ROS软路由防火墙配置规则
ROS软路由防火墙配置规则
Routeros防火墙功能非常灵活。routeros防火墙属于包过滤防火墙,你可以定义一系列的规则过滤掉发往routeros、从routeros发出、通过routeros转发的数据包。在routeros防火墙中定义了三个防火墙(过滤)链(即input、forward、output),你可以在这三个链当中定义你自己的规则。
input意思是指发往routeros自己的数据(也就是目的ip是routeros接口中的一个ip地址);
output意思是指从routeros发出去的数据(也就是数据包源ip是routeros接口中的一个ip地址);
forward意思是指通过routeros转发的(比如你内部计算机访问外部网络,数据需要通过你的routeros进行转发出去)。
禁止ping routeros,我们一般需要在input链中添加规则,因为数据包是发给routeros 的,数据包的目标ip是routeros的一个接口ip地址。(当然如果你硬是要在output里建立一条规则过滤掉icmp信息也能做到ping不通,当你ping的数据包到达routeos时,routeos能接收这个数据包并做出回应,当routeros回应给你的包要发出去的时候会检查output的规则并过滤掉回应你的包。)
在每条链中的每条规则都有目标ip,源ip,进入的接口(in interface),非常灵活的去建立规则。比如ROS禁止PING,禁止外网ping你routeros,只需要在in interface中选择你连外部网络的接口。禁止内部ping的话可以选择连你内部网络的接口。如果禁止所有的ping 的话,那么接口选择all。当然禁止ping 协议要选择icmp ,action选择drop或reject。
另外要注意的就是,icmp协议并不是就指的是ping,而是ping是使用icmp协议中的一种(我们ping 出去发送的数据包icmp协议的类型为8 代码为0,在routeros中写为icmp-options=8:0;而我们对ping做出回应icmp类型为0 代码为0),还有很多东西也属于icmp协议。打个比方,如果你禁止内部网络ping所有外部网络,可以在forward链中建立一条规则,协议为icmp,action为drop,其他默认,那么你内部网络ping不通外部任何地址,同时如果你用trancroute命令跟踪路由也跟踪不了。在做规则是要注意每一个细节。
还有就是,input,output,forward三条链在routeros中默认都是允许所有的数据。也就是除非你在规则中明确禁止,否则允许。可以通过ip firewall set input policy=drop等进行修改默认策略
ros防火墙名词解释
input - 进入路由,并且需要对其处理
forward - 路由转发
output - 经过路由处理,并且从接口出去的包
action:
1 accept:接受
add-dst-to-address-list - 把一个目标IP地址加入address-list
add-src-to-address-list - 把一个源IP地址加入address-list
2 drop - 丢弃
3 jump - 跳转,可以跳转到一个规则主题里面,如input forward,也可以跳转到某一条里面
4 log - 日志记录
5 passthrough - 忽略此条规则
6 reject - 丢弃这个包,并且发送一个ICMP回应消息
7 return - 把控制返回给jump的所在
8 tarpit - 捕获和扣留进来的TCP连接(用SYN/ACK回应进来的TCP SYN 包)
address-list (name) - 把从action=add-dst-to-address-list or action=add-src-to-address-list actions得到的IP地址放入address-list列表. 这个列表要用来对比address-list-timeout 看是什么时候用address-list parameter从address list中移走
chain (forward | input | output | name) - 使用chain得到特定列表,不同的数据流经过不同的chain规则
要仔细的选对正确的访问控制. 如果input 不是非常的确定和一个新的规则需要添加注释,
transfered through the particular connection
0的意思是无限的,例如connection-bytes=2000000-0 意思是2MB以上
connection-limit (integer | netmask) - 地址的传输流量控制
connection-mark (name) - 传输中的标记后的数据包
connection-state (estabilished | invalid | new | related) - 连接的状态(连接中,不规则的连接,新的连接,相互联系的连接)
connection-type 连接的类型(ftp | gre | h323 | irc | mms | pptp | quake3 | tftp)
content 包的内容
dst-address (IP address | netmask | IP address | IP address) - 目标地址
dst-address-list (name) - 目标地址表
dst-address-type (unicast | local | broadcast | multicast) - 目标地址类型
unicast -点对点
local - 本地地址
broadcast - 广播
multicast - 多播
dst-limit (integer | time | integer | dst-address | dst-port | src-address | time) - 目标限制
Count - 每秒最大的包数量
by Time option
Time - 时间
Burst - 突发的
Mode -等级优先
Expire - 终止
dst-port 目标端口
hotspot 暂时不做学习
icmp-options (integer | integer) - ICMP 选择
in-interface (name) - 进入接口
ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing |no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp) any - match packet with at least one of the ipv4 options
loose-source-routing - match packets with loose source routing option. This option is used toroute the internet datagram based on information supplied by the source
no-record-route - match packets with no record route option. This option is used to route the internet datagram based on information supplied by the source
no-router-alert - match packets with no router alter option
no-source-routing - match packets with no source routing option
no-timestamp - match packets with no timestamp option
record-route - match packets with record route option
router-alert - match packets with router alter option
strict-source-routing - match packets with strict source routing option
timestamp - match packets with timestamp
jump-target (forward | input | output | name) -跳转
limit (integer | time | integer) - 限制
Count - 每秒最大的包数量
Time - 突发的总时间
log-prefix (text) - 如果还有定义的字符,加入日志
out-interface (name) - 流出的接口
p2p (all-p2p | bit-torrent | blubster | direct-connect | edonkey | fasttrack | gnutella | soulseek | warez
| winmx) - P2P协议
packet-mark (text) - 给包标记
packet-size (integer: 0..65535 | integer: 0..65535) - 包大小
