ROUTEOS使用筆記之二[url]http://www.mikrotikrouter.cn/show/318[/url] ROS禁止PING 方法
禁止內(nèi)網(wǎng)PING ：點(diǎn)擊IP －> Firewall －> Filter Rules －> 右面選中 output －> "+" －> General －> Protocol 中選擇 icmp ，在同級(jí)界
面上點(diǎn)擊Action 中，將Action選擇為"drop"，按"OK"確認(rèn)
禁止外網(wǎng)PING ：點(diǎn)擊IP －> Firewall －> Filter Rules －> 右面選中 input －> "+" －> General －> Protocol 中選擇 icmp ，在同級(jí)界
面上點(diǎn)擊Action 中，將Action選擇為"drop"，按"OK"確認(rèn)
------------------------------------------------------------------------------------------
ROS的密碼忘記了，但有臺(tái)機(jī)子里的winbox里保存了密碼,可用下面的方法：
如果是win2K/XP/2003，密碼就在C:\Documents and Settings\你的用戶名\Application Data\Mikrotik\Winbox\winbox.cfg文件里，你用記事本
打開,里面有類似下面的語句:
typeaddr host192.168.0.1 loginadmin note keep-pwd pwd12345 pwd后面就是密碼.
-------------------------------------------------------------------------------------------
使用高負(fù)載ROS的技巧
如果ros的防火墻會(huì)話數(shù)很高，建議修改相應(yīng)會(huì)話超時(shí)參數(shù)如下：
[admin@cddst] >ip fire conn tra pr
enabled: yes
tcp-syn-sent-timeout: 30s
tcp-syn-received-timeout: 30s
tcp-established-timeout: 120h
tcp-fin-wait-timeout: 30s
tcp-close-wait-timeout: 30s
tcp-last-ack-timeout: 30s
tcp-time-wait-timeout: 30s
tcp-close-timeout: 10s
udp-timeout: 30s
udp-stream-timeout: 3m
icmp-timeout: 30s
generic-timeout: 10m
------------------------------------------------------------------
各種下載工具 端口 和 網(wǎng)站ＩＰ
訊雷
端口:3076-3079
I P: 202.96.155.91, － 210.22.12.53 － 61.128.198.97
－
電騾
端口:4662,4661,4242
I P: 62.241.53.15
屁屁狗(PPGOU)
端口:8505
IP:219.153.0.152 - 61.145.116.186
KUGO酷狗
端口:3318 1043 4224 2371 (UDP 7000)
I P: 218.16.125.227 － 61.143.210.56 － 218.16.125.226
61.129.115.206 － 61.145.114.33
比特精靈:
端口:16881 6881-6890 8881-8890 (tcp udp)
寶酷
端口: 6346 11300
I P: 61.172.197.196－ 218.1.14.3 － 218.1.14.4 － 218.1.14.9
61.172.197.209 － 61.172.197.197 － 218.1.14.5 －218.5.72.118
61.172.197.196
百事通下載工具
端口:
I P: 61.145.126.150
百度MP3下載
端口:
I P: 202.108.156.206
PTC下載工具
端口:50007
I P:
eDonkey2000下載工具
端口:4371 4662
I P: 62.241.53.15 － 62.241.53.17
Poco2005
端口:8094 2881 5354(udp src8094 和TCPdst5354drop)
I P: 61.145.118.224 － 210.192.122.147 － 207.46.196.108
卡盟
端口:3751 3753 4772 4774
I P: －211.155.224.67
維宇RealLink
端口:
I P: 211.91.135.114 － 221.233.18.180 － 61.145.119.55 － 221.3.132.99
百寶
端口: 3468
I P: 219.136.251.56 － 61.149.124.173
百花PP
端口: 5093
I P: 221.229.241.243
－
快遞通
端口:
I P: －202.96.137.56
酷樂
端口: 6800-6801 7003
I P:218.244.45.67 － 220.169.192.145
百度下吧
端口: 11000
I P: 202.108.249.171
百兆P2P
端口: 9000
I P: 221.233.19.30
石頭(OPENEXT)
端口:5467 2500 4173 10002 10003
I P:66.197.13.166 － 210.22.12.245 － 69.93.222.56
iLink 1.1
端口：5000
I P：
DDS
端口：11608
