ROUTEOS使用笔记之二

ROUTEOS使用笔记之二
[url]http://www.mikrotikrouter.cn/show/318[/url]
ROS禁止PING 方法
禁止内网PING :点击IP -> Firewall -> Filter Rules -> 右面选中 output -> "+" -> General -> Protocol 中选择 icmp ,在同级界
面上点击Action 中,将Action选择为"drop",按"OK"确认
禁止外网PING :点击IP -> Firewall -> Filter Rules -> 右面选中 input -> "+" -> General -> Protocol 中选择 icmp ,在同级界
面上点击Action 中,将Action选择为"drop",按"OK"确认
------------------------------------------------------------------------------------------
ROS的密码忘记了,但有台机子里的winbox里保存了密码,可用下面的方法:
如果是win2K/XP/2003,密码就在C:\Documents and Settings\你的用户名\Application Data\Mikrotik\Winbox\winbox.cfg文件里,你用记事本
打开,里面有类似下面的语句:
typeaddr host192.168.0.1 loginadmin note keep-pwd pwd12345 pwd后面就是密码.
-------------------------------------------------------------------------------------------
使用高负载ROS的技巧
如果ros的防火墙会话数很高,建议修改相应会话超时参数如下:
[admin@cddst] >ip fire conn tra pr
enabled: yes
tcp-syn-sent-timeout: 30s
tcp-syn-received-timeout: 30s
tcp-established-timeout: 120h
tcp-fin-wait-timeout: 30s
tcp-close-wait-timeout: 30s
tcp-last-ack-timeout: 30s
tcp-time-wait-timeout: 30s
tcp-close-timeout: 10s
udp-timeout: 30s
udp-stream-timeout: 3m
icmp-timeout: 30s
generic-timeout: 10m
------------------------------------------------------------------
各种下载工具 端口 和 网站IP
讯雷
端口:3076-3079
I P: 202.96.155.91, - 210.22.12.53 - 61.128.198.97

电骡
端口:4662,4661,4242
I P: 62.241.53.15
屁屁狗(PPGOU)
端口:8505
IP:219.153.0.152 - 61.145.116.186
KUGO酷狗
端口:3318 1043 4224 2371 (UDP 7000)
I P: 218.16.125.227 - 61.143.210.56 - 218.16.125.226
61.129.115.206 - 61.145.114.33
比特精灵:
端口:16881 6881-6890 8881-8890 (tcp udp)
宝酷
端口: 6346 11300
I P: 61.172.197.196- 218.1.14.3 - 218.1.14.4 - 218.1.14.9
61.172.197.209 - 61.172.197.197 - 218.1.14.5 -218.5.72.118
61.172.197.196
百事通下载工具
端口:
I P: 61.145.126.150
百度MP3下载
端口:
I P: 202.108.156.206
PTC下载工具
端口:50007
I P:
eDonkey2000下载工具
端口:4371 4662
I P: 62.241.53.15 - 62.241.53.17
Poco2005
端口:8094 2881 5354(udp src8094 和TCPdst5354drop)
I P: 61.145.118.224 - 210.192.122.147 - 207.46.196.108
卡盟
端口:3751 3753 4772 4774
I P: -211.155.224.67
维宇RealLink
端口:
I P: 211.91.135.114 - 221.233.18.180 - 61.145.119.55 - 221.3.132.99
百宝
端口: 3468
I P: 219.136.251.56 - 61.149.124.173
百花PP
端口: 5093
I P: 221.229.241.243

快递通
端口:
I P: -202.96.137.56
酷乐
端口: 6800-6801 7003
I P:218.244.45.67 - 220.169.192.145
百度下吧
端口: 11000
I P: 202.108.249.171
百兆P2P
端口: 9000
I P: 221.233.19.30
石头(OPENEXT)
端口:5467 2500 4173 10002 10003
I P:66.197.13.166 - 210.22.12.245 - 69.93.222.56
iLink 1.1
端口:5000
I P:
DDS
端口:11608
I P:210.51.168.13- 211.157.105.252- 212.179.66.17
iMesh 5
端口:4662
I P:212.179.66.17 - 212.179.66.24 - 38.117.175.23
winmx
端口:5690
I P:64.246.15.43
网酷
端口:2122
I P:211.152.22.9 - 211.152.22.101 - 221.192.132.29
PPlive网络电视
端口:UDP 4004
端口:TCP 8008
QQ直播
端口 udp 13002-13999
---------------------------------------------------------------------------
如何设置防火墙实现禁用QQ、MSN等
一、 阻断QQ的连接
新版QQ不仅仅通过UDP方式登录服务器,还能够以TCP方式登录。QQ在连接时首先向以下七个服务器的8000端口发送udp包。
sz.tencent.com 61.144.238.145
sz2.tencent.com 61.144.238.146
sz3.tencent.com 202.104.129.251
sz4.tencent.com 202.104.129.254
sz5.tencent.com 61.141.194.203
sz6.tencent.com 202.104.129.252
sz7.tencent.com 202.104.129.253
在阻断8000端口的连接后,发现QQ还会通过udp的8001和tcp的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用,所以可以基于端口来
作阻断规则。
在用防火墙阻断以上端口的数据包后,发现QQ还会通过tcp的80和443端口进行连接。如果针对这两个端口作阻断规则,会影响用户的正常上网
,所以只能对服务器的ip地址来作规则。通过试验发现了以下可通过80和443端口建立连接的QQ服务器:
218.17.217.106
219.133.40.95
219.133.40.97,
219.133.40.157,
219.133.40.177,
219.133.40.73,
219.133.40.189
218.18.95.153
218.17.209.23
202.104.129.253
218.17.209.42
在针对这些IP作阻断规则后,QQ已基本无法登录。
在试验中还发现,QQ安装目录下的Config.db文件,其中记录了QQ服务器的地址,与我们上面找到的完全符合。
因此,在用防火墙阻止用户使用QQ上网时,除了阻止tcp和udp的8000、8001端口外,还需阻断与QQ服务器的连接。下面列举了在试验中找到的
和在网上查到的QQ服务器IP:
61.141.194.203
61.144.238.145/146/149/155
61.172.249.135
65.54.229.253
202.96.170.164
202.104.129.151/251/252/253/254
211.157.38.38
218.17.209.23/42
218.17.217.106
218.18.95.153/165
219.133.40. 21/73/89/90/92/95/97/157/177/189(这个网段的服务器地址较多,可以考虑阻断整个网段)
虽然以上方法可以起到阻断QQ连接的作用,但如果腾讯增加新的QQ服务器,QQ也还是可以登录的。另外,用第三方的代理软件如NEC E-BORDER
等,支持Anonymous的Socks5代理还是可能绕过去,登陆使用QQ。
二、 阻断MSN的连接
MSN的连接在除使用常规的1863端口外,还会使用7001和80端口,因为这两个端口涉及到其他网络服务的应用,所以也只能采用阻断QQ连接的
方法,通过阻断与MSN服务器的连接,来达到用户要求。
以下列举了在试验中找到的服务器IP:
64.4.12.200/201
65.54.194.117
207.46.68.23
207.46.104.20
207.46.107.14/125
207.46.110.27/28/254
经查询,这些服务器IP都是北美地区的。
同样,如微软添加新的MSN服务器或者用户使用代理,还是可以登录MSN。
三、 阻断联众的连接
阻断联众的连接相对来说就比较容易啦。在客户端连接服务器时,首先会与服务器的2000端口建立连接(61.55.138.219:2000)。在连接建
立后,会用到服务器的1007、2001、2002、3015端口。
在试验中,只阻断了2000端口的数据包,客户端就已经无法连接服务器了
----------------------------------------------------------------------------------
封杀QQ游戏方法
name=QQ游戏服务器(北方服务器)
ip=210.22.23.14
name=QQ游戏服务器(上海)
ip=61.172.204.82
name=QQ游戏服务器(深圳)1
ip=219.133.41.17
name=QQ游戏服务器(深圳)2
ip=219.133.41.231
name=QQ游戏服务器(深圳)3
ip=219.133.41.168
name=QQ游戏服务器(深圳)4
ip=219.133.41.16
name=QQ游戏服务器(深圳)5
ip=219.133.41.47
name=QQ游戏服务器(深圳)6
ip=219.133.41.13
-----------------------------------------------------------------------------------
ROS下配置DMZ
下面将说明怎么样在网络中配置一台DMZ站点
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网
络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网
络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内
部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如下图所示。
路由器有3块网卡
CODE
[admin@gateway] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R Public ether 0 0 1500
1 R Local ether 0 0 1500
2 R DMZ-zone ether 0 0 1500
[admin@gateway] interface>
给网卡添加所有需要的ip地址
CODE
[admin@gateway] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.2/24 192.168.0.0 192.168.0.255 Public
1 10.0.0.254/24 10.0.0.0 10.0.0.255 Local
2 10.1.0.1/30 10.1.0.0 10.1.0.3 DMZ-zone
3 192.168.0.3/24 192.168.0.0 192.168.0.255 Public
[admin@gateway] ip address>
给路由器添加默认静态路由
CODE
[admin@MikroTik] ip route> print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 192.168.0.254 1 Public
1 DC 10.0.0.0/24 r 0.0.0.0 0 Local
2 DC 10.1.0.0/30 r 0.0.0.0 0 DMZ-zone
3 DC 192.168.0.0/24 r 0.0.0.0 0 Public
[admin@MikroTik] ip route>
给DMZ服务器添加ip地址10.1.0.2 ,网关地址10.1.0.1
配置dst-nat 规则,使DMZ服务器能通过192.168.0.3这个互联网地址访问
CODE
[admin@gateway] ip firewall dst-nat> add action=nat \
\... dst-address=192.168.0.3/32 to-dst-address=10.1.0.2
[admin@gateway] ip firewall dst-nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=192.168.0.3/32 action=nat to-dst-address=10.1.0.2
[admin@gateway] ip firewall dst-nat>
----------------------------------------------
限定某个IP只能访问某个网站
如限定内网IP为 192.168.1.20 仅能连接 202.116.150.245 这个IP
方法步骤:
IP-FORWARD
1 ACCEPT SRC ADD 192.168.1.20/32 DST ADD 202.116.150.245/32 PROTROCL ALL
2 DROP SRC ADD 192.168.1.20/32 DST ADD 0.0.0.0
-----------------------------------------------------------------------
防火墙规则规则封闭端口对某些网络游戏的负面影响如下:
2000端口封闭导致联众无法登陆,。其他的未知
3076-3078端口封闭导致网络游戏"传奇私服"无法进入游戏.
