ROS由不完全配置(防火墙限速、限IP、限连接

　　看了很多-router-86.html>routeros的资料都是关于如何安装的，却很少见到关于-router-86.html>routeros的命令资料（也许因为有winbox了），虽然在-router-86.html>routeros的手册中有说明，但是是英文版本的，很不好看懂。下面就我就写出一些常用的命令，希望对大家有所帮助：1、开机登陆以后常用的一个？是常用的帮助命令，可以列出可用的命令及简单的说明。

　　2、有些英文命令很长，可以简写如intece，你输入in后回车自动就会进入intece了。或者你可以按下tab键来帮你完成长英文命令的输入。

　　3、有些命令的参数很多，你不知道的时候可以输入命令后加空格？，如print？

　　可以显示该命令的参数。

　　7、print该命令有点用于列出所有的项目。

　　众所周知，PP点点通、POCO等P2P软件，在使用时极大的消耗了网吧的带宽资源，极大的影响了正常的网民！基于此，在网盟内出现了不少，关于屏蔽该类软件的方法技巧！今天我要说的，就是如何利用RouterOS屏蔽该类软件！

　　首先，获取IP地址。

　　POCO等软件和qq一样也需要登录才能使用。下载之后，可以方便的申请号码。我们要获取的就是验证登录的服务器IP地址，然后屏蔽！

　　下载POCO2005，注册号码。打开登录界面！

　　登录后的界面如图

　　下面一定要严格填写，否则会提示错误，或者不能获取IP地址！

　　说明：Intece,必须填写局域网网卡，我的是LAN，如果没改标识的是Ether1

　　Src.Address,必须填写本机IP，除非你要检测的POCO安装在别的计算机上！掩码，也就是/后面一定要填写32

　　下面是最关键的一步，点击POCO登录的时候，快速点击，Winbox的Torch的Start按纽

　　下图是我截取的IP列表！

　　完成后，重新点击POCO登录，看看该ip是否有流量！

　　如果有并且POCO不能成功登录，那么POCO就被屏蔽了！如图

　　说起来挺复杂，实际操作很简单

　　应许多朋友的要求，这里把如何局域网内机器的速度发一下（特指外网连接速度）winbox---queues----queues点“+”，NAME里随便填，下面是IP地址的确定①TargetAddress不管，Dst.Address里填你要的内网机器的IP，比如我这里有个1号机器IP为192.168.1.101，那dst.address里就填192.168.1.101然后是/32（这里的32不是指掩码了，个人理解为指定的意思）！②intece里记着要选你连接外网那个卡，我这里分了“local和public”，所以选public③其他的不管，我们来看最重要的东西拉，Maxlimit，这个东西是你的上限，注意的是这里的数值是比特位，比如我要下载的速度为500K那么就填入多少呢？500X1000X8=4000000=4M。④另外，很多朋友都有个疑问，到底一般的用户会有多大流量呢？一般的网络游戏，如梦幻西游传奇封神榜等等，其下行在20Kbps以内！最耗网络资源的就是下载-----我们就是为了它拉，其次是VOD点播，一般DVD格式的大约要2M多吧，所以你看情况拉别搞的太绝！！！

　　PP点点通软件

　　PP点点通也是许多网管头痛的应用。PP点点通软件必须透过以下作法来落实：对220.175.8.100的http访问,即TCP/80port-不能搜索；来源于LAN的所有IP对UDP/9090~9099端囗的所有访问（不能共享其它PP用户的文件）；来源于LAN的所有IP对udp/8094端囗的所有访问-不能登录PP；来源于LAN的所有IP对TCP/5354端囗的所有访问-不能登录PP。

　　因此，要PP的实际配置将会有以下项目：管制动作：／服务埠：HTTP[TCP/80~80]／日志：关闭或启动／来源埠：局域网／来源IP地址：任何的／目的IP地址：单独220.175.8.100。接下来的设定为：管制动作：／服务埠：UDP[9090~9099]／来源埠：局域网／来源IP地址：任何的／目的IP地址：任何的。

　　管制动作：／服务埠：UDP/8094~8094／日志：关闭或启动／来源埠：局域网／来源IP地址：任何的／目的IP地址：任何的。

　　接着再重复操作增加TCP/5354的规则，即完成“PP点点通”的设置了。

　　客户机输入任何网址，都自动跳转到登陆页面，输入账号密码，继续浏览。如果使用ftp、pop3等，也必须先通过网页登录，才可以使用，当然使用winbox的时候也必须先登录。

　　max-limit------我们最常用的地方，最大速度burst-limit--------突破速度的最大值burst-thershold--------突破速度的阀值burst-time-------突破速度的时间值解释一下图片的意义当客户机在30秒（burst-time）内的平均值小于突破速度阀值（burst-thershold）180K时，客户机的最大下载速率可以超过最大限速值（max-limit）200K，达到突破最大值（burst-limit）400K，如果30秒内平均值大于180K，那客户机的最大速度只能达到200K。这样也就是当我们开网页时可以得到一个更大的速度400K，长时间下载时速度只能得到200K，使我们的带宽可以更有效的利用

