ROS 路由器的一些解释
routeros防火墙功能非常灵活。routeros防火墙属于包过滤防火墙,你可以定义一系列的规则过滤掉发往routeros、从routeros发出、通过routeros转发的数据包。在routeros防火墙中定义了三个防火墙(过滤)链(即input、forward、output),你可以在这三个链当中定义你自己的规则。
input意思是指发往routeros自己的数据(也就是目的ip是routeros接口中的一个ip地址);
output意思是指从routeros发出去的数据(也就是数据包源ip是routeros接口中的一个ip地址);
forward意思是指通过routeros转发的(比如你内部计算机访问外部网络,数据需要通过你的routeros进行转发出去)。
禁止ping routeros,我们一般需要在input链中添加规则,因为数据包是发给routeros的,数据包的目标ip是routeros 的一个接口ip地址。(当然如果你硬是要在output里建立一条规则过滤掉icmp信息也能做到ping不通,当你ping的数据包到达routeos时,routeos能接收这个数据包并做出回应,当routeros回应给你的包要发出去的时候会检查output的规则并过滤掉回应你的包。)
在每条链中的每条规则都有目标ip,源ip,进入的接口(in interface),非常灵活的去建立规则。比如ROS禁止PING,禁止外网ping你routeros,只需要在in interface中选择你连外部网络的接口。禁止内部ping的话可以选择连你内部网络的接口。如果禁止所有的ping的话,那么接口选择all。当然禁止ping 协议要选择icmp,action选择drop或reject。
另外要注意的就是,icmp协议并不是就指的是ping,而是 ping是使用icmp协议中的一种(我们ping 出去发送的数据包icmp协议的类型为8 代码为0,在routeros中写为icmp-options=8:0;而我们对ping做出回应icmp类型为0 代码为0),还有很多东西也属于icmp协议。打个比方,如果你禁止内部网络ping所有外部网络,可以在forward链中建立一条规则,协议为icmp,action为drop,其他默认,那么你内部网络ping不通外部任何地址,同时如果你用trancroute命令跟踪路由也跟踪不了。在做规则是要注意每一个细节。
还有就是,input,output,forward三条链在routeros中默认都是允许所有的数据。也就是除非你在规则中明确禁止,否则允许。可以通过ip firewall set input policy=drop等进行修改默认策略
ros防火墙名词解释
input - 进入路由,并且需要对其处理
forward - 路由转发
output - 经过路由处理,并且从接口出去的包
action:
1 accept:接受
add-dst-to-address-list - 把一个目标IP地址加入address-list
add-src-to-address-list - 把一个源IP地址加入address-list
2 drop - 丢弃
3 jump - 跳转,可以跳转到一个规则主题里面,如input forward,也可以跳转到某一条里面
4 log - 日志记录
5 passthrough - 忽略此条规则
6 reject - 丢弃这个包,并且发送一个ICMP回应消息
7 return - 把控制返回给jump的所在
8 tarpit - 捕获和扣留进来的TCP连接 (用SYN/ACK回应进来的TCP SYN 包)
address-list (name) - 把从action=add-dst-to-address-list or action=add-src-to-address-list actions得到的IP地址放入address-list列表. 这个列表要用来对比address-list-timeout 看是什么时候用address-list parameter从address list 中移走
chain (forward | input | output | name) - 使用chain得到特定列表,不同的数据流经过不同的chain规则
要仔细的选对正确的访问控制. 如果 input 不是非常的确定和一个新的规则需要添加注释,
0的意思是无限的,例如 connection-bytes=2000000-0 意思是2MB以上
connection-limit (integer | netmask) - 地址的传输流量控制
connection-mark (name) - 传输中的标记后的数据包
connection-state (estabilished | invalid | new | related) - 连接的状态(连接中,不规则的连接,新的连接,相互联系的连接)
connection-type 连接的类型(ftp | gre | h323 | irc | mms | pptp | quake3 | tftp)
content 包的内容
dst-address (IP address | netmask | IP address | IP address) - 目标地址
dst-address-list (name) - 目标地址表
dst-address-type (unicast | local | broadcast | multicast) - 目标地址类型
unicast -点对点
local - 本地地址
broadcast - 广播
multicast - 多播
dst-limit (integer | time | integer | dst-address | dst-port | src-address | time) - 目标限制
Count - 每秒最大的包数量
by Time option
Time - 时间
Burst - 突发的
Mode -等级优先
Expire - 终止
dst-port 目标端口
hotspot 暂时不做学习
icmp-options (integer | integer) - ICMP 选择
in-interface (name) - 进入接口
ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing |no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp)
any - match packet with at least one of the ipv4 options
loose-source-routing - match packets with loose source routing option. This option is used toroute the internet datagram based on information supplied by the source
no-record-route - match packets with no record route option. This option is used to route the
internet datagram based on information supplied by the source
no-router-alert - match packets with no router alter option
no-source-routing - match packets with no source routing option
no-timestamp - match packets with no timestamp option
record-route - match packets with record route option
router-alert - match packets with router alter option
strict-source-routing - match packets with strict source routing option
timestamp - match packets with timestamp
jump-target (forward | input | output | name) -跳转
limit (integer | time | integer) - 限制
Count - 每秒最大的包数量
Time - 突发的总时间
log-prefix (text) - 如果还有定义的字符,加入日志
out-interface (name) - 流出的接口
p2p (all-p2p | bit-torrent | blubster | direct-connect | edonkey | fasttrack | gnutella | soulseek | warez
| winmx) - P2P协议
packet-mark (text) - 给包标记
packet-size (integer: 0..65535 | integer: 0..65535) - 包大小
Min - 最小
Max - 最大
phys-in-interface (name) - 物理上的进入接口
phys-out-interface (name) -物理上的出去接口
protocol (ddp | egp | encap | ggp | gre | hmp | icmp | idrp-cmtp | igmp | ipencap | ipip | ipsec-ah |ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-idp | xtp | integer) -协议
psd (integer | time | integer | integer) - 防止对ROS的端口扫描
random (integer: 1..99) - matches packets randomly with given propability
reject-with (icmp-admin-prohibited | icmp-echo-reply | icmp-host-prohibited |
icmp-host-unreachable | icmp-net-prohibited | icmp-network-unreachable | icmp-port-unreachable |icmp-protocol-unreachable | tcp-reset | integer) - 改变reject的回答方式
routing-mark (name) - 路由标记
src-address (IP address | netmask | IP address | IP address) -源地址
src-address-list (name) -源地址列表
src-address-type (unicast | local | broadcast | multicast) - 源地址类型
src-mac-address (MAC address) - 源MAC地址
src-port (integer: 0..65535 | integer: 0..65535) - 源端口
tcp-flags (ack | cwr | ece | fin | psh | rst | syn | urg) -TCP 标志类型
ack - acknowledging data
cwr - congestion window reduced
ece - ECN-echo flag (explicit congestion notification)
fin - close connection
psh - push function
rst - drop connection
syn - new connection
urg - urgent data
tcp-mss (integer: 0..65535) - TCP MSS
time (time | time | sat | fri | thu | wed | tue | mon | sun) - allows to create filter based on the packets'
arrival time and date or, for locally generated packets, departure time and date
tos (max-reliability | max-throughput | min-cost | min-delay | normal) - specifies a match for the
value of Type of Service (ToS) field of an IP header
max-reliability - maximize reliability (ToS=4)
max-throughput - maximize throughput (ToS=8)
min-cost - minimize monetary cost (ToS=2)
min-delay - minimize delay (ToS=16)
normal - normal service (ToS=0)
:foreachi in=[/system logging facility find local=memory ] do=[/system logging facility set $i local=none]
RO防syn
ip-firewall-connections
Tracking:TCPSyn Sent Timeout:50
TCP syn received timeout:30
限线程脚本:
:for aaa from 2 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $aaa) protocol=tcp connection-limit=50,32 action=drop}
RO端口的屏蔽
ip-firewall-Filer Rules里面选择
forward的意思代表包的转发
firewall rule-General
Dst.Address:要屏蔽的端口
Protocol:tcp
Action:drop(丢弃)
ros限速
手动限速
winbox---queues----simple queues
点“+”,NAME里随便填,下面是IP地址的确定
①Target Address 不管,Dst. Address里填你要限制的内网机器的IP,比如我这里有个 1号机器 IP为 192.168.1.101,那dst.address里就填 192.168.1.101 然后是/32(这里的32不是指掩码了,个人理解为指定的意思)!