I P：210.51.168.13－ 211.157.105.252－ 212.179.66.17
iMesh 5
端口：4662
I P：212.179.66.17 － 212.179.66.24 － 38.117.175.23
winmx
端口：5690
I P：64.246.15.43
網(wǎng)酷
端口：2122
I P：211.152.22.9 － 211.152.22.101 － 221.192.132.29
PPlive網(wǎng)絡(luò)電視
端口：UDP 4004
端口：TCP 8008
QQ直播
端口 udp 13002-13999
---------------------------------------------------------------------------
如何設(shè)置防火墻實(shí)現(xiàn)禁用QQ、MSN等
一、 阻斷QQ的連接
新版QQ不僅僅通過UDP方式登錄服務(wù)器，還能夠以TCP方式登錄。QQ在連接時(shí)首先向以下七個(gè)服務(wù)器的8000端口發(fā)送udp包。
sz.tencent.com 61.144.238.145
sz2.tencent.com 61.144.238.146
sz3.tencent.com 202.104.129.251
sz4.tencent.com 202.104.129.254
sz5.tencent.com 61.141.194.203
sz6.tencent.com 202.104.129.252
sz7.tencent.com 202.104.129.253
在阻斷8000端口的連接后，發(fā)現(xiàn)QQ還會(huì)通過udp的8001和tcp的8000、8001端口進(jìn)行連接。鑒于這些端口目前只有QQ使用，所以可以基于端口來
作阻斷規(guī)則。
在用防火墻阻斷以上端口的數(shù)據(jù)包后，發(fā)現(xiàn)QQ還會(huì)通過tcp的80和443端口進(jìn)行連接。如果針對(duì)這兩個(gè)端口作阻斷規(guī)則，會(huì)影響用戶的正常上網(wǎng)
，所以只能對(duì)服務(wù)器的ip地址來作規(guī)則。通過試驗(yàn)發(fā)現(xiàn)了以下可通過80和443端口建立連接的QQ服務(wù)器：
218.17.217.106
219.133.40.95
219.133.40.97,
219.133.40.157,
219.133.40.177,
219.133.40.73,
219.133.40.189
218.18.95.153
218.17.209.23
202.104.129.253
218.17.209.42
在針對(duì)這些IP作阻斷規(guī)則后，QQ已基本無法登錄。
在試驗(yàn)中還發(fā)現(xiàn)，QQ安裝目錄下的Config.db文件，其中記錄了QQ服務(wù)器的地址，與我們上面找到的完全符合。
因此，在用防火墻阻止用戶使用QQ上網(wǎng)時(shí)，除了阻止tcp和udp的8000、8001端口外，還需阻斷與QQ服務(wù)器的連接。下面列舉了在試驗(yàn)中找到的
和在網(wǎng)上查到的QQ服務(wù)器IP：
61.141.194.203
61.144.238.145/146/149/155
61.172.249.135
65.54.229.253
202.96.170.164
202.104.129.151/251/252/253/254
211.157.38.38
218.17.209.23/42
218.17.217.106
218.18.95.153/165
219.133.40. 21/73/89/90/92/95/97/157/177/189（這個(gè)網(wǎng)段的服務(wù)器地址較多，可以考慮阻斷整個(gè)網(wǎng)段）
雖然以上方法可以起到阻斷QQ連接的作用，但如果騰訊增加新的QQ服務(wù)器，QQ也還是可以登錄的。另外，用第三方的代理軟件如NEC E-BORDER
等，支持Anonymous的Socks5代理還是可能繞過去，登陸使用QQ。
二、 阻斷MSN的連接
MSN的連接在除使用常規(guī)的1863端口外，還會(huì)使用7001和80端口，因?yàn)檫@兩個(gè)端口涉及到其他網(wǎng)絡(luò)服務(wù)的應(yīng)用，所以也只能采用阻斷QQ連接的
方法，通過阻斷與MSN服務(wù)器的連接，來達(dá)到用戶要求。
以下列舉了在試驗(yàn)中找到的服務(wù)器IP：
64.4.12.200/201
65.54.194.117
207.46.68.23
207.46.104.20
207.46.107.14/125
207.46.110.27/28/254
經(jīng)查詢，這些服務(wù)器IP都是北美地區(qū)的。
同樣，如微軟添加新的MSN服務(wù)器或者用戶使用代理，還是可以登錄MSN。
三、 阻斷聯(lián)眾的連接
阻斷聯(lián)眾的連接相對(duì)來說就比較容易啦。在客戶端連接服務(wù)器時(shí)，首先會(huì)與服務(wù)器的2000端口建立連接（61.55.138.219：2000）。在連接建
立后，會(huì)用到服務(wù)器的1007、2001、2002、3015端口。
在試驗(yàn)中，只阻斷了2000端口的數(shù)據(jù)包，客戶端就已經(jīng)無法連接服務(wù)器了
----------------------------------------------------------------------------------
封殺QQ游戲方法
name=QQ游戲服務(wù)器(北方服務(wù)器)
ip=210.22.23.14
name=QQ游戲服務(wù)器(上海)
ip=61.172.204.82
name=QQ游戲服務(wù)器(深圳)1
