软路由MikroTik RouterOS 简明教程配置过程见附图(1)

软路由MikroTikRouterOS简明教程配置过程见附图命令说明：RouterOS的基本设置包括四个部分interface、ipaddress、ip route、ipfirewallsrc-nat。1.interface的命令中主要为修改接口称和激活接口；2.ipaddress的命令主要为分别在两接相应接口上增加外网IP地址和局域网IP地址；3.iproute的命令主要是墙加路由表，这里简单的网络路由表中只有三条，一条是手动加的，两条是动态路由项；4.ipfirewallsrc-nat的命令是用来设置网络地址转换，这里的伪装(masquerade)即是网络地址转换(NAT)的一种特殊形式，局域网多台机器使用一个外网IP上网一般都用伪装(masquerade)。如果只是做单纯的路由器来使用，把上面绿色部分的IP按实际的网络修改即可！此过程本人已全新安装测试多次，均很正常，如果你按照此命令设置仍不能让局域网访问外网，最有可能的是你的内网和外网网线插反了网卡，更不要忘了客户机的TCP/IP属性配置。设置RouterOS简明教程(官方设置）RouterOSV2.8设置RouterOS简明教程如何设置RouterOS文档版本:1.5应用于:MikroTikRouterOSV2.8怎么样保护你的MikroTikRouterOS™?属性描述要保护你的MikroTikRouterOS™,你不应该只是修改你的admin的密码，还需要设置数据包的过滤，所以目的地到路由器的数据包需要在一次经过ipfirewall的input链表处理。注意input链表不会去**通过路由器的传输数据。你可以添加下面的规则到/ipfirewallruleinput(只需要通过'copy和paste'到路由器的TerminalConsole（终端控制台）或在winbox中配置相关的参数):/ipfirewallruleinputaddconnection-state=invalidaction=drop\comment="Dropinvalidconnections"/ipfirewallruleinputaddconnection-state=established\comment="Allowestablishedconnections"/ipfirewallruleinputaddconnection-state=related\comment="Allowrelatedconnections"/ipfirewallruleinputaddprotocol=udpcomment="AllowUDP"/ipfirewallruleinputaddprotocol=icmpcomment="AllowICMPPing"/ipfirewallruleinputaddsrc-address=10.0.0.0/24\comment="Allowaccessfromourlocalnetwork.Editthis!"/ipfirewallruleinputaddsrc-address=192.168.0.0/24protocol=tcpdst-port=8080\comment="Thisiswebproxyserviceforourcustomers.Editthis!"/ipfirewallruleinputaddaction=droplog=yes\comment="Loganddropeverythingelse"使用/ipfirewallruleinputprintpackets命令可以看到有多少个数据包被里面的规则处理过。使用reset-counters命令去复位统计值。检查系统日志文件通过/logprint可以看到数据包被丢弃的信息。你可能需要在里面添加允许来至确认主机的访问。例如：记住出现在列表中的防火墙规则在命令中被处理。一个规则匹配的数据包，不会被之后其他的规则处理。添加了新的规则后，如果想优先被处理，通过move命令移动到所以规则之上。怎样保护你的MikroTikRouterOS™从来至Spam的请求DescriptionToprotectyourMikroTikRouterOS™frombeingusedasspamrelayyouhaveto:保证你的路由器使用了防火墙规则。SeetheHowTosectionaboutit!配置webproxy访问列表webproxy访问列表配置在/ipweb-proxyaccess下。例如，添加下面规则允许来至确认主机的访问。(只需要通过'copy和paste'到路由器的TerminalConsole（终端控制台）或在winbox中配置相关的参数)：/ipweb-proxyaccessaddsrc-address=192.168.0.0/24\comment="Ourcustomers"/ipweb-proxyaccessadddst-port=23-25action=deny\comment="DenyusingusastelnetandSMTPrelay"/ipweb-proxyaccessaddaction=deny\comment="Denyeverythingelse"注意，允许确认服务首先你应该由规则，并且在规则的最后通常为拒绝任何的访问。如何连接你的家庭网络到xDSL?属性描述确认你的家用DSLmodem以安装好，并想通过一个安全的方式将你的家庭网络连接到Internet，首先你需要安装MikroTik路由器在DSLmodem和你家庭网络中间：下一步连接你的家庭网络到xDSL：首先你的MikroTik路由器有两张以太网卡，一个对应家庭的DSLmodem，一个对应你的家庭网络。安装时，确定你安装了dhcp软件功能包。