ROS限速、防syn、ip伪装、mac绑定、防火墙、屏蔽端口
:foreach i in=[/system logging facility find local=memory ] do=[/system logging facility set $i local=none]
RO防syn
ip-firewall-connections
Tracking:TCP Syn Sent Timeout:50
TCP syn received timeout:30
限线程脚本:
:for aaa from 2 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $aaa) protocol=tcp connection-limit=50,32 action=drop}
RO端口的屏蔽
ip-firewall-Filer Rules里面选择
forward的意思代表包的转发
firewall rule-General
Dst.Address:要屏蔽的端口
Protocol:tcp
Action:drop(丢弃)
ros限速
手动限速
winbox---queues----simple queues
点“+”,NAME里随便填,下面是IP地址的确定
①Target Address 不管,Dst. Address里填 你要限制的内网机器的IP,比如我这里有个 1号机器 IP为 192.168.1.101,那dst.address 里就填 192.168.1.101 然后是/32(这里的32不是指掩码了,个人理解为指定的意思)!
②interface里 记着要选你连接外网那个卡,我这里分了“local和public”,所以选public
③ 其他的不管,我们来看最重要的东西拉,Max limit ,这个东西是你限制的上限,注意的是 这里的数值是比特位,比如我要限制 下载的速度为 500K 那么就填入多少呢? 500 X 1000 X 8=400 0000=4M。
④ 另外,很多朋友都有个疑问,到底一般的用户会有多大流量呢?一般的网络游戏,如 梦幻西游 传奇 封神榜 等等,其下行在 20Kbps以内! 最耗网络资源的就是下载-----我们就是为了限制它拉,其次是VOD点播,一般DVD格式的大约要 2M多吧,所以你看情况限制拉 别搞的太绝!!!
限速脚本:
:for aaa from 2 to 254 do={/queue simple add name=(queue . $aaa) dst-address=(192.168.0. . $aaa) limit-at=0/0 max-limit=2000000/2000000} 说明:
aaa是变量
2 to 254是2~254
192.168.0. . $aaa是IP
上两句加起来是192.168.0.2~192.168.0.254
connection-limit=50是线程数这里为50
max-limit=2000000/2000000是上行/下行
使用:
WinBox-System-Scripts-+
Name(脚本名程)
Source(脚本)
OK-选择要运行的脚本-Run Script
ROS限速的极致应用
一般我们用ros限速只是使用了max-limit,其实ros限速可以更好的运用。比如我们希望客户打开网页时速度可以快一些,下载时速度可以慢一些。ros2.9就可以实现。
max-limit------我们最常用的地方,最大速度
burst-limit--------突破速度的最大值
burst-thershold--------突破速度的阀值
burst-time-------突破速度的时间值
解释一下图片的限制意义
当客户机在30秒(burst-time)内的平均值小于突破速度阀值(burst-thershold)180K时,客户机的最大下载速率可以超过最大限速值(max-limit)200K,达到突破最大值(burst-limit)400K,如果30秒内平均值大于180K,那客户机的最大速度只能达到200K。
这样也就是当我们开网页时可以得到一个更大的速度400K,长时间下载时速度只能得到200K,使我们的带宽可以更有效的利用
动态限速
ROS动态限速(检测外网总速度进行限速开关)废话不说先看脚本原理:
以下操作全部在WINBOX界面里完成
介绍:可以实现在总速度不超过9M的情况下自动关闭所有生成的限速规则在总速度超过18M的时候自动启动所有生成的限速规则。
说明:在输入脚本内容时不要把两边的()带上,那个是为了区分非脚本字符。
总速度=你的外网网卡当前速度。
打开 /system/scripts
脚本:
:for aaa from 1 to 254 do={/queue simple add name=(ip_ . $aaa) dst-address=(192.168.0. . $aaa) interface=wan max-limit=256000/800000 burst-limit=1000000/3000000 burst-threshold=128000/512000 burst-time=30s/1m }
上面是生成限速树,对网段内所有IP的限速列表!