ip=219.133.41.17
name=QQ游戲服務(wù)器(深圳)2
ip=219.133.41.231
name=QQ游戲服務(wù)器(深圳)3
ip=219.133.41.168
name=QQ游戲服務(wù)器(深圳)4
ip=219.133.41.16
name=QQ游戲服務(wù)器(深圳)5
ip=219.133.41.47
name=QQ游戲服務(wù)器(深圳)6
ip=219.133.41.13
-----------------------------------------------------------------------------------
ROS下配置DMZ
下面將說明怎么樣在網(wǎng)絡(luò)中配置一臺(tái)DMZ站點(diǎn)
DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)
絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)
絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)
部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)***者來說又多了一道關(guān)卡。網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。
路由器有3塊網(wǎng)卡
CODE
[admin@gateway] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R Public ether 0 0 1500
1 R Local ether 0 0 1500
2 R DMZ-zone ether 0 0 1500
[admin@gateway] interface>
給網(wǎng)卡添加所有需要的ip地址
CODE
[admin@gateway] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.2/24 192.168.0.0 192.168.0.255 Public
1 10.0.0.254/24 10.0.0.0 10.0.0.255 Local
2 10.1.0.1/30 10.1.0.0 10.1.0.3 DMZ-zone
3 192.168.0.3/24 192.168.0.0 192.168.0.255 Public
[admin@gateway] ip address>
給路由器添加默認(rèn)靜態(tài)路由
CODE
[admin@MikroTik] ip route> print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 192.168.0.254 1 Public
1 DC 10.0.0.0/24 r 0.0.0.0 0 Local
2 DC 10.1.0.0/30 r 0.0.0.0 0 DMZ-zone
3 DC 192.168.0.0/24 r 0.0.0.0 0 Public
[admin@MikroTik] ip route>
給DMZ服務(wù)器添加ip地址10.1.0.2 ，網(wǎng)關(guān)地址10.1.0.1
配置dst-nat 規(guī)則，使DMZ服務(wù)器能通過192.168.0.3這個(gè)互聯(lián)網(wǎng)地址訪問
CODE
[admin@gateway] ip firewall dst-nat> add action=nat \
\... dst-address=192.168.0.3/32 to-dst-address=10.1.0.2
[admin@gateway] ip firewall dst-nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=192.168.0.3/32 action=nat to-dst-address=10.1.0.2
[admin@gateway] ip firewall dst-nat>
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
限定某個(gè)IP只能訪問某個(gè)網(wǎng)站
如限定內(nèi)網(wǎng)IP為 192.168.1.20 僅能連接 202.116.150.245 這個(gè)IP
方法步驟：
IP-FORWARD
1 ACCEPT SRC ADD 192.168.1.20/32 DST ADD 202.116.150.245/32 PROTROCL ALL
2 DROP SRC ADD 192.168.1.20/32 DST ADD 0.0.0.0
-----------------------------------------------------------------------
防火墻規(guī)則規(guī)則封閉端口對(duì)某些網(wǎng)絡(luò)游戲的負(fù)面影響如下：
2000端口封閉導(dǎo)致聯(lián)眾無法登陸，。其他的未知
3076-3078端口封閉導(dǎo)致網(wǎng)絡(luò)游戲"傳奇私服"無法進(jìn)入游戲.
upd 7000端口封閉導(dǎo)致QQ游戲平臺(tái)CS1.5無法刷新服務(wù)器，但同時(shí)又封閉了KUGO酷狗
7777端口封閉導(dǎo)致網(wǎng)絡(luò)游戲“×××”無法進(jìn)入游戲。
9898-9999端口封閉導(dǎo)致網(wǎng)絡(luò)游戲“征服風(fēng)云天下”無法進(jìn)入游戲
10000端口封閉導(dǎo)致網(wǎng)絡(luò)游戲“街頭籃球”無法進(jìn)入游
11000端口封閉導(dǎo)致網(wǎng)絡(luò)游戲"洛奇"無法進(jìn)入游戲.