启用两个网卡，如下：/interfaceenableether1,ether2配置DHCP客户端在对外的接口上(xDSL)接收来至IP配置的服务：/ipdhcp-clientsetenabled=yesinterface=ether1检查，如果你收到IP配置信息后使用leaseprint，如下：[admin@MikroTik]ipdhcp-client>leaseprintaddress:81.198.16.4/21expires:may/10/200104:41:49gateway:81.198.16.1primary-dns:195.13.160.52secondary-dns:195.122.1.59[admin@MikroTik]ipdhcp-client>添加你的私有网络地址到ether2网卡上，如下：/ipaddressaddaddress=192.168.0.1/24interface=ether2在你的本地网络配置伪装：/ipfirewallsrc-nataddout-interface=ether1action=masquerade\ comment="Masqueradeseverythingleavingtheexternalinterface"配置防火墙保护你的路由器：/ipfirewallruleinputaddconnection-state=invalidaction=drop\comment="Dropinvalidconnectionpackets"/ipfirewallruleinputaddconnection-state=established\comment="Allowestablishedconnections"/ipfirewallruleinputaddconnection-state=related\comment="Allowrelatedconnections"/ipfirewallruleinputaddprotocol=udpcomment="AllowUDP"/ipfirewallruleinputaddprotocol=icmpcomment="AllowICMPPing"/ipfirewallruleinputaddsrc-address=192.168.0.0/24\comment="Frommyhomenetwork"/ipfirewallruleinputaddaction=droplog=yes\comment="Loganddropeverythingelse"(可选)配置DHCP服务散发IP配置到你的家庭网络中去：/ippooladdname=privateranges=192.168.0.2-192.168.0.254/ipdhcp-servernetworkaddgateway=192.168.0.1address=192.168.0.0/24\dns-server=195.13.160.52,195.122.1.59domain="mail.com"/ipdhcp-serveraddname=homeinterface=ether2lease-time=3h\address-pool=private  /ipdhcp-serverenablehome这样！你能通过你的家庭网络访问Internet。如何保持我的路由器的更新属性描述保持你的路由器更新，你应该：更新最新的RouterOS软件版本如果你有一个RouterBoard，需要更新BIOS固件版本在这部分将介绍你如何升级你的RouterBoard的BIOS固件版本。首先，Atfirst,检查你的一个routerboard功能包被安装[admin@MikroTik]systempackage>printFlags:I-invalid# NAME      VERSION     BUILD-TIME   UNINSTALL0 routerboard   2.8.14     aug/06/200415:30:32no1 security    2.8.14     aug/06/200414:08:54no2 system     2.8.14     aug/06/200414:03:02no3 advanced-tools  2.8.14     aug/06/200414:04:55no4 wireless    2.8.14     aug/06/200414:42:17no[admin@MikroTik]systempackage>检查你的RouterBoardBIOS固件：[admin@MikroTik]systemrouterboard>printrouterboard:yesmodel:230serial-number:8387617current-firmware:1.3.1(Aug/06/200415:30:19)upgrade-firmware:1.3.1(Aug/06/200415:30:19)[admin@MikroTik]systemrouterboard>可以通过在下载页面查看在allpackages文档最新的BIOS更新（）。BIOS更新文件被命名为wlb-bios-[version_number].fwf这里的version_number是BIOS固件版本。如果这个文件包含一个较新的版本，通过FTP使用二进制文件传输模式，拷贝到路由器。但完成后，你应该能在/file目录看到文件以及包含的BIOS固件信息：[admin@MikroTik]systemrouterboard>/fileprint#NAME         TYPE   SIZE  CREATION-TIME0wlb-bios-1.3.2.fwf   routerbios 73079  sep/07/200400:12:05[admin@MikroTik]systemrouterboard>检查RouterBoard的BIOS固件版本和你可以看到能一个能用于更新的版本：[admin@MikroTik]systemrouterboard>printrouterboard:yesmodel:230serial-number:8387617current-firmware:1.3.1(Aug/06/200415:30:19)upgrade-firmware:1.3.2(Aug/22/200412:13:56)[admin@MikroTik]systemrouterboard>现在通过upgrade命令更新BIOS版本。