ROS 软路由学习笔记
基础知识
安装完成后什么都没有设置的情况下 登陆
用户 admin
密码 空
1、查看已经安装的网卡
>/int
>pri
2、确认安装了2块网卡之后,如果看到网卡其那面的英文为X,
则需要激活网卡,2.9系列的版本是自动激活网卡的!
>enable 0
>enable 1
3、激活之后网卡前面的英文为 “R”然后更改网卡名字
>set 0 name=lan
>set 1 name=wan
>/ 注:“/”为退出的意思
4、设置内网卡的IP和子网掩码
>set
>a
>a
>lan
回车后输入你服务器内网卡的IP地址,如192.168.1.1
下面IP后的"/24"是代表子网掩码 255.255.255.0
比如:192.168.1.1/24
回车后按 G 设置网关
192.168.1.1
5、设置外网卡IP和子网掩码
>set
>a
>a
>wan
回车后输入网通/电信给你提供的IP。IP后的“/29”代表子网掩码
“/29”代表“255.255.255.248”
如果你的子网掩码不是 "255.255.255.248"请自己算
或者用子网掩码计算器来进行计算!
210.137.174.1/29
按回车后 按G 设置网关
219.137.174.193
6、查看IP设置情况
>ip add
>pri
假如网卡 1 设置错误,删除设置错误的网卡
>remove 1
重新启动一次,完成后在其他机器用WINBOX 登入
7、设置DNS
IP --dns--settings
然后输入您当地的DNS如
202.102.224.68
202.102.227.68
8、最后一步,设置共享上网
2.9系列的版本选择
登陆WINBOX IP-Flirewall-选择"+"号-Action-masquerade
以下是我自己学习的!
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
建议选择所有组件 a 然后 i 进行安装 遇到以下英文看下面
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Warning:all data on the disk will be erased!
警告:磁盘上的所有数据都将被删除! 选择 Y
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Do you want to keep old configuration?
你想保留旧的配置? 选择 N
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
然后他就会自解压所有的组件文件 安装后提示按回车启动
装完 ROS后 输入账号 admin 密码 空 按回车
接着输入 setup
然后选择 a 附解释
r - reset all router configuration 重置所有路由器的配置
l - load interface driver 负载接口的驱动程序
a - configure ip address and gateway 配置IP地址和网关
d - setup dhcp client 设置DHCP客户端
s - setup dhcp server 设置DHCP服务器
p - setup pppoe client 安装PPPoE客户端
t - setup pptp client 安装PPTP客户端
x - exit menu 退出菜单
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
继续 ing ....
your choice [press Enter to configure ip address and yateway]:选择 a
选择[按回车键配置IP地址和子网掩码]:a
a - add ip address 添加IP地址
g - setup default gateway 设置默认网关
x - exut menu 退出菜单
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
继续 ing ....
your choice [press Enter to add ip address]:选择 a
选择[按Enter键,添加IP地址]:选择 a
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
enable interface:ether1
网卡的接口名称:ether1
ip address/netmask:192.168.0.1/24
IP地址/掩码:192.168.0.1/24
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
到此结束啦!然后按两个 X X 退出菜单
现在应该能PING通你刚才设置的IP 如果不通
请检测你网线插的接口的位置!
我用虚拟机 设置一个网段,可以PING通
现在您可以访问 http://192.168.0.1 来配置你的ROS
注:我也是个新手哦!这个只是我学习时候的笔记!
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
pppoe拨号上网如下亲自操作并记录哦
点击 winbox 上的 Interfaes (接口)
在弹出的对话框 里选择 + 旁边的三角形
选择 PPPOE Client 接口位置选择 wan
注:内网网卡名字修改LAN 外网网卡名称为WAN
在选择第二个选项卡 Dial Out
填写 User 为您的上网账号
PASSWORD 为您的上网密码
点击 OK 按钮,搞定收工
现在需要 添加 NAT 网络地址转换(IP伪装)如下操作
注:本地方如果不操作,是不可能上网的
在 IP 选项卡内 找到 Fierwall 点击后会打开Fierwall
然后 选择 Fierwall 中的 NAT 点击下面的 + 号
在弹出的 Action 中 选择 masquerade 点击OK 搞定
到此 PPPOE 才可以正常使用!
没想象中的那么难处理!
