ros做端口映射

格式：doc
大小：1.48 MB
文档页数：42

下载文档原格式

ROS脚本大全(通用)

ROS脚本大全(通用)ROS脚本大全(通用)一：限速脚本:for wbsz from 1 to 254 do={/queue simple add name=(wbsz . $wbsz) dst-address=(192.168.0. . $wbsz) limit-at=1024K/1024K max-limit=1024K/1024K}二：限制每台机最大线程数:for wbsz from 1 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $wbsz) protocol=tcp connection-limit=50,32 action=drop}三：端口映射ip firewall nat add chain=dstnat dst-address=(202.96.134.134) protocol=tcp dst-port=80 to-addresses=(192.168.0.1) to-ports=80 action=dst-nat四：封端口号/ ip firewall filterad ch forward pr tcp dst-po 8000 act drop comment="Blockade QQ"五：更变telnet服务端口/ip service set telnet port=23六：更变SSH管理服务端口/ip service set ssh port=22七：更变www服务端口号/ip service set www port=80八：更变FTP服务端口号/ip service set ftp port=21九：增加本ROS管理用户/user add name=wbsz password=admin group=full十：删除限速脚本:for wbsz from 1 to 254 do={/queue simple remove (wbsz . $wbsz) }十一：封IP脚步本/ ip firewall filteradd chain=forward dst-address=58.60.13.38/32 action=drop comment="Blockade QQ"十二：禁P2P脚本/ ip firewall filteradd chain=forward src-address=192.168.0.0/24 p2p=all-p2p action=drop comment="No P2P"十三：限制每台机最大的TCP线程数(线程数=60)/ ip firewall filteradd chain=forward protocol=tcp connection-limit=60,32 action=drop \ disabled=no十四：一次性绑定所有在线机器MAC:foreach wbsz in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$wbsz]十五：解除所以绑定的MAC:foreach wbsz in [/ip arp find] do={/ip arp remove $wbsz}十六：禁Ping/ ip firewall filteradd chain=output protocol=icmp action=drop comment="No Ping"十七：禁电驴/ ip firewall filteradd chain=forward protocol=tcp dst-port=4661-4662 action=drop comment="No Emule"add chain=forward protocol=tcp dst-port=4242 action=dropadd chain=forward dst-address=62.241.53.15 action=drop十八：禁PPLIVE/ ip firewall filteradd chain=forward protocol=tcp dst-port=8008 action=drop comment="No PPlive TV"add chain=forward protocol=udp dst-port=4004 action=dropadd chain=forward dst-address=218.108.237.11 action=drop十九：禁QQ直播/ ip firewall filteradd chain=forward protocol=udp dst-port=13000-14000 action=drop comment="No QQLive"二十：禁比特精灵/ ip firewall filteradd chain=forward protocol=tcp dst-port=16881 action=drop comment="No BitSpirit"二十一：禁QQ聊天(一般公司才需要)/ ip firewall filteradd chain=forward src-address=10.5.6.7/32 action=accept comment="No Tencent QQ"ad ch forward pr tcp dst-po 8000 act dropad ch forward pr udp dst-po 8000 act dropad ch forward pr udp dst-po 8000 act dropadd chain=forward dst-address=61.144.238.0/24 action=dropadd chain=forward dst-address=61.152.100.0/24 action=dropadd chain=forward dst-address=61.141.194.0/24 action=dropadd chain=forward dst-address=202.96.170.163/32 action=dropadd chain=forward dst-address=202.104.129.0/24 action=dropadd chain=forward dst-address=202.104.193.20/32 action=dropadd chain=forward dst-address=202.104.193.11/32 action=dropadd chain=forward dst-address=202.104.193.12/32 action=dropadd chain=forward dst-address=218.17.209.23/32 action=dropadd chain=forward dst-address=218.18.95.153/32 action=dropadd chain=forward dst-address=218.18.95.165/32 action=dropadd chain=forward dst-address=218.18.95.220/32 action=dropadd chain=forward dst-address=218.85.138.70/32 action=dropadd chain=forward dst-address=219.133.38.0/24 action=dropadd chain=forward dst-address=219.133.49.0/24 action=dropadd chain=forward dst-address=220.133.40.0/24 action=dropadd chain=forward content=sz.tencent action=rejectadd chain=forward content=sz2.tencent action=rejectadd chain=forward content=sz3.tencent action=rejectadd chain=forward content=sz4.tencent action=rejectadd chain=forward content=sz5.tencent action=rejectadd chain=forward content=sz6.tencent action=rejectadd chain=forward content=sz7.tencent action=rejectadd chain=forward content=sz8.tencent action=rejecadd chain=forward content=sz9.tencent action=rejecadd chain=forward content=tcpconn.tencent action=rejectadd chain=forward content=tcpconn2.tencent action=rejectadd chain=forward content=tcpconn3.tencent action=rejectadd chain=forward content=tcpconn4.tencent action=rejectadd chain=forward content=tcpconn5.tencent action=rejectadd chain=forward content=tcpconn6.tencent action=rejectadd chain=forward content=tcpconn7.tencent action=rejectadd chain=forward content=tcpconn8.tencent action=rejectadd chain=forward content=qq action=rejectadd chain=forward content=www.qq action=reject二十二：防止灰鸽子入浸/ ip firewall filteradd chain=forward protocol=tcp dst-port=1999 action=drop comment="Backdoor.GrayBird.ad"add chain=forward dst-address=80.190.240.125 action=dropadd chain=forward dst-address=203.209.245.168 action=dropadd chain=forward dst-address=210.192.122.106 action=dropadd chain=forward dst-address=218.30.88.43 action=dropadd chain=forward dst-address=219.238.233.110 action=dropadd chain=forward dst-address=222.186.8.88 action=dropadd chain=forward dst-address=124.42.125.37 action=dropadd chain=forward dst-address=210.192.122.107 action=dropadd chain=forward dst-address=61.147.118.198 action=dropadd chain=forward dst-address=219.238.233.11 action=drop二十三：防三波/ ip firewall filteradd chain=forward protocol=tcp dst-port=135-139 action=drop comment="No 3B"以上脚本使用说明：用winbox.exe 登陆找到System -- Script - 点击+ 将对应脚本复制其中后，点击Run Script即脚本安装成功！。