range in bytes
Min - 最小
Max - 最大
phys-in-interface (name) - 物理上的进入接口
phys-out-interface (name) -物理上的出去接口
protocol (ddp | egp | encap | ggp | gre | hmp | icmp | idrp-cmtp | igmp | ipencap | ipip | ipsec-ah |ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-idp | xtp | integer) -协议psd (integer | time | integer | integer) - 防止对ROS的端口扫描
random (integer: 1..99) - matches packets randomly with given propability
reject-with (icmp-admin-prohibited | icmp-echo-reply | icmp-host-prohibited |
icmp-host-unreachable | icmp-net-prohibited | icmp-network-unreachable | icmp-port-unreachable |icmp-protocol-unreachable | tcp-reset | integer) - 改变reject的回答方式routing-mark (name) - 路由标记
src-address (IP address | netmask | IP address | IP address) -源地址
src-address-list (name) -源地址列表
src-address-type (unicast | local | broadcast | multicast) - 源地址类型
src-mac-address (MAC address) - 源MAC地址
src-port (integer: 0..65535 | integer: 0..65535) - 源端口
tcp-flags (ack | cwr | ece | fin | psh | rst | syn | urg) -TCP 标志类型
ack - acknowledging data
cwr - congestion window reduced
ece - ECN-echo flag (explicit congestion notification)
fin - close connection
psh - push function
rst - drop connection
syn - new connection
urg - urgent data
tcp-mss (integer: 0..65535) - TCP MSS
time (time | time | sat | fri | thu | wed | tue | mon | sun) - allows to create filter based on the packets'
arrival time and date or, for locally generated packets, departure time and date
tos (max-reliability | max-throughput | min-cost | min-delay | normal) - specifies a match for the
value of Type of Service (ToS) field of an IP header
max-reliability - maximize reliability (ToS=4)
max-throughput - maximize throughput (ToS=8)
min-cost - minimize monetary cost (ToS=2)
min-delay - minimize delay (ToS=16)
normal - normal service (ToS=0)
:foreach i in=[/system logging facility find local=memory ] do=[/system logging facility set $i local=none]
RO防syn
ip-firewall-connections
Tracking:TCP Syn Sent Timeout:50
TCP syn received timeout:30
限线程脚本:
:for aaa from 2 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $aaa) protocol=tcp connection-limit=50,32 action=drop}
RO端口的屏蔽
ip-firewall-Filer Rules里面选择
forward的意思代表包的转发
firewall rule-General
Dst.Address:要屏蔽的端口
Protocol:tcp
Action:drop(丢弃)
ros限速
手动限速
winbox---queues----simple queues
点“+”,NAME里随便填,下面是IP地址的确定
①Target Address 不管,Dst. Address里填你要限制的内网机器的IP,比如我这里有个1号机器IP为192.168.1.101,那dst.address 里就填192.168.1.101 然后是/32(这里的32不是指掩码了,个人理解为指定的意思)!
②interface里记着要选你连接外网那个卡,我这里分了“local和public”,所以选public
③其他的不管,我们来看最重要的东西拉,Max limit ,这个东西是你限制的上限,注意的是这里的数值是比特位,比如我要限制下载的速度为500K 那么就填入多少呢?500 X 1000 X 8=400 0000=4M。
④另外,很多朋友都有个疑问,到底一般的用户会有多大流量呢?一般的网络游戏,如梦幻西游传奇封神榜等等,其下行在20Kbps以内!最耗网络资源的就是下载-----我们就是为了限制它拉,其次是VOD点播,一般DVD格式的大约要2M多吧,所以你看情况限制拉别搞的太绝!!!
限速脚本:
:for aaa from 2 to 254 do={/queue simple add name=(queue . $aaa) dst-address=(192.168.0. . $aaa) limit-at=0/0 max-limit=2000000/2000000} 说明:
aaa是变量
2 to 254是2~254
192.168.0. . $aaa是IP
上两句加起来是192.168.0.2~192.168.0.254
connection-limit=50是线程数这里为50
max-limit=2000000/2000000是上行/下行
使用:
WinBox-System-Scripts-+
Name(脚本名程)
Source(脚本)
OK-选择要运行的脚本-Run Script
ROS限速的极致应用
一般我们用ros限速只是使用了max-limit,其实ros限速可以更好的运用。比如我们希望客户打开网页时速度可以快一些,下载时速度可以慢一些。ros2.9就可以实现。
max-limit------我们最常用的地方,最大速度
burst-limit--------突破速度的最大值
burst-thershold--------突破速度的阀值
burst-time-------突破速度的时间值
解释一下图片的限制意义
当客户机在30秒(burst-time)内的平均值小于突破速度阀值(burst-thershold)180K 时,客户机的最大下载速率可以超过最大限速值(max-limit)200K,达到突破最大值(burst-limit)400K,如果30秒内平均值大于180K,那客户机的最大速度只能达到200K。
这样也就是当我们开网页时可以得到一个更大的速度400K,长时间下载时速度只能得到200K,使我们的带宽可以更有效的利用
动态限速
ROS动态限速(检测外网总速度进行限速开关)废话不说先看脚本原理:
以下操作全部在WINBOX界面里完成
介绍:可以实现在总速度不超过9M的情况下自动关闭所有生成的限速规则在总速度超过18M的时候自动启动所有生成的限速规则。
说明:在输入脚本内容时不要把两边的()带上,那个是为了区分非脚本字符。
总速度=你的外网网卡当前速度。
打开/system/scripts
脚本:
:for aaa from 1 to 254 do={/queue simple add name=(ip_ . $aaa) dst-address=(192.168.0. . $aaa) interface=wan max-limit=256000/800000 burst-limit=1000000/3000000 burst-threshold=128000/512000 burst-time=30s/1m }
上面是生成限速树,对网段内所有IP的限速列表!
