:foreach i in=[/ip arp find dynamic=yes ] do={/ip arp add copy-from=$i}
批量绑定ARP
src-nat 源地址转换
dst-nat 目标地址转换
DNS ROS修改DNS不需客户机更改
ros 限速 带宽充足 使用动态 一般采取突发比较适合网吧
10M光纤带40台机器限速图
配置IP-限速-配置DNS缓存(计划任务每天清理缓存)-基本防护(防火墙)
system scheduler 中interval每天清理 /ip dns cache flush
Code
/ip address add address=192.168.1.254/255.255.255.0 interface=ether1
/ip address add address=61.174.208.66/255.255.255.252 interface=ether2
/ip route add gateway=61.174.208.65
/ip firewall nat add chain=srcnat action=masquerade src–address=192.168.1.0/255.255.255.0
/ip dns set primary–dns=202.96.107.28 secondary–dns=202.96.107.29
/ip firewall mangle add chain=forward protocol=tcp tcp–flags=syn action=change–mss new–mss=1440
/ip firewall nat add chain=dstnat dst-address=61.174.208.66 protocol=tcp dst-port=7000 action=dst-nat to-addresses=192.168.1.1 to-ports=7000 comment=”SERVER”
安装
–破解
interface set 0 name=lan
interface set 1 name=wan
–设置LAN的IP
ip address add interface=lan address=192.168.1.254/24
–配置外网IP
进web
–设置DNS
ip dns set primary–dns=202.96.107.28
ip dns set secondary–dns=202.96.107.29
–做MASQ伪装
–绑定ARP
:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy–from=$i]
解除绑定:foreach i in=[/ip arp find ] do=[/ip arp remove $i]
–限速
:for szwm from 2 to 253 do={/queue simple add name=(pc . $szwm) dst–address=(192.168.1. . $szwm) limit–at=4800000/3200000 max–limit=4800000/3200000 interface=wan disabled=no}
删除方法::for szwm from=2 to=253 do={queue simple remove (“pc“ . $szwm)}
/ip firewall nat add chain=dstnat dst–address=61.174.208.66 protocol=tcp dst–port=7000 action=dst–nat to–addresses=192.168.1.1 to–ports=7000 comment=“SERVER“
导出全部配置命令为:/export file=xxx
导入配置命令:/import file=xxx
导出防火墙配置的命令:/ip firewall export file=xxx
备份设置:files–>backup 再用ftp client download备份文件
恢复设置:ftp client upload 备份文件;files –> restore
http://www.szwblm.com/Ros/down.html
/system license print 查看授权
/sy reset 恢复路由原始状态
/sy reboot 重启路由
/sy showdown 关机
/sy ide set name=机器名 设置机器名
/export 查看配置
/ip export 查看IP配置
/sy backup 回车
save name=你要设置文件名 备份路由
LOAD NAME=你要设置文件名 恢复备份
/interface print 查看网卡状态
0 X ether1 ether 1500 这个是网卡没有开启
0 R ether1 ether 1500 这个是正常状态
/int en 0 激活0网卡
/int di 0 禁掉0网卡
/ip fir con print 查看当前所有网络边接
/ip service set www port=81 改变www服务端口为81
/ip hotspot user add name=user1 password=1 增加用户
:foreach i in=[/system logging facility find local=memory ] do=[/system logging facility set $i local=none]
曰志:节省磁盘资源!