②interface里记着要选你连接外网那个卡,我这里分了“local和public”,所以选public
③其他的不管,我们来看最重要的东西拉,Max limit ,这个东西是你限制的上限,注意的是这里的数值是比特位,比如我要限制下载的速度为 500K 那么就填入多少呢? 500 X 1000 X 8=400 0000=4M。
④另外,很多朋友都有个疑问,到底一般的用户会有多大流量呢?一般的网络游戏,如梦幻西游传奇封神榜等等,其下行在
20Kbps以内!最耗网络资源的就是下载-----我们就是为了限制它拉,其次是VOD点播,一般DVD格式的大约要 2M多吧,所以你看情况限制拉别搞的太绝!!!
限速脚本:
:for aaa from 2 to 254 do={/queue simple add name=(queue . $aaa) dst-address=(192.168.0. . $aaa) limit-
at=0/0 max-limit=2000000/2000000} 说明:
aaa是变量
2 to 254是2~254
192.168.0. . $aaa是IP
上两句加起来是192.168.0.2~192.168.0.254
connection-limit=50是线程数这里为50
max-limit=2000000/2000000是上行/下行
使用:
WinBox-System-Scripts-+
Name(脚本名程)
Source(脚本)
OK-选择要运行的脚本-Run Script
ROS限速的极致应用
一般我们用ros限速只是使用了max-limit,其实ros限速可以更好的运用。比如我们希望客户打开网页时速度可以快一些,下载时速度可以慢一些。ros2.9就可以实现。
max-limit------我们最常用的地方,最大速度
burst-limit--------突破速度的最大值
burst-thershold--------突破速度的阀值
burst-time-------突破速度的时间值
解释一下图片的限制意义
当客户机在30秒(burst-time)内的平均值小于突破速度阀值(burst-thershold)180K时,客户机的最大下载速率可以超过最大限速值(max-limit)200K,达到突破最大值(burst-limit)400K,如果30秒内平均值大于180K,那客户机的最大速度只能达到200K。
这样也就是当我们开网页时可以得到一个更大的速度400K,长时间下载时速度只能得到200K,使我们的带宽可以更有效的利用
动态限速
ROS动态限速(检测外网总速度进行限速开关)废话不说先看脚本原理:
以下操作全部在WINBOX界面里完成
介绍:可以实现在总速度不超过9M的情况下自动关闭所有生成的限速规则在总速度超过18M的时候自动启动所有生成的限速规则。
说明:在输入脚本内容时不要把两边的()带上,那个是为了区分非脚本字符。
总速度=你的外网网卡当前速度。
打开 /system/scripts
脚本:
:for aaa from 1 to 254 do={/queue simple add name=(ip_ . $aaa) dst-address=(192.168.0. . $aaa)
interface=wan max-limit=256000/800000 burst-limit=1000000/3000000 burst-threshold=128000/512000 burst-time=30s/1m }
上面是生成限速树,对网段内所有IP的限速列表!
下面进入正题:
脚本名:node_on
脚本内容:(:for aaa from 1 to 254 do={/queue sim en [find name=(ip_ . $aaa)]})
脚本名:node_off
脚本内容:(:for aaa from 1 to 254 do={/queue sim dis [find name=(ip_ . $aaa)]})
scripts(脚本部分)以完成
打开 /tools/traffic monitor
新建:
新建:
名:node_9M traffic=received trigger=below on event=node_off threshold:9000000 在输入脚本内容时不要把两边的()带上,那个是为了区分非脚本字符。
RO映射
ip-firewall-Destination NAT
General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可)
Dst. Address:外网IP/32
Dst. Port:要映射的端口
Protocol:tcp(如果映射反恐的就用udp)
Action action:nat
TO Dst.Addresses:你的内网IP
TO Dst.Ports:要映射的端口
ip伪装
ip-firewall-Source NAT
Action Action:masquerade(IP伪装)
回流(因为假如说在本网吧做SF需要回流)
ip-firewall-Source NAT
在general-Src.address: 192.168.0.0/24 这里特殊说明下内网ip段 24代表定值不可修改
RO的IP:mac绑定
绑定:foreachi in=[/iparp find dynamic=yes ] do=[/iparp add copy-from=$i]
解除绑定:foreachi in=[/iparp find ] do=[/iparp remove $i]
完了在interfaces里面选择内网在选择reply-only
RO设置的备份(两总方法)
files-file list
backup即可(可以到你的ftp里面找)
背份资料命令行:system回车
backup回车
save name=设置文件名回车
资料恢复命令
system回车
backup回车
load name=文件名回车
RO禁ping
/ ip firewall rule input add protocol=icmp action=drop comment="Drop excess pings" disabled=no 解ping
ip-firewall-filter rules
input:将其屏蔽或者删掉
关于mac地址扫描
/tool mac-scan all
VPN与ppp建立用户
在interfaces--settings-pptp server
Enabled选择 mtu1500 mru:1500
keepalive Timeout:disabled
default Profiles: default
Authentication:下面打上四个对号(这也代表服务器启动)
ip-pool-ip pool
pptp=192.168.0.150-192.168.0.160(此IP段为内网中没有在用的段)
pptp1=192.168.0.170-192.168.0.180(此IP段为内网中没有在用的段)
自己总结出来的,有人问,为什么要写2个ip段一个不也行吗。。。
这也是我自己的心得,我想看到这个资料的人也不是一般人。呵呵
因为在vpn连接的时候我们要给他分配一个远程的主机ip做为网关。
在本配一个本地的做为ip。所以选择了2个,往下看在
ppp-Secrets
new ppp secret
service:pptp
routes:可以添加网关(一般VPN都是默认录找网关可添可不添)
Profiles:
Local Address:在这里我添加的是pptp
Remote Address:在这里我添加的是pptp1
dns,建议最好填写:
下面有两个 use Encryption Require Encryption 代表加密
Limits:
Tx bit Rate)用来限速的最大值
Rx bit Rate)用来限速的最小值
这也就表明了,远程给他一个地址,本地给他一个地址,这样可以更好的来识别。
最重要的,就是,基本每次都能拨上来。可能有很多人说我能拨你家电信,为啥不
能拨网通,我来告诉你答案因为isp的关系。在这里我就不详细说明了。。。。
拨好的时候我就不说了,如果有问题在来问我。。。
检查磁盘
在路由或终端模拟下用下面命令:
system
check-disk
检查磁盘,要重启。但是很慢,一分钟一G。。。哈哈
关机
可以在WINBOX中关机,也可以用命令关:
system
sh
即可。。。自我感觉不好使
如果有一些网页打不开,你ISP的MTU=1492,请在IP > Firewall > Mangle >单击红加号> Protocol选择TCP >Tcp Options 选择 sync >
Actions选择 accept >TCP MSS:1448。
ip-firewall -filter fules,选择+号,in interface 选择内网网卡(local),其他默认
这条路由允许来自内网的连接,如果有限制,可以修改src address 的ip段,或者content 内容过滤
ip-》firewall -》filter chains 选中 input ,选择 drop
这条规则禁止所有的外部连接
以上两条规则,屏蔽来自外网的所有连接
一些恶意网站和广告,也可以从这里屏蔽
关于解决不能上百度的问题
把TCP MSS 1448改成1432
记录网卡MAC地址才能限制网卡上网。具体设置如下。
在防火墙里面的filter rules项选择forward然后添加一项设定也就是“+”号,
在advanced项里面的src .mac.address项里面加入网卡的MAC地址,然后在ACTION中选择Drop项。这样子添加后,那块网卡的ip地址无论咋换,都
无法上网。除非它把网卡换了。我就是这样子作出来得,效果不错。
如果改了端口用winbox打不开了的解决方法
用SSH进入
/ipser
/ipser/>set www port 80
/ipser/>set ftp port 21
解决因防火墙屏蔽来自内网的所有连接
进入后输入 /ip f ru o 可打开OUTPUT 输入 //ip f ru in 可打开INPUT
再、输入p 可看结果
按REM O(此0为数字)可删除相应0的规则
你输入/ip f set i p a 可恢复系统默认input改回accept。
或者,使用system 里面的reset 复位路由(会删除所有规则)
[admin@MikroTik] > system reset (系统自动复位清除设置并重新启动)
启用dns缓存
CODE