下面进入正题:
脚本名:node_on
脚本内容:(:for aaa from 1 to 254 do={/queue sim en [find name=(ip_ . $aaa)]})
脚本名:node_off
脚本内容:(:for aaa from 1 to 254 do={/queue sim dis [find name=(ip_ . $aaa)]})
scripts(脚本部分)以完成
打开/tools/traffic monitor
新建:
名:node_18M traffic=received trigger=above on event=node_on threshold:18000000
新建:
名:node_9M traffic=received trigger=below on event=node_off threshold:9000000
在输入脚本内容时不要把两边的()带上,那个是为了区分非脚本字符。
RO映射
ip-firewall-Destination NA T
General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可)
Dst. Address:外网IP/32
Dst. Port:要映射的端口
Protocol:tcp(如果映射反恐的就用udp)
Action action:nat
TO Dst.Addresses:你的内网IP
TO Dst.Ports:要映射的端口
ip伪装
ip-firewall-Source NAT
Action Action:masquerade(IP伪装)
回流(因为假如说在本网吧做SF需要回流)
ip-firewall-Source NAT
在general-Src.address:192.168.0.0/24 这里特殊说明下内网ip段24代表定值不可修改
RO的IP:mac绑定
绑定:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]
解除绑定:foreach i in=[/ip arp find ] do=[/ip arp remove $i]
完了在interfaces里面选择内网在选择reply-only
RO设置的备份(两总方法)
files-file list
backup即可(可以到你的ftp里面找)
背份资料命令行:system回车
backup回车
save name=设置文件名回车
资料恢复命令
system回车
backup回车
load name=文件名回车
关于防火墙规则的简单看法
好多网友发帖询问防火墙规则的做法,看来这些朋友不常到防火墙区走动,那里面有很好的教程啊。为了帮助这些朋友,我简单地说点个人的肤浅看法。 防火墙规则,一般分为全局规则和应用程序规则两部分。 全局规则,从应用程序的角度而言,是对所有程序都起作用的规则;从协议的角度而言,是针对ARP、ICMP、IGMP、TCP、UDP等协议进行规则设置的地方。 应用程序规则,从应用程序的角度而言,只对所设定的程序起作用;从协议的角度而言,只针对传输层的TCP、UDP协议以及消息控制的ICMP协议进行设置【很多防火墙中,应用程序规则只管TCP与UDP的设置即可,毛豆这里顺带考虑ICMP】。 TCP、UDP、ICMP、IGMP数据都是打包成IP数据包的形式进行传递的,所以,当毛豆规则中选用协议为IP时,实际上就包括了TCP、UDP、ICMP、IGMP等协议的数据。 全局规则,毛豆有内部集成的处理机制,一般不建议作特别详细和严厉的设置,通常只需选择一个适合自己使用的隐身模式设置一下即可,主要的精力可以放到应用程序规则的制定上,这样可以在保证基本的安全性的前提下获得很好的易用性。 在设置应用程序规则的时候,记住一个基本原则——不要轻易放行连入。因为我们的个人电脑一般不作服务器用,不需要对外开放端口来提供服务让别人连接访问我们的电脑,我们是客户端,只需出外去连接服务器开放的端口就能浏览网页、上网站、逛论坛…… 应用程序规则的制定,围绕协议、地址和端口这三个要素进行。 当我们发起对外的连接【外出访问,连出】时,源地址是本机,目标地址是远程计算机【可能是服务器,也可能是个人电脑】。 当我们开放本机端口提供服务【接入访问,连入】时,源地址是远程计算机,目标地址是本机。 如非必要,在做规则时,一般可以不填源地址和目标地址。 【方向出,一般称为出站、出站连接、外出、连出;方向入,一般称为入站、入站连接、连入。名词虽不同,意思都是一样的】 计算机上的端口,理论上有0-65535个,按TCP和UDP协议分,则TCP端口和UDP端口各有65536个。 在这65536个端口中,0-1023的端口是固定端口【又称低端口】,是特定的系统服务占用的,如非必要,绝对不能开放低端口;从1024开始到65535止,是系统分配给应用程序使用的,称为活动端口【又称高端口】。高端口与低端口的名称,源自端口号的大小,是一种俗称。 使用TCP端口进行连接,俗称TCP连接;使用UDP端口进行连接,俗称UDP连接。TCP连接是可靠连接,网络数据传输中使用得比较多。UDP连接虽然是不可靠连接,但是传输速度较快,QQ和P2P 软件中会使用它。 【要了解各个端口的作用及对应的服务,可以下个《端口大全》之类的资料进行参考】 【本地高端口(活动端口)的选择,精确一些的话,选常用端口即可。xp的常用端口是1024-5000,vista的好像是49512-65535。一般情况下,偷懒的话,直接选满档1024-65535即可。注意,域名解析的规则,一定要选1024-65535,因为微软的补丁变来变去的,一会儿是常用端口,下一个补丁来了可能又变成50000以上的大端口】 基本东西了解,程序规则做起来就很简单。 先看系统进程: 外网的话,只须允许svchost即可,其它的可以禁止访问网络。svchost的规则如下: 1、域名解析行为允许协议UDP 方向出源端口1024-65535 目标端口53 2、DHCP服务行为允许协议UDP 方向出源端口68 目标端口67【有的规则直接写成源端口67-68,目标端口67-68,目的是同时适用于客户端与服务端】 3、时间同步行为允许协议UDP 方向出源端口123 目标端口123