　　动态限速ROS动态限速（检测外网总速度进行限速开关）废话不说先看脚本原理：以下操作全部在WINBOX界面里完成介绍：可以实现在总速度不超过9M的情况下自动关闭所有生成的限速规则在总速度超过18M的时候自动启动所有生成的限速规则。说明：在输入脚本内容时不要把两边的（）带上，那个是为了区分非脚本字符。总速度=你的外网网卡当前速度。

　　是生成限速树，对网段内所有IP的限速列表！

　　RouterOS终极提速，彻底解决ROS小包（网络游戏数据包）转发性能差的问题以下只给有ROS基础的人看,2.9.7以上版本支持，2.9.26上调试通过ROS终端界面直接输入即可HTBQOS流量质量控制

　　ROS菜单含义

　　解决因防火墙屏蔽来自内网的所有连接

　　然后把虚拟机的光驱设为使用光盘镜像文件。把地址指向你刚才下载的RouterOS2.97.ISO

　　启动虚拟机。按Esc键先择从光驱启动。

　　出现如图：

　　此主题相关图片如下：

　　密码：(空的，什么都不要输)

　　呵呵。

　　依次输入：

　　你会看到：

　　等字样。

　　说明破解成功。6级ＩＳＰ级别。

　　呵。

　　继续

　　输入：

　　打两点两次。

　　然后

　　出现如图：

　　就哪就个Ｅ文，要好好学就查查字典。

　　此主题相关图片如下：

　　继续。

　　按两次Ａ

　　回车。

　　设一个ＩＰ

　　子网掩码算法网上一大堆。自己多找找。

　　回车。

　　这里的ＩＰ设为和你本机网段一样的。

　　这样你就可以通过本机访问由了。

　　然后按两次

　　ping一下你的机子。

　　此主题相关图片如下：

　　这里启用第二块网卡。

　　把两网卡的名字改一下。

　　比如

　　是学习嘛。也就是说第一个网卡就是刚才我们设了和我们所在网段一起的ＩＰ地址的哪个网卡，我们把它看做是外网。

　　第二块我们把它当着是内网。一会设ＩＰ的时候把它设成另一个网段的。比如：192.168.5.1

　　路由器限速怎么解除第二块网卡启用

　　点＋号

　　增加一个ＩＰ地址，下面选第二张网卡，

　　如果你改了哪就是选Lan

　　我没改所以我选的看上去是ether2。如图

　　此主题相关图片如下：

　　点击＋号

　　如图1

　　如图２

　　点击ＯＫ

　　现在可以找一台机子。

　　把ＩＰ改为192.168.5.0看你的情况。也就是改为刚才你所设的第二块网卡的网段。试试能不能上网吧。呵呵。

　　此主题相关图片如下：此主题相关图片如下：此主题相关图片如下：

　　出现如图1

　　然后把以下内容复制下来。

　　注意：不要一次复制。第一次你可以复制5行。以后每次复制5行。

　　然后在Terminal窗口里点击右键

　　呵呵。回车。

　　继续每一次这样复制进来。

　　如图2

　　看到什么了。简单吧。下面的专业防火墙是网盟一位兄弟发的，具体你用得到什么你还要选择一下。

　　很简单哇，

　　然后整个粘进去就可以了。

　　考虑到OS的处理能力，你分做几次导进去。

　　每次粘5-10行是没问题的。呵呵

　　RouterOS设置专为新手准备描述：1图片：描述：2图片：描述：3图片：描述：4图片：描述：5图片：描述：6图片：描述：7图片：描述：8图片：描述：9图片：描述：10图片：描述：11图片：描述：12图片：描述：13图片：描述：14图片：描述：15图片：描述：16图片：描述：17图片：RouterOS设置专为新手准备:现在有很多的RouterOS的版本，2.7系列，2.8/2.9等，，，我觉得最全安最稳定的在2.8系列16版的。

