ROS做NAT的应用配置
NAT在IPV4的时代应用很广泛,它是解决IPV4地址资源紧张的权宜之计。我相信,每个单位都在使用着NAT功能。
在思科等路由器中,配置NAT时,有几个重要因素:指定内部外部接口、指定内要NAT的地址列表、指定转换后的地址列表等。在接口配置模式下输入ipnat inside或ipnat outside,指明内部接口和外部接口后,路由器就知道地址翻译应该发生在数据包流经哪个接口时进行地址转换;全局模式下,ipnat inside xxx 是对内部地址(包括内部私有和内部全局地址)进行转换,ipnat outside xxx 是对外部地址(一般只有外部全局地址)进行转换;ipnat inside source xxx 是对数据包的源地址进行转换;ipnatinsde destination xxx 是对数据包的目的地址进行转换。
比如,内部(私有地址)到外部网络的访问,此时需要将数据包的源地址(内部私有地址)转换为内部全局地址,进行的是内部地址转换(内部私有地址转换为内部全局地址),因此使用的是:ipnat inside source xxx 。
比如,外部PC通过内部全局地址来访问内部的某台服务器(内部私有地址),此时需要将数据包的目的地址(内部全局地址)转换为内部私有地址,进行的是内部目标地址的转换,因此使用的命令是:ipnat inside destination。
言归正传,下面我们来说明ROS中NAT时指明IP或接口和不指明时的差异:
看如下拓扑:
内部有一台FTP服务器,在ROS上通过NAT映射到外部192.168.202.133地址。外部192.168.202.1访问192.168.202.133 21端口,在FTP服务器上可以看到三种连接来源,如下图示:
也就是说,到达FTP服务器的数据包的源IP地址可能是ROS的LAN接口IP、ROS的WAN接口IP、外部访问者的IP。
下面我们一一来查看各种情况的ROS上的NAT配置:
一:FTP服务器上看到用户会话连接方为172.16.0.1(ROS的LAN接口IP)时的ROS配置:
DSTNAT:dst address为ROS的WAN口IP
SRCNAT:将内部地址伪装
此配置的特点是:使用masquerade(伪装),不指定要NAT的源IP地址列表,也不指定In Interface和Out Interface。二:FTP服务器上看到用户会话连接方为192.168.202.133(ROS的WAN接IP)时的ROS配置:DSTNAT和上面的一样,只有SRCNAT不一样:
此配置的特点是:SRCNAT时使用Src-Nat ACTION,将内部要NAT的地址映射为ROS的WAN口IP,不指定要映射的src address,也不指定要映射的In Interface和Out Interface。
三:FTP服务器上看到用户会话连接方为192.168.202.1(FTP客户端IP)时的ROS配置:
DSTNAT和上面的一样,只有SRCNAT不一样:
指定SNAT时Out Interface接口
下面将上述结果进行理论分析:
nat介绍
网络地址翻译是一种允许本地网络主机使用一段IP 地址进行本地通信,使用另一段IP 地址进行外部通信的因特网标准。一个使用网络地址翻译的局域网就被称为nat ted(已翻译)网络。为了使网络地址翻译进行工作必须在每个nat ted网络都有一个nat网关。nat网关的作用就是在数据包进/出局域网时重写IP 地址的作用。
输出数据包转换的示例:
elan117,如果您要查看本帖隐藏内容请回复
网络地址翻译包括两种类型:
-- 源网络地址翻译或者src nat。这种类型的网络地址翻译工作在从一个nat ted网络产生的数据包上。nat路由器在IP 包通过它的时候用一个新的公网IP 地址代替了其私有源地址。相反的操作适用于响应包从相反方向通过路
由器时。
-- 目标网络地址翻译或者dst nat。这种类型的网络地址翻译工作在到达一个nat ted网络的数据包上。它通常用于使一个私有网络上的主机能够被因特网访问。dst nat路由器在IP 包通过该路由器到达私有网络时替换了IP 包的
目标IP 地址。
nat缺点
在一个使用了网络地址翻译的路由器背后的主机并不拥有真实的端对端的连接。因此一些因特网协议就不在有网络地址翻译的情况下工作。一些来私有用网络外部或者无连接协议如UDP 协议且需要TCP 连接初始化的服务将被打断。此外,一些协议内在与NAT 不兼容,一个鲜明的事例就是IPsec 中的AH 协议。
重定向与伪装
重定向和伪装分别是目的nat和源nat的特殊形式。重定向类似与普通的目的网络地址翻译就好比伪装类似与源网络地址翻译——伪装是一种不需要指定to-addresses 的源网络地址翻译的特殊形式——对外接口地址将被自动使用。重定向同理——进入接口地址将被使用。注意,to-ports 对于重定向规则来说很有意义——这就是在路由器
当数据包进行了目的网络地址翻译(dst-nat)时(不论action=nat或者action=redirect),目的地址都将改变。有关地址翻译的任何信息(包括初始的目的地址)将被保存在路由器的内部维护表。当web 请求被重定性到路由器的代理端口时,工作在路由器上的透明web 代理将访问从内部表这个信息并从其中取得web 服务器的地址。如果你正在对几个不同的代理服务器进行目的网络地址翻译,那你将不会从IP 包头找到web 服务器的地址,因为IP 包的目的地址之前是web 服务器的地址但现在已经变成了代理服务器的地址。从HTTP/1.1 开始在HTTP 请求中出现了特殊的可以告知web 服务器地址的包头,于是代理服务器使用它取代了IP 包的目的地址。如果没有这样的包头(如:老版本的HTTP),代理服务器将不能确定web 服务器地址也将无法工作。
这也就是说,对HTTP 流从一个路由器到其他一些透明代理服务器进行正确的透明的重定向是有可能的。只有在路由器本身添加透明代理并配置才是正确的方法,因此你的―真实的‖代理就是上级代理。这种情况下你的―真实的‖代理再也不用是透明的,因为在路由器上的代理将成为透明的并将向―真正的‖代理转交代理方式请求(根据标准,
