RouteROS软路由技术精华汇总..

6160222

ROS软路由器防SYN攻击的设置
依次进入IP、防火墙、连接、Tracking，SYN发送超时设置50，SYN接收超时设置30。




限制线程数量的设置：
:for aaa from 2 to 254 do={/ip firewall filter add src-address=("192.168.0.".$aaa) action=drop connection-limit=60,32 protocol=tcp chain=forward }




用ROS软路由器来屏蔽端口的设置方法：


防火墙过滤规则中chain选择forward包转发链表。在一般标签页中Dst.Port填写屏蔽端口，协议选择TCP，动作选择drop(丢弃）。


ROS软路由限速的设置：
手动限速设置
依次进入队列、简单队列，点加号，名称随便填写，下面是IP地址的设置。


1、目标地址不管，目的地址里设置要限制的内网机器的IP地址，比如有电脑IP为192.168.1.1，那目的地址里就填192.168.1.1然后是/32（这里的32不是指掩码了，意思仅此地址）！


2、接口里设置连接外网那个外网卡，如WAN。


3、其他选项不用设置。Max limit，网速限制上限，注意数值是比特位速率，例如限制下载的速度为500Kbps时设置500000。


4、除此之外，一般上网要多大网速呢？一般网络游戏，如封神榜、传奇、梦幻西游等等，其下行在 200Kbps以内。下载比较耗网络带宽，要限制，其次是VOD点播，一般DVD高清电影大约要2M网速，视情况限制。


限速脚本：
:for aaa from 2 to 254 do={/queue simple add dst-address=("192.168.0.".$aaa) name=(queue.$aaa) max-limit=3000000/3000000 limit-at=0/0 }
说明：
aaa是变量,2 to 254是2~254,
("192.168.0.".$aaa)是IP
上两句加起来是192.168.0.2~192.168.0.254
connection-limit=60是线程数这里为60
max-limit=3000000/3000000是上行/下行
使用：登录WinBox，依次点击系统、脚本、加号，然后填写脚本名程、脚本内容，点击OK。选择要运行的脚本后点击运行脚本。


ROS软路由器限速的经典设置：


一般我们用ROS软路由限速只是使用了max-limit，其实ROS软路由器限速可以有很多设置方法。比如希望电脑打开网页速度可以更快，限制下载速度。ROS软路由5.20就可以实现。

max-limit------最大限速
burst-limit--------突发限速
burst-thershold--------突发限速的阀值
burst-time-------突发限速的时间值


限速设置说明：


当用户在40秒burst-time内的平均值小于突发限速阀值burst-thershold 160K时，用户的最大下载网速可以超过最大限速值max-limit 180K，达到突发限速最大值burst-limit 380K，如果40秒内平均值大于160K，那用户的最大网速只能达到180K。


这样也就是当我们开网页时可以得到一个更大的速度380K，长时间下载时速度只能得到180K，使我们的带宽可以更有效的利用。








动态智能限速简单队列


ROS软路由动态智能限速简单队列（检测上连外网网速然后开关限速）下面是脚本工作机制：
以下设置是在WINBOX里操作的。
简介：最终目的是在网速低于8M时自动禁用限速规则，而在网速高于16M的时候自动启用这些限速规则。








ROS软路由器映射：
IP防火墙目的地址转换NAT。
入接口设置all。
目的地址设置为外网IP 。
目的端口设置为要映射的端口。
协议设置要映射的协议，如UDP或TCP。
动作这里设置DST-NAT。
到目的地址设置为内网服务器的IP地址。
到端口商团为内网服务器开放的要映射的端口。




IP地址伪装


IP防火墙原地址转换,
动作设置为masquerade伪装,
回流也要设置（假如网吧中SF需要设置回流）
IP防火墙原地址转换,
在源地址设置192.168.0.0/24。




ROS软路由器的IP地址和mac地址的绑定，也就是静态ARP。


绑定:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]
去除绑定:foreach i in=[/ip arp find ] do=[/ip arp remove $i]
然后在内网网卡设置为ARP reply-only。




ROS软路由器设置的备份与恢复


winbox文件列表中点击backup完成备份，可以通过FTP下载到电脑中永久备份。


用命令行备份设置：system backup save name=backupxxxx
用命令行恢复设置：system backup load name=backupxxxx




ROS软路由器禁止外网ping攻击


/ ip firewall rule input add action=drop protocol=icmp disabled=no comment="Drop excess pings"


