在有固定ip的情況下,NAT轉發效率比masquerade高效,尤其當帶機量足夠多時,NAT優勢十分明顯,如果是雙線或多線用戶,更可利用NAT方式分載到不同的內網機器。因masquerade設置起來更簡單,所以很少有人談及NAT轉發。其實NAT設置並不複雜,實際應用中也會更靈活。
假如有兩條線路,電信接入的網卡名爲TEL,網通接入的網卡爲CNC,內網分配的IP爲192.168.0.0/23
/ ip firewall nat
add chain=srcnat action=src-nat to-addresses=網通線路IP to-ports=0-65535 out-interface=cnc src-address=192.168.0.0/24 comment="" disabled=no
這裏,內網92.168.0.0的498個ip可網通轉發出去。網通線路IP輸入自己的外網ip,out-interface也得根據自己的接網通外網的網卡命名
如果是雙線,只要做兩個NET就可以了,一個電信,一個網通!
舉一反三,假設有兩條相同的網通或者多條線路,想做分流的話,同樣簡單高效,只需將src-address下的某個內網段指定給某個外網,如下:
/ ip firewall nat
chain=srcnat action=src-nat to-addresses=網通線路1號IP to-ports=0-65535 out-interface=cnc1 src-address=192.168.0.0/25 comment="" disabled=no
add chain=srcnat action=src-nat to-addresses=網通線路2號IP to-ports=0-65535 out-interface=cnc2 src-address=192.168.0.128/25 comment="" disabled=no
這樣,線路1號帶192.168.0.1-192.168.0.126這個段的128臺電腦。線路2號帶192.168.0.129-192.168.0.254電腦。如果有更多線路,也可以此類推劃分更詳細分配方案
如果採用了NET的轉發方式,如果射映端口是要做迴流的
ip fir net 增加
chain srcnet
src add 內網段
action 動作裏
ACT src net
to add 外網IP (射映端口走外網的IP)
to por 0-65535
用上此方法,適合200臺以上的網吧,用了效果絕對要比masquerade好。
ROS自動刪除無效的連接
ROS 裏TCP-STATE Close 狀態過多,會出現網頁打不開之類的現象,原因是ROS裏TCP-STATE 連接狀態默認時間是一天,這樣要等24小時候ROS纔會關掉這個連接,這個可以在Tracking 裏把連接時間設置小一點,但是會有點副作用。最好的辦法是用腳本定時清除。
1、在ROS的 SYSTEM 下的 Scripts 裏建一個腳本
2、在ROS的 SYSTEM 下的 Scheduler 裏建一個任務,時間設成一分鐘執行一次腳本就差不多了。
2.9x 腳本如下:
/ip fir con remove [/ip fir con find tcp-state=close]
3.x 腳本如下:
/ip fir con remove [/ip fir con find tcp-state="close"]
/ system scheduler add name="del_close" on-event="/ip firewall connection remove \[/ip firewall connection find tcp-state=close\]" start-date=jan/01/1970 \start-time=00:00:00 interval=1m comment="" disabled=no