Routeros教程合集.doc

Routeros的安装和电信/网通双线光纤,策略路由/双线分流/双线备份,全局速度限制，线程限制，DHCP服务器，PPPOE服务器和VPN，Hossport设置WEB认证上网方式，防火墙，图文教程 本人QQ：157357366注意因为网上有很多现成的图片教程，但是真真假假，版本不明，所以我这个集合教程里有很多图片不是原创，并且这里所有技术全部可以使用在2.9以上版本的ROS上。虽然里面整理的不全部是原创，但是经过我的整理以及一些地方的衔接修改，现在这些东西变得简单易懂了。只要稍微动动脑，这些功能你都能实现，而且几乎这些功能对你都有用处。呵呵，说了这么多废话，意思大概就是只要你认真按着我的这个教程去做，那就一定会打造出属于你自己的路由器的。RouterOS的安装和破解：软件的安装:a. 在BIOS中设置从光盘启动计算机。b. 使用光盘启动计算机时，会出现下面的界面：让你选择安装的模块，呵呵，我选择全部安装，键盘输入，然后输入开始安装。计算机提醒你是不是要保留以前的设置，我是全新安装的，我按回车，不保留。然后计算机提示继续否，废话，不继续干嘛，按继续。计算机开始安装了。你就等着安装完成出现让你按回车键继续的画面，计算机重新启动后就行了。由于我安装的是破解的系统，所以计算机重新启动之后就没有要求我输入什么许可证之类的。若你下载的是需要破解的系统，请自己找资料破解，嘿嘿！在字符界面下，系统的简单初始设置：系统安装之后重新启动，然后出现登陆界面，输入初始用户名admin，口令直接回车。进入RouterOS的字符界面，好了，现在开始我们的简单初始设置阶段。、 更改网卡的名称以方便区分不同的网络接口。为方便区分我们作如下规定：接入互联网的网络接口命名为Wan，其接入互联网的方式是通过dhcp客户端动态获取IP地址。接入局域网的互联网接口我们命名为Lan，网卡的IP地址我们规定为54。另外，我们设定内部网络的地址是,网络掩码为（也就是/24）,网关地址为（特别提示，这里一定要设定为，有的教程中把这里设定为54，甚至于有的教程里把Lan的地址设定为之后还把网关设定为54,我认为这些设定都是不对的。因为我按照那些教程里设定之后局域网无法共享上网）。命令执行过程和显示界面如下：输入：int进入网卡的设置界面， 然后输入print查看网卡是否启用 （备注：默认是启用的，标志是网卡名字前面显示R，比如我的网卡ether1前面显示R。若没有启动，则显示X。若没有启用网卡，则输入命令en 0和en 1）。输入如下命令更改网卡的名称en 0en 1set 0 name=Lanset 1 name=Wan输入/退回到根目录，设定网卡地址等信息。输入setup 我们开始设定服务器网卡的信息，输入a出现如下界面在输入一个a系统让你设定网卡的ip地址，我们要设定局域网接口Lan的地址，（备注，若这里出现的不是Lan，而是Wan，你需要把它改成Lan）输入我们设定的Lan的IP地址54/24系统然后让你输入网关的地址，千万要注意不要输入默认的地址，而是要改为，特别提醒你哇。设定完成之后，我们输入x退出局域网网卡的设定。好了，局域网网卡我们设定成功了，我们终于在一次输入x来退出这个字符界面了，下一步我们将通过windows下的winbox来设定RouterOS。进入winbox界面。在局域网的另外一台安装有windows的计算机上，设定其ip地址为-53中的任意一个就行，然后掩码输入，网关设定为54。比如我在另外的一台安装有windows XP的计算机上设定如下图：设定完成之后，就可以打开IE浏览器，在地址栏中输入54来访问我们的RouterOS服务器了。（备注：若你的计算机无法访问54，则首先请你检查RouterOS服务器上接局域网的那根网线是否接到了Wan口上了。若接线正确则请你检查网络的物理连接以及windows操作系统的网络设置等等，网络连接问题不是本文重点，若存在这个问题请你上网查资料来解决）。我们点击Winbox的图标来下载winbox.exe程序，然后运行这个程序在connect to 中输入我们的RouterOS服务器的地址54，用户名中输入admin，我们没有设定密码，所以密码不输入，为了便于以后进入服务器，我们按save按钮保存此次设置。如下图然后我们点击connect按钮，登陆我们的RouterOS系统。好了，从今往后，我们基本都在这个winbox模式下对routeros进行操作了。点击WINBOX里的第一项Interfaces 在弹出画面里 修改网卡名称，分别给三张网卡命名，便于区分传输介质。设定公网网络接口Wan。依次点击ip/address, 按“+”号，在interface中选择公网接口Wan，输入公网地址，广播地址等信息，然后apply，接着OK就行了。其他的上网方式请上网找资料进行设置）。做MASQ伪装 设定局域网共享上网。在winbox下，依次点击ip /firewall /nat/ ，选择 号，chain中选择srcnat,在action，action里面选择 masquerade ，其余选择默认即可，然后apply，接着OK就行了。至此，局域网可以共享上网了。 做双线有3种方法，最早的方法就是添加路由表，策略效率较低。此方法是最简单的，还有一种方法是利用地址列表做MANGLE标记。做双线备份另外种方法，最简单的就是利用Distance的优先级来做，选择PING检测，主线优先级高于备份路由的优先级，当主线DOWN掉就会显示蓝色失效状态，备份的路由规则就自然生效接替使用。不需要脚本就完成自动切换。下面讲讲双线分流的做法。双线分流一般都是同ISP的几条线路达到减轻单线带宽不足的情况。下面是最基本的就是平均分配100台机器，50台走一条线。更好的做法可以做到光纤玩游戏，ADSL线路可做分流QQ，WEB等，具体做法就是在目标端口上填写QQ是8000端口，UDP协议，WEB当然是80端口了。都是很灵活的。下面是 网通CNC的路由表，以电信为主线下面讲一下全局限制速度和限制线程限速脚本+ 限线程脚本(2.9.X)限线程脚本：:for aaa from 2 to 254 do=/ip firewall filter add chain=forward src-address=(192.168.0. . $aaa) protocol=tcp connection-limit=50,32 action=drop限速脚本：:for user from 2 to 254 do=/queue simple add name=(第 . $user . 号机) dst-address=(192.168.0. . $user . /32) max-limit=2048000/1024000说明：aaa是变量2 to 254是2254192.168.0. . $aaa是IP192.168.0. . $user也是IP上两句加起来是54connection-limit=50是线程数这里为50max-limit=2048000/1024000是上行下行使用：WinBox-System-Scripts-Name(脚本名程)Source(脚本)OK-选择要运行的脚本-Run Script查看：限线程：WinBox-IP-Firewall-Filter Rules(看是否已经填加进来)限速：WinBox-Queues-Simple Queues(看是否已经填加进来)设定dhcp服务器。