[admin@MikroTik]systemrouterboard>upgradeFirmwareupgraderequiresrebootoftherouter.Continue?[y/n]选择y后软件将升级BIOS，路由器将自动重启，请不要手动重启路由器。在路由器重启完成后，可用检查新的BIOS版本：[admin@MikroTik]systemrouterboard>printrouterboard:yesmodel:230serial-number:8387617current-firmware:1.3.2(Aug/22/200412:13:56)upgrade-firmware:1.3.2(Aug/22/200412:13:56)[admin@MikroTik]systemrouterboard>如何配置透明桥在两个网络中？属性描述远程网络能通过MikroTikRouterOS™基于IP的以太传输（EoIP）或WDS功能简单桥接起来，使用EoIP能扩展到其他别的类型的网卡上，如 ppt 关于艾滋病ppt课件精益管理ppt下载地图下载ppt可编辑假如ppt教学课件下载triz基础知识ppt P,CISCO/Aironet,Prism。WDS只能工作在Prism与Atheros网卡上。注：因为MikroTikRouterOS不能直接在两个无线设备上做透明桥，所以通过EoIP方式实现。让我们假设下面的一个网络设置：使用EoIP隧道的透明桥下面的步骤将使用EoIP接口创建透明桥：确定你以将两个MikroTik路由器连接，例如一个路由器配置为服务端(AP)，另外一个则为客户端(station):[admin@AP]>interfacewirelesssetwlan1mode=bridgessid=mikrotik\\...disabled=no[admin@Station]interfacewireless>print[admin@Station]interfacewireless>setwlan1mode=stationssid=mikrotikdisabled=no确定IP配置正确，并能从一个路由器访问到另一个:[admin@AP]>ipaddressaddaddress=10.1.0.1/24interface=wlan1[admin@Station]>ipaddressaddaddress=10.1.0.2/24interface=wlan1[admin@Station]>ping10.1.0.110.1.0.164bytepong:ttl=64time=1ms10.1.0.164bytepong:ttl=64time=1ms2packetstransmitted,2packetsreceived,0%packetlossround-tripmin/avg/max=1/1.0/1ms[admin@Station]>添加EoIP隧道接口：[admin@AP]>interfaceeoipaddremote-address=10.1.0.2tunnel-id=1disabled=no[admin@Station]>interfaceeoipaddremote-address=10.1.0.1tunnel-id=1\\...disabled=no添加桥接口并将相应的接口放入：[admin@AP]>interfacebridgeaddforward-protocols=ip,arp,otherdisabled=no[admin@AP]>interfacebridgeportseteoip-tunnel1,ether1bridge=bridge1[admin@Station]>interfacebridgeaddforward-protocols=ip,arp,other\\...disabled=no[admin@Station]>interfacebridgeportseteoip-tunnel1,ether1bridge=bridge1注：如果你是通过ether1连接的，那在设置后将会丢失连接。这是因为网卡设置的切换。将以太网卡的IP地址移动到桥接口上：[admin@AP]ipaddress>set[findinterface=ether1]interface=bridge1[admin@AP]ipaddress>printFlags:X-disabled,I-invalid,D-dynamic# ADDRESS    NETWORK   BROADCAST  INTERFACE0 10.0.0.215/24  10.0.0.0  10.0.0.255  bridge11 10.1.0.1/24  10.1.0.0  10.1.0.255  wlan1[admin@AP]ipaddress>[admin@Station]ipaddress>set[findinterface=ether1]interface=bridge1[admin@Station]ipaddress>print                         Flags:X-disabled,I-invalid,D-dynamic# ADDRESS NETWORK BROADCAST INTERFACE                 0 10.0.0.216/24  10.0.0.0  10.0.0.255  bridge1                 1 10.1.0.2/24  10.1.0.0  10.1.0.255  wlan1[admin@Station]ipaddress>现在你可以通过在ether1上的bridge1接口连接到路由器。通过ping测试桥连接从10.0.0.215到10.0.0.216。注，桥需要10到30秒时间学习地址和开始经过的流量。如果你有prism、CISCO/Aironet网卡或加密的PPTP隧道，同样可以创建EoIP透明桥然而，EoIP隧道只能用于建立两个MikroTik路由器之间。如何将公网地址连接到一个本地地址?属性描述例如一个电脑有一个自己在局域网的地址但需要使用公务网络的通信。