对于节点超过500以上的网络共享上网的话建议使用ROS(做NAT)+3层交换机的方式:
下面就详细讲ROS 和3层交换机上如何配制
假设500台机器划分为5段,每段机100台,分别的网段是192.168.1.X----192.168.5.X
ROS的内网地址就设置为192.168.0.1 三层交换机的WAN口地址设置为192.168.0.2
ROS 配置
ROS内网地址
1 192.168.0.1/24 192.168.0.0 192.168.0.255 LAN
ROS 做地址隐藏要将全部节点的IP都要包括进去,所以就来来个
src-address=192.168.0.0/16 action=masquerade
给ROS指回头路由到三成交换机
ip route add dst-address=192.168.1.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.2.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.3.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.4.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.5.0/24 gateway=192.168.0.2
三层交换机配置
由于三层交换机各厂家配制命令不一样,下面只说大致配制步骤
先给三层交换机配制WAN口地址 192.168.0.2
静态网关 0.0.0.0 0.0.0.0 192.168.0.1
然后新建立5个VLAN,分别是 VLAN100 VLAN101 VLAN102 VLAN103 VLAN104,其个VLAN的IP地址分别为192.168.1.1 ,192.168.2.1,192.168.3.1,192.168.4.1,192.168.5.1
然后根据需要分配每个VLAN分配的端口
如果是网吧,为了降低成本,可以用ROS直接添加多个网卡直接分段,效果也很不错
ROS中清除 tcp-state close 状态的方法:
ROS 里TCP-STATE Close 状态过多,会出现网页打不开之类的现象,原因是ROS里TCP-STATE 连接状态默认时间是一天,这样要等24小时候ROS才会关掉这个连接,这个可以在Tracking 里把连接时间设置小一点,但是会有点副作用。最好的办法是用脚本定时清除。
1、在ROS的 SYSTEM 下的 s 里建一个脚本
2、在ROS的 SYSTEM 下的 Scheduler 里建一个任务,时间设成一分钟执行一次
脚本就差不多了。
2.9x 脚本如下:
/ip fir con remove [/ip fir con find tcp-state=close]
3.x 脚本如下:
/ip fir con remove [/ip fir con find tcp-state="close"]
/ system scheduler add name="del_close" on-event="/ip firewall connection remove \[/ip firewall connection find tcp-state=close\]" start-date=jan/01/1970 \start-time=00:00:00 interval=1m comment="" disabled=no
:global RxCurPacket 0
:global RxCurUser 0
#设置用户上传超过此流量时,踢人
:global RxCurMax 15000000
:foreach i in=[/interface find mtu=1480] do={
/interface monitor $i once do={
:set RxCurPacket ($sent-bits-per-second)
:set RxCurUser [/ppp active get $i name]}
:if ($RxCurMax<$RxCurPacket) do={
/ppp active remove [/ppp active find name=$RxCurUser]
/tool user-manager user disable $RxCurUser
:log info ("已经把" . $RxCurUser . "用户踢下线" . [/sys cl get time] . [/sys cl get date])
}
}
pppoe 攻击 踢人 脚本最新版2.9.27:
修改后的脚本:
:global RxCurPacket 0
:global RxCurUser 0
#设置的用户上传超过此流量时,踢人,这里15000000大约就是15M了,自己看着设了
:global RxCurMax 15000000
:foreach i in=[/interface find mtu=1480] do={
/interface monitor $i once do={
:set RxCurPacket ($received-bits-per-second)
:set RxCurUser [/ppp active get $i name]}
:if ($RxCurMax<$RxCurPacket) do={
/ppp active remove [/ppp active find name=$RxCurUser]
/tool user-manager user disable $RxCurUser
:log info ("已经把" . $RxCurUser . "用户踢下线" . [/sys cl get time] . [/sys cl get date])
}
}
只改了一个单词,大家看出来了没有?
原来这句是:
:set RxCurPacket ($sent-bits-per-second)
改后:
:set RxCurPacket ($received-bits-per-second)
重点就是sent与received的区别,原来猛男兄的应该是客户机的下载速度不能超过15000000,
改后received才是客户机的上传速度,用阿拉丁一攻就踢了。。。
造福大众,如有得罪一些兄弟的,请多多包涵!
