ROS限速、防syn、ip假裝、mac綁定、防火牆、屏蔽端口

:foreach i in=[/system logging facility find local=memory ] do=[/system logging facility set $i local=none]

RO防syn

ip-firewall-connections
Tracking:TCP Syn Sent Timeout:50
TCP syn received timeout:30

限線程腳本：
:for aaa from 2 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $aaa) protocol=tcp connection-limit=50,32 action=drop}

 

RO端口的屏蔽

ip-firewall-Filer Rules裏面選擇
forward的意思表明包的轉發
firewall rule-General
Dst.Address:要屏蔽的端口
Protocol:tcp
Action:drop(丟棄）

 

ros限速

手動限速

winbox---queues----simple queues

點「+」，NAME裏隨便填，下面是IP地址的肯定

①Target Address 無論，Dst. Address裏填 你要限制的內網機器的IP，好比我這裏有個 1號機器 IP爲 192.168.1.101，那dst.address 裏就填 192.168.1.101 而後是/32（這裏的32不是指掩碼了，我的理解爲指定的意思）！

②interface裏 記着要選你鏈接外網那個卡，我這裏分了「local和public」，因此選public

③ 其餘的無論，咱們來看最重要的東西拉，Max limit ，這個東西是你限制的上限，注意的是 這裏的數值是比特位，好比我要限制 下載的速度爲 500K 那麼就填入多少呢？ 500 X 1000 X 8=400 0000=4M。

④ 另外，不少朋友都有個疑問，到底通常的用戶會有多大流量呢？通常的網絡遊戲，如 夢幻西遊 傳奇 封神榜 等等，其下行在 20Kbps之內！ 最耗網絡資源的就是下載-----咱們就是爲了限制它拉，其次是VOD點播，通常DVD格式的大約要 2M多吧，因此你看狀況限制拉 別搞的太絕！！！

限速腳本：
:for aaa from 2 to 254 do={/queue simple add name=(queue . $aaa) dst-address=(192.168.0. . $aaa) limit-at=0/0 max-limit=2000000/2000000} 說明：
aaa是變量
2 to 254是2~254
192.168.0. . $aaa是IP
上兩句加起來是192.168.0.2~192.168.0.254
connection-limit=50是線程數這裏爲50
max-limit=2000000/2000000是上行／下行
使用：
WinBox-System-Scripts-＋
Name(腳本名程)
Source(腳本)
OK-選擇要運行的腳本-Run Script

 

 

ROS限速的極致應用

通常咱們用ros限速只是使用了max-limit，其實ros限速能夠更好的運用。好比咱們但願客戶打開網頁時速度能夠快一些，下載時速度能夠慢一些。ros2.9就能夠實現。

 

 

max-limit------咱們最經常使用的地方，最大速度
burst-limit--------突破速度的最大值
burst-thershold--------突破速度的閥值
burst-time-------突破速度的時間值

解釋一下圖片的限制意義

當客戶機在30秒（burst-time）內的平均值小於突破速度閥值（burst-thershold）180K時，客戶機的最大下載速率能夠超過最大限速值（max-limit）200K，達到突破最大值（burst-limit）400K，若是30秒內平均值大於180K，那客戶機的最大速度只能達到200K。

這樣也就是當咱們開網頁時能夠獲得一個更大的速度400K，長時間下載時速度只能獲得200K，使咱們的帶寬能夠更有效的利用

動態限速
ROS動態限速（檢測外網總速度進行限速開關）廢話不說先看腳本原理：
如下操做所有在WINBOX界面裏完成
介紹：能夠實如今總速度不超過9M的狀況下自動關閉全部生成的限速規則在總速度超過18M的時候自動啓動全部生成的限速規則。
說明：在輸入腳本內容時不要把兩邊的（）帶上，那個是爲了區分非腳本字符。
總速度=你的外網網卡當前速度。

打開 /system/scripts
腳本:
:for aaa from 1 to 254 do={/queue simple add name=(ip_ . $aaa) dst-address=(192.168.0. . $aaa) interface=wan max-limit=256000/800000 burst-limit=1000000/3000000 burst-threshold=128000/512000 burst-time=30s/1m }

上面是生成限速樹，對網段內全部IP的限速列表！

下面進入正題：
腳本名：node_on
腳本內容：（:for aaa from 1 to 254 do={/queue sim en [find name=(ip_ . $aaa)]}）
腳本名：node_off
腳本內容：（:for aaa from 1 to 254 do={/queue sim dis [find name=(ip_ . $aaa)]}）

scripts（腳本部分）以完成
打開 /tools/traffic monitor

新建：
名：node_18M traffic=received trigger=above on event=node_on threshold:18000000
新建：
名：node_9M traffic=received trigger=below on event=node_off threshold:9000000
在輸入腳本內容時不要把兩邊的（）帶上，那個是爲了區分非腳本字符。

 

RO映射
ip-firewall-Destination NAT
General-In. Interface all(若是你是撥號的就選擇pppoe的、固定IP選擇all便可）
Dst. Address:外網IP/32
Dst. Port:要映射的端口
Protocol:tcp(若是映射反恐的就用udp)
Action action:nat
TO Dst.Addresses:你的內網IP
TO Dst.Ports:要映射的端口

 

ip假裝

ip-firewall-Source NAT
Action Action:masquerade(IP假裝）
迴流（由於假如說在本網吧作SF須要迴流）
ip-firewall-Source NAT
在general-Src.address： 192.168.0.0/24 這裏特殊說明下 內網ip段 24表明定值不可修改

