命令说明:
RouterOS的基本设置包括四个部分interface、ip address、ip route 、ip firewall src-nat。
1.interface的命令中主要为修改接口称和激活接口;
2.ip address的命令主要为分别在两接相应接口上增加外网IP地址和局域网IP地址;
3.ip route的命令主要是墙加路由表,这里简单的网络路由表中只有三条,一条是手动加的,两条是动态路由项;
4.ip firewall src-nat 的命令是用来设置网络地址转换,这里的伪装masquerade)即是网络地址转换NAT)的一种特殊形式,局域网多台机器使用一个外网IP上网一般都用伪装masquerade)。
如果只是做单纯的路由器来使用,把上面绿色部分的IP按实际的网络修改即可!
此过程本人已全新安装测试多次,均很正常,如果你按照此命令设置仍不能让局域网访问外网,最有可能的是你的内网和外网网线插反了网卡,更不要忘了客户机的TCP/IP属性配置。
设置RouterOS筒明教程官方设置) RouterOS V2.8
设置RouterOS筒明教程
如何设置RouterOS文档版本:1.5 应用于:MikroTik RouterOS V2.8
怎么样保护你的MikroTik RouterOS™?
属性描述
要保护你的MikroTik RouterOS™, 你不应该只是修改你的admin的密码,还需要设置数据包的过滤,所以目的地到路由器的数据包需要在一次经过ip firewall的input链表处理。注意input链表不会去**通过路由器的传输数据。
你可以添加下面的规则到/ip firewall rule input 只需要通过’copy 和paste’到路由器的Terminal Console(终端控制台)或
在winbox中配置相关的参数):
/ip firewall rule input add connection-state=invalid action=drop \
comment=“Drop invalid connections“
/ip firewall rule input add connection-state=established \
comment=“Allow established connections“
/ip firewall rule input add connection-state=related \
comment=“Allow related connections“
/ip firewall rule input add protocol=udp comment=“Allow UDP“
/ip firewall rule input add protocol=icmp comment=“Allow ICMP Ping“
/ip firewall rule input add src-address=10.0.0.0/24 \
comment=“Allow access from our local network. Edit this!“
/ip firewall rule input add src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
comment=“This is web proxy service for our customers. Edit this!“
/ip firewall rule input add action=drop log=yes \
comment=“Log and drop everything else“
使用/ip firewall rule input print packets 命令可以看到有多少个数据包被里面的规则处理过。使用reset-counters 命令去复位统计值。检查系统日志文件通过/log print可以看到数据包被丢弃的信息。
你可能需要在里面添加允许来至确认主机的访问。例如:记住出现在列表中的防火墙规则在命令中被处理。一个规则匹配的数据包,不会被之后其他的规则处理。添加了新的规则后,如果想优先被处理,通过move命令移动到所以规则之上。
怎样保护你的MikroTik RouterOS™ 从来至 Spam的请求
Description
To protect your MikroTik RouterOS™ from being used as spam relay you have to:
保证你的路由器使用了防火墙规则。 See the How To section about it!
配置web proxy 访问列表
web proxy访问列表配置在/ip web-proxy access下。例如,添加下面规则允许来至确认主机的访问。 只需要通过’copy 和paste’到路由器的Terminal Console(终端控制台)或
在winbox中配置相关的参数):
/ip web-proxy access add src-address=192.168.0.0/24 \
comment=“Our customers“
/ip web-proxy access add dst-port=23-25 action=deny \
comment=“Deny using us as telnet and SMTP relay“
/ip web-proxy access add action=deny \
comment=“Deny everything else“
注意,允许确认服务首先你应该由规则,并且在规则的最后通常为拒绝任何的访问。
如何连接你的家庭网络到xDSL?