在此多谢WGHBOY 猛男兄,多谢他抛的玉,
我砸的是砖头
Cisco路由器交换机配置命令详解
1. 交换机支持的命令:
交换机基本状态:
switch: ;ROM状态, 路由器是rommon>
hostname> ;用户模式
hostname# ;特权模式
hostname(config)# ;全局配置模式
hostname(config-if)# ;接口状态
交换机口令设置:
switch>enable ;进入特权模式
switch#c onfig terminal ;进入全局配置模式
switch(config)#hostname ;设置交换机的主机名
switch(config)#enable secret xxx ;设置特权加密口令
switch(config)#enable password xxa ;设置特权非密口令
switch(config)#line console 0 ;进入控制台口
switch(config-line)#line vty 0 4 ;进入虚拟终端
switch(config-line)#login ;允许登录
switch(config-line)#password xx ;设置登录口令xx
switch#exit ;返回命令
交换机VLAN设置:
switch#vlan database ;进入VLAN设置
switch(vlan)#vlan 2 ;建VLAN 2
switch(vlan)#no vlan 2 ;删vlan 2
switch(config)#int f0/1 ;进入端口1
switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2
switch(config-if)#switchport mode trunk ;设置为干线
switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan
switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继
switch(config)#vtp domain ;设置发vtp域名
switch(config)#vtp password ;设置发vtp密码
switch(config)#vtp mode server ;设置发vtp模式
switch(config)#vtp mode client ;设置发vtp模式
交换机设置IP地址:
switch(config)#interface vlan 1 ;进入vlan 1
switch(config-if)#ip address ;设置IP地址
switch(config)#ip default-gateway ;设置默认网关
switch#dir flash: ;查看闪存
交换机显示命令:
switch#write ;保存配置信息
switch#show vtp ;查看vtp配置信息
switch#show run ;查看当前配置信息
switch#show vlan ;查看vlan配置信息
switch#show interface ;查看端口信息
switch#show int f0/0 ;查看指定端口信息
2. 路由器支持的命令:
路由器显示命令:
router#show run ;显示配置信息
router#show interface ;显示接口信息
router#show ip route ;显示路由信息
router#show cdp nei ;显示邻居信息
router#reload ;重新起动
路由器口令设置:
router>enable ;进入特权模式
router#c onfig terminal ;进入全局配置模式
router(config)#hostname ;设置交换机的主机名
router(config)#enable secret xxx ;设置特权加密口令
router(config)#enable password xxb ;设置特权非密口令
router(config)#line console 0 ;进入控制台口
router(config-line)#line vty 0 4 ;进入虚拟终端
router(config-line)#login ;要求口令验证
router(config-line)#password xx ;设置登录口令xx
router(config)#(Ctrl+z) ; 返回特权模式
router#exit ;返回命令
路由器配置:
router(config)#int s0/0 ;进入Serail接口
router(config-if)#no shutdown ;激活当前接口
router(config-if)#clock rate 64000 ;设置同步时钟
router(config-if)#ip address ;设置IP地址
router(config-if)#ip address second ;设置第二个IP
router(config-if)#int f0/0.1 ;进入子接口
router(config-subif.1)#ip address ;设置子接口IP
router(config-subif.1)#encapsulation dot1q ;绑定vlan中继协议
router(config)#c onfig-register 0x2142 ;跳过配置文件
router(config)#c onfig-register 0x2102 ;正常使用配置文件
router#reload ;重新引导
路由器文件操作:
router#copy running-config startup-config ;保存配置
router#copy running-config tftp ;保存配置到tftp
router#copy startup-config tftp ;开机配置存到tftp
router#copy tftp flash: ;下传文件到flash
router#copy tftp startup-config;下载配置文件
ROM状态:
Ctrl+Break ;进入ROM监控状态
rommon>confreg 0x2142 ;跳过配置文件
rommon>confreg 0x2102 ;恢复配置文件
rommon>reset ;重新引导
rommon>copy xmodem: flash: ;从console传输文件
rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin ;指定下载的文件
rommon>tftpdnld ;从tftp下载
rommon>dir flash: ;查看闪存内容
rommon>boot ;引导IOS
静态路由:
ip route ;命令格式
router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ;静态路由举例
router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ;默认路由举例
动态路由:
router(config)#ip routing ;启动路由转发
router(config)#router rip ;启动RIP路由协议。
router(config-router)#network ;设置发布路由
router(config-router)#negihbor ;点对点帧中继用。
帧中继命令:
router(config)#-relay switching ;使能帧中继交换
