ROUTEOS使用笔记之二
ROUTEOS使用笔记之二 http://www.mikrotikrouter.cn/show/318
ROS禁止PING 方法
禁止内网PING :点击IP -> Firewall -> Filter Rules -> 右面选中 output -> "+" -> General -> Protocol 中选择 icmp ,在同级界 面上点击Action 中,将Action选择为"drop",按"OK"确认 禁止外网PING :点击IP -> Firewall -> Filter Rules -> 右面选中 input -> "+" -> General -> Protocol 中选择 icmp ,在同级界 面上点击Action 中,将Action选择为"drop",按"OK"确认 ------------------------------------------------------------------------------------------ ROS的密码忘记了,但有台机子里的winbox里保存了密码,可用下面的方法: 如果是win2K/XP/2003,密码就在C:\Documents and Settings\你的用户名\Application Data\Mikrotik\Winbox\winbox.cfg文件里,你用记事本 打开,里面有类似下面的语句: typeaddr host192.168.0.1 loginadmin note keep-pwd pwd12345 pwd后面就是密码. ------------------------------------------------------------------------------------------- 使用高负载ROS的技巧 如果ros的防火墙会话数很高,建议修改相应会话超时参数如下: [admin@cddst] >ip fire conn tra pr enabled: yes tcp-syn-sent-timeout: 30s tcp-syn-received-timeout: 30s tcp-established-timeout: 120h tcp-fin-wait-timeout: 30s tcp-close-wait-timeout: 30s tcp-last-ack-timeout: 30s tcp-time-wait-timeout: 30s tcp-close-timeout: 10s udp-timeout: 30s udp-stream-timeout: 3m icmp-timeout: 30s generic-timeout: 10m ------------------------------------------------------------------ 各种下载工具 端口 和 网站IP 讯雷 端口:3076-3079 I P: 202.96.155.91, - 210.22.12.53 - 61.128.198.97 - 电骡 端口:4662,4661,4242 I P: 62.241.53.15 屁屁狗(PPGOU) 端口:8505 IP:219.153.0.152 - 61.145.116.186 KUGO酷狗 端口:3318 1043 4224 2371 (UDP 7000) I P: 218.16.125.227 - 61.143.210.56 - 218.16.125.226 61.129.115.206 - 61.145.114.33 比特精灵: 端口:16881 6881-6890 8881-8890 (tcp udp) 宝酷 端口: 6346 11300 I P: 61.172.197.196- 218.1.14.3 - 218.1.14.4 - 218.1.14.9 61.172.197.209 - 61.172.197.197 - 218.1.14.5 -218.5.72.118 61.172.197.196 百事通下载工具 端口: I P: 61.145.126.150 百度MP3下载 端口: I P: 202.108.156.206 PTC下载工具 端口:50007 I P: eDonkey2000下载工具 端口:4371 4662 I P: 62.241.53.15 - 62.241.53.17 Poco2005 端口:8094 2881 5354(udp src8094 和TCPdst5354drop) I P: 61.145.118.224 - 210.192.122.147 - 207.46.196.108 卡盟 端口:3751 3753 4772 4774 I P: -211.155.224.67 维宇RealLink 端口: I P: 211.91.135.114 - 221.233.18.180 - 61.145.119.55 - 221.3.132.99 百宝 端口: 3468 I P: 219.136.251.56 - 61.149.124.173 百花PP 端口: 5093 I P: 221.229.241.243 - 快递通 端口: I P: -202.96.137.56 酷乐 端口: 6800-6801 7003 I P:218.244.45.67 - 220.169.192.145 百度下吧 端口: 11000 I P: 202.108.249.171 百兆P2P 端口: 9000 I P: 221.233.19.30 石头(OPENEXT) 端口:5467 2500 4173 10002 10003 I P:66.197.13.166 - 210.22.12.245 - 69.93.222.56 iLink 1.1 端口:5000 I P: DDS 端口:11608 I P:210.51.168.13- 211.157.105.252- 212.179.66.17 iMesh 5 端口:4662 I P:212.179.66.17 - 212.179.66.24 - 38.117.175.23 winmx 端口:5690 I P:64.246.15.43 网酷 端口:2122 I P:211.152.22.9 - 211.152.22.101 - 221.192.132.29 PPlive网络电视 端口:UDP 4004 端口:TCP 8008 QQ直播 端口 udp 13002-13999 --------------------------------------------------------------------------- 如何设置防火墙实现禁用QQ、MSN等 一、 阻断QQ的连接 新版QQ不仅仅通过UDP方式登录服务器,还能够以TCP方式登录。