ros多线做端口映射脚本

正文开始，脚本在下面。

我做完ROS加VLAN ADSL多线PCC叠加设置设置后不久，网站开发小组的项目经理就找到我向我提出了需求，因为现在他们的测试服务器是放在我们办公室内网的，我们公司其它部门和其它分公司和我们办公室不是一个局域网，网站开发小组的项目经理想让我们公司的所有同事都能访问到测试服务器做用户体验度测试，想让我帮助实现，当时我一口答应下来，也觉得这是个很简单的事情，但是事情往往出人意料。

我一开始的思路是这样的，第一步就是在IP－>firewall－> nat下面做基于目标的伪装，也就是映射，第二步就是要做回流让内网的客户端也能通过公网IP 访问到服务器，第三步就是做动态映射的计划任务，定时更新第一步里面的目标地址即ADSL的地址，最后一步就要用到DDNS做一个二级域名的动态解析方便同事记忆和输入。

做完以后发现需求基本满足，就是内网客户端不能通过域名访问到服务器，只能通过内网IP访问，为了精益求精，继续研究，baidu和google 上搜索了无数方法均无效，后来在一个论坛里面看到一个高人的回复内容给了我启发，于是再一次尝试配置居然成功了。

不敢独享，现在将思路和脚本整理分享给更多需要的人。

首先我来分析下出现上述问题的原因，因为我们这里的环境是多线叠加的，我们的每个连接在进行路由之前都会对连接进行标记并路由，不同的标记有可能走不同的路由导致数据没办法顺利到达服务器，其内部数据的具体流向以及转换我也不是很清楚，如有高手路过请不吝赐教。

下面进入正题，其实很简单，我们只要在标记里面把目标地址为我们的外网接口地址的数据直接通过就可以解决这个问题了，有几条线就做几个标记，最后要添加计划任务更新标记里的目标地址为对应的外网接口地址，所以加上这最后两步一共是六步，下面就放出每一步的脚本（我的环境是双线叠加的，所以以下脚本都是适合双线的，改成多线的也很容易）1、做映射，这里以把内网的8890端口映射成9000端口为例。

ros端口映射几种方法

教程：ROS如何设置ADSL的端口映射（端口转发）ADSL的外网IP是不固定的，每次重新拨号都会被重新分配个IP，做端口映射的时候就不太好弄，网上找了很久也没有能用的方案，研究了1天，终于搞定了，分享出来可以给需要的人参考。