RO防syn
ip-firewall-connections
Tracking:TCP Syn Sent Timeout:50
TCP syn received timeout:30
RO端口的屏蔽
ip-firewall-Filer Rules里面选择
forward的意思代表包的转发
firewall rule-General
Dst.Address:要屏蔽的端口
Protocol:tcp
Action:drop(丢弃)
ros限速
Queues-Simple Queues
name:可以任意
Dst. Address:内网IP/32
Limit At (tx/rx) :最小传输
Max Limit (tx/rx) :最大传输
RO映射
ip-firewall-Destination NAT
General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可)
Dst. Address:外网IP/32
Dst. Port:要映射的端口
Protocol:tcp(如果映射反恐的就用udp)
Action action:nat
TO Dst.Addresses:你的内网IP
TO Dst.Ports:要映射的端口
ip伪装
ip-firewall-Source NAT
Action Action:masquerade(IP伪装)
回流(因为假如说在本网吧做SF需要回流)
ip-firewall-Source NAT
在general-Src.address: 192.168.0.0/24 这里特殊说明下 内网ip段 24代表定值不可修改
RO的IP:mac绑定
绑定:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]
解除绑定:foreach i in=[/ip arp find ] do=[/ip arp remove $i]
完了在interfaces里面选择内网在选择reply-only
RO设置的备份(两总方法)
files-file list
backup即可(可以到你的ftp里面找)
背份资料命令行:system回车
backup回车
save name=设置文件名 回车
资料恢复命令
system回车
backup回车
load name=文件名 回车
RO禁ping
/ ip firewall rule input add protocol=icmp action=drop comment=”Drop excess pings” disabled=no
解ping
ip-firewall-filter rules
input:将其屏蔽或者删掉
关于mac地址扫描
/tool mac-scan all
VPN与ppp建立用户
在interfaces–settings-pptp server
Enabled选择 mtu1500 mru:1500
keepalive Timeout:disabled
default Profiles: default
Authentication: 下面打上四个对号(这也代表服务器启动)
ip-pool-ip pool
pptp=192.168.0.150-192.168.0.160(此IP段为内网中没有在用的段)
pptp1=192.168.0.170-192.168.0.180(此IP段为内网中没有在用的段)
自己总结出来的,有人问,为什么要写2个ip段一个不也行吗。。。
这也是我自己的心得,我想看到这个资料的人也不是一般人。呵呵
因为在vpn连接的时候我们要给他分配一个远程的主机ip做为网关。
在本配一个本地的做为ip。所以选择了2个,往下看在
ppp-Secrets
new ppp secret
service:pptp
routes:可以添加网关(一般VPN都是默认录找网关可添可不添)
Profiles:
Local Address:在这里我添加的是pptp
Remote Address:在这里我添加的是pptp1
dns,建议最好填写:
下面有两个 use Encryption Require Encryption 代表加密
Limits:
Tx bit Rate)用来限速的最大值
Rx bit Rate)用来限速的最小值
这也就表明了,远程给他一个地址,本地给他一个地址,这样可以更好的来识别。
最重要的,就是,基本每次都能拨上来。可能有很多人说我能拨你家电信,为啥不
能拨网通,我来告诉你答案因为isp的关系。在这里我就不详细说明了。。。。
拨好的时候我就不说了,如果有问题在来问我。。。
检查磁盘
在路由或终端模拟下用下面命令:
system
check-disk
检查磁盘,要重启。 但是很慢,一分钟一G。。。哈哈
关机
可以在WINBOX中关机,也可以用命令关:
system
sh
即可。。。自我感觉不好使
如果有一些网页打不开,你ISP的MTU=1492,请在IP > Firewall > Mangle > 单击红加号 > Protocol选择TCP > Tcp Options 选择 sync >
Actions选择 accept >TCP MSS:1448。
ip-firewall -filter fules ,选择 + 号,in interface 选择内网网卡(local),其他默认
这条路由允许来自内网的连接,如果有限制,可以修改 src address 的ip段,或者content 内容过滤
ip -》firewall -》filter chains 选中 input ,选择 drop
这条规则禁止所有的外部连接
以上两条规则,屏蔽来自外网的所有连接
一些恶意网站和广告,也可以从这里屏蔽
关于解决不能上百度的问题
把TCP MSS 1448改成1432
记录网卡MAC地址才能限制网卡上网。具体设置如下。
在防火墙里面的filter rules项选择forward然后添加一项设定也就是“+”号,
在advanced项里面的src .mac.address项里面加入网卡的MAC地址,然后在ACTION中选择DROP项。这样子添加后,那块网卡的ip地址无论咋换,都
无法上网。除非它把网卡换了。我就是这样子作出来得,效果不错。
如果改了端口用winbox打不开了的解决方法
用SSH进入
/ip ser
/ip ser/>set www port 80
/ip ser/>set ftp port 21
解决因防火墙屏蔽来自内网的所有连接
进入后输入 /ip f ru o 可打开OUTPUT 输入 //ip f ru in 可打开INPUT
再、输入p 可看结果
按REM O(此0为数字)可删除相应0的规则
你输入/ip f set i p a 可恢复系统默认input改回accept。
或者,使用system 里面的reset 复位路由(会删除所有规则)
[admin@MikroTik] > system reset
(系统自动复位清除设置并重新启动)
启用dns缓存
CODE
[admin@MikroTik] ip dns> set allow-remote-requests=yes
[admin@MikroTik] ip dns> ..