　　首先申明：所说的网页无故断流现象是说：内网内偶尔有个别电脑突然所有网页均无法打开，但qq，游戏正常，甚至ping网站也完全正常。重启电脑或等待几分钟后自动恢复上网。下面说说经过：第一次使用ros，装的是ghost版的2.97。由于初次接触，按照网上相关帖子做好配置（费了不少心思，三wan接入，下接bas收费服务器、三层交换，4VLan，做掉线自动切换代码依靠网上提供的方法皆不成功，可能是版本原因吧，熟悉了之后自己写的代码才实现。三层下面机器始终无法ping通ros，还好最终摸索成功），大功告成后，立即启用ros，情况良好，但运行不到两天，接到少许电话报告所有网页无法打开，自己上网也同样遇到次问题，不是全体电脑网页掉线，只是偶尔几台。没办法又撤下来，继续网上搜集相关帮助未果。差点了，但硬件由太次了，每天必死一次，还不清楚什么原因，无赖继续上马ros，准备使用据说稳定的2826，装了一下感觉功能没有2.97的好，放弃！重新配置ros2.97，同样使用了网上现成的firewall，通过单机联网上网发现在firewall中的coecting的tcp状态比本机延迟很多（本机使用netstat观看当前tcp连接状态，跟ros上实事显示的不是很吻合，ros反映较慢，已经关闭的连接ros要一会才会消失。于是试着更改tracting设置，一直调到coecting与本机tcp连接状态几乎吻合为止。次日，硬由无缘无故再次当掉，便立即换上ros，整天担心再次发生以前网页掉线状况，等了几天依然不见动静，哈哈，高兴死了，现在已经稳定运行了一个星期多了，没有打不开网页的时候，看来次问题已经解决。虽然不敢问题原因所在，但用的同样的ros，只是配置不同就解决问题，看来不说是配置的问题都不行了。我把我的tracking设置贴出来，大家有此问题也可以试试。。感觉最主要的是将tcp-close-timeout设置为0s。#dec/01/200619:51:21byRouterOS2.9.7#softwareid=B755-T#/ipfirewallcoectiontrackingsetenabled=yestcp-syn-sent-timeout=2mtcp-syn-received-timeout=1mtcp-established-timeout=10htcp-fin-wait-timeout=2m30stcp-close-wait-timeout=30stcp-last-ack-timeout=30stcp-time-wait-timeout=5stcp-close-timeout=0sudp-timeout=3mudp-stream-timeout=30sicmp-timeout=30sgeneric-timeout=10m

　　ROS在三层交换网中的设置

　　配置

　　三层交换机配置

　　由于三层交换机各厂家配制命令不一样,下面只说大致配制步骤

　　多个公网IP+单网关的在ROS上的应用

　　ROS使用小技巧

　　关于如何绑定MAC和IP来防止IP冲突ROS和其他代理服务器一样，有个弱点，如果内网有人把客户机IP改成和网关相同的IP（如192.168.0.1这样的），那么过了一会，ROS的就失去了代理作用，整个网吧就会吊线。用超级管理员账号登录，IP-----ARP（图2），这样可以看到一行行的IP和MAC地址，这些就是内网有网络活动的计算机。选中一个，双击，点右下角的TOOLS----在出来的菜单里，选COPY----点OK，依次进行，全部绑定后，来到WINBOX的INTERFACE选项，双击内网网卡，在ARP选项里，选择“replay-only”至此，通过ROS绑定IP完毕，这样下面客户机只要一改IP，那么它就无法和网行通讯了，当然也无法使主机吊线了。怎么样把ROS的各种设定导出(共享?)使用export命令导出，使用import命令导入。如：导出全部配置命令为：/exportfile=导入配置命令：/importfile=导出防火墙配置的命令：/ipfirewallexportfile=备份设置：files-->backup再用ftpclientdownload备份文件恢复设置：ftpclientupload备份文件；files-->restore1。备份和恢复设置绝对是好东东！你想想辛辛苦苦设置好的防火墙规则，网卡设置，各个由，端口映射万一弄错了或重新安装时，是不是都要重新自已设置？这个巨麻烦！！！但ROUETOS却为你考虑得很周到，可以手工备份你的设置文件，需要时只要一个命令即可恢复！大家可以用WINBOX登陆，注意用ADMIN帐号，在左边是不是有个FILES？点开，再点对话框的BACKUP，这样就把当前的设置保存一个文件里面了，再用IE登陆你的由，用ftp://网管帐号：密码@由IP:端口，登陆到你的由后就会到你保存的文件了！用IE直接下载吧！当你重新安装时，只要把内网弄通，用IE再登陆你的由，把这个设置文件传上去，在WINBOX左边下面有个TE开头的英文，这是终端模拟，点开后就像在由上操作一样，用以下命令恢复你以前的设置：system回车backup回车loadname=你保存的设置文件名?回车提示重启就一下子恢复到你以前设置了！！是不是方便实用啊？大家可能会说用WINBOX备份不爽，那我们也可以用终端备份呀！在WINBOX左边下面有个TE开头的英文，这是终端模拟，点开后就像在由上操作一样，用以下命令备份你以前的设置：system回车backup回车savename=你保存的设置文件名?回车文件名用日期表示可以很直观。这样就按你的文件名保存了。用LOADNAME命令就是恢复了。。。]2.恢复由本身默认值。如果设错了规则或者地址，造成win不能进入管理界面，可以这样复原：使用admin登陆system回车reset选择y将删除所有改动，恢复新装的状态这个是恢复到出厂设置，很适合刚开始设置ROUTEOS时用用！3。备份ROUTEOS可以用GHOST8。0备份，注意是要用全盘备份，DISKTOIMG才行。RO之实现数据镜像【转载】Routeros没有端口镜像但可以把数据镜像到一个ip上.比如在内网一台机器上安装软件