这些请求包括了所有必须的web 服务器信息)。
属性描述
action (accept | add-dst-to-address-list | add-src-to-address-list | dst-nat | jump | log | masquerade | netmap | passthrough | redirect | return | same | src-nat; 默认: accept) -如果数据包与规则匹配action 将启用
accept - 接收数据包。不进行任何动作。例如:数据包通过而且没有其他任何适用于它的规则
add-dst-to-address-list - 向address-list 参数指定的地址表中添加IP 包的目的地址add-src-to-address-list - 向
address-list 参数指定的地址表中添加IP 包的源地址
dst-nat - 用to-addresses 及to-ports 参数指定的变量取代IP 包的目的地址
jump - 跳转到由jump-target 参数指定的链
log - action 的每个匹配都将对系统日志添加一条消息
masquerade - 以一个路由策略自动分配的IP 地址取代IP 包的源地址
passthrough - 忽略次条规则并转到下一个规则
redirect - 把IP 包的目的地址替换成一个路由器的本地地址
return -返回到跳转发生的链
same - 从允许范围内分配给特定客户每个连接相同的源/目的IP 地址。这种情况通常用于来自期望相同客户的相
同客户地址对多重连接的服务。
src-nat - 把IP 包的源地址替换成由to-addresses 和to-ports 参数指定的值
address-list (名称) -指定地址列表的名称以收集使用了action=add-dst-to-address-list 或
action=add-src-to-address-list 动作规则的IP 地址。
address-list-timeout (时间; 默认: 00:00:00) - 在address-list 参数指定的地址列表删除地址之后的时间间隔。与add-dst-to-address-list 或add-src-to-address-list 动作一起起使用
00:00:00 - 从地址列表中永久删除
chain (dst nat | src nat | name) –选择或者定义一个规则的链。由于不同的数据流通过不同的链,所以为新规则选择正确的链必须很小心。如果输入一个与默认链名(src nat和dst nat)不匹配,那么会生产一个新的链。
dst nat - 在这个链中的规则会在路由前被应用。代替IP 包目的地址的规则应放在这里。src nat - 在这个链中的规则会在路由后被应用。代替IP 包源地址的规则应放在这里。comment (文本) - 对规则的描述性注解。一条注解
能被用于从脚本中识别规则。
connection-bytes (整型-整型) - 当且仅当一定给定量字节从特定连接传输时与数据包进行匹配。
0 - 代表无穷大。例如:connection-bytes=2000000-0 如果大于2MB 数据从相关连接传输就与规则匹配。
connection-mark (名称) - 与通过mangle 机制标记的特定连接数据包进行匹配
connection-type (ftp | gre | h323 | irc | mms | pptp | quake3 | tftp) - 与基于连接跟踪助手信息的相关连接的包进行匹配。相关连接助手必须在/ip firewall service-port 下启用
content (文本) - 文本数据包必须按顺序排列以与匹配规则 dst-address (IP 地址/掩码| IP address-IP address) - 指定IP 包的目的地址范围address/netmask –对合法网络地址的换算,例如:1.1.1.1/24 被转换为1.1.1.0/24
dst-address-list (名称) - 在用户自定义的地址列表中匹配数据包的目的地址
dst-address-type (unicast | local | broadcast | multicast) - 在IP 包的目的地址类型中匹配其中之一
unicast - 用于点对点传输的IP 地址。这种情况仅限于一个发送者和一个接受者
local -与分配到路由器接口的地址匹配
broadcast - 这个IP 包从IP 子网的一个点到其他所有点发送信号
multicast - 这种类型的IP 地址负责从一个或多个点到其他一系列点的传输
dst-limit (整型/时间{0,1},整型, dst-address | dst-port | src-address{+},time{0,1}) - 在每个目的IP 或者每个目的端口库上限制每秒数据包绿(pps)。与limit 匹配相反,每个目的IP 地址/目的端口都有自己的限度。其选项
如下(按出现次序):
Count - 最大平均包率。以pps衡量,除非跟随在Time 选项之后。
Time - 指定包率衡量的时间间隔Burst - 以成组方式匹配的包数量Mode - 包率限制分类方式
Expire - 指定已记录的IP 地址/端口将被删除的过期时间,时间间隔。
dst-port (整型: 0..65535-整型: 0..65535{*}) - 目的端口数或范围
被取消。
from-client - 如果一个包来自于HotSpot客户则为真
auth - 如果一个包来自验证用户则为真
local-dst - 如果一个包拥有本地目的IP 地址则为真
icmp-options (整型:整型) - 与ICMP 的Type:Code域匹配
in-interface (name) - interface the packet has entered the router through
ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing
| no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp) - 与ipv4
标题选项匹配
any - 与ipv4 选项中至少一个匹配
loose-source-routing - 与发射源路由选项的包进行匹配。次选项一般用于路由基于源提供信息的因特网数据报
no-record-route - 以无记录路由选项匹配包。次选项一般用于路由基于源提供信息的因特网数据报
no-router-alert - 以无路由警报选项匹配包no-source-routing - 以无源路由选项匹配包no-timestamp - 以无时间印章选项匹配包record-route - 以记录路由选项匹配包router-alert - 以路由警报选项匹配包
strict-source-routing - 以严密的源路由选项匹配包
timestamp - 以时间印章选项匹配包
Count - 最大平均包率。以pps衡量,除非跟随在Time 选项之后。
Time - 指定包率衡量的时间间隔
Burst - 以成组方式匹配的包数量
log-prefix (文本) - 所有写入日志的信息都包含次中指定的前缀。与action=log 一起使用。
nth (整型, 整型: 0..15,整型{0,1}) - 与特定的由规则获取的第N 个包匹配。16 个可用计数器之一可被用来计算
包数
Every - 匹配每第Every+1 个包。例如:如果Every=1 那么规则匹配每第二个包
Counter - 指定要使用的计数器。
Packet - 以给定包的数量进行匹配。显然地,这个值必须在0 和Every 之间。如果这个选项用于一个给定的计数器,那么在这个选项里必须至少有Every+1 个规则,以包含所有在0 和Every 之间的值
out-interface (name) - 离开路由器的包的接口
packet-size (整型: 0..65535-整型: 0..65535{0,1}) - 按字节匹配指定大小或大小范围的包
Min - 指定大小范围或独立的值的下限
Max - 指定大小范围的上限
phys-in-interface (name) -与添加到一个桥设备的桥端口物理输入设备匹配。仅在数据包从桥到达并通过路由器时
有用
phys-out-interface (name) - 与添加到一个桥设备的桥端口物理输出设备匹配。仅在数据包从桥离开路由器时有用
| ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-idp | xtp | 整型) - 与由协议名称或编号指定的特定IP 协议匹配。如果你想指定端口就应该进行这个配置。
psd (整型,时间,整型,整型) - 试图探测TCP 及UDP 扫描。建议对高号码端口分配低权重以减少被误判的频
率,例如来自被动模式的FTP 迁移
WeightThreshold - 来自不同主机且被作为端口扫描序列的带有不同目的端口的最新的TCP/UDP 包的总权重值
DelayThreshold - 来自同意主机且被当作可能端口扫描子序列带有不同目的端口的包延迟
LowPortWeight - 特权目的端口(<=1024)的数据包权重值HighPortWeight –非特权目的端口(<=1024)的数据
包权重值random (整型) - 以给定概率随机匹配包
routing-mark (name) - 对mangle 标记的特定路由的包进行匹配
same-not-by-dst (yes | no) - 当选择要与action=same 规则匹配的包的新源IP 地址时指定是否对目的IP 地址
进行计数
src-address (IP 地址/子网掩码| IP 地址- IP 地址) - 指定源IP 包产生的地址范围。
src-address-list (name) - 与用户定义的地址列表中的数据包源地址匹配
src-address-type (unicast | local | broadcast | multicast) - 与IP 包的源地址类型中的一个匹配
unicast - 用于点对点传输的IP 地址。这种情况仅限于一个发送者和一个接受者
local -与分配到路由器接口的地址匹配
broadcast - 这个IP 包从IP 子网的一个点到其他所有点发送信号multicast - 这种类型的IP 地址负责从一个或多个点到其他一系列点的传输src-mac-address (MAC address) - 源MAC 地址
tcp-mss (整型: 0..65535) - 与IP 包的TCP MSS 值匹配
time (时间-时间,sat | fri | thu | wed | tue | mon | sun{+}) - 允许产生基于数据包到达时间和日期的过滤器,或
者对于本地产生的数据包的离开时间和日期
to-addresses (IP address-IP address{0,1}; default: 0.0.0.0) -取代初始IP 包地址的地址或地址范围to-ports (整型: 0..65535-整型: 0..65535{0,1}) - 取代初始IP 包端口的端口或端口范围
tos (max-reliability | max-throughput | min-cost | min-delay | normal) - 对IP 头服务类型(ToS)域的值指定一
个匹配
max-reliability –最大的可靠性(ToS=4) max-throughput –最大的吞吐量(ToS=8) min-cost –最低的成本代价
(ToS=2)
min-delay –最小的延迟(ToS=16)
normal –普通服务(ToS=0)
华为防火墙NAT配置命令
