ROS教程及一些防火墙规则和IP限速脚本

ros2.96秋风破解版安装教程（修正版）昨天晚上做的教程，因为半夜思路不清晰，做出了一个错误的垃圾教程首先向下载过教程的朋友道歉这次经过测试给大家重新做个教程也是刚才到网盟看了一下贴子还浮在上面不能对不起大家，所以，不能误导大家，还是乖乖的重新做一个吧废话少说了先把需要的软件和部分策略说一下。ROS2.96秋风破解版下载（网吧电信光纤，大家手下留情！）网通路由表、防火墙策略、自动切换脚本。（绿字的教程附带，蓝字的请自己下载。）接下来是说下具体步骤这样思路会明确一些1。安装ROS系统，并选择所有服务。硬盘接到IDE1，光驱接到IDE0。BIOS里设置光驱引导系统,我拿虚拟机做演示，顺便虚拟机的使用大家也看下吧！需要安装的服务，全部选择即可。全选输入A，同意选择输入I，回车，询问你：注意啦，所有数据（功能），都要被安装（选择的），是否继续，输入Y即可。它又询问，是否保存旧配置，输入N。接下来开始创建分区，格式化硬盘，安装服务。提示软件安装完成，按回车重起。这里多说一句，虚拟机如果安装完ROS后，会自动从硬盘启动，但是真实的计算机，就还是在光驱启动，所以这时候大家该把光盘拿出来了，BIOS里改为硬盘启动，ROS就会独立启动了。启动后又问了，是否检测硬盘。通常不必检测了，因为耽误时间。默认他自动选N。我们也可以直接输入N的。他自动选了。呵呵2。登陆ROS，修改网卡名字、填写另外两块网卡的IP信息。ROS启动好后，在ROS主机上输入账号admin密码为空。回车。输入命令/int pri 查看系统检测到几块网卡电信+网通双线切换路由，当然应该是3块网卡，如果少了，请自行检查问题所在！输入命令/ip address （设置IP命令）输入命令add address=/24 interface=ether1 设置路由IP，也就是网关 （内网的网关地址） （内网网卡） 通常是靠近CPU的为内网网卡，也就是ether1好了，网关设置好了，那我们登陆来下载Winbox刚才我安装过一次，有遗留信息的。现在这个状态是第一次使用WINBOX的画面通过winbox登陆ROS。并修改网卡名字还有以后的设置输入账号admin密码为空。回车。登陆WINBOX后，首先设置3块网卡的名字。2。96不存在手动激活的，所以不必再去激活，默认直接就是激活的左边-interfaces把ether1改名为lan因为ether1接的是内网啦 ；也就是靠近CPU的第一块网卡为内网网卡。把ether2改名为tel，也就是设置为电信；把ether3改名为cnc，也就是网通；好的。3块网卡名字取好了，那么在winbox里设置电信和网通的IP，等信息。左边ip-address，点+号，先输入电信的地址吧我的电信IP是90 子网掩码52 网关89输入的信息也就是90/30我的网通IP是2 子网掩码24 网关3输入的信息也就是2/27这里注意了只需要填写IP/子网掩码1的个数。其余两项都是ROS自动添加的，上一个教程就是这里出错了好的，看我做。先加个电信的，注意到了吧刚才点的那两个地方是不填任何东西的。上个教程填了加网通的另外这里输入的信息就是电信或网通的IP/电信或网通的子网掩码2进制1的个数至于/后面的1的个数如何算，我给大家演示下看下我的电信子网掩码是多少我的电信IP是90 子网掩码52。好那这里应该添的就是90/52二进制的1的个数，是进制的255等于8个1，呵呵，就是这么来的，那么3个十进制的255的1的个数就等于3*8=24个1。还有个252等于二进制的6个1。24个1加6个1，就是为何电信添的是90/30了明白了吧？OK电信和网通的IP信息设置完成。4。设置默认网关地址，以及设置NAT转发。填写一个默认网关左边IP-ROUTE,+号添加默认的网关,默认网通就添网通网关，默认电信就添电信的网关，这里默认电信.检测网关状态选择PING就可以了。设置NAT左边IP-FIREWALL-NAT选项卡,+号添加chain:srcnat,src.addr:/24,ACTION选项卡里为masquerade.OK,现在可以通过电信上网了。说明一下，网上传的教程添的都是/24，但是人家设置的网关是。所以是/24，但是我们这里设置的网关是。如果错误填写为/24的话，就会出错喽，演示下。就是这个错误了。刚才在百度贴吧里看到有人问，后来自己发现。就是自己不认真，可真是照葫芦画飘了大家注意噢最笨的理解，比如网关设置为了，你在这里就添/24就对了，也就是网关最后一位添0。OK转发做好呵呵，真是死性不改哈。还要添错，大家可注意喽。不要和我学5。