QQ在连接时首先向以下七个服务器的8000端口发送udp包。 sz.tencent.com 61.144.238.145 sz2.tencent.com 61.144.238.146 sz3.tencent.com 202.104.129.251 sz4.tencent.com 202.104.129.254 sz5.tencent.com 61.141.194.203 sz6.tencent.com 202.104.129.252 sz7.tencent.com 202.104.129.253 在阻断8000端口的连接后,发现QQ还会通过udp的8001和tcp的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用,所以可以基于端口来 作阻断规则。 在用防火墙阻断以上端口的数据包后,发现QQ还会通过tcp的80和443端口进行连接。如果针对这两个端口作阻断规则,会影响用户的正常上网 ,所以只能对服务器的ip地址来作规则。通过试验发现了以下可通过80和443端口建立连接的QQ服务器: 218.17.217.106 219.133.40.95 219.133.40.97, 219.133.40.157, 219.133.40.177, 219.133.40.73, 219.133.40.189 218.18.95.153 218.17.209.23 202.104.129.253 218.17.209.42 在针对这些IP作阻断规则后,QQ已基本无法登录。 在试验中还发现,QQ安装目录下的Config.db文件,其中记录了QQ服务器的地址,与我们上面找到的完全符合。 因此,在用防火墙阻止用户使用QQ上网时,除了阻止tcp和udp的8000、8001端口外,还需阻断与QQ服务器的连接。下面列举了在试验中找到的 和在网上查到的QQ服务器IP: 61.141.194.203 61.144.238.145/146/149/155 61.172.249.135 65.54.229.253 202.96.170.164 202.104.129.151/251/252/253/254 211.157.38.38 218.17.209.23/42 218.17.217.106 218.18.95.153/165 219.133.40. 21/73/89/90/92/95/97/157/177/189(这个网段的服务器地址较多,可以考虑阻断整个网段) 虽然以上方法可以起到阻断QQ连接的作用,但如果腾讯增加新的QQ服务器,QQ也还是可以登录的。另外,用第三方的代理软件如NEC E-BORDER 等,支持Anonymous的Socks5代理还是可能绕过去,登陆使用QQ。 二、 阻断MSN的连接 MSN的连接在除使用常规的1863端口外,还会使用7001和80端口,因为这两个端口涉及到其他网络服务的应用,所以也只能采用阻断QQ连接的 方法,通过阻断与MSN服务器的连接,来达到用户要求。 以下列举了在试验中找到的服务器IP: 64.4.12.200/201 65.54.194.117 207.46.68.23 207.46.104.20 207.46.107.14/125 207.46.110.27/28/254 经查询,这些服务器IP都是北美地区的。 同样,如微软添加新的MSN服务器或者用户使用代理,还是可以登录MSN。 三、 阻断联众的连接 阻断联众的连接相对来说就比较容易啦。在客户端连接服务器时,首先会与服务器的2000端口建立连接(61.55.138.219:2000)。在连接建 立后,会用到服务器的1007、2001、2002、3015端口。 在试验中,只阻断了2000端口的数据包,客户端就已经无法连接服务器了 ---------------------------------------------------------------------------------- 封杀QQ游戏方法 name=QQ游戏服务器(北方服务器) ip=210.22.23.14 name=QQ游戏服务器(上海) ip=61.172.204.82 name=QQ游戏服务器(深圳)1 ip=219.133.41.17 name=QQ游戏服务器(深圳)2 ip=219.133.41.231 name=QQ游戏服务器(深圳)3 ip=219.133.41.168 name=QQ游戏服务器(深圳)4 ip=219.133.41.16 name=QQ游戏服务器(深圳)5 ip=219.133.41.47 name=QQ游戏服务器(深圳)6 ip=219.133.41.13 ----------------------------------------------------------------------------------- ROS下配置DMZ 下面将说明怎么样在网络中配置一台DMZ站点 DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网 络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网 络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内 部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如下图所示。 路由器有3块网卡 CODE [admin@gateway] interface> print Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R Public ether 0 0 1500 1 R Local ether 0 0 1500 2 R DMZ-zone ether 0 0 1500 [admin@gateway] interface> 给网卡添加所有需要的ip地址 CODE [admin@gateway] ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 192.168.0.2/24 192.168.0.0 192.168.0.255 Public 1 10.0.0.254/24 10.0.0.0 10.0.0.255 Local 2 10.1.0.1/30 10.1.0.0 10.1.0.3 DMZ-zone 3 192.168.0.3/24 192.168.0.0 192.168.0.255 Public [admin@gateway] ip address> 给路由器添加默认静态路由 CODE [admin@MikroTik] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # DST-ADDRESS G GATEWAY DISTANCE INTERFACE 0 S 0.0.0.0/0 r 192.168.0.254 1 Public 1 DC 10.0.0.0/24 r 0.0.0.0 0 Local 2 DC 10.1.0.0/30 r 0.0.0.0 0 DMZ-zone 3 DC 192.168.0.0/24 r 0.0.0.0 0 Public [admin@MikroTik] ip route> 给DMZ服务器添加ip地址10.1.0.2 ,网关地址10.1.0.1 配置dst-nat 规则,使DMZ服务器能通过192.168.0.3这个互联网地址访问 CODE [admin@gateway] ip firewall dst-nat> add action=nat \ \... dst-address=192.168.0.3/32 to-dst-address=10.1.0.2 [admin@gateway] ip firewall dst-nat> print Flags: X - disabled, I - invalid, D - dynamic 0 dst-address=192.168.0.3/32 action=nat to-dst-address=10.1.0.2 [admin@gateway] ip firewall dst-nat> ---------------------------------------------- 限定某个IP只能访问某个网站 如限定内网IP为 192.168.1.20 仅能连接 202.116.150.245 这个IP 方法步骤: IP-FORWARD 1 ACCEPT SRC ADD 192.168.1.20/32 DST ADD 202.116.150.245/32 PROTROCL ALL 2 DROP SRC ADD 192.168.1.20/32 DST ADD 0.0.0.0 ----------------------------------------------------------------------- 防火墙规则规则封闭端口对某些网络游戏的负面影响如下: 2000端口封闭导致联众无法登陆,。其他的未知 3076-3078端口封闭导致网络游戏"传奇私服"无法进入游戏. upd 7000端口封闭导致QQ游戏平台CS1.5无法刷新服务器,但同时又封闭了KUGO酷狗 7777端口封闭导致网络游戏“天堂2”无法进入游戏。 9898-9999端口封闭导致网络游戏“征服风云天下”无法进入游戏 10000端口封闭导致网络游戏“街头篮球”无法进入游 11000端口封闭导致网络游戏"洛奇"无法进入游戏. 13000端口封闭导致网络游戏"热血江湖"无法进入游戏. --------------------------------------------------------- 限制TCP连接包设置方法 /ip firewall filter add chain=forward protocol=tcp tcp-options=syn connection-limit=限制数目 action=drop ------------------------------------------------------------------------------------ 正确设置ROS的DNS 在客户机基本有三种做法 1、 直接使用ISP 给的DNS(远程解析) 在这种情况下,无论使用ADSL或者光纤固定IP上网,ROS端均无需设置DNS服务器,就可以保证客户端正常上网。 2、 客户机的DNS使用ROS路由器的地址(本地解析) 这种情况下,一般是将路由器的内部IP地址做为DNS地址来使用的。而且大多数朋友也是这么做的。比较适合一般的C类网络。但是对于规模较大, 且数据量非常大的网络来说,一块内部网卡既要做NAT转换,又要提供DNS解析,恐怕会影响效率。解决办法是在路由中单独插一块网卡,并设置一 个IP,用它来专门负责地址解析。目前电信好像就是这么干的,用过光纤的朋友一定不陌生。 方法: IP>>>DNS 选择“static”选项卡,点击“+”,name随便起,address填你的路由器内网IP,TTL默认。“OK” 此时应该已经存在了一个你刚刚建立的DNS服务器名,选择它,并点击“settings”,分别填写主辅DNS地址,选择“allow remote requeste” , 如果你的网络够大并且比较繁忙(可能网吧符合这个条件),可以将cache Size稍微设置大一点,前提是你的内存要够大!最后点击“ok” 3、方法2也存在一定的不足。比如对于一些企业或有自己内网主页并启用了内部域名的朋友来说,方法2就不能满足需求了。因为当你在IE中输入 自己公司的一个内部域名,比如:www.AAA.COM (对应IP:192.168.0.154 ),但是这个请求会被公网上的DNS服务器处理,并返回一个错误的页面 。怎么办呢?我的办法是在方法2的基础上,将本地DNS的IP地址指到局域网内的一台windows服务器上去,这样问题就可以得到解决。 ---------------------------------------------------------------------------------------------------------- 访问下面的网站!就可以查出你最理想的MTU,MSS,MRU数值 (MTU = 1500 MSS = 1460 )(MTU = 1488 MSS = 1448 ) http://forums.speedguide.net:8117 http://www.speedguide.net:8080 ADSL:点击Interface,点击加号PPPoE Client 修改MTU为1492(大多数是),切换Dail Out页面输入Service:(可以从ISP处获得也可以用 RASPPPoE查到。),输入用户名密码,勾上Use peer DNS,OK,查看Status页看是否连接上。如果有一些网页打不开,你ISP的MTU=1492,请在IP >Firewall >Mangle >单击红加号 >Protocol选择TCP >Tcp Options 选择 sync >Actions选择 accept >TCP MSS:1448 http://www.mikrotikrouter.cn/ routeros介绍 本文出自 51CTO.COM技术博客 |
samhui
博客统计信息
热门文章
最新评论
友情链接