[admin@MikroTik] ipdns> set allow-remote-requests=yes
[admin@MikroTik] ipdns> ..
user 管理员只能在内网登陆
set 0 address=192.168.0.0/24
将规则另存为*.rsc文件,进入控制台,或者在路由器本机上,输入 import *.rsc
该规则导入完成
基本也就这些了,还有自己知道的,也说不出来的,在有写东西是我自己在网络中找的。。本人都已经测试过了。斩断扫描ROS的黑手
以下是引用片段:
/ip firewall filter add chain=input protocol=tcppsd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="Port scanners to list " disabled=no
/ip firewall filter add chain=input protocol=tcptcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP FIN Stealth scan"
/ip firewall filter add chain=input protocol=tcptcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/FIN scan"
/ip firewall filter add chain=input protocol=tcptcp-flags=syn,rst action=add-src-to-address-list address-
list="port scanners" address-list-timeout=14d comment="SYN/RST scan"
/ip firewall filter add chain=input protocol=tcptcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="FIN/PSH/URG scan"
/ip firewall filter add chain=input protocol=tcptcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="ALL/ALL scan"
/ip firewall filter add chain=input protocol=tcptcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP NULL scan"
/ip firewall filter add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
RouterOS终极提速,彻底解决ROS小包(网络游戏数据包)转发性能差的问题
RouterOS终极提速,彻底解决ROS小包(网络游戏数据包)转发性能差的问题
以下只给有ROS基础的人看,2.9.7以上版本支持,2.9.26上调试通过
ROS终端界面直接输入即可
HTB QOS 流量质量控制
/ ip firewall mangle
add chain=forward p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yes comment="" disabled=no
add chain=forward connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=yes comment="" disabled=no
add chain=forward connection-mark=!p2p_conn action=mark-packet new-packet-mark=general passthrough=yes comment="" disabled=no
add chain=forward packet-size=32-512 action=mark-packet new-packet-mark=small passthrough=yes comment="" disabled=no
add chain=forward packet-size=512-1200 action=mark-packet new-packet-mark=big passthrough=yes comment="" disabled=no
/ queue tree
add name="p2p1" parent=TEL packet-mark=p2p limit-at=2000000 queue=default priority=8 max-
limit=6000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="p2p2" parent=LAN packet-mark=p2p limit-at=2000000 queue=default priority=8 max-
limit=6000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="ClassA" parent=LAN packet-mark="" limit-at=0 queue=default priority=8 max-
limit=100000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="ClassB" parent=ClassA packet-mark="" limit-at=0 queue=default priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="Leaf2" parent=ClassB packet-mark=small limit-at=0 queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="Leaf3" parent=ClassB packet-mark=big limit-at=0 queue=default priority=6 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
1-8级优先级控制,数字越小优先级越高
LAN内网接口
TEL 外网接口
SMALL 小包 32-512字节 5级优先级
BIG 大包 512-1200字节 6级优先级
general 其它包 1200-1500字节 7级优先级
P2P类 8级优先,全局限速 600KB/S下载
Leaf 子类
我这边网吧用的是电信光纤,没有网同,所以机器只装了2个网卡.我是用光盘安装的.
首先看看网卡是否都被识别出来了,命令是:
/interface
可以缩写为
/int
pri
然后我们来激活他们,命令是:
ENABLE 0
ENABLE 1
0是第一块网卡。
激活后没有提示。用print命令查看后发现网卡前面的X变成R,就代表激活成功了。
所以我把网卡给改个名字:
命令:
set 0 name=dianxin
set 1 name=neiwang
然后给他们相应的IP。
先返回顶层目录,用/键就可以了。
然后输入:
IP
ADDRESS
add address 192.168.0.1/24 interface neiwang
add address xxx.xxx.xxx.xxx/24 interface waiwang(这里写ISP给的地址)
这样就设置好了dianxin、neiwang网卡的IP和子网掩码。24代表255.255.255.0
添加完后可以用print命令来查看结果。如果发现某条有错误,用“remove 错误的编号“既可以删除。
我比较喜欢在命令行下面操作,我们来设置外网的网关
[admin@MikroTik] >setup
会出来选项,这里的选项就是安装的时候你所选择的组件,
我们选+ a - configure ip address add geteway
然后选+ g - setup default gateway (这里是设置外网网关
然后根据自己的实际情况来,我的是218.92.5.1
接下来设置DNS了,
[admin@MikroTik] >ip>dns
[admin@MikroTik] >ip>dns>pri
可以察看DNS列表,我们用命令来设置一下
set primary-dns=xxx.xxx.xxx.xxx (首选DNS)
set secondary-dns=xxx.xxx.xxx.xxx (备用的)
可以使用winbox来控制服务器了。
在IE地址栏输入:http://192.168.0.1(根据你配置的IP实际情况)
输入你的IP,用户名、密码,既可登陆。
初始用户名admin,密码空
然后我们设置共享上网
设置NAT共享上网ip--》firewall -source nat,选择+号,选择action,action里面选择 masquerade
好了,现在就可以上网了,然后我改了管理员账号和密码,安全工作要做做好,嘿嘿。
1、备份和恢复设置
我比较喜欢在命令行下面做备份。命令是。
system回车
backup回车
这里可以简化成这样
sy
ba
[admin@MikroTik] system backup>save 备份
[admin@MikroTik] system backup>load 恢复。
2.如果WINBOX进不了,怎么办,我经常遇到。
如果设错了规则或者地址,造成win不能进入管理界面,可以恢复默认。
使用 admin 登陆
system 回车
reset 选择 y
将删除所有改动,恢复新装的状态。
还有就是用MAC登陆工具,
进入后
输入 /ip f ru o 可打开OUTPUT
输入 /ip f ru in 可打开INPUT
输入 /ip f ru f 可打开forward
然后看看哪里错了,用命令remove 1 (数字是错误规则的排序)
手动设置限速
winbox---queues----simple queues
点“+”,NAME里随便填,下面是IP地址的确定
①Target Address 不管,Dst. Address里填你要限制的内网机器的IP,比如我这里有个 1号机器 IP为 192.168.1.101,那dst.address里就填 192.168.1.101 然后是/32(这里的32不是指掩码了,个人理解为指定的意思)!