router(config-s0)#encapsulation -relay ;使能帧中继
router(config-s0)#fram-relay lmi-type cisco ;设置管理类型
router(config-s0)#-relay intf-type DCE ;设置为DCE
router(config-s0)#-relay dlci 16 ;
router(config-s0)#-relay local-dlci 20 ;设置虚电路号
router(config-s0)#-relay interface-dlci 16 ;
router(config)#log-adjacency-changes ;记录邻接变化
router(config)#int s0/0.1 point-to-point ;设置子接口点对点
router#show pvc ;显示永久虚电路
router#show map ;显示映射
基本访问控制列表:
router(config)#access-list permit|deny
router(config)#interface ;default:deny any
router(config-if)#ip access-group in|out ;default:out
例1:
router(config)#access-list 4 permit 10.8.1.1
router(config)#access-list 4 deny 10.8.1.0 0.0.0.255
router(config)#access-list 4 permit 10.8.0.0 0.0.255.255
router(config)#access-list 4 deny 10.0.0.0 0.255.255.255
router(config)#access-list 4 permit any
router(config)#int f0/0
router(config-if)#ip access-group 4 in
扩展访问控制列表:
access-list permit|deny icmp
wild>[type]
access-list permit|deny tcp
wild>[port]
例3:
router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例3:
router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
删除访问控制例表:
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
路由器的nat配置
Router(config-if)#ip nat inside ;当前接口指定为内部接口
Router(config-if)#ip nat outside ;当前接口指定为外部接口
Router(config)#ip nat inside source static [p] <私有IP><公网IP> [port]
Router(config)#ip nat inside source static 10.65.1.2 60.1.1.1
Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80
Router(config)#ip nat pool p1 60.1.1.1 60.1.1.20 255.255.255.0
Router(config)#ip nat inside source list 1 pool p1
Router(config)#ip nat inside destination list 2 pool p2
Router(config)#ip nat inside source list 2 interface s0/0 overload
Router(config)#ip nat pool p2 10.65.1.2 10.65.1.4 255.255.255.0 type rotary
Router#show ip nat translation
rotary 参数是轮流的意思,地址池中的IP轮流与NAT分配的地址匹配。
overload参数用于PAT 将内部IP映射到一个公网IP不同的端口上。
外部网关协议配置:
routerA(config)#router bgp 100
routerA(config-router)#network 19.0.0.0
routerA(config-router)#neighbor 8.1.1.2 remote-as 200
配置PPP验证:
RouterA(config)#username password
RouterA(config)#int s0
RouterA(config-if)#ppp authentication {chap|pap}
3.PIX防火墙命令
Pix525(config)#nameif ethernet0 outside security0 ;命名接口和级别
Pix525(config)#interface ethernet0 auto ;设置接口方式
Pix525(config)#interface ethernet1 100full ;设置接口方式
Pix525(config)#interface ethernet1 100full shutdown
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
Pix525(config)#ip address outside 133.0.0.1 255.255.255.252
Pix525(config)#global (if_name) natid ip-ip ;定义公网IP区间
Pix525(config)#global (outside) 1 7.0.0.1-7.0.0.15 ;例句
Pix525(config)#global (outside) 1 133.0.0.1 ;例句
Pix525(config)#no global (outside) 1 133.0.0.1 ;去掉设置
Pix525(config)#nat (if_name) nat_id local_ip [netmark]
Pix525(config)#nat (inside) 1 0 0
内网所有主机(0代表0.0.0.0)可以访问global 1指定的外网。
Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
内网172.16.5.0/16网段的主机可以访问global 1指定的外网。
Pix525(config)#route if_name 0 0 gateway_ip [metric] ;命令格式
Pix525(config)#route outside 0 0 133.0.0.1 1 ;例句
Pix525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1 ;例句
Pix525(config)#static (inside, outside) 133.0.0.1 192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
Pix525(config)#static (dmz, outside) 133.0.0.1 172.16.0.8
中间区域ip地址172.16.0.8,访问外部时被翻译成133.0.0.1全局地址.