私网用户通过NAPT方式访问Internet (备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。) 本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。组网需求 如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图 配置思路 1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。 2.配置安全策略,允许私网指定网段访问Internet。 3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP 地址访问Internet。 4.配置黑洞路由,防止产生路由环路。
操作步骤 1.配置USG9000的接口IP地址,并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。
MK软路由教程
网吧专用ros软路由教程(非常详细) 一:安装 1、光盘版的(转自雨纷飞大哥作品) 将iso文件刻录成可引导光盘。机器的硬盘设置为IDE0,即第一个IDE通道的主盘。 bios设置光盘引导系统,放入光盘启动机器得到如下 选择2:Install RouteOS 2.8.18后稍等,得到如下画面: 用方向键和空格选择你需要的模组功能后,按"A"全选,摁“i“键确定安装。会再次询问你继续?yes or no?,摁“Y“. 然后又问:do you want to keep lod configuraton?你需要保留旧的结构么?摁“N 然后开始自动的格式化磁盘、安装核心、安装模组。最后提示: Press ENTER to Reboot,按回车重新启动机器。 重新启动后出现图1的那个引导画面(如果没有出现而直接进了登陆界面说明用硬盘引导了):
选择3: Crack RouteOS Floppy Disk,开始破解。 破解过程都是中文的。如果你的硬盘在IDE0:0的话破解是不会有问题的。否则可能出现系统文件被破坏、启动时0123456...循环出现等问题。 问你是否重启呢。把光盘拿出来后按下Y确定重启动 重新启动后开始登陆。初始用户名admin,初始密码为空。 咦?怎么还有提示注册的信息和Soft ID? 原来是还需要一个命令激活注册补丁才可以哦: 输入命令:/system license import file-name=key 或者缩写为/sy lic i f key
然后提示你是否重新启动。按Y重新启动 重新启动并用admin:““登陆后发现,提示注册的信息已经完全消失了,现在是正式版了 现在服务器启动起来了,但是还没有任何配置,若想用winbox对其进行控制,则必须激活和配置网卡的ip 掩码等。这里我装了三块网卡,一块接电信,一块接网通,一块路由后接内网交换机。 首先看看三块网卡是否都被识别出来了,命令是: /interface print 可以缩写为 /int pri 以后用缩写不再另外注名。 结果应该如下图:
ros常用命令
ROS及其常用命令 以下部分内容来自百科 ROS也可称为是Route Operation System.意为"软件路由器". 一、什么是软件路由器? 一般认为用普通PC安装一套专用的路由器程序组成的系统称为软件路由器,486电脑+免费的软件=专业的软件路由器。 二、软件路由器技术复杂吗? 不复杂,非常简单,会用普通操作PC就可以安装软件路由器。 三、常见的软件路由器有那些? 根据使用的操作不同可以分为基于windows平台和基于Linux/bsd平台开发的软件路由器,基于Windows平台的软件防火墙比较常见的有ISA Server、Winroute Firewall等,这些软件都是商业化的,通常根据授权用户数不同收费而不同,购买正版的软件防火墙的费用对许多中小型企业来说无疑是一笔不小的开支。有而基于Unix/Linux平台的软件防火墙大家一般接触较少,受益于开放源码运行,目前基于Unix/Linux平台的软件防火墙如雨后春笋般不断推出,这些软件防火墙大多是免费的,常见的有RouterOS、m0n0Wall、SmoothWall、Ipcop、CoyoteLinux等,这些系统共有的特点是一般对硬件要求较低,甚至只需要一台486电脑,一张软盘,两块网卡就可以安装出一台非常专业的软件防火墙,这对很多有淘汰下来的低档电脑的朋友来说,意味着拿一台淘汰的电脑,安装一套免费的防火墙软件,不花一分钱就DIY出一台专业的防火墙,而且这些系统自身也包含了NAT功能,同时可以实现宽带共享,这意味着这台免费的防火墙其实也是一台出色的宽带路由器,这是多么令人激动的事情。四、软件路由器功能如何? 不同的软件路由器功能不一样,绝大部分基于Linux/bsd的免费软件路由器功能并不比商业的差,而且比商业的功能还要强大。 五、软件路由器的性能和稳定性如何? 目前常见的硬件宽带路由器,绝大部分都是用软件来实现的,跟软件路由器是一样的,而且软件路由器一般硬件配置要比硬件的宽带路由器配置高,所以某些情况下速度比几千上万元的硬件路由器稳定还要快。至于软件路由器的稳定性,受益于稳定的Linux和BSD内核,软件路由器的稳定性非常好,我见过最长时间不用重启的软件路由器,已经有一年多了。 六、制作软件路由器需要什么配件? 一台486以上,8M内存以上的普通PC,再加两块网卡就可以了,有些软件路由器如CoyoteLinux只需一张软盘就可以了,对于网卡没有特殊的要求,常见的Rtl8139 和530tx,3COM905B-TX,Intel82559 服务器网卡等都可以,不过根据我们的经验,一台工作良好的软件路由器,网卡一定要好,所以我们会推荐你使用iNTEL或3COM品牌的网卡,特别是Intel82559效果非常不错。如果经验条件许可,购买一个电子硬盘或CF-IDE转接卡再配上CF存储卡,是不错的选择,这样做出来的软件路由器,可以跟硬件的路由器相比了。七、软件路由器会淘汰硬件路由器吗? 不会,但会软件路由器会逐渐占领更多的硬件路市场,软件路由器还不能淘汰硬件路由器,它们的市场定位不同,而且在高端只有硬件路由器才能胜任,但对于一般的应用象网吧、学校、机关等用软件路由器可以获得更高的经济效益。 八、到那里可以学会软件路由器技术?