MK软路由教程
网吧专用ros软路由教程(非常详细) 一:安装 1、光盘版的(转自雨纷飞大哥作品) 将iso文件刻录成可引导光盘。机器的硬盘设置为IDE0,即第一个IDE通道的主盘。 bios设置光盘引导系统,放入光盘启动机器得到如下 选择2:Install RouteOS 2.8.18后稍等,得到如下画面: 用方向键和空格选择你需要的模组功能后,按"A"全选,摁“i“键确定安装。会再次询问你继续?yes or no?,摁“Y“. 然后又问:do you want to keep lod configuraton?你需要保留旧的结构么?摁“N 然后开始自动的格式化磁盘、安装核心、安装模组。最后提示: Press ENTER to Reboot,按回车重新启动机器。 重新启动后出现图1的那个引导画面(如果没有出现而直接进了登陆界面说明用硬盘引导了):
选择3: Crack RouteOS Floppy Disk,开始破解。 破解过程都是中文的。如果你的硬盘在IDE0:0的话破解是不会有问题的。否则可能出现系统文件被破坏、启动时0123456...循环出现等问题。 问你是否重启呢。把光盘拿出来后按下Y确定重启动 重新启动后开始登陆。初始用户名admin,初始密码为空。 咦?怎么还有提示注册的信息和Soft ID? 原来是还需要一个命令激活注册补丁才可以哦: 输入命令:/system license import file-name=key 或者缩写为/sy lic i f key
然后提示你是否重新启动。按Y重新启动 重新启动并用admin:““登陆后发现,提示注册的信息已经完全消失了,现在是正式版了 现在服务器启动起来了,但是还没有任何配置,若想用winbox对其进行控制,则必须激活和配置网卡的ip 掩码等。这里我装了三块网卡,一块接电信,一块接网通,一块路由后接内网交换机。 首先看看三块网卡是否都被识别出来了,命令是: /interface print 可以缩写为 /int pri 以后用缩写不再另外注名。 结果应该如下图:
ros常用命令
ROS及其常用命令 以下部分内容来自百科 ROS也可称为是Route Operation System.意为"软件路由器". 一、什么是软件路由器? 一般认为用普通PC安装一套专用的路由器程序组成的系统称为软件路由器,486电脑+免费的软件=专业的软件路由器。 二、软件路由器技术复杂吗? 不复杂,非常简单,会用普通操作PC就可以安装软件路由器。 三、常见的软件路由器有那些? 根据使用的操作不同可以分为基于windows平台和基于Linux/bsd平台开发的软件路由器,基于Windows平台的软件防火墙比较常见的有ISA Server、Winroute Firewall等,这些软件都是商业化的,通常根据授权用户数不同收费而不同,购买正版的软件防火墙的费用对许多中小型企业来说无疑是一笔不小的开支。有而基于Unix/Linux平台的软件防火墙大家一般接触较少,受益于开放源码运行,目前基于Unix/Linux平台的软件防火墙如雨后春笋般不断推出,这些软件防火墙大多是免费的,常见的有RouterOS、m0n0Wall、SmoothWall、Ipcop、CoyoteLinux等,这些系统共有的特点是一般对硬件要求较低,甚至只需要一台486电脑,一张软盘,两块网卡就可以安装出一台非常专业的软件防火墙,这对很多有淘汰下来的低档电脑的朋友来说,意味着拿一台淘汰的电脑,安装一套免费的防火墙软件,不花一分钱就DIY出一台专业的防火墙,而且这些系统自身也包含了NAT功能,同时可以实现宽带共享,这意味着这台免费的防火墙其实也是一台出色的宽带路由器,这是多么令人激动的事情。四、软件路由器功能如何? 不同的软件路由器功能不一样,绝大部分基于Linux/bsd的免费软件路由器功能并不比商业的差,而且比商业的功能还要强大。 五、软件路由器的性能和稳定性如何? 目前常见的硬件宽带路由器,绝大部分都是用软件来实现的,跟软件路由器是一样的,而且软件路由器一般硬件配置要比硬件的宽带路由器配置高,所以某些情况下速度比几千上万元的硬件路由器稳定还要快。至于软件路由器的稳定性,受益于稳定的Linux和BSD内核,软件路由器的稳定性非常好,我见过最长时间不用重启的软件路由器,已经有一年多了。 六、制作软件路由器需要什么配件? 一台486以上,8M内存以上的普通PC,再加两块网卡就可以了,有些软件路由器如CoyoteLinux只需一张软盘就可以了,对于网卡没有特殊的要求,常见的Rtl8139 和530tx,3COM905B-TX,Intel82559 服务器网卡等都可以,不过根据我们的经验,一台工作良好的软件路由器,网卡一定要好,所以我们会推荐你使用iNTEL或3COM品牌的网卡,特别是Intel82559效果非常不错。如果经验条件许可,购买一个电子硬盘或CF-IDE转接卡再配上CF存储卡,是不错的选择,这样做出来的软件路由器,可以跟硬件的路由器相比了。七、软件路由器会淘汰硬件路由器吗? 不会,但会软件路由器会逐渐占领更多的硬件路市场,软件路由器还不能淘汰硬件路由器,它们的市场定位不同,而且在高端只有硬件路由器才能胜任,但对于一般的应用象网吧、学校、机关等用软件路由器可以获得更高的经济效益。 八、到那里可以学会软件路由器技术?