　　ROS由ADSL上网使用手册整理

　　联接好内外网线和键盘，可不接显示器，外网线联接Modem，内网线联接交换机，各客户机也联接在交换机上，插上电源，不用按按钮，由就启动，在掉电后恢复供电，由也会自动启动的。先听一声“嘟”，由正在启动，会看到硬盘灯闪亮，然后听到二声“嘟嘟”，由就已正常启动。

　　在Winbox管理界面点IP―〉DHCPServer―〉Leaes，表中已列出正常联机的客户机的IP地址和MAC地址，前面有“D”表示为动态，还没有设定，双击带“D”地址行，出现一对话框，点Copy，又出现另一对话框，点OK保存，即客户机的IP地址和MAC地址设定，下次这台客户联网就只能是这个IP地址了。各客户机的本地连接的TCP/IP属性的IP地址和DNS都改为自动获取。

　　在Winbox管理界面点IP―〉ARP，出现列表，表中出现前面有“D”表示为动态，还没有设定，双击带“D”地址行，出现一对话框，点Copy，又出现另一对话框，点OK保存，即客户机的IP地址和MAC地址邦定了。在Winbox管理界面点Inteces，双击nei（内网）行，出现对话框，ARP选reply-only，点OK保存。这样设定后，未经邦定IP的客户机联入网络也是上不了网的。如有经许可的新客户机加入网络，刚才出现的对话框的ARP选enabled，按步骤待邦定IP后再选回reply-only。

　　七、单机流量控制设定

　　在Winbox管理界面点Queues―〉SimpleQueues，出现对话框，然后点“＋”，又出现对话框，又点General，在对话框中填入相应的速度数值。填好一条后，其它的可用Copy办法，双击已填好的那行，出现对话框，点Copy，又出现另一对话框，修改Name和IP，点OK保存。修改速度就是双击需修改的行，对现对话框，修改数值，点OK保存。

　　八、查看日志

　　八、查看日志在Winbox管理界面点Log

　　十、关闭由器在Winbox管理界面点System―〉Shutdown，关闭由器电源。由器配置图

　　在中国和分别架设一个ROS由器，CLIENTROS和SERVERROS，SERVERROS放在，做一个VPN的PPTP服务器端，CLIENTROS放在中国，做PPTP的客户端，实现192.168.2.0/24网段的用户可以通过VPN专线访问服务端的192.168.1.0/24网段，但访问公网网段的时候走默认网关。小结：1.将两地网络从整体上看待，两地内网IP段不能相同。2.暂时不考虑通过VPN专线访问其它网站。一．网络拓扑结构：二．测试初始：1.服务器端WAN口IP：10.6.2.55/24,LAN口IP：192.168.1.1/24其它全部默认配置。2.服务器端PC机的IP:192.168.1.2/24,GATEWAY:192.168.1.1。3.客户端WAN口IP：10.6.2.148/24,LAN口IP：192.168.2.1/24，其它全部默认配置。4.客户端PC机的IP:192.168.2.2/24,GATEWAY:192.168.2.1。三.实验测试操作：小注：服务器端的ROSID为SERVER,客户端的ROSID为CLIENT。为了能使客户端PC能控务器端的ROS，先设置地址伪装，以便使客户端的PC能访问WAN口网段的机子。（如下图）CLIENTROS初始由表（如下图）SERVERROS初始由表（如下图）我们先来配置SERVERROS的PPTRSERVER（如下图）：点击PPTPServer选项，如上图配置。增加PPPSecret帐号，填入相关属性。增加PPPInteces设置CLIENT端的PPTPl-CLIENT拨号程序：拨号接入后pingVPN链服务器端接口IP的截图（如上图）。PC机ping服务器链接口（如上图）。客户端的ROS增加一条指向服务器ROS的内网的由（如上图）。测试结果表明数据包通过VPN链发送（如上图）。服务器ROS增加指向客户端ROS的由（如上图）。测试结果表明发送给192.168.2.0/24网段的数据包经虚拟链传送（如上图）。在客户端的PC上测试到服务器端PC的连接情况（如上图）。在服务器端增加一条由到客户端的ROS，以便上网（如上图）。测试建立完成。试验1：改变由设置，增加两条默认由，但指定一条只能走到目的地内网的IP包。设置Mangle中的markrouting（如上图）。增加默认由（如上图）。Disable原来的静态由，由表如上所示（如上图）。客户端PC上的测试结果显示结果正确（如上图）。问题：有时候这样设置由不稳定，只能改回192.168.1.0/24GW：10.0.1.1这样的由。试验2：不再走VPN，走公网。测试结果（如上图）。这时候出现问题：服务器端PCIP不能ping通客户端PCIP，客户端PC能ping通服务器端PCip。将试验2的配置还原，故障依旧，检查由表无误，PC1能ping通服务器ROS，服务器ROS能ping通PC2，但PC1不能ping通客户端ROS和PC2。将由设置为右边那条，网络回复正常。新问题：当CLIENTROS通过VPN连接到SERVERROS后，客户端PC如何才能建立与SERVERROS的VPN连接，即网络中同时存在两条VPN线，并且客户端PC仍能正常通过本地ROS服务器访问外网。在本地ROS设置为masquerade的情况下，不能同时建立两条VPN，需关闭。其中一个方法：在CLIENTROS的WAN口增加一个IP地址如上图设置地址转换模式。结果：能同时拨号建立VPN链，但客户端PC不能上网，原因估计是PC两条默认由但只走其中一条VPN链。解决方法：在服务器端ROS设置地址转换。（晕，问题越来越多，方法千其白怪，感觉功能实现了，规范性倒没有）。当没gre和pptp服务端口的时候，并不能同时接入两条VPN线，如图为PC端的拨号响应截图。在防火墙的连接情况列表中可以看到，PC机不断跟VPN服务器进行tcp连接请求，由于ROS现在只能通过一个47(gre)协议链接，即使ROS之间的VPN链断开，但连接状态还没有，可以手动链接，客户端PC才能拨入VPN服务器。操作：将上图的gre和pptp服务打开。在SRC-NAT,MASQUERADE地址转换模式下可以同时接入来自同一地址的两条VPN线。