RouterOS软路由安装及配置
RouterOS 软路由安装与设置 一、版本选择 推荐安装RouterOS 2.9.2.7或者RouterOS 3.2 选择理由: 以上版本都是比较稳定的,根据自己的硬件配置和需要选择。如果硬件配置较低请选择 二、系统安装 1、基本安装过程如下: 根据需要选择安装组件,如果没有正确选择,也可在以后使用过程中添加或删除组件。用TAB键移动选项,用空格键确定选择,按I键开始安装。 不保留原有配置,硬盘上的所有数据被删除,重建分区并格式化后开始安装,完成后按ENTER重新启动机器。 启动完成后的界面。 2、组件的添加和删除(参考后面的安装DHCP和PPP组件过程) 三、IP地址设置 这里用setup进行配置,也可用其他方式进行。 输入a,输入IP地址,格式如:;输入g,设置默认网关地址。 设置IP和网关完成后的界面。 四、Winbox的设置 输入网卡的IP地址,登录到ROS。下载Winbox,输入ROS的IP地址、用户名和密码登录到Winbox。如下图: 登录winbox,填写IP、用户名和密码。 登录到ros的winbox界面。 四、路由设置
为了管理方便,我们可以把网卡接口名称做修改。如:内网卡为LAN,外网卡为WAN。 相应的IP地址也做了修改。 在IP--Routes中,设置路由,即网关地址。 五、NAT设置 选择IP--Firewall,添加一条NAT规则。 做源地址srcnat的地址欺骗maquerade。也可以指定源地址和输出接口,如源地址:,输出接口:WAN。 这样一条新建的NAT规则就建好了。 六、DNS缓存 安装DNS缓存以后,可一定程度上提高客户机的访问速度,如果ROS的硬盘不稳定也可以不设置DNS缓存。 选择IP---DNS,设置主辅DNS地址,并选择“允许远程请求”,也可以适当更改缓存大小,范围为512--10240KiB。 添加一条静态DNS规则,填写内网卡地址。 七、DHCP和PPP组件的添加 将ROS光盘中的相关文件dhcp- ,复制到ROS的FTP中。 登录形式如.100,用户名和密码为ROS的登录账号和密码。登录后,粘贴文件即可。 将ROS重启,系统自动安装相关组件。 七、DHCP设置 1、外网接入 选择IP---DHCP Client,添加新的DHCP客户端即可,注意接口选择外网卡。这样系统自动获得IP地址和路由地址。 2、内网IP分配 选择IP---DHCP Server,设置新的DHCP服务端即可。 点击Setup进行设置DHCP Server,选择内网卡接口。 设置DHCP工作的网段。 设置客户机IP网关地址。 设置DHCP分配的地址段。
华为_MSR路由器_教育网双出口NAT服务器的典型配置
华为 MSR路由器教育网双出口NAT服务器的典型配置 一、组网需求: MSR 的 G0/0 连接某学校内网, G5/0 连接电信出口, G5/1 连接教育网出口,路由配置:访问教育网地址通过 G5/1 出去,其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校 一、组网需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是https://www.sodocs.net/doc/863184503.html,,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、组网图:
三、配置步骤: 适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。
四、配置关键点: 1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现; 2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去; 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策
RouterOS配置手册
MikroTik RouterOS v2.9 基本操作说明 CDNAT https://www.sodocs.net/doc/863184503.html, RouterOS应用说明 主要特征 TCP/IP协议组:
?Firewall和NAT–包状态过滤;P2P协议过滤;源和目标NAT;对源MAC、IP地址、端口、IP协议、协议(ICMP、TCP、MSS等)、接口、对内部的数据包和连接作标记、ToS 字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制... ?路由–静态路由;多线路平衡路由;基于策略的路由(在防火墙中分类); RIP v1 / v2, OSPF v2, BGP v4 ?数据流控制–能对每个IP、协议、子网、端口、防火墙标记做流量控制;支持PCQ, RED, SFQ, FIFO对列; Peer-to-Peer协议限制 ?HotSpot– HotSpot认证网关支持RADIUS验证和记录;用户可用即插即用访问网络;流量控制功能;具备防火墙功能;实时信息状态显示;自定义HTML登录页;支持iPass;支持SSL安全验证;支持广告功能。 ?点对点隧道协议–支持PPTP, PPPoE和L2TP访问控制和客户端;支持PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议;支持RADIUS验证和记录;MPPE加密;PPPoE 压缩;数据流控制;具备防火墙功能;支持PPPoE按需拨号。 ?简单隧道– IPIP隧道、EoIP隧道(Ethernet over IP) ?IPsec–支持IP安全加密AH和ESP协议; ?Proxy–支持FTP和HTTP缓存服务器;支持HTTPS代理;支持透明代理;支持SOCKS协议;DNS static entries; 支持独立的缓存驱动器;访问控制列表;支持父系代理。 ?DHCP– DHCP服务器;DHCP接力;DHCP客户端; 多DHCP网络;静态和动态DHCP租约;支持RADIUS。 ?VRRP–高效率的VRRP协议(虚拟路由冗余协议) ?UPnP–支持即插即用 ?NTP–网络对时协议服务器和客户端;同步GPS系统 ?Monitoring/Accounting– IP传输日志记录;防火墙活动记录;静态HTTP图形资源管理。 ?SNMP–只读访问 ?M3P– MikroTik分包协议,支持无线连接和以太网。 ?MNDP– MikroTik邻近探测协议;同样支持思科的CDP。 ?Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; DDNS。 二层链接 ?Wireless - IEEE802.11a/b/g wireless client和访问节点(AP);Nsetreme和Nstreme2 协议;无线分布系统(WDS);虚拟AP功能;40和104 bit WEP; WPA pre-shared key加密; 访问控制列表;RADIUS服务器验证;漫游功能(wireless客 户端); 接入点桥接功能。 ?Bridge–支持生成树协议(STP);多桥接口;桥防火墙;MAC NAT功能。 ?VLAN - IEEE802.1q Virtual LAN,支持以太网和无线连接;多VLAN支持;VLAN 桥接。 ?Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3)媒体类型;sync-PPP, Cisco HDLC, 帧中继协议; ANSI-617d (ANDI or annex D)和Q933a (CCITT or annex A) 帧中继LMI类型 ?Asynchronous–串型PPP dial-in / dial-out;PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议;RADIUS验证和记录;支持串口;modem池支持128个端 口。 ?ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议;RADIUS验证和记录;Cisco HDLC, x75i, x75ui, x75bui 队列支持。 硬件要求 ?CPU和主板–核心频率在100MHz或更高的单核心i386处理器,以及与兼容的主板。 ?RAM–最小32 MiB, 最大1 GiB; 推荐64 MiB或更高。
华为Eudemon防火墙NAT配置实例
[原创]华为Eudemon防火墙NAT配置实例Post By:2007-7-11 11:35:00 贴一下我公司里防火墙的配置,希望能够起到抛砖引玉的作用。具体外网IP和内网ARP绑定信息已经用“x”替代,请根据实际情况更换。“//”后面的部分是我导出配置后添加的注释。防火墙型号为华为Eudemon 200,E0/0/0口为外网接口,E0/0/1口为内网。另外此配置方法也完全适用于华为Secpath系列防火墙,略加改动也可适用于华为A R系列路由器。 ------------------------------------------传说中的分隔线------------------------------------------ # sysname Eudemon//设置主机名 # super password level 3 simple xxxxxxxx//Super密码为xxxxxxxx # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound//设置默认允许所有数据包通过 # 青岛IT社区提醒:本地交易眼见为实,当面验货!不要嫌麻烦!交易地点建议在人多地方,防止抢劫!
ROS软路由详细设置 图文
软路由设置
ROS 软路由设置
提示:此软件为顶级软路由软件!赶快用吧!记的要《全盘 ghost!不是分区 ghost 恢复 哦!是全盘恢复! 》 不要怀疑软路由的性能,也不用担心所谓的耗电多少。所谓的软路由耗电大,只不过是 商家搞的噱头而已。软路由完全不需要显示器、键盘鼠标。甚至,可以在 BIOS 里设置系统 启动完即关闭硬盘。 至于主板, 带集成显卡的即可。 这样的配置下来, 软路由功率仅仅 20-30 瓦左右。 软路由具有极高的性能和广泛的应用。可轻易实现双线策略、arp 绑定、限速、封杀 BT 以及网吧借线、vpn 等。尤其对有连锁网吧经营者,利用 IPIP 协议,不仅可实现借线目的, 还可象本地操作一样远程管理其他网吧。这些,一般硬路由根本无法与之比拟。 我以前对硬路由一直情有独钟,换上软路由后,对它的强大功能赞叹不已。现在利用它的内 置 VPN 技术轻易做出电信网通加速软件-南北网桥(https://www.sodocs.net/doc/863184503.html,) ,又给两家网吧试做了 IPIP 借线,在这种比较大的压力下,软路由依然运行良好。 我软路由配置:730 主板,128M 内存,早期的 AMD800 毒龙 CPU,集成显卡和一个 8139 网卡,外加两块 3C905 网卡 抓图状态:vpn 在线拨号,IPIP 二家网吧,总用户数量在 500 多。 ROS 软路由基本设置非常简单,如果只做路由转发,以下几步数分钟即可高定: 硬件准备: A. B. C. 首先下载软路由的 ghost 硬盘版,本站已经在压缩包总提供! 释放后,ghost 至一个小硬盘(20G 以下) ,注意,是整盘 GHOST 而不是分区。 将该硬盘挂在要做路由电脑上,注意必须接在第一个 IDE 并且是主硬盘接口。插上一 张网卡,这是接内网的 LAN。开机。 软件设置: 1. 2. 3. 开机,出现登陆提示。用户:admin 密码:空 输入 setup 再按两次 A 在 ether1 后面输入你的内网 IP,如:192.168.0.254/24 (这里/24 是 24 位掩码与 255.255.255.0 一样) 4. 输入完 ip 后, 按两次 x 退出, 现在可以可以 ping 通 192.168.0.254 了, 也可用 winbox
第 1 页 共 27 页
ros 常用命令