 

RO的IP:mac綁定

綁定:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]
解除綁定:foreach i in=[/ip arp find ] do=[/ip arp remove $i]
完了在interfaces裏面選擇內網在選擇reply-only

 

RO設置的備份（兩總方法）

files-file list
backup便可（能夠到你的ftp裏面找）
背份資料命令行：system回車
backup回車
save name=設置文件名 回車
資料恢復命令

system回車
backup回車
load name=文件名 回車

 

RO禁ping

/ ip firewall rule input add protocol=icmp action=drop comment="Drop excess pings" disabled=no
解ping
ip-firewall-filter rules
input:將其屏蔽或者刪掉

 

關於mac地址掃描

/tool mac-scan all

 

×××與ppp創建用戶

在interfaces--settings-pptp server
Enabled選擇 mtu1500 mru：1500
keepalive Timeout：disabled
default Profiles： default
Authentication： 下面打上四個對號（這也表明服務器啓動）
ip-pool-ip pool
pptp=192.168.0.150-192.168.0.160(此IP段爲內網中沒有在用的段）
pptp1=192.168.0.170-192.168.0.180(此IP段爲內網中沒有在用的段）
本身總結出來的，有人問，爲何要寫2個ip段一個不也行嗎。。。
這也是我本身的心得，我想看到這個資料的人也不是通常人。呵呵
由於在***鏈接的時候咱們要給他分配一個遠程的主機ip作爲網關。
在本配一個本地的作爲ip。因此選擇了2個，往下看在
ppp-Secrets
new ppp secret
service:pptp
routes:能夠添加網關（通常×××都是默認錄找網關可添可不添）
Profiles:
Local Address:在這裏我添加的是pptp
Remote Address:在這裏我添加的是pptp1
dns，建議最好填寫：
下面有兩個 use Encryption Require Encryption 表明加密
Limits:
Tx bit Rate)用來限速的最大值
Rx bit Rate)用來限速的最小值

這也就代表了，遠程給他一個地址，本地給他一個地址，這樣能夠更好的來識別。
最重要的，就是，基本每次都能撥上來。可能有不少人說我能撥你家電信，爲啥不
能撥網通，我來告訴你答案由於isp的關係。在這裏我就不詳細說明了。。。。
撥好的時候我就不說了，若是有問題在來問我。。。

 

檢查磁盤

在路由或終端模擬下用下面命令：
system
check-disk
檢查磁盤，要重啓。 可是很慢，一分鐘一G。。。哈哈

關機

能夠在WINBOX中關機，也能夠用命令關：
system
sh
便可。。。自我感受很差使

若是有一些網頁打不開，你ISP的MTU=1492，請在IP > Firewall > Mangle > 單擊紅加號 > Protocol選擇TCP > Tcp Options 選擇 sync >

Actions選擇 accept >TCP MSS:1448。

ip－firewall -filter fules ，選擇 ＋ 號，in interface 選擇內網網卡（local），其餘默認
這條路由容許來自內網的鏈接，若是有限制，能夠修改 src address 的ip段，或者content 內容過濾

ip －》firewall －》filter chains 選中 input ，選擇 drop
這條規則禁止全部的外部鏈接

以上兩條規則，屏蔽來自外網的全部鏈接

一些惡意網站和廣告，也能夠從這裏屏蔽

關於解決不能上百度的問題
把TCP MSS 1448改爲1432

記錄網卡MAC地址才能限制網卡上網。具體設置以下。
在防火牆裏面的filter rules項選擇forward而後添加一項設定也就是「＋」號，
在advanced項裏面的src .mac.address項裏面加入網卡的MAC地址，而後在ACTION中選擇Drop項。這樣子添加後，那塊網卡的ip地址不管咋換，都

沒法上網。除非它把網卡換了。我就是這樣子做出來得，效果不錯。

 

若是改了端口用winbox打不開了的解決方法

用SSH進入

/ip ser

/ip ser/>set www port 80

/ip ser/>set ftp port 21

 

解決因防火牆屏蔽來自內網的全部鏈接

進入後輸入 /ip f ru o 可打開OUTPUT 輸入 //ip f ru in 可打開INPUT
再、輸入p 可看結果
按REM O（此0爲數字）可刪除相應0的規則
你輸入/ip f set i p a 可恢復系統默認input改回accept。
或者，使用system 裏面的reset 復位路由（會刪除全部規則）

[admin@MikroTik] > system reset （系統自動復位清除設置並從新啓動）

啓用dns緩存

CODE
[admin@MikroTik] ip dns> set allow-remote-requests=yes
[admin@MikroTik] ip dns> ..

 

user 管理員只能在內網登錄

set 0 address=192.168.0.0/24

將規則另存爲*.rsc文件，進入控制檯，或者在路由器本機上，輸入 import *.rsc
該規則導入完成

基本也就這些了，還有本身知道的，也說不出來的，在有寫東西是我本身在網絡中找的。。本人都已經測試過了。

 

 

 

 

斬斷掃描ROS的黑手

 

如下是引用片斷： /ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="Port scanners to list " disabled=no /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP FIN Stealth scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/FIN scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/RST scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="FIN/PSH/URG scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="ALL/ALL scan" /ip firewall filter add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP NULL scan" /ip firewall filter add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no