　　我们的ROS安装完毕，并且可以通过它上网了，是不是就没有事了？当然不是。这时候我们的ROS还很脆弱，还需要对他进行一些相应的设置，使得它能够安全稳定的运行。于是，有了下面的文章：ROS的防火墙设置。我们一步一步来。首先，卸载无用的功能模块。ROS初装完毕，有许多功能模块是我们在网吧用不到的，而这些模块存在的话，ROS的启动速度将会大大减慢，而且会占到不少内存，所以我们要在winbox下将它卸掉！如图：SYSTEM―PACKAGELIST

　　这里就是我们的ROS安装好后，默认安装的全部模块，和windows一样，有许多模块是我们根本用不着的，它既影响了ROS的启动速度，又占了相当的内存，我们来把他卸载掉―选中，点击的X号即可。卸掉以后，重启ROS看一下，是不是启动速度快了很多，而且内存也得到很大的。好第一步完成了。

　　第二步，改变ROS的初始设置。ROS安装完毕后，WINBOX默认的是80端口和空密码，而且无论内外网，只要知道IP地址和端口，均可以无访问，这一点来说，就存在很大，所以我们要一步步改变这些设置。1、改变默认空密码：如图：PASSWORD选项卡默认密码是空的，输入两次新密码即可改变密码．

　　2、改变WINBOX端口及指定访问机器。如图：IP―SERVICES选这WWW，双击后改成任意端口。然后在下面的地址中输入你想指定的访问机器的IP/32（必须是32。意思指定这台机器）．

　　这样，下次再想访问WINBOX就必须到你指定IP的机器上。在WINBOX下输入：192.168.6.1：88（你刚才指定的端口），输入刚才设定的新密码后才能访问了，在其他机器上是访问不了的，更何况端口和密码都被你改变了，别人想入侵可就要费一般工夫了，怎么样？看上去是不是安全了很多？

　　三、针对网吧的防火墙设置

　　我们的ROS自身是安全了，WINBOX别人也别想随便访问了，但是网络上的安全呢，我们是要将ROS应用到网吧上，这时候就要针对网吧的情况做出相应的设置。举例：现在流行的震荡波和冲击波的端口134－139，我们要将他封掉在winbox中ip->firewall->filterrules先设input(在右边可选的)选加generalprotocl选udp或tcp（其实这二个都要设，只要重复作就好了）src.port勾上填入134－139dst.port勾上填入134－139

　　然后再选forward和output照设完，这样不论是外网的机器或内网的机器中毒都不会影响其他用户了。只要我们知道一些病毒的端口，安装的方法对它进行封堵，这样我们的网络不就可以避免这些病毒的入侵了吗？如图：

　　看到的图，再结合前面的做法，我再给大家一段文字，大家就不难看懂了：

　　怎么样？其实也很简单，如果你没有防火墙经验，不知道哪些端口，哪些地址需要屏蔽，可以对照的进行（进行对照参考），等到时间一长，没准你也是个防火墙高手哦。这里要注意一点：如果ros的防火墙会话数很高，修改相应会话超时参数如下：

　　如图：

　　介绍完这些防火墙的设置，我们来总结一些ROS防火墙设置遵循的一些原则：1、由避免没有认证的访问．由的连接控制权。只能允许某些特定的主机到由某些特定的tcp端口的访问。这项工作可以在input中设置，以便比较匹配通过由所有连接界面到由目的地址的数据包。2、本地主机．只有有权到某些主机和服务的连接才能被允许。这项工作可以在forward中设置，以便比较匹配决定通过由所有连接界面到本地网目的地址的数据包。3、利用nat将本地的网络隐藏在一个公网的ip后面。所有本地网络的连接被伪装成来本身的公网地址。这项工作可以通过启用伪装行为来实现源地址转换规则。4、强制本地网络连接到公网的访问原则。强制过滤掉一些不安全的访问原则。数据的过滤会对router的性能造成一定的影响，为了把这个影响降到最低，这些过滤的规则必须放在各个chain的顶部。这个在传输控制协议选项non-syn-only中.并且通过修改响应参数来减小这些影响。

　　今天我们来讲讲针对网吧的ROUTEOS如何实现限速和端口映射及回流的过程。限速篇：首先进入

　　点“+”，NAME写入随便的名字，下面是IP地址的确定.