ros 常用命令 关机:system—shutdown 重启:/sy reboot /ip add pri 查看IP配置 /sy backup save name=保存的文件名 /int pri 查看网卡状态 import *.rsc 防火墙导入命令(前提是*.rsc已经放在了ROS的FTP中) /ip firewall export file=*.rsc 备份防火墙 /ip fir con print 用户:lish ps:love /ip address add address 10.0.0.1/24 interface ether1 /ip address add address 10.0.0.1 netmask 255.255.255.0 interface ether1 /set r 恢复路由初始 /sy reboot 重启路由 /sy showdown 关机 /sy ide set name=机器名设置机器名 /export 查看配置 /ip export 查看IP配置 /sy backup 回车 save name=你要设置文件名备份路由 LOAD NAME=你要设置文件名恢复备份 /interface print 查看网卡状态 0 X ether1 ether 1500 这个是网卡没有开启 0 R ether1 ether 1500 这个是正常状态 /int en 0 激活0网卡 /int di 0 禁掉0网卡 /ip fir con print 查看当前所有网络边接 /ip service set www port=81 改变www服务端口为81 /ip hotspot user add name=user1 password=1 增加用户 关于如何绑定MAC和IP 来防止IP冲突 ROS和其他代理服务器一样,有个弱点,如果内网有人把客户机IP改成和网关相同的IP(如 192.168.0.1这样的),那么过了一会,ROS的就失去了代理作用,整个网吧就会吊线。用超级管理员账号登录 ,IP-----ARP,这样可以看到一行行的 IP和MAC地址,这些就是内网有网络活动的计算机。选中一个,双击,选COPY----点OK,依次进行,全部绑定后,来到WINBOX的INTERFACE选项,双击内网网卡,在ARP选项里,选择“replay-only”至此,通过ROS绑定IP完毕,这样下面客户机只要一改IP,那么它就无法和网关进行通讯了,当然也无法使主机吊线了 RO防syn ip-firewall-connections Tracking:TCP Syn Sent Timeout:50 TCP syn received timeout:30 RO端口的屏蔽 ip-firewall-Filer Rules里面选择 forward的意思代表包的转发firewall rule-General Dst.Address:要屏蔽的端口 Protocol:tcp Action:drop(丢弃) RO限速 Queues-Simple Queues name:可以任意 Dst. Address:内网IP/32 Limit At (tx/rx) :最小传输 Max Limit (tx/rx) :最大传输 RO映射 ip-firewall-Destination NAT General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可) Dst. Address:外网IP/32 Dst. Port:要映射的端口 Protocol:tcp(如果映射反恐的就用udp) Action action:nat TO Dst.Addresses:你的内网IP TO Dst.Ports:要映射的端口
MikroTikRouterOS安装及注册图解
MikroTik RouterOS安装及注册图解 一、通过下载光盘镜像文件,并制作成启动安装光盘。 二、将光盘放入光驱中,并将电脑的BIOS启动设置为光驱引导。 三、当光驱引导完成后,在屏幕上会出现如下显示: 上面是进入RouterOS的安装功能选择操作,从图中可以看到RouterOS的各个功能选择,图中前排英文提示为,移去所有功能选项按“p”或“n”键,选择一个功能选项用“空格”键,选择所有功能按“a”键,最小安装按“m”,按“i”键则是本地安装,“r”是安装远程的路由器,“q”是取消安装并重启。 四、选择功能,如在安装L4以上级别,推荐安装功能如下:
五、选择好功能组件后,即可按“i”键进行安装,此时会提示“硬盘上的所有数据都会被删除,是否继续”选择“y”继续,如果是“n”键安装会停止,并会重启。选择“y”继续后,会提示是否保持以前配置,这是升级安装,并想保留以前路由器的设置参数,选择“y”,如果是不想保留则选择“n”。(新安装则选择“n”) 六、选择完后RouterOS开始安装 七、安装完后RouterOS提示按“回车”键,并重启。 八、安装完后,进入系统会提示输入注册码,如下图:
九、在进入系统后,会有24小时的使用时间,“Software ID”表示的是ROS的ID号,如上图所示为KRYH-I8N 通过此ID号申请注册码。因为注册码比较长所以需要使用winbox进行操作,更为简便直观。 十、首先将Winbox下载到可以与RouterOS相连接的Windows电脑上,然后双击打开,如图:
十一、在没有设置IP地址前使用MAC地址登录,点击winbox中扫描按钮,选择需要登录的ROS,默认的为“admin”,密码为空;按回车或者点击“connect”进行登录。
华为nat配置实例
窗体顶端 NAT 【Router】 华为路由器单臂路由配置实例 组网描述: PC---------------------3050C-------------------------AR28-31-------------------------INTERNET 组网实现: 3050C上划分多个VLAN,在AR28-31上终结VLAN信息,下面的所有VLAN中的PC都可以上公
网,所有的PC机都通过AR28-31分配IP地址和DNS [AR28-31]dis cu # sysname Quidway # FTP server enable # nat address-group 0 222.222.222.2 222.222.222.10用于上公网的地址池# radius scheme system # domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp local-user huawei telnet用户,用于远程管理 password simple huawei service-type telnet level 3 # dhcp server ip-pool 10为VLAN10分配IP地址network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.1 dns-list 100.100.100.100 # dhcp server ip-pool 20为VLAN20分配IP地址network 192.168.20.0 mask 255.255.255.0 gateway-list 192.168.20.1 dns-list 100.100.100.100 # dhcp server ip-pool 