comodo防火墙规则设置
comodo防火墙规则设置 防火墙规则,一般分为全局规则和应用程序规则两部分。 1、全局规则: 从应用程序的角度而言,是对所有程序都起作用的规则;从协议的角度而言,是针对ARP、ICMP、IGMP、TCP、UDP 等协议进行规则设置的地方。 2、应用程序规则: 从应用程序的角度而言,只对所设定的程序起作用;从协议的角度而言,只针对传输层的TCP、UDP协议以及消息控 制的ICMP协议进行设置【很多防火墙中,应用程序规则只管TCP与UDP的设置即可,毛豆这里顺带考虑ICMP】。TCP、UDP、ICMP、IGMP数据都是打包成IP数据包的形式进行传递的,所以,当毛豆规则中选用协议为IP时,实际上就包括了TCP、UDP、ICMP、IGMP等协议的数据。 一、全局规则,毛豆有内部集成的处理机制,一般不建议作特别详细和严厉的设置,通常只需选择一个适合自己使用的隐身模式设置一下即可,主要的精力可以放到应用程序规则的制定上,这样可以在保证基本的安全性的前提下获得很好的易用性。在设置应用程序规则的时候,记住一个基本原则——不要轻易放行连入。因为我们的个人电脑一般不作服务器用,不需要对外开放端口来提供服务让别人连接访问我们
的电脑,我们是客户端,只需出外去连接服务器开放的端口就能浏览网页、上网站、逛论坛…… 二、应用程序规则的制定,围绕协议、地址和端口这三个要素进行。 1、当我们发起对外的连接【外出访问,连出】时,源地址是本机,目标地址是远程计算机【可能是服务器,也可能是个人电脑】。 2、当我们开放本机端口提供服务【接入访问,连入】时,源地址是远程计算机,目标地址是本机。如非必要,在做规则时,一般可以不填源地址和目标地址。【方向出,一般称为出站、出站连接、外出、连出;方向入,一般称为入站、入站连接、连入。名词虽不同,意思都是一样的】 3、计算机上的端口,理论上有0-65535个,按TCP和UDP 协议分,则TCP端口和UDP端口各有65536个。 在这65536个端口中,0-1023的端口是固定端口【又称低端口】,是特定的系统服务占用的,如非必要,绝对不能开放低端口;从1024开始到65535止,是系统分配给应用程序使用的,称为活动端口【又称高端口】。高端口与低端口的名称,源自端口号的大小,是一种俗称。使用TCP端口进行连接,俗称TCP连接;使用UDP端口进行连接,俗称UDP连接。TCP连接是可靠连接,网络数据传输中使用得比较多。UDP连接虽然是不可靠连接,但是传输速度较快,
RouterOS配置手册
MikroTik RouterOS v2.9 基本操作说明 CDNAT https://www.sodocs.net/doc/133210579.html, RouterOS应用说明 主要特征 TCP/IP协议组:
?Firewall和NAT–包状态过滤;P2P协议过滤;源和目标NAT;对源MAC、IP地址、端口、IP协议、协议(ICMP、TCP、MSS等)、接口、对内部的数据包和连接作标记、ToS 字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制... ?路由–静态路由;多线路平衡路由;基于策略的路由(在防火墙中分类); RIP v1 / v2, OSPF v2, BGP v4 ?数据流控制–能对每个IP、协议、子网、端口、防火墙标记做流量控制;支持PCQ, RED, SFQ, FIFO对列; Peer-to-Peer协议限制 ?HotSpot– HotSpot认证网关支持RADIUS验证和记录;用户可用即插即用访问网络;流量控制功能;具备防火墙功能;实时信息状态显示;自定义HTML登录页;支持iPass;支持SSL安全验证;支持广告功能。 ?点对点隧道协议–支持PPTP, PPPoE和L2TP访问控制和客户端;支持PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议;支持RADIUS验证和记录;MPPE加密;PPPoE 压缩;数据流控制;具备防火墙功能;支持PPPoE按需拨号。 ?简单隧道– IPIP隧道、EoIP隧道(Ethernet over IP) ?IPsec–支持IP安全加密AH和ESP协议; ?Proxy–支持FTP和HTTP缓存服务器;支持HTTPS代理;支持透明代理;支持SOCKS协议;DNS static entries; 支持独立的缓存驱动器;访问控制列表;支持父系代理。 ?DHCP– DHCP服务器;DHCP接力;DHCP客户端; 多DHCP网络;静态和动态DHCP租约;支持RADIUS。 ?VRRP–高效率的VRRP协议(虚拟路由冗余协议) ?UPnP–支持即插即用 ?NTP–网络对时协议服务器和客户端;同步GPS系统 ?Monitoring/Accounting– IP传输日志记录;防火墙活动记录;静态HTTP图形资源管理。 ?SNMP–只读访问 ?M3P– MikroTik分包协议,支持无线连接和以太网。 ?MNDP– MikroTik邻近探测协议;同样支持思科的CDP。 ?Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; DDNS。 二层链接 ?Wireless - IEEE802.11a/b/g wireless client和访问节点(AP);Nsetreme和Nstreme2 协议;无线分布系统(WDS);虚拟AP功能;40和104 bit WEP; WPA pre-shared key加密; 访问控制列表;RADIUS服务器验证;漫游功能(wireless客 户端); 接入点桥接功能。 ?Bridge–支持生成树协议(STP);多桥接口;桥防火墙;MAC NAT功能。 ?VLAN - IEEE802.1q Virtual LAN,支持以太网和无线连接;多VLAN支持;VLAN 桥接。 ?Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3)媒体类型;sync-PPP, Cisco HDLC, 帧中继协议; ANSI-617d (ANDI or annex D)和Q933a (CCITT or annex A) 帧中继LMI类型 ?Asynchronous–串型PPP dial-in / dial-out;PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议;RADIUS验证和记录;支持串口;modem池支持128个端 口。 ?ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议;RADIUS验证和记录;Cisco HDLC, x75i, x75ui, x75bui 队列支持。 硬件要求 ?CPU和主板–核心频率在100MHz或更高的单核心i386处理器,以及与兼容的主板。 ?RAM–最小32 MiB, 最大1 GiB; 推荐64 MiB或更高。
防火墙的基本配置原则
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
ROS软路由详细设置 图文
软路由设置
ROS 软路由设置