ip/dhcp server /setup/,在dhcp interface中选择Lan，next，dhcp server space中输入/24，next,整个局域网的网关是54所以在gateway for dhcp network中输入54，然后next，一路next就行了。除此之外，你可能希望某台计算机一直获取某个固定的ip地址，你可以这样设定：ip/dhcp server/leases/选择+号/，address中输入你想分配给他的ip地址，然后再mac address中输入他的计算机的网卡mac地址，然后apply，接着OK就行了。设定vpn服务器。建立vpn的方式有很多种，可以通过pptp协议也可以通过L2TP等，我们这里依pptp协议举例。Interfaces/在Wan上面右击鼠标，在弹出的菜单中选择add /pptp server/apply/ok。在IP-Pool里添加地址池。我输入的是00-50，名称命名为pptp-pool /apply/ok。在PPP-Profiles中添加规则，在name 中输入pptp-Profile，然后在local address 中选择我们刚才建立的地址池pptp-pool,Remote address中选择pptp-pool。然后在压缩、加密等3个选择yes，最后一个选择defaule。在PPP-Secrets中添加拨号用户，在name中输入你设定的登陆pptp的用户名。我设定为：pptp-test，密码也设定为pptp-test，service选择pptp，profile选择我们刚才建立的pptp-Profile。（注意，若我们在pptp-Profile文件中没有设定Remote address，则这里一定要设定一个地址，具体什么地址你随便输入一个就行了，否则window登陆的时候会出问题。）然后ppp/interfaces/pptp server/,在enabled前面打上钩，在pap和chap等4个选项全打上钩。Apply/ok就行了。若要添加更过的用户，请重复在PPPSecrets中的步骤，添加更多的用户。Vpn服务器建立之后，你可以用Windows XP建立一个到Wan口的公网地址的VPN连接（注意是公网地址哇，别搞错了），然后测试是否成功，呵呵！建立PPPOE服务器。在局域网建立PPPOE服务器可以彻底根绝ARP流窜，呵呵，大致步骤和建立vpn服务器差不多。但是要注意我们是建立在Lan口上的。Interfaces/在Lan上面右击鼠标，在弹出的菜单中选择add /pppoe server/apply/ok。在IP-Pool里添加地址池。我输入的是51-00，名称命名为pppoe-pool /apply/ok。在PPP-Profiles中添加规则，在name 中输入pppoe-Profile，然后在local address 中选择我们刚才建立的地址池pppoe-pool,Remote address中选择pppoe-pool。然后在压缩、加密等3个选择yes，最后一个选择defaule。在PPP-Secrets中添加拨号用户，在name中输入你设定的登陆pppoe的用户名。我设定为：pppoe-test，密码也设定为pppoe-test，service选择pppoe，profile选择我们刚才建立的pppoe-Profile。（注意，若我们在pppoe-Profile文件中没有设定Remote address，则这里一定要设定一个地址，具体什么地址你随便输入一个就行了，否则window登陆的时候会出问题。）然后ppp/interfaces/pppoe server/按+号，在pap和chap等4个选项全打上钩。Apply/ok就行了。若要添加更过的用户，请重复在PPPSecrets中的步骤，添加更多的用户。PPPOE服务器建立之后，你可以用Windows XP建立一个PPPOE拨号连接测试是否成功hosspot设置Hosspot是一个很有用的功能，可以控制网络中的计算机对网络的访问，其实现的功能和PPPOE类似。当局域网中设置了Hosspot服务之后，若客户计算机通过浏览器访问网页时，首先会弹出一个认证页面（类似于国内好像叫作“城市热点”公司的产品提供的局域网认证管理功能），要求输入用户名和密码，只有通过认证的客户才能访问互联网，即便你的计算机设置了DHCP服务并从DHCP服务器获取网关的地址也不行，呵呵！我觉得这方面比PPPOE更好（但是PPPOE可以防止Mac地址欺骗）。好了，下面我们开始设置我们的Hosspot服务了。首先我们要更改www服务的端口。过程如下：从WinBox中，依次点击：IP/Services,然后双击WWW，在弹出的窗口的Port处中输入一个端口号码，我这里输入8080。然后apply /OK。然后，在Lan口增加hotspot服务，过程如下：从winbox中，依次点击：IP/hotspot，点击servers中的setup按钮，在hotspot Interfaces中选择Lan，Next，Local address of network 中不要使用默认的IP54/24，而要设置为其他的与你的真实的局域网的地址不同的IP段，比如我设置为/24，否则远程客户通过VPN连接以及PPPOE客户端通过Lan连接的时候会出问题 ，NEXT，address pool of network中输入通过hotspot认证后的客户的IP地址的地址段（我采用了默认的IP段-54）,NETX，在 sele certificate中不作选择（这是认证的方式，为简单起见，我选择了None）,在Ip address of smtp server中不输入，next，dns server中输入dns服务器的地址，netx， dns name中随便输入，然后在create local hotspot user（建立本地hotspot用户）中，输入你要登陆的用户名和密码），next，OK。什么，这时候winbox提示网络连接断开？呵呵，不要着急，这代表我们的hotspot服务已经建立并开始运行了。客户机输入任何网址，都自动跳转到登陆页面，输入账号密码，继续浏览。如果使用ftp、pop3等，也必须先通过网页登录，才可以使用，当然使用winbox的时候也必须先登录。我们现在在地址栏中输入一个网址，在弹出的登陆页面中输入我们刚才的用户名和密码吧。出现欢迎界面之后（这时候不要在网页中点击log off），你就可以再一次启动winbox了。若你要增加更多的hotspot服务的用户，请在winbox中依次点击ip/hotspot/user/按“+”号，增加用户并输入密码！