谈一下防二级路由的方法

网上好多前辈说的几种方法 我只是在实践中总结下
希望对大家有用,内网PPPOE 上网方式下。

第一,最简单的 修改加密方式,PPPOE/PPPOE SUEVERS/你的PPPOE服务中。看下图
1.jpg 
4个加密方式,只留下面两个,要想效果更理想,就只留最后一个。
此方法会造成路由器拨不上号,或者拨上一分钟左右掉线(我没找到设置或修改这个掉线时间的地方,如果有人知道,
请在下面留贴,会让这个方法更理想)
缺点,留两个 有的路由器不受影响 特别是无线路由器
留一个有的PC拨不上号,(大部分正常)安装的时候需要手动设置PC宽带连接的加密方式,
或者在限速模板中另外给不正常的PC建立一个不用必须加密的新模板路径为PPPOE/PROFILES/你的模版中/use encr/选NO,看图
2.jpg 
第二,修改TTL 方法为

/ip fi man
add action=change-ttl chain=forward comment="" disabled=no new-ttl=set:64
add action=change-ttl chain=forward comment="" disabled=no dst-address=\
    10.0.0.0/16 new-ttl=set:0
这里的10.0.0.0/16改为你内网的ip



下面是原理
根据一般路由器ttl-1的原理(根据百度百科的解释)
TTL 百科名片

TTL是IP协议包中的一个值,它告诉网络,数据包在网络中的时间是否太长而应被丢弃。有很多原因使包在一定时间内不能被传递到目的地。解决方法就是在一段时间后丢弃这个包,然后给发送者一个报文,由发送者决定是否要重发。TTL的初值通常是系统缺省值,是包头中的8位的域。TTL的最初设想是确定一个时间范围,超过此时间就把包丢弃。由于每个路由器都至少要把TTL域减一,TTL通常表示包在被丢弃前最多能经过的路由器个数。当记数到0时,路由器决定丢弃该包,并发送一个ICMP报文给最初的发送者。
根据这个原理把下载时收到的数据包改为0.如果是用路由器的他将发送-1给下级。而-1是不允许的。所以用路由的能拨上号但上不了网
这种方法如果下级路由是用ros的话或可以修改ttl值的路由都能破解。
此方法无论是固定ip还是拨号都有效果。

此方法的效果就是能拨上号 但是打不开网页,可与方法一共用,

方法三,是手动。在前两个方法都用的情况下,路径PPP/ACTIVE/查看ENCODING项,空白的为路由器,看图

3.jpg



然后SYSTEM/SCHEDULER/新建一个,看图

12.jpg



将字母全部用大写输入并放在Scheduler中3s执行一次:
/ppp active remove [/ppp active find caller-id=F8:D1:11:EF:36:0B]

此方法会三秒踢路由用户一次,缺点就是人家该路由MAC 就可以了

可以配合用户绑定MAC使用,效果立竿见影。





此方法还可以更完美,/ppp active remove [/ppp active find name="用户名" && encoding=""]
或者/ppp active remove [/ppp active find encoding=""]
上面的是针对一个用户  下面的是全杀    这个弥补了第一种方法 掉线间隔太长的缺陷
让加密方式不对的用户(即使用路由的用户)3秒掉一次线 

备注:命令中请用小写字母,不知道是版本原因还是别的  大写字母不执行。


你可能感兴趣的:(action,forward,comment,无线路由器,宽带连接)