下面进入正题:
脚本名:node_on
脚本内容:(:for aaa from 1 to 254 do={/queue sim en [find name=(ip_ . $aaa)]})
脚本名:node_off
脚本内容:(:for aaa from 1 to 254 do={/queue sim dis [find name=(ip_ . $aaa)]})
scripts(脚本部分)以完成
打开 /tools/traffic monitor
新建:
名:node_18M traffic=received trigger=above on event=node_on threshold:18000000
新建:
名:node_9M traffic=received trigger=below on event=node_off threshold:9000000
在输入脚本内容时不要把两边的()带上,那个是为了区分非脚本字符。
RO映射
ip-firewall-Destination NAT
General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可)
Dst. Address:外网IP/32
Dst. Port:要映射的端口
Protocol:tcp(如果映射反恐的就用udp)
Action action:nat
TO Dst.Addresses:你的内网IP
TO Dst.Ports:要映射的端口
ip伪装
ip-firewall-Source NAT
Action Action:masquerade(IP伪装)
回流(因为假如说在本网吧做SF需要回流)
ip-firewall-Source NAT
在general-Src.address: 192.168.0.0/24 这里特殊说明下 内网ip段 24代表定值不可修改
RO的IP:mac绑定
绑定:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]
解除绑定:foreach i in=[/ip arp find ] do=[/ip arp remove $i]
完了在interfaces里面选择内网在选择reply-only
RO设置的备份(两总方法)
files-file list
backup即可(可以到你的ftp里面找)
背份资料命令行:system回车
backup回车
save name=设置文件名 回车
资料恢复命令
system回车
backup回车
load name=文件名 回车
RO禁ping
/ ip firewall rule input add protocol=icmp action=drop comment="Drop excess pings" disabled=no
解ping
ip-firewall-filter rules
input:将其屏蔽或者删掉
关于mac地址扫描
/tool mac-scan all
×××与ppp建立用户
在interfaces--settings-pptp server
Enabled选择 mtu1500 mru:1500
keepalive Timeout:disabled
default Profiles: default
Authentication: 下面打上四个对号(这也代表服务器启动)
ip-pool-ip pool
pptp=192.168.0.150-192.168.0.160(此IP段为内网中没有在用的段)
pptp1=192.168.0.170-192.168.0.180(此IP段为内网中没有在用的段)
自己总结出来的,有人问,为什么要写2个ip段一个不也行吗。。。
这也是我自己的心得,我想看到这个资料的人也不是一般人。呵呵
因为在***连接的时候我们要给他分配一个远程的主机ip做为网关。
在本配一个本地的做为ip。所以选择了2个,往下看在
ppp-Secrets
new ppp secret
service:pptp
routes:可以添加网关(一般×××都是默认录找网关可添可不添)
Profiles:
Local Address:在这里我添加的是pptp
Remote Address:在这里我添加的是pptp1
dns,建议最好填写:
下面有两个 use Encryption Require Encryption 代表加密
Limits:
Tx bit Rate)用来限速的最大值
Rx bit Rate)用来限速的最小值
这也就表明了,远程给他一个地址,本地给他一个地址,这样可以更好的来识别。
最重要的,就是,基本每次都能拨上来。可能有很多人说我能拨你家电信,为啥不
能拨网通,我来告诉你答案因为isp的关系。在这里我就不详细说明了。。。。
拨好的时候我就不说了,如果有问题在来问我。。。
检查磁盘
在路由或终端模拟下用下面命令:
system
check-disk
检查磁盘,要重启。 但是很慢,一分钟一G。。。哈哈
关机
可以在WINBOX中关机,也可以用命令关:
system
sh
即可。。。自我感觉不好使
如果有一些网页打不开,你ISP的MTU=1492,请在IP > Firewall > Mangle > 单击红加号 > Protocol选择TCP > Tcp Options 选择 sync >
Actions选择 accept >TCP MSS:1448。
ip-firewall -filter fules ,选择 + 号,in interface 选择内网网卡(local),其他默认
这条路由允许来自内网的连接,如果有限制,可以修改 src address 的ip段,或者content 内容过滤
ip -》firewall -》filter chains 选中 input ,选择 drop
这条规则禁止所有的外部连接
以上两条规则,屏蔽来自外网的所有连接
一些恶意网站和广告,也可以从这里屏蔽
关于解决不能上百度的问题
把TCP MSS 1448改成1432
记录网卡MAC地址才能限制网卡上网。具体设置如下。
在防火墙里面的filter rules项选择forward然后添加一项设定也就是“+”号,
在advanced项里面的src .mac.address项里面加入网卡的MAC地址,然后在ACTION中选择Drop项。这样子添加后,那块网卡的ip地址无论咋换,都
无法上网。除非它把网卡换了。我就是这样子作出来得,效果不错。
如果改了端口用winbox打不开了的解决方法
用SSH进入
/ip ser
/ip ser/>set www port 80
/ip ser/>set ftp port 21
解决因防火墙屏蔽来自内网的所有连接
进入后输入 /ip f ru o 可打开OUTPUT 输入 //ip f ru in 可打开INPUT
再、输入p 可看结果
按REM O(此0为数字)可删除相应0的规则
你输入/ip f set i p a 可恢复系统默认input改回accept。
或者,使用system 里面的reset 复位路由(会删除所有规则)
[admin@MikroTik] > system reset (系统自动复位清除设置并重新启动)
启用dns缓存
CODE
[admin@MikroTik] ip dns> set allow-remote-requests=yes
[admin@MikroTik] ip dns> ..