下面是防火墙部分/ ip firewall filter add chain=input connection-state=invalid action=drop comment=丢弃非法连接数据 disabled=no add chain=input protocol=tcp dst-port=80 connection-limit=20,0 action=drop comment=限制总http连接数为20 disabled=no add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=探测并丢弃端口扫描连接 disabled=no add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit comment=压制DoS攻击 disabled=no add chain=input protocol=tcp connection-limit=10,32 action=add-src-to-address-list address-list=black_list address-list-timeout=1d comment=探测DoS攻击 disabled=no add chain=input dst-address-type=!local action=drop comment=丢弃掉非本地数据 disabled=no add chain=input protocol=icmp action=jump jump-target=ICMP comment=跳转到ICMP链表 disabled=no add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept comment=Ping应答限制为每秒5个包 disabled=no add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept comment=Traceroute限制为每秒5个包 disabled=no add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment=MTU线路探测限制为每秒5个包 disabled=no add chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment=Ping请求限制为每秒5个包 disabled=no add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment=Trace TTL限制为每秒5个包 disabled=no add chain=ICMP protocol=icmp action=drop comment=丢弃掉任何ICMP数据 disabled=no add chain=forward connection-state=invalid action=drop comment=丢弃非法数据包 disabled=no add chain=forward protocol=tcp connection-limit=80,32 action=drop comment=限制每个主机TCP连接数为80条 disabled=no add chain=forward src-address-type=!unicast action=drop comment=丢弃掉所有非单播数据 disabled=no add chain=forward content=.exe action=drop comment=禁止.exe文件通过 disabled=yes add chain=forward content=.dll action=drop comment=禁止.dll文件通过 disabled=yes add chain=forward protocol=icmp action=jump jump-target=ICMP comment=跳转到ICMP链表 disabled=no add chain=forward action=jump jump-target=virus comment=跳转到病毒链表 disabled=no add chain=virus protocol=tcp dst-port=41 action=drop comment=DeepThroat.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=82 action=drop comment=Worm.NetSky.Ymm disabled=no add chain=virus protocol=tcp dst-port=113 action=drop comment=W32.Korgo.A/B/C/D/E/F-1 disabled=no add chain=virus protocol=tcp dst-port=2041 action=drop comment=W33.Korgo.A/B/C/D/E/F-2 disabled=no add chain=virus protocol=tcp dst-port=3150 action=drop comment=DeepThroat.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=3067 action=drop comment=W32.Korgo.A/B/C/D/E/F-3 disabled=no add chain=virus protocol=tcp dst-port=3422 action=drop comment=Backdoor.IRC.Aladdinz.R-1 disabled=no add chain=virus protocol=tcp dst-port=6667 action=drop comment=W32.Korgo.A/B/C/D/E/F-4 disabled=no add chain=virus protocol=tcp dst-port=6789 action=drop comment=Worm.NetSky.S/T/Umm disabled=no add chain=virus protocol=tcp dst-port=8787 action=drop comment=Back.Orifice.2000.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=8879 action=drop comment=Back.Orifice.2000.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=8967 action=drop comment=W32.Dabber.A/B-2 disabled=no add chain=virus protocol=tcp dst-port=9999 action=drop comment=W32.Dabber.A/B-3 disabled=no add chain=virus protocol=tcp dst-port=20034 action=drop comment=Block.NetBus.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=21554 action=drop comment=GirlFriend.