②interface里记着要选你连接外网那个卡,我这里分了“local和public”,所以选public
③其他的不管,我们来看最重要的东西拉,Max limit ,这个东西是你限制的上限,注意的是这里的数值是比特位,比如我要限制下载的速度为 500K 那么就填入多少呢? 500 X 1000 X 8=400 0000=4M。
Queues-Simple Queues
name:可以任意
Dst. Address:内网IP/32
Max Limit (tx/rx) :最大传输
ROS菜单含义
guanlian
interfaces---网络接口
wireless---无线网络
bridge---桥接
ppp-虚拟拨号
ip
ports--端口
queues-限速
drivers-设备
system
files-文件备份/恢复
log--系统日志
snmp-snmp管理方式
users-用户
radius-radius管理
tools-工具
new terminal-命令方式
telnet--tlenet连接方式
password--修改密码
certificate---证书哎,盗版
madksupout.rif制作rif文件
manual--说明
isdnchanels--一线通方式
routing--路由
exit--退出
ipaddr add addr=192.168.1.1/24 interface=ether1
ipaddr add addr=58.213.126.58/30 interface=ether2
ip route add gateway=58.213.126.57 外网
ip firewall nat add chain=srcnatsrc-address=192.168.1.0/24 action=masquerade 222.190.124.46
218。94。132。50天之骄傲
ipipipiipipipipipipipipipipip
sys reset
__________________________________
addresses--ip地址
routers-路由表
pool-地址池
arp-帮定ip
vrrp-热备份
firewall-防火墙
socks-代理
upnp-自动端口映射
traffic flow-网络流量
accounting--合计
services--服务
packing-ros模块
dns--
proxy-代理
dhcp client-dhcp客户端
dhcp server - dhcp服务
dhcp relay-dhcp转换
hospot-热点认证
telephony-电话
ipsec-ip隧道连接方式
web proxy web代理
system systemsystemsystemsystemsystem --------------------------------------------- identity---ros标示
clock-时间
resources-系统配置
license-注册信息
packages--安装包
auto upgrade-自动升级
logging--日志
history--历史日志
console---com控制台
scripts--脚本
scheduler--进程
watchdog--监视狗
reboot-从起
shutdown-关机
lcd-小液晶显示ros消息
ntpchient--ros时间客户端
ntp server---ros时间服务端自动更新ros时间health---ros情况
ups-ups电源,可持续电源,就是电瓶。汗~ tools toolstoolstoolstoolstools
--------------------------------------
ping
macping探测mac地址
traceroute---Tracert命令
bandwidth test-宽带测试
btest server--btest服务器
traffic monitor--数据报监视器
packet sniffer--数据报扫描
torch--察看客户机信息
mac server mac 服务器
graphing---曲线图
ipsacan--ip扫描
ping speed--ping 速度
flood ping --ping阻塞
netwatch--网络监视
ros 常用命令 关机:system—shutdown 重启:/sy reboot /ip add pri 查看IP配置 /sy backup save name=保存的文件名 /int pri 查看网卡状态 import *.rsc 防火墙导入命令(前提是*.rsc已经放在了ROS的FTP中) /ip firewall export file=*.rsc 备份防火墙 /ip fir con print 用户:lish ps:love /ip address add address 10.0.0.1/24 interface ether1 /ip address add address 10.0.0.1 netmask 255.255.255.0 interface ether1 /set r 恢复路由初始 /sy reboot 重启路由 /sy showdown 关机 /sy ide set name=机器名设置机器名 /export 查看配置 /ip export 查看IP配置 /sy backup 回车 save name=你要设置文件名备份路由 LOAD NAME=你要设置文件名恢复备份 /interface print 查看网卡状态 0 X ether1 ether 1500 这个是网卡没有开启 0 R ether1 ether 1500 这个是正常状态 /int en 0 激活0网卡 /int di 0 禁掉0网卡 /ip fir con print 查看当前所有网络边接 /ip service set www port=81 改变www服务端口为81 /ip hotspot user add name=user1 password=1 增加用户 关于如何绑定MAC和IP 来防止IP冲突 ROS和其他代理服务器一样,有个弱点,如果内网有人把客户机IP改成和网关相同的IP(如 192.168.0.1这样的),那么过了一会,ROS的就失去了代理作用,整个网吧就会吊线。用超级管理员账号登录 ,IP-----ARP,这样可以看到一行行的 IP和MAC地址,这些就是内网有网络活动的计算机。选中一个,双击,选COPY----点OK,依次进行,全部绑定后,来到WINBOX的INTERFACE选项,双击内网网卡,在ARP选项里,选择“replay-only”至此,通过ROS绑定IP完毕,这样下面客户机只要一改IP,那么它就无法和网关进行通讯了,当然也无法使主机吊线了 RO防syn ip-firewall-connections Tracking:TCP Syn Sent Timeout:50 TCP syn received timeout:30 RO端口的屏蔽 ip-firewall-Filer Rules里面选择 forward的意思代表包的转发firewall rule-General Dst.Address:要屏蔽的端口 Protocol:tcp Action:drop(丢弃) RO限速 Queues-Simple Queues name:可以任意 Dst. Address:内网IP/32 Limit At (tx/rx) :最小传输 Max Limit (tx/rx) :最大传输 RO映射 ip-firewall-Destination NAT General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可) Dst. Address:外网IP/32 Dst. Port:要映射的端口 Protocol:tcp(如果映射反恐的就用udp) Action action:nat TO Dst.Addresses:你的内网IP TO Dst.Ports:要映射的端口
正文开始,脚本在下面。 我做完ROS加VLAN ADSL多线PCC叠加设置设置后不久,网站开发小组的项目经理就找到我向我提出了需求,因为现在他们的测试服务器是放在我们办公室内网的,我们公司其它部门和其它分公司和我们办公室不是一个局域网,网站开发小组的项目经理想让我们公司的所有同事都能访问到测试服务器做用户体验度测试,想让我帮助实现,当时我一口答应下来,也觉得这是个很简单的事情,但是事情往往出人意料。 我一开始的思路是这样的,第一步就是在IP->firewall-> nat下面做基于目标的伪装,也就是映射,第二步就是要做回流让内网的客户端也能通过公网IP 访问到服务器,第三步就是做动态映射的计划任务,定时更新第一步里面的目标地址即ADSL的地址,最后一步就要用到DDNS做一个二级域名的动态解析方便同事记忆和输入。做完以后发现需求基本满足,就是内网客户端不能通过域名访问到服务器,只能通过内网IP访问,为了精益求精,继续研究,baidu和google 上搜索了无数方法均无效,后来在一个论坛里面看到一个高人的回复内容给了我启发,于是再一次尝试配置居然成功了。不敢独享,现在将思路和脚本整理分享给更多需要的人。 首先我来分析下出现上述问题的原因,因为我们这里的环境是多线叠加的,我们的每个连接在进行路由之前都会对连接进行标记并路由,不同的标记有可能走不同的路由导致数据没办法顺利到达服务器,其内部数据的具体流向以及转换我也不是很清楚,如有高手路过请不吝赐教。下面进入正题,其实很简单,我们只要在标记里面把目标地址为我们的外网接口地址的数据直接通过就可以解决这个问题了,有几条线就做几个标记,最后要添加计划任务更新标记里的目标地址为对应的外网接口地址,所以加上这最后两步一共是六步,下面就放出每一步的脚本(我的环境是双线叠加的,所以以下脚本都是适合双线的,改成多线的也很容易) 1、做映射,这里以把内网的8890端口映射成9000端口为例。comment内容可以先运行脚本以后在winbox里面改,下同