不禁止ping
在防火墙过滤规则中把刚才的规则删除即可。




关于MAC地址扫描
/tool mac-scan all




VPN与PPP创建拨号用户


在接口-设置-PPTP服务器,
mtu：1500，mru：1500。
保活超时关闭。
默认模板设置为default。
认证下面4个复选框都选中。
IP地址池
pptp 192.168.0.150-192.168.0.160( 注意不要和内网中的IP地址冲突。）
pptp1 192.168.0.170-192.168.0.180( 注意不要和内网中的IP地址冲突。）


创建用户的设置：
ppp Secrets中点加号，
service设置pptp
routes:添加路由（VPN默认添加网关可不填写）
模板中：
本端地址:设置为刚才创建的地址池pptp，
远端地址:设置为刚才创建的地址池pptp1，
DNS推荐也设置好。
Encryption是加密意思，按需求设置。
限速
Tx bit Rate 发送速率
Rx bit Rate 接收限速










磁盘检查


在路由器或命令行模式下使用如下命令：
system check-disk
磁盘检查，要系统重启。 检查硬盘速度很慢。


系统关机


可用WINBOX关机，命令也能系统关机：
system shutdown


当某些网页不能打开，就要修改MSS值了。
你ISP的MTU=1492，要在IP Firewall Mangle 单击红色加号。
协议选择TCP
TCP选项设置sync。
动作选择change tcp mss,TCP MSS:1448。


在IP防火墙过滤器中点击加号，入接口设置内网网卡如lan，这样就是允许来自内网的数据，如果有其他限制，可修改源地址的ip段，也可做content内容过滤。IP防火墙过滤器，链表设置input，动作设置drop，就能禁止外部连接。综合上面两条规则，屏蔽所有来自外网的连接。 一些恶意网站和广告，也可以从这里屏蔽


百度不能访问的问题解决办法：把TCP MSS 1448改成1432。


根据MAC地址限制上网的设置见下：
进入防火墙的过滤规则樞，点击加号，链表设置forward。在高级选项的源MAC地址中填写网卡的MAC地址，动作设置drop丢弃。如此设置，这个MAC就不能上网了。




因为忘了端口用winbox登录不了的解决方法：
用SSH进入,然后执行下面命令：
/ip service
/ip service set www port 80
/ip service set ftp port 21
/ip service set winbox port 8291




系统设置恢复出厂设置：system reset




使用DNS缓存加快DNS响应：ip dns set allow-remote-requests=yes








设置只允许管理员从内网登陆ROS：
/ip service set winbox address=192.168.0.0/24










禁止扫描ROS软路由器：略






RouteROS软路由加速，提高ROS软路由小包的转发性能：略





ROS软路由器的基本设置：
环境：网吧、电信光纤、2个网卡、光盘安装好ROS软路由器
检查网卡是否识别可用，命令是：/interface print
激活网卡命令：ENABLE 0，ENABLE 1，0代表第1块网卡，1代表第2块网卡。
激活命令执行后是没有提示的，这时可再用print命令查看网卡前面的X变成R，说明网卡激活成功。


网卡改名命令：
set 0 name=dianxin
set 1 name=neiwang


给网卡设置各自的IP地址：
/ip address add address 192.168.0.1/24 interface neiwang
/ip address add address xxx.xxx.xxx.xxx/24 interface waiwang （这是电信给的公网IP地址）
以上就是就设置电信外网网卡和内网卡的IP和子网掩码，24代表掩码255.255.255.0。




下面使用命令行设置外网的网关：
[admin@MikroTik] >setup
这是出现设置选项，
先选+ a - configure ip address
再选+ g - setup default gateway （设置外网默认网关）




然后进行DNS设置，
/ip dns print查看DNS设置情况
用命令进行DNS设置:
/ip dns set primary-dns=202.102.24.35 (首选DNS）
/ip dns set secondary-dns=218.2.135.1 （备用DNS）


现在已经能用winbox登录ROS软路由器了。
在浏览器地址栏访问:http://192.168.0.1（填写当时设置的IP地址）
输入用户名、密码，点击登录。
初始出厂默认的用户名admin，密码空。




下面设置ROS软路由器共享上网：


IP防火墙源地址转换列表框中，点击加号，动作中选择masquerade伪装。


1、命令行中备份和恢复设置
system backup>save 备份
system backup>load 恢复


2.万一WINBOX登录不了的解决方法：
如果地址或者规则设置错误，造成winbox管理界面进入不了，可以恢复默认设置。
使用admin登录，执行system reset 选择 y ，将删除所有改动，恢复出厂的状态。


也可用MAC登陆工具，进入后执行命令如下：
/ip firewall filter print
检查设置错误的规则，再用删除命令删除错误规则。