上传路由表，防火墙策略并激活。上传路由表FTP:/admin:上传路由表文件cnc.rscWINBOX里激活网通路由表在WINBOX中，NEW TERMINAL,输入import cnc完成激活哎呀，又出错？又是不小心，貌似这样噢。把网通路由表打开看看写的是啥汗，大家注意了，我就犯了这个毛病了咋激活都激活不了。原来这里的。电信网关，和网通网关是要改成自己的真实网关地址的，下面我就改下了OK。统统改完保存。再重新上传再激活一次好了。激活成功添加一个防火墙策略脚本上传防火墙脚本FTP:/admin:上传fw.rscWINBOX里激活防火墙策略脚本在WINBOX中，NEW TERMINAL,输入import fw完成激活好地，激活成功继续做。6。通过NETWATCH检测，实现掉线后自动切换线路。检测掉线后自动切换功能左边tools-netwatch,点+号,HOST添电信的网关,UP中添dxup,DOWN中添dxdown,OK,插一句，这个Timeout延时这项，上一个教程说的是设置为20MS。但是今天一实践，发现20MS有点太快了，导致了检测信息不正确，所以还是默认1000MS吧，这个就根据自己的体会来设置好了同样再添加网通的网关,和cncup,cncdown.然后添加执行的脚本文件,这个脚本是网上有人发布的比较不错的切换策略将红字部分添上自己的网关,注意,我是在router list中电信/0做了comment注释为tel.（再插一句，网通策略里已经写好了，不需要我们再次填写注释的）好啦。按照要求，把红字改为自己真实的网关地址，也就是刚才让大家看的文本里的“汉字”/ system scriptadd name=dxuppolicy=ftp,reboot,read,write,policy,test,winbox,passwordadd name=cncup policy=ftp,reboot,read,write,policy,test,winbox,passwordadd name=dxdown policy=ftp,reboot,read,write,policy,test,winbox,passwordadd name=cncdown policy=ftp,reboot,read,write,policy,test,winbox,password在WINBOX中选new terminal 中右键paste回车就可以了当然了。得先复制了内容。唉，还得交代下这个操作，由于本人马虎，没理解透这句话意思完整说法是，复制这段改好的切换策略脚本。到这里鼠标右键。然后看到不paste。开始我理解错了我还纳闷。哪里有paste哇。如今一想，汗死回车一下。检测线路状态策略添好了看看添到哪里去了？原来是添加到这里了。类似2826里的脚本添加方法。看看内容，貌似全部正确看看原理吧切换的原理是dxup(电信上线) 修改comment为tel的项的gateway为电信(电信可用时默认/0为电信网关)dxdown(电信掉线) 修改comment为tel的项gateway为网通(电信不可用修改/0为网通)cncup(网通上线)启用所有gateway为网通的项(当网通可用进行路由选择)cncdown(网通掉线) 禁用所有gateway 为网通的项(当网通不可用走默认线路不经过选择)好的。理解有难度？演示下就知道了route list 是路由表最上面那个就是刚才我们添的默认电信网关现在我的电信线，和网通线都没有接，所以全部掉线。但是电信线为默认，所以第一个现实是电信的网关地址。好。那么我们通过Script List这个东西测试一下4种状态第一个 cncdown网通掉线是什么情况注意观察route list默认网关的变化。看。下面的网通策略都变灰了。也就是禁止使用了意思就是网通掉线了。就不经过网通的路由表了。直接全部走电信线理解网通掉线的线路选择方式了吧再试验下一项，网通如果连上了呢（CNCUP）？哈。所有为网通策略的网关又恢复正常了当然路由表里的默认网关地址没有变化，因为现在测试的是网通线路的正常与不正常所以干预不到默认网关。那么看看上面对cncup的解释恩，符合测试电信掉线了会如何（DXDOWN）？我们对dxdown操作，注意看默认网关的变化了也就是刚才鼠标点的那里倒。电信网关毫不留情的断了。网通跑到前面去了再回到上面看看对dxdown的解释好，也符合，那再试验下电信上线的状况默认网关恢复为电信网关了，再回上面，看看对dxup的解释好的。那么现在看来掉线后，切换功能是正常的了继续下面设置7。设置DNS。