ROS普通限速+PCQ限速+服务器不限速 一. IP限速 普通限速就这样:我刚刚调整的 :for aPC from 1 to 239 do={/queue simple add name=(A0 . $aPC) dst-address=(192.168.0. . $aPC) interface=all priority=6 max-limit=1600000/720000 burst-limit=2240000/800000 burst-threshold=1024000/240000 burst-time=16s/10s } :for bPC from 1 to 239 do={/queue simple add name=(B0 . $bPC) dst-address=(192.168.1. . $bPC) interface=all priority=8 max-limit=1024000/360000 burst-limit=1280000/480000 burst-threshold=800000/240000 burst-time=10s/8s } 二.PCQ限速 1.PCQ和普通限速是没有冲突的,普通的限速基本上是大于PCQ的限速值,也就是说按10M光纤来说,已经有普通限速的基础上还是要快超过10M的,网速肯定就慢了,这时候马上使用PCQ的限速策略代替普通限速,保证带宽不超过10M。PCQ启用后,带宽降下来后,那么就再使用普通限速,如此循环.那么有的朋友就会说有普通限速了还搞什么PCQ,直接把速度降低点不就OK了。我们做PCQ 主要的目的是使10M的光纤得到充分利用,不浪费宝贵资源。白了就是少人的时候带宽给他多用点,速度快点,高峰期的时候减低点,慢点,但不能离谱。 2.首先要保证你ROS是正常的能NAT,一切正常后我们开始做PCQ 2.1 说明:其他设置值在最后面贴出
ROS 常用命令大全 OUTEROS常用命令 /sy reset 恢复路由原始状态 /sy reboot 重启路由 /sy shutdown 关机 /sy ide set name=机器名设置机器名 /export 查看配置 /ip export 查看IP配置 /sy backup 回车 save name=你要设置文件名备份路由 LOAD NAME=你要设置文件名恢复备份 /interface print 查看网卡状态 0 X ether1 ether 1500 这个是网卡没有开启 0 R ether1 ether 1500 这个是正常状态 /int en 0 激活0网卡 /int di 0 禁掉0网卡 /ip fir con print 查看当前所有网络边接 /ip service set www port=81 改变www服务端口为81 /ip hotspot user add name=user1 password=1 增加用户 ROS基本的设置向导 基本的设置向导 文档版本0.3.0 (Fri Mar 05 07:52:32 GMT 2004) 这个文档只试用于MikroTik RouterOS V2.8
目录 概要 相关的文档 描述 建立MikroTik RouterOS? 描述 注意 记录在MikroTik 路由器 描述 添加软件包 描述 终端控制台导航 描述 注意 基本的配置作业 描述 注意 基本的实例 实例 观察路由 增加缺省的路由 测试网络的连通性 高级的配置作业
Application Example with Masquerading 带宽管理实例 NAT实例 总的说明 概要 MikroTik RouterOS? 是独立于linux操作系统的IA-32 路由器和瘦路由器. 它不要求添加任何额外 的部件又没有软件需求. 它被设计成简单又易于使用的强大的接口允许网路管理员配置网咯结构和功能, 这要求你任何时间 任何地点的学习下面这参考手册. 有关的文档 ?包管理 ? 设备驱动列表 ? 许可证管理 ? Ping ? 服务质量 ? 防火墙过滤 ? Winbox 描述 MikroTik RouterOS?可以把一台过时的表准PC变成一个强大的网络路由器. 仅仅标准的PC网络接口就可以扩充路由器的能力,远程windows(WinBox)应用程序时时控制. ? 专业的质量控制和爆发式的支持 ? 完善的防火墙和P2P 协议过滤, 隧道和IPsec ? STP bridging with filtering capabilities ? 超高速的802.11a/b/g 无线网同WEP
ros2.96秋风破解版安装教程(修正版) 昨天晚上做的教程,因为半夜思路不清晰,做出了一个错误的垃圾教程~首先向下载过教程的朋友道歉~ 这次经过测试给大家重新做个教程~也是刚才到网盟看了一下~贴子还浮在上面~不能对不起大家,所以,不能误导大家,还是乖乖的重新做一个吧~废话少说了~先把需要的软件和部分策略说一下。 ROS2.96秋风破解版下载(网吧电信光纤,大家手下留情!) 网通路由表、防火墙策略、自动切换脚本。(绿字的教程附带,蓝字的请自己下载。) 接下来是说下具体步骤~这样思路会明确一些~ 1。安装ROS系统,并选择所有服务。 硬盘接到IDE1,光驱接到IDE0。BIOS里设置光驱引导系统,我拿虚拟机做演示,顺便虚拟机的使用大家也看下吧! 需要安装的服务,全部选择即可。全选输入A,同意选择输入I,回车,询问你:注意啦,所有数据(功能),都要被安装(选择的), 是否继续,输入Y即可。它又询问,是否保存旧配置,输入N。接下来开始创建分区,格式化硬盘,安装服务。提示软件安装完成, 按回车重起。这里多说一句,虚拟机如果安装完ROS后,会自动从硬盘启动,但是真实的计算 机,就还是在光驱启动,所以这时候大家该把光盘拿出来了,BIOS里改为硬盘启动,ROS就会独立启动了。。 启动后又问了,是否检测硬盘。通常不必检测了,因为耽误时间。默认他自动选N。我们也可以直接输入N的。。他自动选了。呵呵~ 2。登陆ROS,修改网卡名字、填写另外两块网卡的IP信息。 ROS启动好后,在ROS主机上输入账号admin密码为空。回车。 输入命令/int pri 查看系统检测到几块网卡~电信+网通双线切换路由,当然应该是3块网卡,如果少了,请自行检查问题所在! 输入命令/ip address (设置IP命令) 输入命令add address=192.168.0.1/24 interface=ether1 设置路由IP,也就是网关~
Ros 3.30 PCC双线负载均衡脚本脚本如下 /ip address add address=内网网关IP/内网子网掩码interface=内网网卡名称comment="\D1\CC\C9\F1\B6\E0\CF\DF\50\43\43\BD\C5\B1\BE\52\6F\73\BC\BC\ CA\F5\BD\BB\C1\F7\C8\BA\A3\BA\31\30\32\38\37\32\30\35\38" /ip dns set primary-dns=首选DNS secondary-dns=备用DNS allow-remote-requests=yes /interface pppoe-client add name="pppoe-out1" interface=外网网卡1名称 user="PPPoE帐号1" password="密码1" add-default-route=no disabled=no /interface pppoe-client add name="pppoe-out2" interface=外网网卡2名称 user="PPPoE帐号2" password="密码2" add-default-route=no disabled=no /ip firewall mangle add action=change-mss chain=forward comment="\D1\CC\C9\F1\B6\E0\CF\DF\50\43\43\BD\C5\B1\BE\52\6F\73\BC\BC\ CA\F5\BD\BB\C1\F7\C8\BA\A3\BA\31\30\32\38\37\32\30\35\38" disabled=no new-mss=1440 protocol=tcp tcp-flags=syn add action=mark-connection chain=input comment="" disabled=no in-interface=pppoe-out1 new-connection-mark=pppoe-out1_conn passthrough=yes
