選public
③ 其他的不管,我們來看最重要的東西拉,Max limit ,這個東西是你限制的上限,注意的是 這裏的數值是比特位,比如我要限制 下載的速度爲 500K 那麼就填入多少呢? 500 X 1000 X 8=400 0000=4M。
④ 另外,很多朋友都有個疑問,到底一般的用戶會有多大流量呢?一般的網絡遊戲,如 夢幻西遊 傳奇 封神榜 等等,其下行在 20Kbps以內! 最耗網絡資源的就是下載-----我們就是爲了限制它拉,其次是VOD點播,一般DVD格式的大約要 2M多吧,所以你看情況限制拉 別搞的太絕!!!
限速腳本:
:for aaa from 2 to 254 do={/queue simple add name=(queue . $aaa) dst-address=(192.168.0. . $aaa) limit-at=0/0 max-limit=2000000/2000000} 說明:
aaa是變量
2 to 254是2~254
192.168.0. . $aaa是IP
上兩句加起來是192.168.0.2~192.168.0.254
connection-limit=50是線程數這裏爲50
max-limit=2000000/2000000是上行/下行
使用:
WinBox-System-Scripts-+
Name(腳本名程)
Source(腳本)
OK-選擇要運行的腳本-Run Script
ROS限速的極致應用
一般我們用ros限速只是使用了max-limit,其實ros限速可以更好的運用。比如我們希望客戶打開網頁時速度可以快一些,下載時速度可以慢一些。ros2.9就可以實現。
max-limit------我們最常用的地方,最大速度
burst-limit--------突破速度的最大值
burst-thershold--------突破速度的閥值
burst-time-------突破速度的時間值
解釋一下圖片的限制意義
當客戶機在30秒(burst-time)內的平均值小於突破速度閥值(burst-thershold)180K時,客戶機的最大下載速率可以超過最大限速值(max-limit)200K,達到突破最大值(burst-limit)400K,如果30秒內平均值大於180K,那客戶機的最大速度只能達到200K。
這樣也就是當我們開網頁時可以得到一個更大的速度400K,長時間下載時速度只能得到200K,使我們的帶寬可以更有效的利用
動態限速
ROS動態限速(檢測外網總速度進行限速開關)廢話不說先看腳本原理:
以下操作全部在WINBOX界面裏完成
介紹:可以實現在總速度不超過9M的情況下自動關閉所有生成的限速規則在總速度超過18M的時候自動啓動所有生成的限速規則。
說明:在輸入腳本內容時不要把兩邊的()帶上,那個是爲了區分非腳本字符。
總速度=你的外網網卡當前速度。
打開 /system/scripts
腳本:
:for aaa from 1 to 254 do={/queue simple add name=(ip_ . $aaa) dst-address=(192.168.0. . $aaa) interface=wan max-limit=256000/800000 burst-limit=1000000/3000000 burst-threshold=128000/512000 burst-time=30s/1m }
上面是生成限速樹,對網段內所有IP的限速列表!
下面進入正題:
腳本名:node_on
腳本內容:(:for aaa from 1 to 254 do={/queue sim en [find name=(ip_ . $aaa)]})
腳本名:node_off
腳本內容:(:for aaa from 1 to 254 do={/queue sim dis [find name=(ip_ . $aaa)]})
scripts(腳本部分)以完成
打開 /tools/traffic monitor
新建:
名:node_18M traffic=received trigger=above on event=node_on threshold:18000000
新建:
名:node_9M traffic=received trigger=below on event=node_off threshold:9000000
在輸入腳本內容時不要把兩邊的()帶上,那個是爲了區分非腳本字符。
RO映射
ip-firewall-Destination NAT
General-In. Interface all(如果你是撥號的就選擇pppoe的、固定IP選擇all即可)
Dst. Address:外網IP/32
Dst. Port:要映射的端口
Protocol:tcp(如果映射反恐的就用udp)
Action action:nat
TO Dst.Addresses:你的內網IP
TO Dst.Ports:要映射的端口
ip僞裝
ip-firewall-Source NAT
Action Action:masquerade(IP僞裝)
迴流(因爲假如說在本網吧做SF需要回流)
ip-firewall-Source NAT
在general-Src.address: 192.168.0.0/24 這裏特殊說明下 內網ip段 24代表定值不可修改
RO的IP:mac綁定
綁定:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]
解除綁定:foreach i in=[/ip arp find ] do=[/ip arp remove $i]
完了在interfaces裏面選擇內網在選擇reply-only
RO設置的備份(兩總方法)
files-file list
backup即可(可以到你的ftp裏面找)
背份資料命令行:system回車
backup回車
save name=設置文件名 回車
資料恢復命令
system回車
backup回車
load name=文件名 回車
RO禁ping
/ ip firewall rule input add protocol=icmp action=drop comment="Drop excess pings" disabled=no