upd 7000端口封闭导致QQ游戏平台CS1.5无法刷新服务器,但同时又封闭了KUGO酷狗
7777端口封闭导致网络游戏“天堂2”无法进入游戏。
9898-9999端口封闭导致网络游戏“征服风云天下”无法进入游戏
10000端口封闭导致网络游戏“街头篮球”无法进入游
11000端口封闭导致网络游戏"洛奇"无法进入游戏.
13000端口封闭导致网络游戏"热血江湖"无法进入游戏.
---------------------------------------------------------
限制TCP连接包设置方法
/ip firewall filter add chain=forward protocol=tcp tcp-options=syn connection-limit=限制数目 action=drop
------------------------------------------------------------------------------------
正确设置ROS的DNS
在客户机基本有三种做法
1、 直接使用ISP 给的DNS(远程解析)
在这种情况下,无论使用ADSL或者光纤固定IP上网,ROS端均无需设置DNS服务器,就可以保证客户端正常上网。
2、 客户机的DNS使用ROS路由器的地址(本地解析)
这种情况下,一般是将路由器的内部IP地址做为DNS地址来使用的。而且大多数朋友也是这么做的。比较适合一般的C类网络。但是对于规模较大,
且数据量非常大的网络来说,一块内部网卡既要做NAT转换,又要提供DNS解析,恐怕会影响效率。解决办法是在路由中单独插一块网卡,并设置一
个IP,用它来专门负责地址解析。目前电信好像就是这么干的,用过光纤的朋友一定不陌生。
方法:
IP>>>DNS 选择“static”选项卡,点击“+”,name随便起,address填你的路由器内网IP,TTL默认。“OK”
此时应该已经存在了一个你刚刚建立的DNS服务器名,选择它,并点击“settings”,分别填写主辅DNS地址,选择“allow remote requeste” ,
如果你的网络够大并且比较繁忙(可能网吧符合这个条件),可以将cache Size稍微设置大一点,前提是你的内存要够大!最后点击“ok”
3、方法2也存在一定的不足。比如对于一些企业或有自己内网主页并启用了内部域名的朋友来说,方法2就不能满足需求了。因为当你在IE中输入
自己公司的一个内部域名,比如:[url]www.AAA.COM[/url] (对应IP:192.168.0.154 ),但是这个请求会被公网上的DNS服务器处理,并返回一个错误的页面
。怎么办呢?我的办法是在方法2的基础上,将本地DNS的IP地址指到局域网内的一台windows服务器上去,这样问题就可以得到解决。
----------------------------------------------------------------------------------------------------------
访问下面的网站!就可以查出你最理想的MTU,MSS,MRU数值 (MTU = 1500 MSS = 1460 )(MTU = 1488 MSS = 1448 )
[url]http://forums.speedguide.net:8117[/url]
[url]http://www.speedguide.net:8080[/url]
ADSL:点击Interface,点击加号PPPoE Client 修改MTU为1492(大多数是),切换Dail Out页面输入Service:(可以从ISP处获得也可以用
RASPPPoE查到。),输入用户名密码,勾上Use peer DNS,OK,查看Status页看是否连接上。如果有一些网页打不开,你ISP的MTU=1492,请在IP
>Firewall >Mangle >单击红加号 >Protocol选择TCP >Tcp Options 选择 sync >Actions选择 accept >TCP MSS:1448
[url]http://www.mikrotikrouter.cn/[/url]  routeros介绍

你可能感兴趣的:(职场,笔记,休闲,RouteOS)