本适用于ROS 2.9.2.7 保存以下脚本后缀改为rsc,用winbox上传到路由上, 用命令:import 文件名导入。 具体的脚本定义内容,在脚本里已经做了注释,请自行参阅修改。 使用前请进行综合测试,以确保适合本网吧使用。 本站不为盲目操作带来的任何损失负责。 ------------------------------------------------------------------------------------------------------------------ #注意这里的设置中假定外网网卡的名字是wan,如果是大写需要更改。 #关于TCP连接的一些设置,主要是减少连接的存活时间 /ip firewall connection tracking set enabled=yes tcp-syn-sent-timeout=1m tcp-syn-received-timeout=1m \ tcp-established-timeout=1d tcp-fin-wait-timeout=10s \ tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \ tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \ udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m #删除已有的防火墙(如果有的话) :foreach i in=[/ip firewall filter find] do=[/ip firewall filter disable $i] :foreach i in [/ip firewall filter find] do [/ip firewall filter remove $i] #在短时间内从同一地址用不断变化的端口向本机发送大量数据包,视为端口扫描 #短时间内同时建立大量TCP连接(超过10) ,视为DDoS 拒绝服务攻击, 进黑名单一天! #黑名单上的只能建立三个并发连接 #内网的数据包不转发 #禁止从外网ping路由主机,默认关闭 #针对路由主机的,input /ip firewall filter add chain=input connection-state=established action=accept comment="accept established connection packets" disabled=no add chain=input connection-state=related action=accept comment="accept related connection packets" disabled=no add chain=input connection-state=invalid action=drop comment="drop invalid packets"
Ros-bot喂奶教程v1.4 Contents 前言 (1) 新手起步 (2) 血岩碎片赌博的设置 (18) 简易拾取规则 (18) 躲避设置 (20) 挂机安全注意事项 (20) 虚拟机的注意事项 (20) 自定义拾取规则 (23) 自定义战斗策略 (29) 前言 Ros-bot的官方网站是:https://www.doczj.com/doc/d67435573.html, 收费模式是,每个赛季从开始可以挂算起,头一个月付费5欧元,其它时间免费。 免责声明:该教程是爱好者自发编写,目的是为各位挂逼朋友提供一个潜在的挂机途径,本教程作者不与任何利益挂钩,ros-bot提供免费的试用key,不确定自己是否要花钱挂机的朋友, 先不要着急付钱。12赛季国服盛行DB+黑白灰策略挂死疫混刷经验效率破万亿的年代,欧美 的外服盛行用ros-bot挂天谴骑混刷经验效率大概7000亿。在DB停服之后,ros-bot成为了目前唯一公开挂的选项。用惯了DB的玩家,请勿盲目对ros-bot抱有太高期望。 关于封号情况:在过去的几年来,ros-bot一直是欧美服务器的主流挂,DB一直是国服的主流挂。以12赛季的情况来看,欧美服用ros-bot挂机的玩家,赛季上榜靠前的基本都被封号清榜了,赛季悬赏号基本都活下来了,非赛基本没人管,非赛冲榜的和非赛挂公共悬赏的大多都活下来了。目前尚不清楚13赛季暴雪会以什么政策封号,尤其是ros-bot未在国服大规模流行过,不清楚网易会如何行动。 注:这个外挂会占用和控制电脑的鼠标和键盘,一旦开挂,电脑就不能再做别的事情,如果希望挂机的时候电脑还需要做别的事情,就必须使用虚拟机来挂。笔者使用的是VMware Workstation Pro 12,在虚拟机里面安装的64位Windows 7。
发一个能用的ros 智能限速脚本和调试说明 申明:此脚本不是我写的,也是在这里找的,具体是哪位兄弟写的不知道了,帖子也找不到了,在这里要感谢那位兄弟。 以前下回来操作没成功就放弃了,昨天晚上研究了3个小时终于能用了。现在把详细调试说明写下来,我的版本是2.927,其他版本未做测试 --------------脚本开始,请按照下面修改说明,把限制速度修改好后,再一并导入----------or szwm from 1 to 253 do={/queue simple add name=(TX . $szwm) target-addresses=(192.168.1. . $szwm) max-limit=500000/500000 interface=lan disabled=no} / ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=all-mark \ passthrough=yes comment="" disabled=no / queue type add name="PCQ-up" kind=pcq pcq-rate=350000 pcq-limit=50\ pcq-classifier=src-address pcq-total-limit=2000 add name="PCQ-down" kind=pcq pcq-rate=350000 pcq-limit=50\ pcq-classifier=dst-address pcq-total-limit=2000 / queue simple add name="PCQ" target-addresses=192.168.1.254/24 dst-address=0.0.0.0/0\ interface=all parent=none packet-marks=all-mark direction=both priority=1\ queue=PCQ-up/PCQ-down limit-at=0/0 max-limit=10000000/10000000\total-queue=default-small disabled=yes / system script add name="PCQON" source=":if \(\[ /queue sim get \[/queue sim find \ name=\"PCQ\"\] disable \]=true \) do={/queue sim enable PCQ}"\ policy=ftp,reboot,read,write,policy,test,winbox,password add name="PCQOFF" source=":if \(\[ /queue sim get \[/queue sim find \ name=\"PCQ\"\] disable \]=false \) do={/queue sim disable PCQ}"\w w w .N E T M A Y .c o m
NET-“src-nat”和“dst-nat” 其中dst指:destination :目的,目标其中src指:source:来源, 根源 网络地址转换(NAT,Network Address Translation) src-nat是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址, 首先我们说一下snat中几个参数的含义, action,这是说明用的哪种转换方式,通常我们用masqurade, nat这两种,在特殊情况下用accept(主要是内网中有公网地址存在的情况)方法, protocol说明对哪些传输协进行转换(通常有tcp,udp等), out-interface说明通过哪一个网卡进行转换(通常是外网卡outside), to-src-address是将源地址伪装成哪些地址(可以是一个也可以是很多个), to-src-pot是将源端口伪装成哪些端口(可以是一个也可以是很多个), dst-address是指发向哪些主机的数据包要进行伪装(可以一个可以多个), dst-port是指发向哪些端口的数据包进行伪装(可以一个可以多个), src-address是指对哪些源地址进行伪装(可以一个可以多个), src-port是指从哪些源端口发出的数据包进行伪装(可以一个可以多个) 下面的论述中,ACTION(转换方式)都是以NAT为例. 再综合网上其它的相关资料,以我现有的理解,和具体的试验,再作些补充:要做src-nat,除了指明协议\端口\转换成什么地址外,还要谈到是在那块网卡(接口)上做这个“源地址地址转换”。 比如,要让内网的电脑通过ros访问外网,那么就由与公网连接的网卡做snat,在添加src-nat 规则时,general页的out-interface就应选"外网卡",当然,用默认设置"all"也就包含了"外网卡",但这不利于理解src-nat 理解了src-nat ,dst-nat就很好理解了,src-nat是ros将内网电脑发出的数据包的地址中的源地址进行转换然后发往外网,在数据包中,被转换的地址是源地址,所以叫源地址转换.而dst-nat则刚好相反,它是ros将公网发来的数据包的地址中的目的地址进行转换(当然这个目的地址就是ros的公网ip),然后发给内网的电脑,在数据包中,被转换的地址是目的地址,所以叫目的地址转换.