让我们假设两个地址（10.0.0.216和10.0.0.217）被分配到路由器。在这个例子中我们将在一个'fullNAT'到内网地址192.168.0.4指向外网的10.0.0.216的地址。10.0.0.217的外网地址仍然用于自己内部网络的伪装。添加10.0.0.216/24和10.0.0.217/24地址到路由器的外网网卡上，并设置192.168.0.254/24到内网网卡：/ipaddressaddaddress=10.0.0.216/24interface=Publicaddaddress=10.0.0.217/24interface=Publicaddaddress=192.168.0.254/24interface=LocalprintFlags:X-disabled,I-invalid,D-dynamic# ADDRESS    NETWORK   BROADCAST  INTERFACE0 10.0.0.216/24  10.0.0.0  10.0.0.255  Public1 10.0.0.217/24  10.0.0.0  10.0.0.255  Public2 192.168.0.254/24 192.168.0.0 192.168.0.255 Local在添加默认路由的时你应该意识到有两个地址。Whileaddingthedefaultroutetotherouteryoushouldbeawareofhavingtwoaddresses.Youshouldspecifytheaddressthattherouterwillbeusingwhiletalkingtotheouternetworks:/iprouteaddgateway=10.0.0.1preferred-source=10.0.0.217printFlags:X-disabled,I-invalid,D-dynamic,J-rejected,C-connect,S-static,r-rip,o-ospf,b-bgp# DST-ADDRESS  GGATEWAY   DISTANCEINTERFACE0S0.0.0.0/0   r10.0.0.1  1  Public1DC10.0.0.0/24  r0.0.0.0   0  Public2DC192.168.0.0/24 r0.0.0.0   0  Local添加dst-nat规则允许从外网到内网服务器的访问：/ipfirewalldst-natadddst-address=10.0.0.216/32action=natto-dst-address=192.168.0.4printFlags:X-disabled,I-invalid,D-dynamic0 dst-address=10.0.0.216/32action=natto-dst-address=192.168.0.4添加src-nat规则允许内网服务器能与外网通信，并这是除192.168.0.4主机地址通过外网地址10.0.0.216出去，其他的内网地址通过10.0.0.217：/ipfirewallsrc-nataddsrc-address=192.168.0.4/32action=natto-src-address=10.0.0.216addsrc-address=192.168.0.0/24action=natto-src-address=10.0.0.217printFlags:X-disabled,I-invalid,D-dynamic0 src-address=192.168.0.4/32action=natto-src-address=10.0.0.2161 src-address=192.168.0.0/24action=natto-src-address=10.0.0.217一些提示:如果你是ADSL用户，在上文描述的基础上不要在外网的网络接口上指定IP及掩码，也不要在路由表中加入任何静态路由 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 ，但要在外网的网络接口上加入PPPoEClient，在PPPoEClient属性中输入ADSL帐号和密码。这时外网接口会自动获得IP，也可获得路由记录。如果你仅仅是动态IP用户但不是ADSL用户，应在上文描述的基础上不要在外网的网络接口上指定IP及掩码，也不要在路由表中加入任何静态路由记录，只需要在外网的网络接口上加入DHCPClient即可。这时外网接口会自动获得IP，也可获得路由记录。MikroTikRouterOS中为IP10限速的设置请把下面的打印改为命令[root@MikroTik]queuesimple>printFlags:X-disabled,I-invalid,D-dynamic0  name="queue1"target-address=0.0.0.0/0dst-address=192.168.1.10/32interface=allqueue=defaultpriority=8limit-at=0/0max-limit=800000/200000MikroTikRouterOS把迅雷限制为单资源下载的设置请把下面的打印改为命令[admin@MikroTik]ipfirewallruleforward>printFlags:X-disabled,I-invalid,D-dynamic0 ;;;允许IP252所有src-address=192.168.1.252/32action=accept1 ;;;禁迅雷TCP两端口dst-address=:3076-3077protocol=tcpaction=drop2 ;;;禁迅雷UDP两端口dst-address=:3076-3077protocol=udpaction=dropMikroTikRouterOS端口映射的设置[admin@MikroTik]ipfirewalldst-nat>dst-address=218.*.*.170/32:21protocol=tcpaction=natto-dst-address=192.168.1.251to-dst-port=21