1. 打开Winbox->New Terminal，执行如下命令：/ ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=pppoe-out1/ ip firewall nat add action=dst-nat chain=dstnat comment=web80 disabled=no dst-address=外网IP dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.0.8（DNS服务器IP）to-ports=802. 复制如下Script，名为ADSL_YingShe：:global newip [ /ip address get address ]:set newip [:pick $newip 0 [:find $newip "/"]]:global oldip dst-address]:if ($newip != $oldip) do={:log info dst-address=$newip]:log info "ADSL映射修改完毕"}我这里设置了3个端口3. 最后设置事务System->Scheduler,Interval设置脚本执行时间间隔，我设置为2分钟。

On Event里填写：:execute ADSL_YingShe至此设置完成，应该就可以用了，下面简单说一下脚本的作用：1. 搜索PPPOE端口的外网IP地址2. 搜索名为: "web80",端口为: 80的NAT 规则外网IP地址与PPPOE端口IP作比较。

RouterOS配置记录(三)：DDNS

把上面的你修改好的script 贴到 OnEvent 那个来自：ROS DDNS update script 修改一下 ednsuser / ednspass / ednshost 就可以使用了。简单来说这个script 就是利用ROS的 /tool fetch 来访问一个网页：
/dyndns/update?system=dyndns&hostname=xxx&myip=xxx 这个方法也是3322官方提供的，3322的server 就可以从这个http请求中得到你的真实IP 地址了。然后就是来到ROS的 System –> Scheduler ，点击加号按钮：
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
:if ($status!=false) do={ :global ednslastip [:resolve $ednshost] :if ([ :typeof $ednslastip ] = nil ) do={ :global ednslastip "0" } :global ednsiph [ /ip address get [/ip address find interface=$ednsinterface ] address ] :global ednsip [:pick $ednsiph 0 [:find $ednsiph "/"]] :global ednsstr "&hostname=$ednshost&myip=$ednsip" :if ($ednslastip != $ednsip) do={ /tool fetch url="$members$ednsstr" mode=http user=$ednsuser password=$ednspass dstpath=$ednshost :delay 4 :global result [/file get $ednshost contents] :log info ($ednshost . " " .$result) /file remove $ednshost ; } }