user 管理员只能在内网登陆
set 0 address=192.168.0.0/24
将规则另存为*.rsc文件,进入控制台,或者在路由器本机上,输入 import *.rsc
该规则导入完成
基本也就这些了,还有自己知道的,也说不出来的,在有写东西是我自己在网络中找的。。本人都已经测试过了。
给ROS新手使用,下面是我接触ROS以来经常用到的.
我这边网吧用的是电信光纤,没有网同,所以机器只装了2个网卡.我是用光盘安装的.
首先看看网卡是否都被识别出来了,命令是:
/interface
可以缩写为
/int
pri
然后我们来激活他们,命令是:
ENABLE 0
ENABLE 1
0是第一块网卡。
激活后没有提示。用print命令查看后发现网卡前面的X变成R,就代表激活成功了。
所以我把网卡给改个名字:
命令:
set 0 name=dianxin
set 1 name=neiwang
然后给他们相应的IP。
先返回顶层目录,用/键就可以了。
然后输入:
IP
ADDRESS
add address 192.168.0.1/24 interface neiwang
add address xxx.xxx.xxx.xxx/24 interface waiwang (这里写ISP给的地址)
这样就设置好了dianxin、neiwang网卡的IP和子网掩码。24代表255.255.255.0
添加完后可以用print命令来查看结果。如果发现某条有错误,用“remove 错误的编号“既可以删除。
我比较喜欢在命令行下面操作,我们来设置外网的网关
[admin@MikroTik] >setup
会出来选项,这里的选项就是安装的时候你所选择的组件,
我们选+ a – configure ip address add geteway
然后选+ g – setup default gateway (这里是设置外网网关
然后根据自己的实际情况来,我的是218.92.5.1
接下来设置DNS了,
[admin@MikroTik] >ip
[admin@MikroTik] >ip> dns
[admin@MikroTik] >ip> dns> pri
可以察看DNS列表,我们用命令来设置一下
set primary-dns=xxx.xxx.xxx.xxx (首选DNS)
set secondary-dns=xxx.xxx.xxx.xxx (备用的)
可以使用winbox来控制服务器了。
在IE地址栏输入:
(根据你配置的IP实际情况)
输入你的IP,用户名、密码,既可登陆。
初始用户名admin,密码空
然后我们设置共享上网
设置NAT共享上网ip --》firewall -source nat ,选择+号,选择action,action里面选择 masquerade
好了,现在就可以上网了,然后我改了管理员账号和密码,安全工作要做做好,嘿嘿。
1、备份和恢复设置
我比较喜欢在命令行下面做备份。命令是。
system回车
backup回车
这里可以简化成这样
sy
ba
[admin@MikroTik] system backup>save 备份
[admin@MikroTik] system backup>load 恢复 。
2.如果WINBOX进不了,怎么办,我经常遇到。
如果设错了规则或者地址,造成win不能进入管理界面,可以恢复默认。
使用 admin 登陆
system 回车
reset 选择 y
将删除所有改动,恢复新装的状态。
还有就是用MAC登陆工具,
进入后
输入 /ip f ru o 可打开OUTPUT
输入 /ip f ru in 可打开INPUT
输入 /ip f ru f 可打开forward
然后看看哪里错了,用命令remove 1 (数字是错误规则的排序)
原文链接:https://www.cnblogs.com/mier001/archive/2009/09/11/1564650.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21811