设置DNS后，客户机的DNS可以设置为也就是网关地址IP-DNS-Settings- Primary DNS添电信主DNS Seconday DNS添网通主DNS把这个Allow Remote Requests的钩打上，如果不打会出问题的，上次做2826似乎就忘记选了吧，结果出问题了，具体问题已经忘的一干二净了好的DNS添好了。如果我们现在上网的话cache里就会有缓存的DNS了。我现在没有连接电信和网通的线路，所以我也不知道如果我现在访问。cache里会有DNS出现。测试下吧（呵呵，不用测试了，不会出现DNS信息的，但是如果你的电信和网通线路已经接通那cache里就会有东西出现了，大家可以自己试验下）8。刚学会的一些小型设置路由做好了，如何备份设置信息？看我做呵呵左面files-file list里点backup就可以备份ROS的一切设置信息了我们可以通过给下载下来如果以后出现问题。直接使用Restore来恢复下就可以了如何修改ROS的登陆密码以及端口？再看我做修改密码，左面-password。第一个是旧密码，也就是啥多没有，空。第二个为新密码，第三个为重复密码也就是说2。3都是一样的密码修改ROS的WEB登陆端口大家看我用可以访问到ros的WEB页面但是如果修改了端口，就不能了左面-ip-services-www服务，看到port了吗。WWW服务的端口是80，那我们改下，改成8080，再直接访问看看还能打开不。哈哈。无法显示了加上端口看看。嘿。又打开了。这就是修改ROS的WEB登陆端口了嘿嘿，就记住这两招大家不要见笑到这里基本上双线路由做好了。至于ROS的绑定ARP。回流，影射，怎么做，目前我还不会哈还得去学习我也是刚刚会搞2.96所以教程做的不是很流畅，有些功能还不会用，但是大家可以一起交流的知识是要交流的，如果故步自封的话，世界将会退步毕竟学无止境，不吹了，呵呵。教程完成了不负大家对这个教程的期望。愿意一起搞ROS，请加我Q：。OVER。竣工！=批量限速设置:for yxcs from 2 to 254 do=/queue simpleadd name=(第 . $yxcs . 号机) dst-address=(192.168.0. . $yxcs . /32) max-limit=/把connect的track里的连接时间改下TCP Syc Sent Timeout:00:00:50TCP Syc Received Timeout:00:00:30TCP Established Timeout:2d =中国软路由论坛部分精华帖子如何用ros限一个IP的并发连接数(精华)限线程如何用ros限一个IP的并发连接数-限线程这个操作主要是在ip-firewall下的转发链中操作的.如:/ip firewall rule forward add protocol=tcp tcp-opti-only connection-limit=25action=drop看他们的连接数是在connection项中观看!注意:不要放的太小!不然打开网页很慢当然也可以对网段做限制!对单个IP也可以的!-如何映射和回流映射winbox-ip-firewall-Destination nat+- General 页SRC。ADDRES |_ _ _ 默认SRC。PORT |INTEface allDst.address 外网ip /32（此32是定值）Dst.port 映射端口（我这里是27015-27016） ACTION 页Action: natTo Dst. address 53-53（内网提供服务的机器IP）To Dst. Ports:27015-27016回流winbox-ip-firewall-Source NAT+- GERENAL页Src.Address 53(内网提供服务器机器的IP) /32（此32是定值）src.portDst.Address (你内网IP的前3位+0)/24（这里是你掩码的换算值）Protocol 你自己的协议 Action页action: natto Src.addresses 0.0.0.-TO src.ports:27015-27016-原创关于如何 限制速度应许多朋友的要求，这里把如何限制局域网内机器的速度发一下（特指限制 外网连接速度） winbox-queues-simple queues点“+”，NAME里随便填，下面是IP地址的确定Target Address 不管，Dst. Address里填 你要限制的内网机器的IP，比如我这里有个 1号机器 IP为 01，那dst.address 里就填 01 然后是/32（这里的32不是指掩码了，个人理解为指定的意思）！