user 管理员只能在内网登陆
set 0 address=192.168.0.0/24
将规则另存为*.rsc文件,进入控制台,或者在路由器本机上,输入 import *.rsc
该规则导入完成
基本也就这些了,还有自己知道的,也说不出来的,在有写东西是我自己在网络中找的。。本人都已经测试过了。
斩断扫描ROS的黑手
以下是引用片段:
/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="Port scanners to list " disabled=no
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP FIN Stealth scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/FIN scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/RST scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="FIN/PSH/URG scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="ALL/ALL scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP NULL scan"
/ip firewall filter add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
转载于:https://blog.51cto.com/xfenoo/292462
ROS限速、防syn、ip伪装、mac绑定、防火墙、屏蔽端口相关推荐
- python-华为路由器交换机批量处理ip与mac绑定
python-华为路由器交换机批量处理ip与mac绑定 以下为代码 运行后会产生日志文件 以下为代码 #-*- coding: utf-8 -*- #!/usr/bin/python #仅供相互学习 ...
- 限制计算机通讯端口mac绑定,h3c交换机ip和mac绑定配置教程
h3c交换机ip和mac绑定配置教程 首先登录交换机,进入管理状态System-View 第一种情况:1个端口只有一台电脑如何绑定 如:某台电脑的IP:10.119.100.1 MAC:00-1A-4 ...
- Cisco交换机IP和MAC绑定设置方案
目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术.下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案. 在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是 ...
- IP与MAC绑定的难题
问:我的计算机原来采用公网固定IP地址.为了避免被他人盗用,使用"arp -s ip mac"命令对MAC地址和IP地址进行了绑定.后来,由于某种原因,又使用"arp - ...
- Linux服务器绑定mac与ip,Linux实现ip和mac绑定
在有些系统中有这样的需求,希望内部网中的某几个IP地址连接互联网,而又希望这些IP地址不被非法用户盗用.可以通过下面的解决办法实现: 首先使用ipchains或者iptables来设定只允许合法的IP ...
- 网件路由器使用计算机mac,网件路由器怎么ip与mac绑定(2)
网件路由器设置mac地址过滤的方法 1.通过启动电脑的Internet Explorer或者Netscape Navigator等其他浏览器登陆WG302的管理界面: 登录时只需输入192.168.0 ...
- 烽火 HG6821M路由器实现局域网IP和MAC绑定
第一步破解路由器进入telnet 这一步网络上大量的教程,随便搜索就有很多. 例如破解烽火移动HG6201M 破解 超级密码 第二步在telnet执行 查看已经在线的设备(里面包含了在线的设备和设备名 ...
- IP和MAC地址绑定的好处和作用
IP和MAC地址绑定的好处和作用:可以实现静态IP,也可以防止ARP攻击. IP和MAC地址知识: 如果你是通过校园网或小区接入Internet,那么一定听说过MAC地址.什么是MAC地址,MAC地址 ...
- espn配置路由_在用路由器WDS桥接或级联组网时如何设置IP和MAC地址的绑定
电脑的MAC地址是固定的,但是IP地址可以进行设置.改动.如果终端自行任意修改IP地址,可能会导致局域网IP地址冲突,影响正常使用.若终端安装ARP(IP和MAC的匹配关系)攻击软件,发出欺骗信息,也 ...
- 帮你理解网关、ARP、IP、MAC、路由
假设你叫小不点(本地主机),住在一个大院子(本地局域网)里,有很多邻居(网络邻居),门口传达室有个看大门的李大爷,李大爷就是你的网关.当你想跟院子里的某个伙伴玩,只要你在院子里大喊一声他的名字(pin ...
最新文章
- php模拟getua_php实现进行远程抓取百度网页内容,并伪装服务器端ip
- python 3.8.2 / 内置的数据结构 / list (类似于 STL 中的 vector)
- 网关和BFF是如何演进出来的?
- Spring + Intellij IDEA——注入Mapper警告解决方案
- c语言程序stm8s,经典STM8s20实用C语言编程大全
- Eclipse字符集环境配置
- UIView Methods
- 7.携程架构实践 --- IaaS & PaaS
- 统计分析用户信息量的工具Flurry的使用
- C# MVC 微信支付教程系列之公众号支付代码
- 四、全国计算机三级数据库考试——操作题(6—10套)
- How to find block sql from dba_waiters v$session v$sql
- FLiText: A Faster and Lighter Semi-Supervised Text Classification with Convolution Networks
- Searchcode: 源代码搜索利器
- C语言练习题:小明排序(数组)
- 关于AP, MAP的一些理解
- TDog的科研(求毕业)之路——多任务图像超分辨率(一)
- python turtle画笑脸_如何用python画笑脸QQ表情——turtle库实践
- 【安全知识分享】企业安全管理基础台账(44页).pptx(附下载))
- 山姆公司“会员制营销”和“EMAIL营销”培训方案