ROS命令大全

ROS通用脚本一：限速脚本:for wbsz from 1 to 254 do={/queue simple add name=(wbsz . $wbsz)dst-address=(192.168.0. . $wbsz) limit-at=1024K/1024K max-limit=1024K/1024K} 二：限制每台机最大线程数:for wbsz from 1 to 254 do={/ip firewall filter add chain=forwardsrc-address=(192.168.0. . $wbsz) protocol=tcp connection-limit=50,32action=drop}三：端口映射ip firewall nat add chain=dstnat dst-address=(202.96.134.134) protocol=tcp dst-port=80 to-addresses=(192.168.0.1) to-ports=80 action=dst-nat四：封端口号/ ip firewall filterad ch forward pr tcp dst-po 8000 act drop comment="Blockade QQ"五：更变telnet服务端口/ip service set telnet port=23六：更变SSH管理服务端口/ip service set ssh port=22七：更变www服务端口号/ip service set www port=80八：更变FTP服务端口号/ip service set ftp port=21十：删除限速脚本:for wbsz from 1 to 254 do={/queue simple remove (wbsz . $wbsz) }十一：封IP脚步本/ ip firewall filteradd chain=forward dst-address=58.60.13.38/32 action=drop comment="Blockade QQ" 十二：禁P2P脚本/ ip firewall filteradd chain=forward src-address=192.168.0.0/24 p2p=all-p2p action=drop comment="No P2P"十三：限制每台机最大的TCP线程数(线程数=60)/ ip firewall filteradd chain=forward protocol=tcp connection-limit=60,32 action=drop \disabled=no十四：一次性绑定所有在线机器MAC:foreach wbsz in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$wbsz] 十五：解除所以绑定的MAC:foreach wbsz in [/ip arp find] do={/ip arp remove $wbsz}十六：禁Ping/ ip firewall filteradd chain=output protocol=icmp action=drop comment="No Ping"十七：禁电驴/ ip firewall filteradd chain=forward protocol=tcp dst-port=4661-4662 action=drop comment="No Emule"add chain=forward protocol=tcp dst-port=4242 action=dropadd chain=forward dst-address=62.241.53.15 action=drop十八：禁PPLIVE/ ip firewall filteradd chain=forward protocol=tcp dst-port=8008 action=drop comment="No PPlive TV" add chain=forward protocol=udp dst-port=4004 action=dropadd chain=forward dst-address=218.108.237.11 action=drop十九：禁QQ直播/ ip firewall filteradd chain=forward protocol=udp dst-port=13000-14000 action=drop comment="No QQLive"二十：禁比特精灵/ ip firewall filteradd chain=forward protocol=tcp dst-port=16881 action=drop comment="No BitSpirit"二十一：禁QQ聊天(没事不要用)/ ip firewall filteradd chain=forward src-address=10.5.6.7/32 action=accept comment="No Tencent QQ" ad ch forward pr tcp dst-po 8000 act dropad ch forward pr udp dst-po 8000 act dropad ch forward pr udp dst-po 8000 act dropadd chain=forward dst-address=61.144.238.0/24 action=dropadd chain=forward dst-address=61.152.100.0/24 action=dropadd chain=forward dst-address=61.141.194.0/24 action=dropadd chain=forward dst-address=202.96.170.163/32 action=dropadd chain=forward dst-address=202.104.129.0/24 action=dropadd chain=forward dst-address=202.104.193.20/32 action=dropadd chain=forward dst-address=202.104.193.11/32 action=dropadd chain=forward dst-address=202.104.193.12/32 action=dropadd chain=forward dst-address=218.17.209.23/32 action=dropadd chain=forward dst-address=218.18.95.153/32 action=dropadd chain=forward dst-address=218.18.95.165/32 action=dropadd chain=forward dst-address=218.18.95.220/32 action=dropadd chain=forward dst-address=218.85.138.70/32 action=dropadd chain=forward dst-address=219.133.38.0/24 action=dropadd chain=forward dst-address=219.133.49.0/24 action=dropadd chain=forward dst-address=220.133.40.0/24 action=dropadd chain=forward content=sz.tencent action=rejectadd chain=forward content=sz2.tencent action=rejectadd chain=forward content=sz3.tencent action=rejectadd chain=forward content=sz4.tencent action=rejectadd chain=forward content=sz5.tencent action=rejectadd chain=forward content=sz6.tencent action=rejectadd chain=forward content=sz7.tencent action=rejectadd chain=forward content=sz8.tencent action=rejecadd chain=forward content=sz9.tencent action=rejecadd chain=forward content=tcpconn.tencent action=rejectadd chain=forward content=tcpconn2.tencent action=rejectadd chain=forward content=tcpconn3.tencent action=rejectadd chain=forward content=tcpconn4.tencent action=rejectadd chain=forward content=tcpconn5.tencent action=rejectadd chain=forward content=tcpconn6.tencent action=rejectadd chain=forward content=tcpconn7.tencent action=rejectadd chain=forward content=tcpconn8.tencent action=rejectadd chain=forward content=qq action=rejectadd chain=forward content=www.qq action=reject二十二：防止灰鸽子入浸/ ip firewall filteradd chain=forward protocol=tcp dst-port=1999 action=dropcomment="Backdoor.GrayBird.ad"add chain=forward dst-address=80.190.240.125 action=dropadd chain=forward dst-address=203.209.245.168 action=dropadd chain=forward dst-address=210.192.122.106 action=dropadd chain=forward dst-address=218.30.88.43 action=dropadd chain=forward dst-address=219.238.233.110 action=dropadd chain=forward dst-address=222.186.8.88 action=dropadd chain=forward dst-address=124.42.125.37 action=dropadd chain=forward dst-address=210.192.122.107 action=dropadd chain=forward dst-address=61.147.118.198 action=dropadd chain=forward dst-address=219.238.233.11 action=drop二十三：防三波/ ip firewall filteradd chain=forward protocol=tcp dst-port=135-139 action=drop comment="No 3B"================================================================================ ================================================================================ ==================================以上脚本使用说明：用winbox.exe 登陆找到 System -- Script - 点击+ 将对应脚本复制其中后，点击 Run Script即脚本一、导出 ARP 列表ip arp export file arp这样就能将所有ARP列表导出到 arp.rsc 文件。