interface里 记着要选你连接外网那个卡，我这里分了“local和public”，所以选public 其他的不管，我们来看最重要的东西拉，Max limit ，这个东西是你限制的上限，注意的是 这里的数值是比特位，比如我要限制 下载的速度为 500K 那么就填入多少呢？ 500 X 1000 X 8=400 0000=4M。 另外，很多朋友都有个疑问，到底一般的用户会有多大流量呢？一般的网络游戏，如 梦幻西游 传奇 封神榜 等等，其下行在 20Kbps以内！ 最耗网络资源的就是下载-我们就是为了限制它拉，其次是VOD点播，一般DVD格式的大约要 2M多吧，所以你看情况限制拉 别搞的太绝！ Ip 防火墙应用-ros Ip 防火墙应用 描述 在这个部分，我们讨论防火墙的一些的应用和例子。 防火墙设置基本原则 假定我们有一个本地网通过路由连接到internet，那么基本的防火墙构建原则由以下几部分组成： 1、保护路由避免没有认证的访问 必须监控那些到路由的连接。只能允许某些特定的主机到路由某些特定的 tcp端口的访问。这项工作可以在input中设置，以便比较匹配通过路由所有连接界面到路由目的地址的数据包。 2、保护本地主机 必须监控那些到本地网络地址的连接。只有有权到某些主机和服务的连接才能被允许。这项工作可以在forward中设置，以便比较匹配决定通过路由所有连接界面到本地网路目的地址的数据包。 3、利用nat将本地的网络隐藏在一个公网的ip后面。 所有本地网络的连接被伪装成来自路由本身的公网地址。这项工作可以通过启用伪装行为来实现源地址转换规则。 4、强制本地网络连接到公网的访问原则。 必须监控那些来自本地网络地址的连接。这项工作可以通过forward中设置，或者通过伪装哪些被允许的连接来实现。数据的过滤会对router的性能造成一定的影响，为了把这个影响降到最低，这些过滤的规则必须放在各个chain的顶部。这个在传输控制协议选项non- syn -only中. 防火墙过滤实例 实现目标： 目标1、让路由只允许来自/24网络地址的访问。 目标2、保护本地主机（/24）远离未授权的访问。 目标3、让公网可以访问本地主机7的* 和smtp服务。 目标4、只允许本地网络中的主机进行icmp ping 操作。强制使用在7主机上的代理服务。 假设我的网络设置如下： 公网 ip :17/24 网关 ip ：54 内网 ip :54/24 内网服务器地址：7/24 step1 为了实现第一个目标，我们必须对所有通过路由的数据包进行过滤，只接受哪些我们允许的数据。因为所有通过路由的数据包都要经过input chain进行处理，所以，我们可以在ip-firewall- rule input 中加入以下规则。 adminMikroTik ip firewall rule input adminMikroTik ip firewall rule inputadd protocol=tcp adminMikroTik ip firewall rule inputtcp-opti-syn-only connection-state=established adminMikroTik ip firewall rule inputadd protocol=udp adminMikroTik ip firewall rule inputadd protocol=icmp adminMikroTik ip firewall rule inputadd src-addr=/24 adminMikroTik ip firewall rule inputadd action=reject log=yes 通过上述设置，input chain就可以实现只接受/24地址段的连接，而把其他连接都拒绝并且记录到日志。 Step 2 为了保护本地网络，我们必须对通过路由访问本地网络也就是对/24一段地址的访问的数据包进行比对筛选，这个功能可以在forward chain 中实现。在forward 中，我们可以依靠ip地址对数据包进行匹配，然后跳转到我们自己创建的chain中，比如这里我们创建一个 customer chain 并加入一些规则。 