ROS 典型PCC负载脚本 :global num :set num 38 :for szwm from=1to=$num do={ :global type :set type ("both-addresses:". $num . "/". ($szwm-1)) #设置网卡名字 name中的wlan可以改成 #/interface set ("ether" . $szwm) name=("wlan". $szwm) #建立pppoe拨号,并禁用 /interface pppoe-client add name=("pppoe-out". $szwm) user=("user" . $szwm) password=("pass" . $sz wm) \ interface=("wlan".$szwm) comment=("ADSL_". $szwm) disabled=no # NAT伪装 /ip firewall nat add chain=srcnat out-interface=("pppoe-out". $szwm) action=masquerade \ comment=("NAT_ADSL". $szwm) # 标记从哪里来 / ip firewall mangle \ add chain=input in-interface=("pppoe-out". $szwm) action=mark-connection \ new-connection-mark=("adsl" . $szwm ."_conn") passthrough=yes comment=("From_ADSL". $szwm) #标记从哪里来,回哪里去 / ip firewall mangle add chain=output connection-mark=("adsl" . $szwm ."_conn") \ action=mark-routing new-routing-mark=( "to_adsl". $szwm) passthrough=yes comment=("To_ADSL". $szwm) #PCC设置 /ip firewall mangle add chain=prerouting action=mark-connection new-connection-mark=("adsl" . $szwm ."_conn") \ dst-address-type=!local in-interface=Local per-connection-classifier=$type passthrough=yes comment=("ADSL_PCC". $szwm) #标记路由 /ip firewall mangle add chain=prerouting connection-mark=("adsl" . $szwm ."_conn") in-interface=Local action=mark-routing new-routing-mark=( "to_adsl". $szwm) \ comment=("Route_To_ADSL". $szwm) #添加路由 /ip route add dst-address=0.0.0.0/0gateway=("pppoe-out". $szwm) routing-mark=( "to_adsl"
因为下面这个问题,我觉得脚本详细解释也许对大家有用处,决定把以前网络时候找的资料发上来,希望对大家有用处 [apple@sgg-gatewy] > :put (([/ip firewall address-list get 0 address ] & 255.255 .255.0) . \/24) 202.103.24.0/24 这样使用put可以实现把 202.103.24.0 和/24 结合成一个整体 但是怎么样把这个新的值202.103.24.0/24赋给一个变量呢,set不能完成,谁有好的建议或者意见 我准备做的是通过vpn客户端的访问源地址,自动添加/ip route rule里面的数据 现在可以自动把202.103.24.68这样的具体ip自动添加,但是我想根据这个ip然后自动添加一个标准c段 [apple@sgg-gatewy] > :environment print Global Variables Local Variables [apple@sgg-gatewy] > :put (([/ip firewall address-list get 0 address ] & 255.255.255.0) . \/24) 221.232.119.0/24 [apple@sgg-gatewy] > :global testip [apple@sgg-gatewy] > :put $testip [apple@sgg-gatewy] > :set testip 202.103.24.0/24 [apple@sgg-gatewy] > :put $testip 202.103.24.0/24 [apple@sgg-gatewy] > :set testip [:put (([/ip firewall address-list get 0 address ] & 255.255.255.0) . \/24)] 221.232.119.0/24
ROS脚本大全(可通用) 本文总结了一些常用的ROS脚本,希望对大家有帮助! 禁止ip上网脚本: :for aaa from 2 to 254 do={/ip firewall filter chain=forward src-address=(192.168.5. . $aaa) action=drop} 用ROS 做PPPOE 服务器,怎么样让所有的客户机必须通过PPPOE才能上网 例如将lan的ip地址设置为192.168.1.254/31,这样其他机器只能通过pppoe拨号。 1.内网网卡可以不设置ip 2. 只对PPPOE的地址池做NAT 以上两种方法均可 2.ros防止二级路由上网的方法 / ip firewall mangle add chain=forward action=change-ttl new-ttl=set:128 comment="" disabled=no add chain=forward dst-address=190.168.1.0/24 action=change-ttl new-ttl=set:0 \ comment="" disabled=no 这样就可以了 一:限速脚本 :for wbsz from 1 to 254 do={/queue simple add name=(wbsz . $wbsz) dst-address=(192.168.0. . $wbsz) limit-at=1024K/1024K max-limit=1024K/1024K} 二:限制每台机最大线程数 :for wbsz from 1 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $wbsz) protocol=tcp connection-limit=50,32 action=drop} 三:端口映射 ip firewall nat add chain=dstnat dst-address=(202.96.134.134) protocol=tcp dst-port=80 to-addresses=(192.168.0.1) to-ports=80 action=dst-nat 四:封端口号 / ip firewall filter ad ch forward pr tcp dst-po 8000 act drop comment="Blockade QQ" 五:更变telnet服务端口 /ip service set telnet port=23 六:更变SSH管理服务端口 /ip service set ssh port=22 七:更变www服务端口号 /ip service set www port=80 八:更变FTP服务端口号 /ip service set ftp port=21 九:增加本ROS管理用户 /user add name=wbsz password=admin group=full 十:删除限速脚本 :for wbsz from 1 to 254 do={/queue simple remove (wbsz . $wbsz) } 十一:封IP脚步本 / ip firewall filter add chain=forward dst-address=58.60.13.38/32 action=drop comment="Blockade QQ"
ROS 机器人学习小结 ROS 简介 ROS 是一个用于编写软件的灵活框架,它集成了大量的工具、库、协议,提供了类似操作系统提供所提供的功能,包括硬件抽象描述、底层驱动程序管理、共用功能的执行、程序间的消息传递、程序发行包的管理,可以极大的简化繁杂多样的机器人平台下的复杂任务创建与稳定行为控制。 在短短几年里,ROS 得到了广泛的应用,各大机器人平台几乎都支持ROS 框架,如 Pioneer 、Aldebaran Nao 、TurtleBot 、Lego NXT 、Asctec quadrotor 等。同时,开源社区内的ROS 功能包呈指数级增长,涉及的应用邻域包括轮式机器人、人形机器人、工业机器人、农业机器人等。 1.1 ROS 的设计目标。 ROS 的设计目标是提高机器人研发中的软件复用率,所以它被设计成为一种分布式结构,使得框架中的每个功能模块都能被单独设计、编译,并且在运行时以松散耦合的方式结合在一起。而且ROS 中的功能模块都封装于独立的功能包 ( Package ),便于在社区中共享与分发。 1.2ROS 的特点 ROS 核心——分布式网络,使用Tcp/ip 的通信方式,实现模块间点对点的松耦合连接,可以执行若干类型的通信,包括基于话题的( Topic )的异步数据流通信,基于服务 ( service )的同步数据流通信,还有参数服务器上的数据存储等 ( 1) 点对点的设计 在ROS 中,每一个进程都以一个节点的形式运行,可以分布于多个不同的主机。
传送到接收节点。这种点对点的设计可以分散定位、导航等功能带来的实时计 算压力,适应多机器人的协同工作。 (2) 多语言支撑 Python、C++、Java、Octave、LISP 等 (3) 架构精简、集成度高 在已有的机器人应用中,软件的复用性是一个巨大的问题。很多的驱动程序、 应用算法、功能模块在设计时过于混乱,导致其很难在其他机器人或应用中进行移植和二次开发。而ROS框架具有模块化特点使得每个功能节点可以进行 单独编译,并且使用统一的消息接口让模块的移植、复用更加便捷。 (4) 组织化工具包丰富 移动机器人的开发往往需要一些友好的可视化工具和仿真软件,ROS采用组件 的方法将这些工具和软件集成到系统中可以作为一个组件直接使用。例如3D 可视化工具rviz,开发者可以根据ROS定义的接口在其显示机器人3D模型、周围环境地图、机器人导航路线等消息。此外,ROS中还有消息查看工具、物理 仿真环境等组件,提高了机器人开发的效率。 (5) 免费并且开源 ROS遵照的BSD许可给使用者较大的自由,允许其修改和重新发布其中的应