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=31666 action=drop comment=Back.Orifice.2000.Trojan-3 disabled=no add chain=virus protocol=tcp dst-port=43958 action=drop comment=Backdoor.IRC.Aladdinz.R-2 disabled=no add chain=virus protocol=tcp dst-port=999 action=drop comment=DeepThroat.Trojan-3 disabled=no add chain=virus protocol=tcp dst-port=6670 action=drop comment=DeepThroat.Trojan-4 disabled=no add chain=virus protocol=tcp dst-port=6771 action=drop comment=DeepThroat.Trojan-5 disabled=no add chain=virus protocol=tcp dst-port=60000 action=drop comment=DeepThroat.Trojan-6 disabled=no add chain=virus protocol=tcp dst-port=2140 action=drop comment=DeepThroat.Trojan-7 disabled=no add chain=virus protocol=tcp dst-port=10067 action=drop comment=Portal.of.Doom.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=10167 action=drop comment=Portal.of.Doom.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=3700 action=drop comment=Portal.of.Doom.Trojan-3 disabled=no add chain=virus protocol=tcp dst-port=9872-9875 action=drop comment=Portal.of.Doom.Trojan-4 disabled=no add chain=virus protocol=tcp dst-port=6883 action=drop comment=Delta.Source.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=26274 action=drop comment=Delta.Source.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=4444 action=drop comment=Delta.Source.Trojan-3 disabled=no add chain=virus protocol=tcp dst-port=47262 action=drop comment=Delta.Source.Trojan-4 disabled=no add chain=virus protocol=tcp dst-port=3791 action=drop comment=Eclypse.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=3801 action=drop comment=Eclypse.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=65390 action=drop comment=Eclypse.Trojan-3 disabled=no add chain=virus protocol=tcp dst-port=5880-5882 action=drop comment=Y3K.RAT.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=5888-5889 action=drop comment=Y3K.RAT.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=30100-30103 action=drop comment=NetSphere.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=30133 action=drop comment=NetSphere.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=7300-7301 action=drop comment=NetMonitor.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=7306-7308 action=drop comment=NetMonitor.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=79 action=drop comment=FireHotcker.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=5031 action=drop comment=FireHotcker.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=5321 action=drop comment=FireHotcker.Trojan-3 disabled=no add chain=virus protocol=tcp dst-port=6400 action=drop comment=TheThing.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=7777 action=drop comment=TheThing.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=1047 action=drop comment=GateCrasher.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=6969-6970 action=drop comment=GateCrasher.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=2774 action=drop comment=SubSeven-1 disabled=no add chain=virus protocol=tcp dst-port=27374 action=drop comment=SubSeven-2 disabled=no add chain=virus protocol=tcp dst-port=1243 action=drop comment=SubSeven-3 disabled=no add chain=virus protocol=tcp dst-port=1234 action=drop comment=SubSeven-4 disabled=no add chain=virus protocol=tcp dst-port=6711-6713 action=drop comment=SubSeven-5 disabled=no add chain=virus protocol=tcp dst-port=16959 action=drop comment=SubSeven-7 disabled=no add chain=virus protocol=tcp dst-port=25685-25686 action=drop comment=Moonpie.