提示:此软件为顶级软路由软件!赶快用吧!记的要《全盘 ghost!不是分区 ghost 恢复 哦!是全盘恢复! 》 不要怀疑软路由的性能,也不用担心所谓的耗电多少。所谓的软路由耗电大,只不过是 商家搞的噱头而已。软路由完全不需要显示器、键盘鼠标。甚至,可以在 BIOS 里设置系统 启动完即关闭硬盘。 至于主板, 带集成显卡的即可。 这样的配置下来, 软路由功率仅仅 20-30 瓦左右。 软路由具有极高的性能和广泛的应用。可轻易实现双线策略、arp 绑定、限速、封杀 BT 以及网吧借线、vpn 等。尤其对有连锁网吧经营者,利用 IPIP 协议,不仅可实现借线目的, 还可象本地操作一样远程管理其他网吧。这些,一般硬路由根本无法与之比拟。 我以前对硬路由一直情有独钟,换上软路由后,对它的强大功能赞叹不已。现在利用它的内 置 VPN 技术轻易做出电信网通加速软件-南北网桥(https://www.sodocs.net/doc/133210579.html,) ,又给两家网吧试做了 IPIP 借线,在这种比较大的压力下,软路由依然运行良好。 我软路由配置:730 主板,128M 内存,早期的 AMD800 毒龙 CPU,集成显卡和一个 8139 网卡,外加两块 3C905 网卡 抓图状态:vpn 在线拨号,IPIP 二家网吧,总用户数量在 500 多。 ROS 软路由基本设置非常简单,如果只做路由转发,以下几步数分钟即可高定: 硬件准备: A. B. C. 首先下载软路由的 ghost 硬盘版,本站已经在压缩包总提供! 释放后,ghost 至一个小硬盘(20G 以下) ,注意,是整盘 GHOST 而不是分区。 将该硬盘挂在要做路由电脑上,注意必须接在第一个 IDE 并且是主硬盘接口。插上一 张网卡,这是接内网的 LAN。开机。 软件设置: 1. 2. 3. 开机,出现登陆提示。用户:admin 密码:空 输入 setup 再按两次 A 在 ether1 后面输入你的内网 IP,如:192.168.0.254/24 (这里/24 是 24 位掩码与 255.255.255.0 一样) 4. 输入完 ip 后, 按两次 x 退出, 现在可以可以 ping 通 192.168.0.254 了, 也可用 winbox
第 1 页 共 27 页
comodo教程之COMODO防火墙安简规则
comodo教程之COMODO防火墙安简规则,减少不必要的拦截提示COMODO防火墙规则使用说明by Lorchid 1、规则适用对象:拨号上网、外网用户(无线网络未测试),局域网用户请参照抓抓局域网规则; 2、规则特点: 1) 全局阻止未经允许的连入请求,开放p2p端口,阻止本机危险端口访问; 2) 设置日志过滤,减少不必要的入侵拦截提示; 3) 内置常用系统进程规则,添加常用预设规则,方便直接套用。 3、规则导入说明 导入规则之前请先将D+等级设为禁用。 1) 注册表方式导入:双击comodofw.reg导入,默认导入到配置管理中的第一个规则,不影响原有D+规则; 2) 导入配置文件:该方法仅适用于完全禁用D+的用户。在我的配置管理中选择导入...找到comodofw.cfg 确定,为规则命名并激活。 3) 规则导入后需要自行添加p2p程序开放端口。以迅雷为例,在迅雷配置bt端口设置中可以查看TCP、UDP端口,将查看到的端口对应添加到COMODO防火墙——我的端口组——P2P TCP端口和P2P UD P端口下。 4、预设规则说明: 网页浏览器:浏览器IE、FireFox、Opera等套用此规则;
邮件客户端:Foxmail等邮件客户端套用此规则; FTP客户端:FTP下载工具如FLASHFXP; P2P类型程序:一般P2P类型软件和下载工具,如迅雷、电驴、Bitcomet、pplive、pps等(注:需添加软件中开放的端口); 仅允许连出(受限):不属于上面类型的一般联网程序套用此规则(如QQ、千千静听、大部分联网游戏等),该规则比较宽松,适合绝大多数联网程序; 仅允许连出(全部):与仅允许连出(限制)不同在于允许ping出及允许连接危险端口,如程序在仅允许连出(受限)下不能正常运行请套用此规则; 完全信任程序:允许所有IP进出,但仍受全局规则制约,若联网程序套用“仅允许连出(全部)”不能正常运行请套用此规则; 绝对拦截程序:完全阻止联网,对于非联网程序及想屏蔽的更新程序适用; 绝对拦截程序(无日志):功能同绝对拦截程序,不记录日志; svchost专用:允许域名解析、DHCP服务、时间同步、UPnP及系统自动升级; 仅DNS解析:仅允许域名解析,不需要DHCP服务、时间同步、UPnP及系统自动升级时推荐svchost.e xe套用此规则(默认); 仅允许ping出:仅允许ping对方。>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
ros 常用命令
ros 常用命令 关机:system—shutdown 重启:/sy reboot /ip add pri 查看IP配置 /sy backup save name=保存的文件名 /int pri 查看网卡状态 import *.rsc 防火墙导入命令(前提是*.rsc已经放在了ROS的FTP中) /ip firewall export file=*.rsc 备份防火墙 /ip fir con print 用户:lish ps:love /ip address add address 10.0.0.1/24 interface ether1 /ip address add address 10.0.0.1 netmask 255.255.255.0 interface ether1 /set r 恢复路由初始 /sy reboot 重启路由 /sy showdown 关机 /sy ide set name=机器名设置机器名 /export 查看配置 /ip export 查看IP配置 /sy backup 回车 save name=你要设置文件名备份路由 LOAD NAME=你要设置文件名恢复备份 /interface print 查看网卡状态 0 X ether1 ether 1500 这个是网卡没有开启 0 R ether1 ether 1500 这个是正常状态 /int en 0 激活0网卡 /int di 0 禁掉0网卡 /ip fir con print 查看当前所有网络边接 /ip service set www port=81 改变www服务端口为81 /ip hotspot user add name=user1 password=1 增加用户 关于如何绑定MAC和IP 来防止IP冲突 ROS和其他代理服务器一样,有个弱点,如果内网有人把客户机IP改成和网关相同的IP(如 192.168.0.1这样的),那么过了一会,ROS的就失去了代理作用,整个网吧就会吊线。用超级管理员账号登录 ,IP-----ARP,这样可以看到一行行的 IP和MAC地址,这些就是内网有网络活动的计算机。