adminMikroTik ip firewall add name=customer adminMikroTik ip firewall print # NAME POLICY 0 input accept 1 forward accept 2 output accept 3 customer none adminMikroTik ip firewall rule customer adminMikroTik ip firewall rule customer protocol=tcp tcp-opti-syn-only connection-state=established adminMikroTik ip firewall rule customer add protocol=udp adminMikroTik ip firewall rule customer add protocol=icmp adminMikroTik ip firewall rule customer add protocol=tcp tcp-opti-only dst-address=7/32:80 adminMikroTik ip firewall rule customer add protocol=tcp tcp-opti-only dst-address=7/32:25 adminMikroTik ip firewall rule customer add action=reject log=yes 通过上述规则，我们在customer chain 中设定了对数据包的过滤规则，那么下面我要做的就是在forward chain 中做一个跳转，将所有进入到本地网的数据跳转到customer chain 中处理。 adminMikroTik ip firewall rule forward add out-interface=Local action=jump jump-target=customer 这样，所有通过路由进入到本地网络的数据包都将通过customer chain中的防火墙规则进行过滤。 Step 3 为了强制本地网络的主机通过7这台代理服务器访问internet , 我们应该在forward 链中加入以下规则。（这个设置我觉得好像有点多余，是不是这里7起到了一层防火墙的作用，反正我是没有加这个规则）。 adminMikroTik ip firewall rule forward add protocol=icmp out-interface=Public adminMikroTik ip firewall rule forward add src-address = 7 / 32 out-interface=Public adminMikroTik ip firewall rule forward add action=reject out-interface=Public限速脚本： :for aaa from 2 to 254 do=/queue simple add name=(queue . $aaa) dst-address=(192.168.0. . $aaa) limit-at=0/0 max-limit=/ 说明： aaa是变量 2 to 254是2254 192.168.0. . $aaa是IP 上两句加起来是54 connection-limit=50是线程数这里为50 max-limit=/是上行下行 使用： WinBox-System-Scripts- Name(脚本名程) Source(脚本) OK-选择要运行的脚本-Run Script 查看： 限线程：WinBox-IP-Firewall-Filter Rules(看是否已经填加进来) 限速：WinBox-Queues-Simple Queues(看是否已经填加进来) - 原创 当流量大时通过Script自动开启限速 # 添加两个Traffic-monitor用于开关 / tool traffic-monitor add name=turn-on-queue-up interface=adsl traffic=transmitted trigger=above threshold= on-event=queue-on comment= disabled=no #当adsl的上传量大于bit/s（45Kb左右）就运行名为queue-on的脚本 add name=turn-off-queue-up interface=adsl traffic=transmitted trigger=below threshold= on-event=queue-off comment= disabled=no #当adsl的上传量小于bit/s（10Kb左右）就运行名为queue