(收藏于51CTO)
CICSO交换机 + ROS VLAN设置
前面有不少人问起过VLAN的用法,在这里先抛砖引玉吧
以下是ROS VLAN的设置通用法则,其他交换机可以采用类似的思路是一样的,并且在华为和SSR等名牌设备上都做通了
1、设置交换机:
1、1 添加相应VLAN
set vlan 111 name office type ethernet mtu 1500 said 100111 state active
set vlan 112 name factory type ethernet mtu 1500 said 100112 state active
set vlan 113 name school type ethernet mtu 1500 said 100113 state active
set vlan 114 name cnc type ethernet mtu 1500 said 100114 state active
//以上是设置了111-114 VLAN的名字等参数。
1、2 将111-114的VLAN分配各个相应端口
set vlan 111 2/7
set vlan 112 2/9
set vlan 113 2/11
set vlan 114 2/13
//接网线:111(2/7)接办公楼;112(2/9)接集团工厂车间;113(2/11)接集团子弟学校;114(2/13)接网通出口
//好象没有ROS什么事呀?先别急,等一会再说
1、3 配置VLAN干线
clear trunk 2/5 2-110,115-1005
//以上也许可以省略,目的是将其他与ROS无关的VLAN抛开
set trunk 2/5 on dot1q 1,111-114
//将2/5设置为TRUNK口,vlan的封装类型一定要用dot1q,因为ROS仅支持标准802.1q的vlan,因此采购其他的交换机也要支持802.1q的交换机,有些市面交换机只支持私有的VLAN协议
//同样,如果选CISCO的交换机,也要注意不能配置成ISL的VLAN,如果MIKROTIK购买CISCO的协议,ROS就不会那么便宜了!
//这个口子就插ROS的ether1
//ether1是外口还是内口?都是!
//晕了?继续向下看--->
2、设置ROS
其实很简单:
2、1 创建VLAN并加入到ether1
/ interface vlan
add mtu=1500 arp=enabled vlan-id=111 interface=ether1
add mtu=1500 arp=enabled vlan-id=112 interface=ether1
add mtu=1500 arp=enabled vlan-id=113 interface=ether1
add mtu=1500 arp=enabled vlan-id=114 interface=ether1
//虽然语法和CISCO不一样,但道理是一样的
//注意要点,这里的VLAN ID与前面交换机的要一一对应,VLAN名称有些交换机可以不对应,但有些交换机要求较严格,不对应不通
2、2 使用VLAN,VLAN的使用非常简单,把它们象普通网卡那样对待就可以了
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=office comment=""
add address=192.168.1.1/30 network=192.168.1.0 broadcast=192.168.1.255 interface=factory comment=""
add address=192.168.2.1/24 network=192.168.2.0 broadcast=192.168.2.255 interface=school comment=""
add address=221.38.156.42/30 network=221.38.156.40 broadcast=221.38.156.43 interface=cnc comment=""
//以上是给各个vlan设置地址
2、3 做其他必要设置
/ ip route
add dst-address=0.0.0.0/0 preferred-source=0.0.0.0 gateway=221.38.156.41 distance=1 comment="added by setup"
//添加缺省路由
/ ip firewall src-nat
add src-address=192.168.0.0/16 out-interface=cnc action=masquerade comment=""
//配置NAT转发
//好了,现在可以上网了,ROS只用了单网卡,并且各个VLAN间可以互访了
3、一句话总结:
创建设置VLAN并一一对应====>将端口分配VLAN=====>建立VLAN干线=====>象普通网卡那样使用VLAN
4、相关话题:TRUNK不也是要求一一对应的吗?