　　③其他的不管，我们来看最重要的东西拉，Maxlimit，这个东西是你的上限，注意的是这里的数值是比特位，比如我要下载的速度为500K那么就填入多少呢？500X1000X8=4000000=4M。如果要设为256K，则应该为2000000=2M=256K/秒。依此类推。

　　注意：Maxlimit后面跟的（tx/rx）分别对应的是下载和上传的意思，可以分别输入你想设定的值。

　　④另外，很多朋友都有个疑问，到底一般的用户会有多大流量呢？一般的网络游戏，如梦幻西游劲舞团等等，其下行在30-40Kbps以内！最耗网络资源的就是下载-----我们就是为了它拉，其次是VOD点播，一般DVD格式的大约要2M多吧，所以要根据情况来限速。比如2M的网吧和10M的网吧就不能一样。10M的和100M的又不能一样。具体要根据大家的带宽和机器多少而定。

　　映射篇：

　　做完这一步，外网访问你内网的ftp站点就正常了。不过在内网里面用外网的地址访问，就是我在内网用是无法访问的，这个时候，你就需要做回流了。当然了，这也不是必须要做的。不过既然要做的话，就做的完美一些吧。>回流下面没有提到的选项全部默认ip-firewall-NAT>General选项里面Src.Address:192.168.1.6/32[32表示的是要实现回流的这台机器的内网IP]Dst.Address:192.168.1.0/24[24表示的是192.168.1.0这个网段内的所有机器]Protocol:tcp

　　好了。现在再试试内网里面用外网的地址访问你的ftp看看，是不是可以访问了。回流就算做完了。我们的映射也就完美了

　　ROS策略软由简介

　　基于Linux内核，目前是网吧行业中双线接入最好用的软由，可支持电信、网通双线自动策略由，支持VPN接入，可使你在单线的情况下实现南北方互联互通，支持单机限速，整体限速，防火墙功能强大，最大程度阻隔网络，2.9以上版本还具备简单防ddos功能。

　　ROS策略软由详介：

　　目前国内互联网络主要为两大ISP运营-中国网通中国电信。当用户使用中国网通的光纤线时,访问网通上的各类网站、游戏服务器等速度正常，而访问中国电信网络上的各类服务器时速度异常缓慢；使用中国电信的光纤线也同样存在此交叉访问的问题。此类问题主要是由于中国网通和中国电信两个ISP网络之间的互联互通不够通畅，带宽比较狭小，无法满足两大网络之间的互相访问需求。而网络游戏对网络的要求比较高，针对网吧就出现了这样的问题：使用网通的光纤就无法流畅地玩在电信网络上的游戏；而使用电信的光纤就无法流畅地玩在网通网络上的游戏。因此，很多网吧为了满足玩家对网游速度的需要,不得不分别接入中国网通和中国电信的两条光纤。

　　同时接入两条光纤进局域网，目前有两种解决方案。

　　一种是使用两个由器或代理服务器分别负责网通和电信两个外网出口，局域网内客户机系统通过设置不同网关的方式来选择不同的外网出口来获得最佳的网络速度。

　　另外一种是将两条光纤同时接入一个支持双外网的由或代理服务器设备，域网内机器访问外网时，此设备根据相关网络设置情况自动判断选择最优外网出口，使内网客户机获得最佳的网络速度。

　　两种方式对比优劣显而易见。前一种方式设置烦琐，要根据顾客的需求手工设置客户机网关，并且同一时间只能使用一个外网出口，如果出现顾客同时玩网通和电信上的游戏的情况就无法两个网络上的游戏都获得最好的速度。并且网吧顾客流动性比较大，每个顾客的需求都不一样，每次顾客上机都要频繁修改客户机网关参数设置，大大增加网管工作量，客户机系统不易统一管理。

　　而后一种方式只使用一个由或代理服务器设备，减少了设备的投入，简化了网络结构。同时对客户机设置完全透明，客户机系统不需要做任何修改，设备智能分析判断客户机的外网访问请求，自动选择最优化的外网线出口，使顾客无论玩哪里的网络游戏都获得最佳的游戏速度。甚至顾客在同一机器上同时玩网通和电信的网络游戏时，设备也会智能地对不同的网络游戏连接选用不同的最优外网出口，顾客的每个网络游戏都获得最佳的游戏速度。智能选择外网出口的由设备的技术原理是通过分析比对客户机发出的外网目的IP地址，判断此IP所在的ISP运营商网络，为其数据流选择最佳的外网出口。