13000端口封閉導(dǎo)致網(wǎng)絡(luò)游戲"熱血江湖"無法進(jìn)入游戲.
---------------------------------------------------------
限制TCP連接包設(shè)置方法
/ip firewall filter add chain=forward protocol=tcp tcp-options=syn connection-limit=限制數(shù)目 action=drop
------------------------------------------------------------------------------------
正確設(shè)置ROS的DNS
在客戶機(jī)基本有三種做法
1、 直接使用ISP 給的DNS（遠(yuǎn)程解析）
在這種情況下，無論使用ADSL或者光纖固定IP上網(wǎng)，ROS端均無需設(shè)置DNS服務(wù)器，就可以保證客戶端正常上網(wǎng)。
2、 客戶機(jī)的DNS使用ROS路由器的地址（本地解析）
這種情況下，一般是將路由器的內(nèi)部IP地址做為DNS地址來使用的。而且大多數(shù)朋友也是這么做的。比較適合一般的C類網(wǎng)絡(luò)。但是對(duì)于規(guī)模較大，
且數(shù)據(jù)量非常大的網(wǎng)絡(luò)來說，一塊內(nèi)部網(wǎng)卡既要做NAT轉(zhuǎn)換，又要提供DNS解析，恐怕會(huì)影響效率。解決辦法是在路由中單獨(dú)插一塊網(wǎng)卡，并設(shè)置一
個(gè)IP，用它來專門負(fù)責(zé)地址解析。目前電信好像就是這么干的，用過光纖的朋友一定不陌生。
方法：
IP>>>DNS 選擇“static”選項(xiàng)卡，點(diǎn)擊“＋”，name隨便起，address填你的路由器內(nèi)網(wǎng)IP，TTL默認(rèn)?！癘K”
此時(shí)應(yīng)該已經(jīng)存在了一個(gè)你剛剛建立的DNS服務(wù)器名，選擇它，并點(diǎn)擊“settings”，分別填寫主輔DNS地址，選擇“allow remote requeste” ，
如果你的網(wǎng)絡(luò)夠大并且比較繁忙（可能網(wǎng)吧符合這個(gè)條件），可以將cache Size稍微設(shè)置大一點(diǎn)，前提是你的內(nèi)存要夠大！最后點(diǎn)擊“ok”
3、方法2也存在一定的不足。比如對(duì)于一些企業(yè)或有自己內(nèi)網(wǎng)主頁并啟用了內(nèi)部域名的朋友來說，方法2就不能滿足需求了。因?yàn)楫?dāng)你在IE中輸入
自己公司的一個(gè)內(nèi)部域名，比如：[url]www.AAA.COM[/url]?(對(duì)應(yīng)IP：192.168.0.154 )，但是這個(gè)請(qǐng)求會(huì)被公網(wǎng)上的DNS服務(wù)器處理，并返回一個(gè)錯(cuò)誤的頁面
。怎么辦呢？我的辦法是在方法2的基礎(chǔ)上，將本地DNS的IP地址指到局域網(wǎng)內(nèi)的一臺(tái)windows服務(wù)器上去，這樣問題就可以得到解決。
----------------------------------------------------------------------------------------------------------
訪問下面的網(wǎng)站！就可以查出你最理想的MTU,MSS,MRU數(shù)值 (MTU = 1500 MSS = 1460 )(MTU = 1488 MSS = 1448 )
[url]http://forums.speedguide.net:8117[/url]
[url]http://www.speedguide.net:8080[/url]
ADSL：點(diǎn)擊Interface，點(diǎn)擊加號(hào)PPPoE Client 修改MTU為1492（大多數(shù)是），切換Dail Out頁面輸入Service：（可以從ISP處獲得也可以用
RASPPPoE查到。），輸入用戶名密碼，勾上Use peer DNS，OK，查看Status頁看是否連接上。如果有一些網(wǎng)頁打不開，你ISP的MTU=1492，請(qǐng)?jiān)贗P
>Firewall >Mangle >單擊紅加號(hào) >Protocol選擇TCP >Tcp Options 選擇 sync >Actions選擇 accept >TCP MSS:1448 [url]http://www.mikrotikrouter.cn/[/url]? routeros介紹

轉(zhuǎn)載于:https://blog.51cto.com/ciscoteam/63133

總結(jié)

以上是生活随笔為你收集整理的ROUTEOS使用笔记之二的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。