没错,不过ROS自动识别,不需要特别建立,但需要注意硬件兼容性:8139和INTEL网卡是支持VLAN的,但其他网卡未经测试,不敢保证能通。
网吧ROS解决外网的DDOS的好办法:
ROS是大家公认的性能比较优越的路由器,综合比较起来,其性能的卓越性,功能之多是其他路由器无法比拟的,和其他路由器一样,针对ROS系统的安全性和稳定性也有一定问题。
【原因】做好的ROS很多人都不进行禁ping设置,这样也就给了外网判断此IP在线的方法。
论坛上看到了有个朋友说自己遭受DDOS攻击,路由器直接DOWN掉,其实这个问题的发生起因是内网中马,在老黑利用此马对其他的IP用户进行攻击的时候,你的网吧成为了一个IP攻击源,引起大量数据传输,导致ROS掉线。其他的朋友说“你家被别人攻击了”,其实合理的解释应该是,你家的机器有机器中马,别人在利用你家攻击别人,你的带宽被吃满,ROS承载能力不足而产生这个现象。。。。除非你和谁有深仇大恨才可能引起别人对你的攻击。
【分析】针对这个问题的解决办法,首要的问题是找出问题源,也就是中毒的机器,再者就是将ROS的IP隐藏,让自己的IP保持安全性,同时将内网可以查询IP的一切网站进行屏蔽,让别人从内网和外网都对你的IP搞不到头脑,这样他也无从下手。
【解决】具体做法如下:
既然要隐藏IP,但必须要保持ROS的访问正常,则需要做几项改动
1. 更改ROS的web访问端口,进入winbox ->IP->services->
图一
【注意】这样更改后,登陆ROS的时候需要在IP后面加上您的端口才可以正常进入,如上图中的登陆的话就应该更改为:
打开winbox->在IP地址处添加 您的IP:5188 ->输入用户密码就可以进行登陆了。
2. 添加外网禁ping防火墙 进入 winbox->IP->firewall->filter->添加
这里如果是单线的话,就可以单独屏蔽掉一个外网网卡的ping数据,如果是双线网吧的话,就要再做一条filter,把另一条线路添加到禁ping设置中。方法与单线一样,只在In Interface 中更改为另一条线路的硬件,如果内网也想禁Ping的话就再加一条,In Interface 中添加为内网网卡。
图二
图三
图四
这里如果是单线的话,就可以单独屏蔽掉一个外网网卡的ping数据,如
果是双线网吧的话,就要再做一条filter,把另一条线路添加到禁ping设置中。方法与单线一样,只在In Interface 中更改为另一条线路的硬件,如果内网也想禁Ping的话就再加一条,In Interface 中添加为内网网卡。
这样你可以实验一下,外网已经无法Ping通您了,但是您的登陆仍然正常。
3. 好了,外网已经无法PING通了,那么该考虑考虑内网的问题了,有些想对您恶搞的人需要知道您的外网IP,这可怎么办,网络上能查询IP地址的网站层出不穷,但是具体的站点就只有几个,所以我们只要将这些站点的访问直接屏蔽掉,那么就可以增加您IP的隐藏性,不至于被有什么想法的人利用,恩恩,就这么办针对这个我写了几条Filter,大家直接用这个导入ROS的话就可以屏蔽掉这些网站。
策略如下:
/ip firewall filter
Add chain=forward content=www.ip138.com action=reject
Add chain=forward content=www.ip.cn action=reject
Add chain=forward content=www.apnic.net action=reject
Add chain=forward content=ipseeker.cn action=reject
Add chain=forward content=www.123cha.com action=reject
Add chain=forward content=ip.loveroot.com action=reject
Add chain=forward content=ip.wisa.com.cn action=reject
。。。。。。。
如果再发现那个网站可以查询IP的话直接就可以自己加上一条,然后将网址处的网址更改为您找到的网站域名,就可以了。
通过以上几种方法,我们就可以基本将外网的和内网的部分威胁去掉一部分,让我们能够安稳的睡一觉了。
【综述】网络安全并不是简单的几条策略,简单的几句话可以讲清楚的,保证完全安全的防护,谁也不可能弄出来,微软那么大的公司一样让病毒,漏洞搞的焦头烂额,何况我们呢。我们现在所能够做的,就是增加自己的实战经历,时刻保持着警惕性,防范住每一个能够侵害我们的网络的危险。
今天给大家推荐一款不错的ros路由器密码破解工具:
具体介绍:
本地ROS路由器密码破解器发布了,你是不是本地网管?你是不是正在为健忘了ros登录密码在发愁?有了本工具,这一操纵将变的非常轻松。首先使用光盘版PE或者U盘版PE。然后进入PE后。用这个工具将装Routeros的那个硬盘的/nova/store/user.dat文件删除,然后你就可以用登陆器使用默认admin无密码进入ROS了,配置不变,仅仅清除了保留密码的文件!