属性描述
确认你的家用DSL modem以安装好,并想通过一个安全的方式将你的家庭网络连接到Internet,首先你需要安装MikroTik路由器在DSL modem和你家庭网络中间:
下一步连接你的家庭网络到xDSL:
首先你的MikroTik路由器有两张以太网卡,一个对应家庭的DSL modem ,一个对应你的家庭网络。
安装时,确定你安装了dhcp软件功能包。
启用两个网卡,如下:
/interface enable ether1,ether2
配置DHCP客户端在对外的接口上xDSL) 接收来至IP配置的服务:
/ip dhcp-client set enabled=yes interface=ether1
检查,如果你收到IP配置信息后使用lease print,如下:
[admin@MikroTik] ip dhcp-client》 lease print
address: 81.198.16.4/21
expires: may/10/2001 04:41:49
gateway: 81.198.16.1
primary-dns: 195.13.160.52
secondary-dns: 195.122.1.59
[admin@MikroTik] ip dhcp-client》
添加你的私有网络地址到ether2网卡上,如下:
/ip address add address=192.168.0.1/24 interface=ether2
在你的本地网络配置伪装:
/ip firewall src-nat add out-interface=ether1 action=masquerade \ comment=“Masquerades everything leaving the external interface“
配置防火墙保护你的路由器:
/ip firewall rule input add connection-state=invalid action=drop \
comment=“Drop invalid connection packets“
/ip firewall rule input add connection-state=established \
comment=“Allow established connections“
/ip firewall rule input add connection-state=related \
comment=“Allow related connections“
/ip firewall rule input add protocol=udp comment=“Allow UDP“
/ip firewall rule input add protocol=icmp comment=“Allow ICMP Ping“
/ip firewall rule input add src-address=192.168.0.0/24 \
comment=“From my home network“
/ip firewall rule input add action=drop log=yes \
comment=“Log and drop everything else“
可选)配置DHCP服务散发IP配置到你的家庭网络中去:
/ip pool add name=private ranges=192.168.0.2-192.168.0.254
/ip dhcp-server network add gateway=192.168.0.1 address=192.168.0.0/24 \
dns-server=195.13.160.52,195.122.1.59 domain=“mail.com“
/ip dhcp-server add name=home interface=ether2 lease-time=3h \
address-pool=private
/ip dhcp-server enable home
这样!你能通过你的家庭网络访问Internet。
如何保持我的路由器的更新
属性描述
保持你的路由器更新,你应该:
更新最新的RouterOS软件版本
如果你有一个RouterBoard,需要更新BIOS固件版本
在这部分将介绍你如何升级你的RouterBoard的BIOS固件版本。
首先,At first, 检查你的一个routerboard功能包被安装
[admin@MikroTik] system package》 print
Flags: I – invalid
# NAME VERSION BUILD-TIME UNINSTALL
0 routerboard 2.8.14 aug/06/2004 15:30:32 no
1 security 2.8.14 aug/06/2004 14:08:54 no
2 system 2.8.14 aug/06/2004 14:03:02 no
3 advanced-tools 2.8.14 aug/06/2004 14:04:55 no
4 wireless 2.8.14 aug/06/2004 14:42:17 no
[admin@MikroTik] system package》
检查你的RouterBoard BIOS固件:
[admin@MikroTik] system routerboard》 print
routerboard: yes
model: 230
serial-number: 8387617
current-firmware: 1.3.1 Aug/06/2004 15:30:19)
upgrade-firmware: 1.3.1 Aug/06/2004 15:30:19)
[admin@MikroTik] system routerboard》
可以通过在下载页面查看在all packages文档最新的BIOS更新(
MikroTik RouterOS 中为IP10限速的设置
请把下面的打印改为命令
[root@MikroTik] queue simple》 print
Flags: X – disabled, I – invalid, D – dynamic
0 name=“queue1“ target-address=0.0.0.0/0 dst-address=192.168.1.10/32
interface=all queue=default priority=8 limit-at=0/0
max-limit=800000/00
MikroTik RouterOS 把迅雷限制为单资源下载的设置
请把下面的打印改为命令
[admin@MikroTik] ip firewall rule forward》 print
Flags: X – disabled, I – invalid, D – dynamic
0 ;;; 允许IP252所有
src-address=192.168.1.252/32 action=accept
1 ;;; 禁迅雷TCP两端口
dst-address=:3076-3077 protocol=tcp action=drop
2 ;;; 禁迅雷UDP两端口
dst-address=:3076-3077 protocol=udp action=drop
MikroTik RouterOS 端口映射的设置
[admin@MikroTik] ip firewall dst-nat》 dst-address=218.*.*.170/32:21 protocol=tcp action=nat to-dst-address=192.168.1.251 to-dst-port=21 (责任编辑:admin) |