选中一个,双击,选COPY----点OK,依次进行,全部绑定后,来到WINBOX的INTERFACE选项,双击内网网卡,在ARP选项里,选择“replay-only”至此,通过ROS绑定IP完毕,这样下面客户机只要一改IP,那么它就无法和网关进行通讯了,当然也无法使主机吊线了 RO防syn ip-firewall-connections Tracking:TCP Syn Sent Timeout:50 TCP syn received timeout:30 RO端口的屏蔽 ip-firewall-Filer Rules里面选择 forward的意思代表包的转发firewall rule-General Dst.Address:要屏蔽的端口 Protocol:tcp Action:drop(丢弃) RO限速 Queues-Simple Queues name:可以任意 Dst. Address:内网IP/32 Limit At (tx/rx) :最小传输 Max Limit (tx/rx) :最大传输 RO映射 ip-firewall-Destination NAT General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可) Dst. Address:外网IP/32 Dst. Port:要映射的端口 Protocol:tcp(如果映射反恐的就用udp) Action action:nat TO Dst.Addresses:你的内网IP TO Dst.Ports:要映射的端口
comodo防火墙使用技巧
安装Comodo前,你需要卸载其它第三方防火墙(防火墙只需要一个,两个防火墙装一起,有可能轻则不能上网,重则蓝屏死机),关闭Windows 防火墙。重启。 用杀毒软件扫描系统,保证你的系统是干净的。如果你喜欢收集病毒样本,先将这些样本用压缩软件打包。 断开网络连接,暂时停用你的一切保护,双击安装程序开始安装。 这里可以选择Advanced Firewall with Defense+ (包过滤防火墙+ HIPS),或者不需要安装HIPS,可以选择Basic Firewall(基础的包过滤防火墙)。即使这里选择安装高级防火墙,以后在使用中,也可以选择不激活Defense + 而成为一个包过滤防火墙。 我们接下来要备份默认规则,运行regedit 导出注册表:HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro 双击运行Comodo,在MISCELLANEOUS -> Manage My Configurations 用Export 导出设置。 图1 为啥备份默认规则? 因为,怕你以后胡搞瞎搞,整的连系统都进不去了,好跑到安全模式,删掉HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro,然后恢复默认规则。 右键点防火墙托盘图标,去掉Display Ballon Messages ,这个选项本来就应该去掉的,以减少对用户的打扰。 图2 在MISCELLANEOUS -> Settings -> Update 去掉Automaticlly perferm an online lookup for the unrecognized files , 以减少警告对话框弹出时间。 图3 开始菜单运行里输入services.msc 将Terminal Services 设置成手动,并且启动。 其实这里设不设置都无所谓,不过开机可以看到绿色的已启动,比还在初始化要舒服。(注:新版已修复此问题,禁用此服务也无所谓) 图4 在MISCELLANEOUS -> Settings -> Logging -> Disable Firewall logging/Disable Defense+ logging,取消记录日志,大多新人看不懂日志,不如取消,等有问题的时候再打开也不迟。 图5 安装结束,重启系统。 第四部分Defense+ 基本设置 自动检测私有网络 Comodo V3 在安装以后会自动检测本地网络连接,弹出相应的提示: 是一个带有掩码的IP地址段,比如:192.168.1.100/255.255.255.0、10.200.1.62/255.255.255.252 通常,拨号上网,只要点OK 就可以,或者勾上不自动检测;局域网如果需要共享文件,需要勾上相应的选项。 图6 完全禁用Defense+(高级防火墙和基本防火墙切换)
win7防火墙设置规则
Win7系统墙规则设置 Windows Firewall with Advanced Security (Guide for win7) 这篇文章大体上是防火墙高手stem在https://www.sodocs.net/doc/133210579.html,/showthread.php?t=239750 里面的Vista系统墙的教程。本人将其翻译成中文然后全部在win7中测试过其可靠性。而且全部例子全部用win7试验过,全部截图都是win7下自己截的,并未使用原作者的图片。我觉得这篇文章确实很好,对喜欢用系统防火墙的用户来说是一个很好的教程。希望大家有所收获。 本文分三个部分,以后还会继续翻译和添加 第一部分:win7系统墙概要 第二部分:规则建立的基本理论知识和实例 第三部分:实战,添加特殊的规则 第一部分:win7系统墙概要 位置:控制面板-windows防火墙
打开后 点击高级设置
里面默认有3种配置文件供你使用,一个是域配置文件,一个是专用配置文件,一个是公用配置文件。一个配置文件可以解释成为一个特定类型的登录点所配置的规则设置文件,他取决于你在哪里登录网络。 域:连接上一个域 专用:这是在可信网络里面使用的,如家庭的网络,资源共享是被允许的。 公用:直接连入Internet或者是不信任的网络,或者你想和网络里面的计算机隔离开来。 当你第一次连接上网络的时候,windows会检测你的网络的类型。如果是一个域的话,那么对应的配置文件会被选中。如果不是一个域,那么防火墙会有一个弹窗,让你选中是“公用的”还是“专用的”,这样你就能决定使用哪个配置文件。如果你在选择后改变了主意,想改变其,那么你就得去“网络和共享”那里。这我们会在后面提到。 在我们进一步深入之前,我们得学会怎样进行出站控制。 选中高级设置图片中的属性(上图打框的那里)
金山词霸2010牛津旗舰破解版最完美的使用方案
【可更新一年】【10.31最新更新】金山词霸2010牛津旗舰破解版【最完美的】的使用方案【新增卡巴防火墙设置方法】2010-10-26 18:51 牛逼的词典,主要是喜欢6本牛津还有他的真人发音,英音的女声实在是非常好听,但是目前网上的破解的结果:不是缺少4本牛津词典就是过一会就只剩下两本毫无用处的英汉词典,还有甚至一打上补丁立即就剩下两本词典,而且局域网,无网用户无法使用。 本文的破解方法最终能达到的效果是 ★146本词典一本不少(原本是147本,但是七国词典中的韩语词典可能由于某种原因被撤了,正版也是这样) ★适用所有用户,包括无网用户,理论上30天试用过期用户也可以使用。 ★可以离线真人发音 ★可以联网查词,可以更新,不影响破解效果 ★请先阅读本文内容 1破解原理部分关键文件的作用主要起抛砖引玉的作用(只求使用的用户可跳过这部分)2有网用户破解的详细操作过程+comodo防火墙设置方法 3无网用户及过期用户破解的详细操作过程 4关于离线使用词典查词和真人发音 5改进 6win7 win2008系统防火墙设置方法 7★词库更新一年的方法 8卡巴2011 套装防火墙设置方法 ★(10.31日更新)必读 词库可更新一年,完全破除目前只能更新一个月的现状(请先阅读文章最后第7部分)★CBpassport 杀软报毒。因为是破解的嘛,报毒很正常,关掉杀软就好了,或把它加到信任。 ★IE9beta 与词霸冲突,会造成取词框变透明,请卸载IE9beta 等待正式版 ————————————————————我是分割线——————————————————————— 1★破解原理部分(10.25日更新的,目前看来有些地方是错误的,不过,与破解步骤无关,因此不做变更)