各种路由端口映射步骤

各种路由端口映射步骤各种路由端口映射步骤！感谢大家提供！！TPLINK:TP系列！长的都差不多！进入路由转发规则，虚拟服务器。

然后看下图！点保存就行其中192.168.1.240 修改成你服务器的IP'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">描述:登陆路由（一般情况下是192.168.1.1）图片[点击图片可查看大图]:2.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">描述:输入账号密码点转发规则添加新条目图片[点击图片可查看大图]:3.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">描述:服务端口号：输入26501 IP输入你服务器内网IP 保存重启图片[点击图片可查看大图]:4.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">图片[点击图片可查看大图]:2.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">地板发表于: 2009-09-26只看该作者┊小中大D—link路由设置-端口映射方法这个基本差不多图片[点击图片可查看大图]:1.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">图片[点击图片可查看大图]:2.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">图片[点击图片可查看大图]:2.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">图片[点击图片可查看大图]:3.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='700';">图片[点击图片可查看大图]:4.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">NBR3000NBR3000图片[点击图片可查看大图]:1.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">6楼发表于: 2009-09-26只看该作者┊小中大MONOWALL软路由端口映射步骤MONOWALL软路由端口映射步骤描述:登陆路由WEB管理图片[点击图片可查看大图]:1.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">描述:2，点击NAT》添加规则图片[点击图片可查看大图]:2.jpg'700')this.width='700';if(this.offsetHeight>'700')this.height='70 0';">描述:3，填写规则，除了讯闪服务器IP按自己实际地址添加外。

(整理)ros做端口映射.

ros做端口映射2010年05月12日星期三 11:53ROS 2.96 的端口映射的设置进入winbox,点击IP→ Firewall→Nat打开防火墙设置界面。

点击左上角红色的“+”号，添加一条dstnat规则，其中dst.address 填写你要映射的外网IP，本例为218.87.96.xxx(此处请填入您的外网IP),然后选择protocol协议为6，即TCP协议，设置Dst. port（目标端口）为80。

设置完成后如图1所示。

单击“Action”选项卡，在Action框中，选择“dst-nat” ，在“To.Address”框中填写内网提供服务的IP地址，本例为192.168.1.3,在“To.Port”填写内网提供服务的IP端口，这样基本映射就完成了，如图2所示，此时可以在外网中输入你的外网IP，即可看到内网192.168.1.3WEB服务器上的网站了。

以同样的方法可以设置FTP和远程桌面。

注意这些服务的端口都是不一样的，例如你有两台内网WEB服务器，80端口已经用掉了，第二台便来能映射到80上了，但可以映射到其它没有使用过的端口上，例如81端口。

例如可以将内网192.168.1.4:80映射到外网218.87.96.xxx:81端口上。

这样就能在同一个外网IP访问两台内网WEB服务器了。

３、IP显示和回流问题解决4. 经过第二步的基本端口映射设置后，外部可以访问内网了，但存在一些不完善的地方，例如所有的外网访客的地址都是路由器的内网网关，本例为192.168.1.1，如图3所示。

这样就无法统计访客的来源，还有许多的不便，例如WEB中的论坛就无法屏蔽一些会员的IP了，因为大家都是192.168.1.1。

原因是这样造成的：为了使整个内网的所有机子共享上网，在设置ROS时，我们都要设置一条srcnat规则，Action设置为“Amasquerade”，Amasquerade是snat的一个特例,主要用在无固定ip网关的情况下,比如adsl拨号等,masquerade比nat效率低的原因是nat直接指出需要伪装的源地址,而masquerade需要伪装的源地址必须到默网关中寻找,masquerade永远以默认网关地址为ip伪装的源地址,所以首先效率慢了点,其次只能用在外网ip只有一个的情况,如果有多个wan接口就不能用masquerade，而只能用nat,因为nat可以手工指定多个需要伪装的源ip地址，而masquerade却只能找到一个地址,就是默认网关的地址。

ROS教程设置总结

ROS教程（1）－－－基本配置一、LAN口配置：(admin为用户名，密码为空登录控制台）1、查看已经安装的网卡>interface print (可缩写为int pri)2、更改网卡名字〉int〉pri>set 0 name=lan3设置内网卡的ip和子网掩码（先返回顶层目录，用“/”键）〉ip address add address=192.168.194.1/24 interface=lan4、打开winbox,以192.168.194.1为地址，admin为用户名，密码为空登陆。