　　目前市场上有一部分由宣传声称支持双外网，但在实际测试中并不能很好地对不同游戏智能选择最佳的外网出口。

　　Ros服务器系统全面支持双外网出口的智能选择，拥有海量地址库信息，并不断自动更新，最大程度地客户机的每一个外网访问请求都获得最佳的网络访问速度。顾客同时玩在电信和网通网络上的游戏时,Ros服务器系统能够智能地对不同游戏做出最优的外网出口选择，并可对双外网线的负载情况做自动均衡，在任何网络游戏都获得最好速度的同时，充分利用双外网的带宽资源，做到网尽其用。

　　的安装--双线负载均衡

　　看到很多人在问，简单说说吧，以通常的

　　1）安装过程中提示注册，注意注册码的大小写

　　2）启动后，使用admin密码为空，进入

　　5）运行winbox输上192.168.0.1用户名admin密码不输，选连接。会出现由的管理界面。如果你的机器上使用网络防火墙，这里需要关闭或者修改规则

　　6)启用网卡：点击intece，点击第二块卡，选择对号，启用（颜色不是虚的了）

　　7）设置地址：ip――》address，选择＋号，输入第二块卡的ip地址（isp给你的）

　　为了便于管理，最好从这里把两块卡的别名，改成public和local，另外，这里支持一个网卡多个ip，如果因为管理需要，你可以这样设8）增加静态由：ip――》routes选择＋号，选中gateway，输上网关地址在这里，destination可以使用默认0.0.0.0，表示由所有的地址，也可以根据你的需要，只对你指定的ip范围由。静态由可以有多条，比如可以分别指定多个ip段，达到管理的目的9）设置NAT共享上网：ip――》firewall－sourcenat，选择＋号，选择action，action里面选择masquerade，其余选择默认即可至此，共享上网就完成了剩下的，需要增加设置防火墙规则，否则，安全没有保障ip－》firewall－》filterfules，选择＋号，inintece选择内网网卡（local），其他默认这条由允许来自内网的连接，如果有，可以修改srcaddress的ip段，或者content内容过滤

　　以上两条规则，屏蔽来自外网的所有连接，还要注意，顺序不要弄错，不然，你也连接不上由了，即：允许来自内网的连接的规则在前，所有的连接的规则在后。如果出现规则设错，不能登陆了，可以从由上直接登陆，然后手工删除错误的规则，或者，使用system里面的reset复位由（会删除所有规则）

　　防火墙设置需要较强的网络知识，可以参考有关资料，或者天网等防火墙里面的规则

　　10）如果需要上网时输入密码认证才可以上网的，可以启用hotspot（注意，不是那种isp认证，是通过这个由器的客户机上网时，会出现登陆提示，必须输入密码后，才有权上网）

　　增强部分：以下情况需要使用VPN，这是个极其有用的功能1）通过不安全的网络连接两个内部网，比如总公司与派出的分公司之间2）多层网关VPN的设置可以参考其它文档，简单的说明如下：首先安装了PPP功能包，如果是光盘安装，就都有了；如果软盘安装，需要ftp到你的由，上传上去PPP功能包，然后启动由，到system――packagelist里面能看到就行了一切设置完成，对于增加的PPP功能，防火墙上仅需要增加1723端口和gre的支持，其余的最好

　　使用ROS过滤网址和关键字

　　ROS脚本生成器V1.1正式版发布

　　前几天我整理了ROS脚本生成器V1.0测试版在这个过程中大家的反应非常的不错所以在很短的时间内出了ROS2.9X系列的通用脚本生成器感觉大家真的很需要这些东西,所以我以后会发更多的时间去收集各种ROS脚本同时也希望觉得此软件给您带来方便的朋友把您自己的脚本共享出来让我们一起来把这个小软件慢慢的完善起来这个版本和上一个版本对比，修复和添加了以下的功能和bug关于ROS脚本生成器V1.1正式版修复及添加以下内容:1.修复了所有脚本在ROS2.96及ROS2.97下全部通用2.修复了部分错别字3.修复了原域名的脚本中域名只能输入15个字母的现已经改成无4.修复了小部分不完整的脚本5.添加了小包端口优先传输等防火墙规则6.添加了更改ROS网卡MAC地址脚本7.添加了HTTP域名转向脚本8.添加了流量控制开关脚本9.添加了程序自动检查更新版本10.添加了最小化按钮11.添加了部份脚本生成时的提示,让程序更加人性化12.美化了界面,更加好看存在以下内容暂无法修复:1.程序生成库在诺顿杀毒软件下报病毒.原因是ROS部分脚本所引起,暂无解决方式,可以不用理会!还是那句话：本程序永久免费，同时希望有更好的脚本的朋友请共享出来大家交流联系QQ：3516365采用者使会将其个人或网吧等相关信息列入特别鸣谢版块希望这个程序能帮到大家。这么辛苦出来的东西。希望大家爱惜！下面是程序的捕图！