防火墙的分类
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 2.应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 3.代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。 代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信
网吧专用Ros软路由+Winbox教程(图)
网吧专用Ros软路由+Winbox教程(图) 一:安装 1、光盘版的(转自雨纷飞大哥作品) 将iso文件刻录成可引导光盘。机器的硬盘设置为IDE0,即第一个IDE通道的主盘。bios设置光盘引导系统,放入光盘启动机器得到如下 选择 2:Install RouteOS 2.8.18后稍等,得到如下画面: 用方向键和空格选择你需要的模组功能后,按"A"全选,摁“i“键确定安装。会再次询问你继续?yes or no?,摁“Y“. 然后又问:do you want to keep lod configuraton?你需要保留旧的结构么?摁“N
然后开始自动的格式化磁盘、安装核心、安装模组。最后提示: Press ENTER to Reboot,按回车重新启动机器。 重新启动后出现图1的那个引导画面(如果没有出现而直接进了登陆界面说明用硬盘引导了):
选择3: Crack RouteOS Floppy Disk,开始破解。 破解过程都是中文的。如果你的硬盘在IDE0:0的话破解是不会有问题的。否则可能出现系统文件被破坏、启动时0123456...循环出现等问题。 问你是否重启呢。把光盘拿出来后按下Y确定重启动
重新启动后开始登陆。初始用户名admin,初始密码为空。 咦?怎么还有提示注册的信息和Soft ID? 原来是还需要一个命令激活注册补丁才可以哦: 输入命令:/system license import file-name=key 或者缩写为/sy lic i f key 然后提示你是否重新启动。按Y重新启动 重新启动并用admin:““登陆后发现,提示注册的信息已经完全消失了,现在是正式版了
防火墙安全规则和配置
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信 息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问 控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、 应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两 种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。 试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换 机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道,Internet 技术是基丁IP协议的技术,所有的信息通信都 是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的 IP地址。因此,当一个网络需要接入Inte rnet的时候,需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时,网络中的每一台设备都有一个I nternet 地址,这在实行各种Internet 应用上当然是最理想不过的。但 是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备 攻击,同时由丁I nternet目前采用的IPV4协议在网络发展到现在,所 剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP 地址,这几乎是不可能的事情。 采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公 有Internet 地址,用户的访问将会映射到IP池中IP的一个端口上去, 这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网
路地址信息,使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能: 1、部地址与出口地址的——对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其 中部地址的端口号为随机产生的大丁1024的,而外部主机端口号为公认 的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任 意数量的部主机到外网。 具体配置:由丁实验用的是ISDN拨号上网,在internet 上只能随机获得出口地址,所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound
ros软路由教程(非常详细)
一:安装 1、光盘版的(转自雨纷飞大哥作品) 将iso文件刻录成可引导光盘。机器的硬盘设置为IDE0,即第一个IDE通道的主盘。 bios设置光盘引导系统,放入光盘启动机器得到如下 选择 2:Install RouteOS 2.8.18后稍等,得到如下画面: 用方向键和空格选择你需要的模组功能后,按"A"全选,摁“i“键确定安装。会再次询问你继续?yes or no?,摁“Y“. 然后又问:do you want to keep lod configuraton?你需要保留旧的结构么?摁“N 然后开始自动的格式化磁盘、安装核心、安装模组。最后提示: Press ENTER to Reboot,按回车重新启动机器。
重新启动后出现图1的那个引导画面(如果没有出现而直接进了登陆界面说明用硬盘引导了): 选择3: Crack RouteOS Floppy Disk,开始破解。
破解过程都是中文的。如果你的硬盘在IDE0:0的话破解是不会有问题的。否则可能出现系统文件被破坏、启动时0123456...循环出现等问题。 问你是否重启呢。把光盘拿出来后按下Y确定重启动 重新启动后开始登陆。初始用户名admin,初始密码为空。 咦?怎么还有提示注册的信息和Soft ID? 原来是还需要一个命令激活注册补丁才可以哦: 输入命令:/system license import file-name=key 或者缩写为/sy lic i f key 然后提示你是否重新启动。按Y重新启动 重新启动并用admin:““登陆后发现,提示注册的信息已经完全消失了,现在是正式版了