5、在winbox下单击"interface"--->双击列表中"name"栏中的连接ISP的网卡--->"name"更名为"WAN"。

二、WAN口配置：1、通过ADSL拨号上网(1)如果电信等ISP已将帐号和相关的MAC地址绑定过，则需要修改WAN口MAC地址，否则跳到下一步。

在winbox下单击"new terminal"--->输入命令"interface ethernet"--->set WANmac-address=00:00:00:00:00:00--->通过print命令查看修改是否成功。

(2)建立pppoe连接到电信或其它ISP。

"PPP"--->"+"--->"general"选项卡--->在"name"中拨号名，如Tel，在"interface"中选择WAN口--->"Dial out"选项卡中，"user"域中输入用户名，"password"中输入密码（ISP提供的），并且确保"Add default Route"处于选中状态--->"apply"--->"OK"。

ros NAT端口映射与回流

ROS NA T端口映射与回流
一：内网IP：192.168.0.100的3389端口映射到外网IP：11.22.33.44的端口1：/ip firewall nat add chain=dstnat dst-address=11.22.33.44 protocol=tcp dst-port=3389（此处为外网端口可随便填）action=dst-nat to-addresses=192.168.0.100 to-ports=3389
二：回流（用于映射后内网无法通外网IP访问服务器）：
1：方法一（适用于伪装时指定了外网接口）：
/ip firewall nat add chain=srcnat src-address=内网IP网段out-interface=内网接口action=masquerade
注：此方法适用于伪装时指定了外网接口或者指定了源IP地址：/ip firewall nat add chain=srcnat out-interface=外网接口action=masquerade
2：方法二（在伪装时不要指定外网接口）：
/ip firewall nat add chain=srcnat action=masquerade
注：这样伪装后不用再使用上面回流，此种方法伪装只要连上了ros即可上网，不安全。

ROS策略及限速

ROS限速、防syn、ip伪装、mac绑定、防火墙、屏蔽端口、教程大全、VPN、ROS端口映射2008-02-28 20:46节省磁盘资源！:foreach i in=[/system logging facility find local=memory ] do=[/system logging facility set $i local=none]RO防synip-firewall-connectionsTracking:TCP Syn Sent Timeout:50TCP syn received timeout:30限线程脚本：:for aaa from 2 to 254 do={/ip firewall filter add chain=forwardsrc-address=(192.168.0. . $aaa) protocol=tcp connection-limit=50,32 action=drop}RO端口的屏蔽ip-firewall-Filer Rules里面选择forward的意思代表包的转发firewall rule-GeneralDst.Address:要屏蔽的端口Protocol:tcpAction:drop(丢弃）ros限速手动限速winbox---queues----simple queues点“+”，NAME里随便填，下面是IP地址的确定①Target Address 不管，Dst. Address里填你要限制的内网机器的IP，比如我这里有个 1号机器 IP为 192.168.1.101，那dst.address 里就填192.168.1.101 然后是/32（这里的32不是指掩码了，个人理解为指定的意思）！②interface里记着要选你连接外网那个卡，我这里分了“local和public”，所以选public③ 其他的不管，我们来看最重要的东西拉，Max limit ，这个东西是你限制的上限，注意的是这里的数值是比特位，比如我要限制下载的速度为 500K 那么就填入多少呢？ 500 X 1000 X 8=400 0000=4M。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