http://www./files/10c97e02-9c72-11de-add4-0014221b798a/
部分工具有可能被杀毒软件误报 如不放心可以去虚拟机中测试
ROS脚本大全(通用)
一:限速脚本
:for wbsz from 1 to 254 do={/queue simple add name=(wbsz . $wbsz) dst-address=(192.168.0. . $wbsz) limit-at=1024K/1024K max-limit=1024K/1024K}
二:限制每台机最大线程数
:for wbsz from 1 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $wbsz) protocol=tcp connection-limit=50,32 action=drop}
三:端口映射
ip firewall nat add chain=dstnat dst-address=(202.96.134.134) protocol=tcp dst-port=80 to-addresses=(192.168.0.1) to-ports=80 action=dst-nat
四:封端口号
/ ip firewall filter
ad ch forward pr tcp dst-po 8000 act drop comment="Blockade QQ"
五:更变telnet服务端口
/ip service set telnet port=23
六:更变SSH管理服务端口
/ip service set ssh port=22
七:更变www服务端口号
/ip service set www port=80
八:更变FTP服务端口号
/ip service set ftp port=21
九:增加本ROS管理用户
/user add name=wbsz password=admin group=full
十:删除限速脚本
:for wbsz from 1 to 254 do={/queue simple remove (wbsz . $wbsz) }
十一:封IP脚步本
/ ip firewall filter
add chain=forward dst-address=58.60.13.38/32 action=drop comment="Blockade QQ"
十二:禁P2P脚本
/ ip firewall filter
add chain=forward src-address=192.168.0.0/24 p2p=all-p2p action=drop comment="No P2P"
十三:限制每台机最大的TCP线程数(线程数=60)
/ ip firewall filter
add chain=forward protocol=tcp connection-limit=60,32 action=drop \
disabled=no
十四:一次性绑定所有在线机器MAC
:foreach wbsz in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$wbsz]
十五:解除所以绑定的MAC
:foreach wbsz in [/ip arp find] do={/ip arp remove $wbsz}
十六:禁Ping
/ ip firewall filter
add chain=output protocol=icmp action=drop comment="No Ping"
十七:禁电驴
/ ip firewall filter
add chain=forward protocol=tcp dst-port=4661-4662 action=drop comment="No Emule"
add chain=forward protocol=tcp dst-port=4242 action=drop
add chain=forward dst-address=62.241.53.15 action=drop
十八:禁PPLIVE
/ ip firewall filter
add chain=forward protocol=tcp dst-port=8008 action=drop comment="No PPlive TV"
add chain=forward protocol=udp dst-port=4004 action=drop
add chain=forward dst-address=218.108.237.11 action=drop
十九:禁QQ直播
/ ip firewall filter
add chain=forward protocol=udp dst-port=13000-14000 action=drop comment="No QQLive"
二十:禁比特精灵
/ ip firewall filter
add chain=forward protocol=tcp dst-port=16881 action=drop comment="No BitSpirit"
二十一:禁QQ聊天(一般公司才需要)
/ ip firewall filter
add chain=forward src-address=10.5.6.7/32 action=accept comment="No Tencent QQ"
ad ch forward pr tcp dst-po 8000 act drop
ad ch forward pr udp dst-po 8000 act drop
ad ch forward pr udp dst-po 8000 act drop
add chain=forward dst-address=61.144.238.0/24 action=drop
add chain=forward dst-address=61.152.100.0/24 action=drop
add chain=forward dst-address=61.141.194.0/24 action=drop
add chain=forward dst-address=202.96.170.163/32 action=drop
add chain=forward dst-address=202.104.129.0/24 action=drop
add chain=forward dst-address=202.104.193.20/32 action=drop
add chain=forward dst-address=202.104.193.11/32 action=drop
add chain=forward dst-address=202.104.193.12/32 action=drop
add chain=forward dst-address=218.17.209.23/32 action=drop
add chain=forward dst-address=218.18.95.153/32 action=drop
add chain=forward dst-address=218.18.95.165/32 action=drop
add chain=forward dst-address=218.18.95.220/32 action=drop
add chain=forward dst-address=218.85.138.70/32 action=drop
add chain=forward dst-address=219.133.38.0/24 action=drop
add chain=forward dst-address=219.133.49.0/24 action=drop
add chain=forward dst-address=220.133.40.0/24 action=drop
add chain=forward content=sz.tencent action=reject