　　设置ROUTEROS为透明桥接防火墙

　　透明（网桥）防火墙的特点是用户察觉不到防火墙的存在。而且这种方式最适用于已经建成的网络。可以在不对原来网络结构进行任何修改的情况下，添加防火墙。

　　然后对bridge进行设置将需要的网络接口添加进来，根据实际情况进行添加然后对firewallrules进行设置这样网桥防火墙就基本配置完成了。其他设置可根据具体的情况进行设置。这里就不再多说了。其实真的很简单，多看看说档，多想想，多动手试试。谁都可以成功

　　ROS做PCQ脚本集体（每IP）自动限速+带宽按端口管理流量

　　近日最大的感觉是：让其他人说去吧，你如果技术好过我，又决定保守的话我想周围的人一定会超过你，当然也包括我因为我技术保守就是落后的开始：对于带宽紧张的网吧或者其他那些有100M光纤或30台+10M光纤的用户可以省略了，因为对你们来说这个没有必要了我现在做的是基于ADSLPPPOE的ROUTEROS2.9.7做的但是光纤用户一样适用我现在开始说说步骤第一：当然最前提的是你的ROUTEROS软件由器能工作了NAT共享上网成功第2步：在所有经过ROUTEROS的数据包+上MARK就像猎人要杀猎物也要先找到目标阿第3步：在QUEUE菜单里面选择QueueTypes创作PCQ限速的子项这里就决定了你的每个IP多少K的速度（2.9系列可以直接用K单位2.8的不行）这里多说2句网吧的带宽和银行道理一样总带宽不能平均处以IP数量这个公式不合适你可以想想网吧的客人不可能同时全部去下载或者全部去上传网吧的目标追求网络利用最大化这个IP的要看你自己的网吧的需要的1般来说每个IP下载最高512K；上传128K已经可以流畅游戏和视频----------------------------------------------------------------------------------------------------另外：这个也和你的开关频繁和关闭有关系如果设置得不合理网络带宽浪费严重客户也会对你的网吧的网络速度抱怨的！（这可是得不尝失）第4步：做好流量触发器就像1个条件过滤器注意2和3红色数字那里要选择对你的外网线要注意ABOVE是>的意思,就是大于多少K的时候启动这个,只要模糊数字就可以如果你的带宽是10M,你可以直接设置10000000另外1个就是BELOW当然就是<小于的意思，这里很关键的地方就是你刚才设置的每IP数了你们看第2张图的2那里，你这个BELOW的数值一定要<它不然你在限速的时候客户的机器就会1会快1会慢的，其中的道理你们慢慢体会就会理解第5步：做1个执行这个的脚本很简单的就2行，但是注意脚本的名字要和你的在第四张图EVEN里面的一致（如果你想我拷贝那几句命令出来给你，你就不要看了，这么懒的都有的！）做到这里这个PCQ脚本限速就做好了以前斑竹也写过命令的我这里只不过用图片的形式写出来！！希望大家喜欢有些朋友说不会看GIF的图（其实可以缩放的用鼠标滚轮就可以）

　　我现在做的是基于ADSLPPPOE的ROUTEROS2.9.7做的（如果想用这个版本的朋友请QQ我）但是光纤用户一样适用我现在开始说说步骤第一：当然最前提的是你的ROUTEROS软件由器能工作了NAT共享上网成功第2步：在所有经过ROUTEROS的数据包+上MARK就像猎人要杀猎物也要先找到目标阿

　　第3步：在QUEUE菜单里面选择QueueTypes创作PCQ限速的子项这里就决定了你的每个IP多少K的速度（2.9系列可以直接用K单位2.8的不行）这里多说2句网吧的带宽和银行道理一样总带宽不能平均处以IP数量这个公式不合适你可以想想网吧的客人不可能同时全部去下载或者全部去上传网吧的目标追求网络利用最大化这个IP的要看你自己的网吧的需要的1般来说每个IP下载最高512K；上传128K已经可以流畅游戏和视频----------------------------------------------------------------------------------------------------另外：这个也和你的开关频繁和关闭有关系如果设置得不合理网络带宽浪费严重客户也会对你的网吧的网络速度抱怨的！（这可是得不尝失）

　　第4步：做好流量触发器就像1个条件过滤器注意2和3红色数字那里要选择对你的外网线要注意ABOVE是>的意思,就是大于多少K的时候启动这个,只要模糊数字就可以如果你的带宽是10M,你可以直接设置10000000另外1个就是BELOW当然就是<小于的意思，这里很关键的地方就是你刚才设置的每IP数了你们看第2张图的2那里，你这个BELOW的数值一定要<它不然你在限速的时候客户的机器就会1会快1会慢的，其中的道理你们慢慢体会就会理解

　　第5步：做1个执行这个的脚本很简单的就2行，但是注意脚本的名字要和你的在第四张图EVEN里面的一致（如果你想我拷贝那几句命令出来给你，你就不要看了，这么懒的都有的！）做到这里这个PCQ脚本限速就做好了我这里只不过用图片的形式写出来！！希望大家喜欢

　　在ＩＰ－－－ＦＩＲＥＷＡＬＬ－－－Ｄ－ＮＡＴ中设置，设置见图１，图２．

　　ROS下实现数据镜像