把网络分段可以解决这些问题，但同时你必须提供一种机制使不同网段的计算机可以互相通信，这通常涉及到在一些ISO网络协议层选择性地在网段间传送数据，我们来看一下网络协议层和路由器的位置。
我们可以看到，路由器位于网络层。本文假定网络层协议为IPv4，因为这是最流行的协议，其中涉及的概念与其他网络层协议是类似的。
单击“Action”选项卡，在Action框中，选择“dst-nat” ，在“To.Address”框中填写内网提供服务的IP地址，本例为192.168.1.3,在“To.Port”填写内网提供服务的IP端口，这样基本映射就完成了，如图2所示，此时可以在外网中输入你的外网IP，即可看到内网192.168.1.3WEB服务器上的网站了。以同样的方法可以设置FTP和远程桌面。注意这些服务的端口都是不一样的，例如你有两台内网WEB服务器，80端口已经用掉了，第二台便来能映射到80上了，但可以映射到其它没有使用过的端口上，例如81端口。例如可以将内网192.168.1.4:80映射到外网218.87.96.xxx:81端口上。这样就能在同一个外网IP访问两台内网WEB服务器了。
在这里我们通过RB150的操作为实例，配置二层端口隔离。
首先我们在Bridge中添加一个网桥bridge1：
在RouterOS同样支持STP（Spring Tree Protocol）生成树协议，防止二层的回环出现，同样也是支持二层的冗余功能，在这里我们将STP打上勾：
在添加完桥接功能后，需要将对应的网卡添加入bridge1中，进入Port中设置，我们将五个网卡一个一个添加到bridge1中：
添加完每个端口后，现在RB150的5个以太网口，就完成了桥接的设置，这样5个口就实现了二层的交换功能。
现在我们需要让ether1为上联口，即ether1能与ether2、ether3、ether4和ether5进行通信，但ether2、ether3、ether4和ether5之间是被隔离。
我们进入filter中设置防火墙过滤规则，我们首先配置ether2与ether3的数据隔离我们在interface选项中设置In-interface和Out-interface（In-interface为数据进入的网口，Out-interface为数据出去的网口）：
路由器软件一般实现路由协议功能、查表转发功能和管理维护等其他功能。由于互联网规模庞大，运行在互联网上路由器中的路由表非常巨大，可能包含几十万条路由。查表转发工作可想而知非常繁重。
在路由器研制过程中，可以通过购买商用源码等形式迅速实现路由器。但是通常认为路由器软件需要一年甚至两年的时间来稳定。MikroTik RouterOS在行业的发展已经有7年之久，所以在稳定性和功能上都是非常完善的。
注：在3.0版本后RouterOS在bridge中增加一个设置选项use ip firewall，该规则是询问数据控制是否经过ip firewall，如果不打勾数据将不再进入ip firewall处理，这样可以加快数据的转发，减少处理过程。增加了系统的灵活性。
路由器技术基础知识
路由器技术
路由器技术中最核心的技术是软件技术。路由软件是最复杂的软件之一。有些路由软件运行在UNIX或Linux操作系统上，有些路由软件运行在嵌入式操作系统上，甚至有些软件为提高效率，本身就是操作系统。全球最大的路由器生产厂家Cisco公司曾一度宣称是一个软件公司，可见路由器软件在路由器技术中所占的重要地位。
ros做端口映射
2010年05月12日星期三 11:53
ROS 2.96 的端口映射的设置
进入winbox,点击IP→ Firewall→Nat打开防火墙设置界面。点击左上角红色的“+”号，添加一条dstnat规则，其中dst.address 填写你要映射的外网IP，本例为218.87.96.xxx(此处请填入您的外网IP),然后选择protocol协议为6，即TCP协议，设置Dst. port（目标端口）为80。设置完成后如图1所示。
３、IP显示和回流问题解决
4. 经过第二步的基本端口映射设置后，外部可以访问内网了，但存在一些不完善的地方，例如所有的外网访客的地址都是路由器的内网网关，本例为192.168.1.1，如图3所示。这样就无法统计访客的来源，还有许多的不便，例如WEB中的论坛就无法屏蔽一些会员的IP了，因为大家都是192.168.1.1。
Ether2 – Ether4
Ether4 – Ether2
Ether2 – Ether5
Ether5 – Ether2
Ether3 – Ether4
Ether4 – Ether3
Ether3 – Ether5
Ether5 – Ether3
Ether4 – Ether5
Ether5 – Ether4
网桥的功能
•桥接基于OSI参考模型的第二层-数据链路层,工作类似于交换机，通过维护局域网中MAC地址列表，学习、存储和转发数据。
•能透传三层IP数据包，透明连接两个IP网络。
•常被用Wlan无线桥接、桥接流量控制、二层数据过滤和各种VPN隧道桥接。
启用设置ROS的网桥功能
•进入bridge中添加一个bridge接口，然后在bridge port中添加相应的网络接口到bridge中：