add chain=forward content=sz2.tencent action=reject
add chain=forward content=sz3.tencent action=reject
add chain=forward content=sz4.tencent action=reject
add chain=forward content=sz5.tencent action=reject
add chain=forward content=sz6.tencent action=reject
add chain=forward content=sz7.tencent action=reject
add chain=forward content=sz8.tencent action=rejec
add chain=forward content=sz9.tencent action=rejec
add chain=forward content=tcpconn.tencent action=reject
add chain=forward content=tcpconn2.tencent action=reject
add chain=forward content=tcpconn3.tencent action=reject
add chain=forward content=tcpconn4.tencent action=reject
add chain=forward content=tcpconn5.tencent action=reject
add chain=forward content=tcpconn6.tencent action=reject
add chain=forward content=tcpconn7.tencent action=reject
add chain=forward content=tcpconn8.tencent action=reject
add chain=forward content=qq action=reject
add chain=forward content=www.qq action=reject
二十二:防止灰鸽子入浸
/ ip firewall filter
add chain=forward protocol=tcp dst-port=1999 action=drop comment="Backdoor.GrayBird.ad"
add chain=forward dst-address=80.190.240.125 action=drop
add chain=forward dst-address=203.209.245.168 action=drop
add chain=forward dst-address=210.192.122.106 action=drop
add chain=forward dst-address=218.30.88.43 action=drop
add chain=forward dst-address=219.238.233.110 action=drop
add chain=forward dst-address=222.186.8.88 action=drop
add chain=forward dst-address=124.42.125.37 action=drop
add chain=forward dst-address=210.192.122.107 action=drop
add chain=forward dst-address=61.147.118.198 action=drop
add chain=forward dst-address=219.238.233.11 action=drop
二十三:防三波
/ ip firewall filter
add chain=forward protocol=tcp dst-port=135-139 action=drop comment="No 3B"
以上脚本使用说明:
用winbox.exe 登陆 找到 System -- - 点击+ 将对应脚本复制其中后,点击 Run 即脚本安装成功!
ROS防火墙之简单规则.禁PING,禁止某台机器上网,禁止超过500的ICMP包发向路由
#ROS2927放火墙之简单规则.
#只做了禁PING,和ICMP协议超过500包不接.
/ ip firewall filter
add chain=input in-interface=tel protocol=icmp icmp-options=8:0 action=drop \
comment="Tel Disable Ping" disabled=no
add chain=input in-interface=cnc protocol=icmp icmp-options=8:0
action=drop \
comment="CNC Disable Ping" disabled=no
add chain=input in-interface=lan src-address=!192.168.0.0/24 action=drop \
comment="Fei 192.168.0.0/24 can`t in ROS" disabled=yes
add chain=forward src-address=192.168.0.215 action=accept comment="vip" \
disabled=yes
add chain=input protocol=icmp icmp-options=8:0 packet-size=!0-600 action=drop \
comment="Chao Guo 500/pack dis" disabled=no
add chain=forward in-interface=lan src-address=192.168.0.243 action=drop \
comment="Dis on computer top wire" disabled=no
简单说明:
红色字内的tel和cnc就是外网网卡名了..我是双线.所以有俩网卡了..是禁PING规则..
蓝色字的就是内网网段,规则含义就是非内网网段的IP禁止向路由通讯.
绿色字的IP就是管理员的机器..任何规则对他都无效..
暗红色字就是设置内网某台机器不让他上网...
不小心关了ros的web 、FTP,现在WINBOX连不上了,在命令行里开启WEB的命令
[admin@3000] > ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 X ftp 21 0.0.0.0/0
2 x www 80 0.0.0.0/0
3 X hotspot 8088 0.0.0.0/0
4 X ssh 22 0.0.0.0/0
5 X hotspot-ssl 443 0.0.0.0/0 none
[admin@3000] > ip service enable 2
这样就开了WWW了
ROS路由 Kb和KB的区别
计算机中的信息都是二进制的0和1来表示,其中每一个0或1被称作一个位,用小写b表示,即bit(位);大写B表示byte,即字节,一个字节=八个位,即1B=8b;前面的大写K表示千的意思,即千个位(Kb)或千个字节(KB)。表示文件的大小单位,一般都使用字节(KB)来表示文件的大小。
而表示一个网络速度则需要用单位:ps指的是/s,即每秒。Kbps指的是网络速度,也就是每秒钟传送多少个千位的信息(K表示千位,Kb表示的是多少千个位),为了在直观上显得网络的传输速度较快,一般公司都使用kb(千位)来表示,如果是KBps,则表示每秒传送多少千字节。 1KBps=8Kbps。ADSL上网时的网速是512Kbps,如果转换成字节,就是512/8=64KBps(即64千字节每秒)。
1 bps = 1/8 (字节/秒)
1 M(/s) = 1024 K(/s) =1024 * 8 kbps
|