对RouterOS研究很长一段时间了,在湖南工业大学的应用中常常要用到脚本进行“精确”控制,要实现那种功能则必须认真学会她的语言——Script脚本, 终于把她的脚本结构图完全弄出来了: 最重要的部分属IP部分,这里先贴出来: ip ip accounting ip accounting edit ip accounting export file= ip accounting get ip accounting print interval= file= ip accounting set enabled= account-local-traffic= threshold= ip accounting snapshot ip accounting snapshot find src-address= dst-address= packets= bytes= src-user= dst-user= from= ip accounting snapshot get ip accounting snapshot print without-paging count-only append brief value-list terse detail interval= file= from= ip accounting snapshot take ip accounting uncounted ip accounting uncounted print interval= file= ip accounting uncounted get ip accounting web-access ip accounting web-access edit ip accounting web-access get ip accounting web-access print interval= file= ip accounting web-access set accessible-via-web= address= ip accounting web-access export file= ip address ip address add address= network= netmask= broadcast= interface= copy-from= comment= disabled= ip address comment
ROS 网页优先的脚本 / ip firewall mangle add action=add-dst-to-address-list address-list=web80 address-list-timeout=5m \ chain=forward comment=msie content=MSIE disabled=no dst-port=80 protocol=\ tcp add action=add-dst-to-address-list address-list=web80 address-list-timeout=5m \ chain=forward comment=jpg content=.jpg disabled=no dst-port=80 protocol=\ tcp add action=add-dst-to-address-list address-list=web80 address-list-timeout=5m \ chain=forward comment=gif content=.gif disabled=no dst-port=80 protocol=\ tcp add action=add-dst-to-address-list address-list=web80 address-list-timeout=5m \ chain=forward comment=htm content=.htm disabled=no dst-port=80 protocol=\ tcp add action=add-dst-to-address-list address-list=web80 address-list-timeout=5m \ chain=forward comment=html content=.html disabled=no dst-port=80 \ protocol=tcp add action=add-dst-to-address-list address-list=web80 address-list-timeout=5m \ chain=forward comment=asp content=.asp disabled=no dst-port=80 protocol=\ tcp add action=add-dst-to-address-list address-list=web80 address-list-timeout=5m \ chain=forward comment=aspx content=.aspx disabled=no dst-port=80 \ protocol=tcp add action=add-dst-to-address-list address-list=web80 address-list-timeout=5m \ chain=forward comment=php content=.php disabled=no dst-port=80 protocol=\ tcp add action=add-dst-to-address-list address-list=web80 address-list-timeout=5m \ chain=forward comment=swf content=.swf disabled=no dst-port=80 protocol=\
:local max :set max 1500000/80000 :for x from 1 to 9 do={queue simple add name=("A00" . $x) dst-address=("10.10.101.". $x) interface=wan2 disabled=no max-limit= $max } :for x from 10 to 99 do={queue simple add name=("A0" . $x) dst-address=("10.10.101.". $x) interface=wan2 disabled=no max-limit= $max } :for x from 100 to 253 do={queue simple add name=("A" . $x) dst-address=("10.10.101.". $x) interface=wan2 disabled=no max-limit= $max } :for x from 1 to 9 do={queue simple add name=("B00" . $x) dst-address=("10.10.101.". $x) interface=wan2 disabled=no max-limit= $max } :for x from 10 to 99 do={queue simple add name=("B0" . $x) dst-address=("10.10.101.". $x) interface=wan2 disabled=no max-limit= $max } :for x from 100 to 253 do={queue simple add name=("B" . $x) dst-address=("10.10.101.". $x) interface=wan2 disabled=no max-limit= $max } :local speed :local burst :local thre :local time :set speed 1500000/60000 :set burst 2000000/80000 :set thre 1000000/40000 :set time 10/10 :for x from 1 to 9 do={/queue simple set ("A00" . $x) max-limit= $speed burst-time= $time burst-threshold= $thre burst-limit= $burst queue=default-small/default-small} :for x from 10 to 99 do={/queue simple set ("A0" . $x) max-limit= $speed burst-time= $time burst-threshold= $thre burst-limit= $burst queue=default-small/default-small} :for x from 100 to 253 do={/queue simple set ("A" . $x) max-limit= $speed burst-time= $time burst-threshold= $thre burst-limit= $burst queue=default-small/default-small} :for x from 1 to 9 do={/queue simple set ("B00" . $x) max-limit= $speed burst-time= $time burst-threshold= $thre burst-limit= $burst queue=default-small/default-small} :for x from 10 to 99 do={/queue simple set ("B0" . $x) max-limit= $speed burst-time= $time burst-threshold= $thre burst-limit= $burst queue=default-small/default-small} :for x from 100 to 253 do={/queue simple set ("B" . $x) max-limit= $speed burst-time= $time burst-threshold= $thre burst-limit= $burst queue=default-small/default-small}