什么是路由器
路由器是工作在OSI参考模型第三层——网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。虽然路由器可以支持多种协议（例如TCP/IP、IPX/SPX、AppleTalk等协议），但是在我国绝大多数路由器运行TCP/IP协议。
路由器通常连接两个或多个由IP子网或点到点协议标识的逻辑端口，至少拥有1个物理端口。路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。路由器通常动态维护路由表来反映当前的网络拓扑。路由器通过与网络上其他路由器交换路由和链路信息来维护路由表。路由器是连接IP网的核心设备。
这样的配置就实现了让ether1为上联口，即ether1能与ether2、ether3、ether4和ether5进行通信，但etheቤተ መጻሕፍቲ ባይዱ2、ether3、ether4和ether5之间是被隔离。
通过Bridge filter的配置，可以实现对各种二层数据链路层的相应数据和协议做控制。
在启用bridge后，Queue和ip firewall filter的规则仍然能启作用，能实现三层数据的过滤和流控，这样RouterOS在设置为Bridge后可以做到三层路由器的功能，只要加以设置和组合。
路由与网桥
路由相对于二层的桥接/交换是高层的概念，不涉及网络的物理细节，工作在二层的设备如交换机、无线AP等。在可路由的网络中，每台主机都有同样的网络层地址格式（如IP地址），而无论它是运行在以太网、令牌环、FDDI还是广域网。网络层地址通常由两部分构成：网络地址和主机地址。
这样设置完成后，我们可以发现外网访客可以正常访问，而且IP显示也是正确的，但同时导致别一个问题，就是内网用户不能用外部ip访问映射的内部服务器,要按下面方法解决：再增加一条对内网的规则，Action设置为“Amasquerade”，在“General”选项卡中，设置Chain为“srcnat”,Src. Address为“192.168.0.0/21”由于本例中的内网有192.168.0、192.168.1、192.168.7等几个C类网段，所以在此将子网设置为21,也就是255.255.248.0，设置好后如图5所示。一般的情况，只有一个网段时，例如192.168.1,可以设置子网掩码为24，即255.255.255.0,此处可以填写：192.168.1.0/24,可以根据自己内网情况作相对应的修改。
•通过桥接后，将Ethernet中的ether4和ether5设置为桥接模式；
•我们可以通过添加或者删除管理桥接接口。
•我们可以通过bridge host查看被桥接两个网络的MAC地址列表
Bridge实现二层端口隔离
RouterOS具有Bridge的桥接功能，在配置多网口的情况下可以实现二层数据的转发，即可以实现交换机功能，加上RouterOS支持birdge filter的过滤，同样也支持对二层数据的管理，通过配置Bridge的防火墙规则实现多网口的端口隔离。
最简单的网络可以想象成单线的总线，各个计算机可以通过向总线发送分组以互相通信。但随着网络中的计算机数目增长，这就很不可行了，会产生许多问题：
1.带宽资源耗尽。
2.每台计算机都浪费许多时间处理无关的广播数据。
3.网络变得无法管理，任何错误都可能导致整个网络瘫痪。
4.每台计算机都可以监听到其他计算机的通信。
原因是这样造成的：为了使整个内网的所有机子共享上网，在设置ROS时，我们都要设置一条srcnat规则，Action设置为“Amasquerade”，Amasquerade是snat的一个特例,主要用在无固定ip网关的情况下,比如adsl拨号等,masquerade比nat效率低的原因是nat直接指出需要伪装的源地址,而masquerade需要伪装的源地址必须到默网关中寻找,masquerade永远以默认网关地址为ip伪装的源地址,所以首先效率慢了点,其次只能用在外网ip只有一个的情况,如果有多个wan接口就不能用masquerade，而只能用nat,因为nat可以手工指定多个需要伪装的源ip地址，而masquerade却只能找到一个地址,就是默认网关的地址。由于NAT方设置较Amasquerade复杂，加上现在大量的ROS教程都是以Amasquerade方式共享上网，所以目前在用的ROS大多数采用Amasquerade设置共享。通过上面分析，我们可以看出为什么在端口映射后，外网访问的IP都成了内网网关，解决的方法有两种，一是改用nat方式，这种方式有局限性，只能用于固定IP的外网，若是ADSL则不能用；另一个方法是通过调整masquerade的设置来完成显示外网IP,具体操作如下，进入winbox,点击IP→ Firewall→Nat打开防火墙设置界面,双击原来建立的srcnat规则Amasquerade（用于共享上网），在“General”选项卡的“Out. Interface”选中“LAN”即内网网卡，单击将前面的小框，在框中出现“！”，单击“OK”完成此设置。