解ping
ip-firewall-filter rules
input:將其屏蔽或者刪掉
關於mac地址掃描
/tool mac-scan all
***與ppp建立用戶
在interfaces--settings-pptp server
Enabled選擇 mtu1500 mru:1500
keepalive Timeout:disabled
default Profiles: default
Authentication: 下面打上四個對號(這也代表服務器啓動)
ip-pool-ip pool
pptp=192.168.0.150-192.168.0.160(此IP段爲內網中沒有在用的段)
pptp1=192.168.0.170-192.168.0.180(此IP段爲內網中沒有在用的段)
自己總結出來的,有人問,爲什麼要寫2個ip段一個不也行嗎。。。
這也是我自己的心得,我想看到這個資料的人也不是一般人。呵呵
因爲在***連接的時候我們要給他分配一個遠程的主機ip做爲網關。
在本配一個本地的做爲ip。所以選擇了2個,往下看在
ppp-Secrets
new ppp secret
service:pptp
routes:可以添加網關(一般***都是默認錄找網關可添可不添)
Profiles:
Local Address:在這裏我添加的是pptp
Remote Address:在這裏我添加的是pptp1
dns,建議最好填寫:
下面有兩個 use Encryption Require Encryption 代表加密
Limits:
Tx bit Rate)用來限速的最大值
Rx bit Rate)用來限速的最小值
這也就表明了,遠程給他一個地址,本地給他一個地址,這樣可以更好的來識別。
最重要的,就是,基本每次都能撥上來。可能有很多人說我能撥你家電信,爲啥不
能撥網通,我來告訴你答案因爲isp的關係。在這裏我就不詳細說明了。。。。
撥好的時候我就不說了,如果有問題在來問我。。。
檢查磁盤
在路由或終端模擬下用下面命令:
system
check-disk
檢查磁盤,要重啓。 但是很慢,一分鐘一G。。。哈哈
關機
可以在WINBOX中關機,也可以用命令關:
system
sh
即可。。。自我感覺不好使
如果有一些網頁打不開,你ISP的MTU=1492,請在IP > Firewall > Mangle > 單擊紅加號 > Protocol選擇TCP > Tcp Options 選擇 sync >
Actions選擇 accept >TCP MSS:1448。
ip-firewall -filter fules ,選擇 + 號,in interface 選擇內網網卡(local),其他默認
這條路由允許來自內網的連接,如果有限制,可以修改 src address 的ip段,或者content 內容過濾
ip -》firewall -》filter chains 選中 input ,選擇 drop
這條規則禁止所有的外部連接
以上兩條規則,屏蔽來自外網的所有連接
一些惡意網站和廣告,也可以從這裏屏蔽
關於解決不能上百度的問題
把TCP MSS 1448改成1432
記錄網卡MAC地址才能限制網卡上網。具體設置如下。
在防火牆裏面的filter rules項選擇forward然後添加一項設定也就是“+”號,
在advanced項裏面的src .mac.address項裏面加入網卡的MAC地址,然後在ACTION中選擇Drop項。這樣子添加後,那塊網卡的ip地址無論咋換,都
無法上網。除非它把網卡換了。我就是這樣子作出來得,效果不錯。
如果改了端口用winbox打不開了的解決方法
用SSH進入
/ip ser
/ip ser/>set www port 80
/ip ser/>set ftp port 21
解決因防火牆屏蔽來自內網的所有連接
進入後輸入 /ip f ru o 可打開OUTPUT 輸入 //ip f ru in 可打開INPUT
再、輸入p 可看結果
按REM O(此0爲數字)可刪除相應0的規則
你輸入/ip f set i p a 可恢復系統默認input改回accept。
或者,使用system 裏面的reset 復位路由(會刪除所有規則)
[admin@MikroTik] > system reset (系統自動復位清除設置並重新啓動)
啓用dns緩存
CODE
[admin@MikroTik] ip dns> set allow-remote-requests=yes
[admin@MikroTik] ip dns> ..
user 管理員只能在內網登陸
set 0 address=192.168.0.0/24
將規則另存爲*.rsc文件,進入控制檯,或者在路由器本機上,輸入 import *.rsc
該規則導入完成
基本也就這些了,還有自己知道的,也說不出來的,在有寫東西是我自己在網絡中找的。。本人都已經測試過了。
斬斷掃描ROS的黑手
以下是引用片段:
/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="Port scanners to list " disabled=no
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP FIN Stealth scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/FIN scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/RST scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="FIN/PSH/URG scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="ALL/ALL scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP NULL scan"
/ip firewall filter add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no