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=25982 action=drop comment=Moonpie.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=31337-31339 action=drop comment=NetSpy.Trojan-3 disabled=no add chain=virus protocol=tcp dst-port=8102 action=drop comment=Trojan disabled=no add chain=virus protocol=tcp dst-port=8011 action=drop comment=WAY.Trojan disabled=no add chain=virus protocol=tcp dst-port=7626 action=drop comment=Trojan.BingHe disabled=no add chain=virus protocol=tcp dst-port=19191 action=drop comment=Trojan.NianSeHoYian disabled=no add chain=virus protocol=tcp dst-port=23444-23445 action=drop comment=NetBull.Trojan disabled=no add chain=virus protocol=tcp dst-port=2583 action=drop comment=WinCrash.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=3024 action=drop comment=WinCrash.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=4092 action=drop comment=WinCrash.Trojan-3 disabled=no add chain=virus protocol=tcp dst-port=5714 action=drop comment=WinCrash.Trojan-4 disabled=no add chain=virus protocol=tcp dst-port=1010-1012 action=drop comment=Doly1.0/1.35/1.5trojan-1 disabled=no add chain=virus protocol=tcp dst-port=1015 action=drop comment=Doly1.0/1.35/1.5trojan-2 disabled=no add chain=virus protocol=tcp dst-port=2004-2005 action=drop comment=TransScout.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=9878 action=drop comment=TransScout.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=2773 action=drop comment=Backdoor.YAI.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=7215 action=drop comment=Backdoor.YAI.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=54283 action=drop comment=Backdoor.YAI.Trojan-3 disabled=no add chain=virus protocol=tcp dst-port=1003 action=drop comment=BackDoorTrojan-1 disabled=no add chain=virus protocol=tcp dst-port=5598 action=drop comment=BackDoorTrojan-2 disabled=no add chain=virus protocol=tcp dst-port=5698 action=drop comment=BackDoorTrojan-3 disabled=no add chain=virus protocol=tcp dst-port=31554 action=drop comment=SchainwindlerTrojan-2 disabled=no add chain=virus protocol=tcp dst-port=18753 action=drop comment=Shaft.DDoS.Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=20432 action=drop comment=Shaft.DDoS.Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=65000 action=drop comment=Devil.DDoS.Trojan disabled=no add chain=virus protocol=tcp dst-port=11831 action=drop comment=LatinusTrojan-1 disabled=no add chain=virus protocol=tcp dst-port=29559 action=drop comment=LatinusTrojan-2 disabled=no add chain=virus protocol=tcp dst-port=1784 action=drop comment=Snid.X2Trojan-1 disabled=no add chain=virus protocol=tcp dst-port=3586 action=drop comment=Snid.X2Trojan-2 disabled=no add chain=virus protocol=tcp dst-port=7609 action=drop comment=Snid.X2Trojan-3 disabled=no add chain=virus protocol=tcp dst-port=12348-12349 action=drop comment=BionetTrojan-1 disabled=no add chain=virus protocol=tcp dst-port=12478 action=drop comment=BionetTrojan-2 disabled=no add chain=virus protocol=tcp dst-port=57922 action=drop comment=BionetTrojan-3 disabled=no add chain=virus