30为VLAN30分配IP地址network 192.168.30.0 mask 255.255.255.0 gateway-list 192.168.30.1 dns-list 100.100.100.100 # dhcp server ip-pool 40为VLAN40分配IP地址network 192.168.40.0 mask 255.255.255.0 gateway-list 192.168.40.1 dns-list 100.100.100.100 # interface Aux0 async mode flow # interface Ethernet1/0用于与交换机的管理IP互通 ip address 192.168.100.1 255.255.255.0 firewall packet-filter 3000 inbound # interface Ethernet1/0.1终结交换机上的VLAN10 tcp mss 1024 ip address 192.168.10.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 10 # interface Ethernet1/0.2终结交换机上的VLAN20
Ros安装-配置初学者教程
高清视频语音教程大放送,请访问:https://www.sodocs.net/doc/863184503.html, 一:安装 1、光盘版的 将iso文件刻录成可引导光盘。机器的硬盘设置为IDE0,即第一个IDE通道的主盘。 bios设置光盘引导系统,放入光盘启动机器得到如下 选择2:Install RouteOS 2.8.18后稍等,得到如下画面: 用方向键和空格选择你需要的模组功能后,按"A"全选,摁“i“键确定安装。会再次询问你继续?yes or no?,摁“Y“. 然后又问:do you want to keep lod configuraton?你需要保留旧的结构么?摁“N 然后开始自动的格式化磁盘、安装核心、安装模组。最后提示: Press ENTER to Reboot,按回车重新启动机器
重新启动后出现图1的那个引导画面(如果没有出现而直接进了登陆界面说明用硬盘引导了): 选择3: Crack RouteOS Floppy Disk,开始破解。
破解过程都是中文的。如果你的硬盘在IDE0:0的话破解是不会有问题的。否则可能出现系统文件被破坏、启动时0123456...循环出现等问题。 问你是否重启呢。把光盘拿出来后按下Y确定重启动 重新启动后开始登陆。初始用户名admin,初始密码为空。 咦?怎么还有提示注册的信息和Soft ID? 原来是还需要一个命令激活注册补丁才可以哦: 输入命令:/system license import file-name=key 或者缩写为/sy lic i f key 然后提示你是否重新启动。按Y重新启动 重新启动并用admin:““登陆后发现,提示注册的信息已经完全消失了,现在是正式版了
华为NAT配置案例
华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet (公网) 静态一对一: AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试:
查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet (公网) 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1) [AR1]dis cu | begin acl acl number 2000 (定义转换的源IP)
ROS基本设置
硬件准备: 1、首先下载软路由的ghost硬盘版,如果没有,从https://www.sodocs.net/doc/863184503.html,/download/ros297.rar下载 2、释放后,ghost至一个小硬盘(20G以下),注意,是整盘GHOST而不是分区。 3、将该硬盘挂在要做路由电脑上,注意必须接在第一个IDE并且是主硬盘接口。插上一张网卡,这是接内网的LAN。开机。 软件设置: 1、开机,出现登陆提示。用户:admin 密码:空 2、输入setup再按两次A 3、在ether1后面输入你的内网IP,如:192.168.0.254/24 (这里/24是24位掩码与255.255.255.0一样) 4、输入完ip后,按两次x退出,现在可以可以ping通192.168.0.254了,也可用winbox在图形界面下访问路由了。 5、关机,插上另一张网卡,这个是接外网的,即W AN,现在可以去掉软路由电脑的显示器和键盘了。 6、开机,运行winbox以admin身份登陆 7、添加外网网卡。在ip---address里按+,address输入你的外网ip和掩码位,比如218.56.37.11/29。network和BROADCAST 不填,INTERFACE里选择ethr2 8、增加外网网关。ip-routes按+,Destination用默认的0.0.0.0/0 ,Gateway输入外网网关,比如218.56.37.10 9、实现NA T转发:IP-FIREW ALL在NA T里点+,在ACTION里选masquerade 10、现在该路由已经做好雏形,可以正常上网了。其他的诸如防火墙、双线策略等,可以参考其他资料。 这篇文章是我自己按经验来编写的,安装过程太简单了,就不说了,希望能帮到大家 安装完成后什么都没有设置的情况下.登录 用户: admin 密码: 为空 1、查看已安装的网卡 >/int >pri 2、设置内网卡IP和子网掩码 >set >a >a >lan 回车后输入你服务器内网卡的IP地址,我的内网卡的IP地址是192.168.1.1 ,下面IP后面的“/24”是代表子网掩码255.255.255.0 , 192.168.1.1/24 回车后按G设置网关 192.168.1.1 3、设置外网卡IP和子网掩码 >set >a >a >wan 回车后输入你服务器外网卡的IP地址,下面IP后面的“/29”是代表子网掩码255.255.255.248, 如果你的子网掩码不是255.255.255.248,请自己计算,不要跟着我填29 210.137.174.1/29 回车后按G设网关 219.137.174.193 然后按X退出。 4、查看IP设置情况 >ip add >pri 假如网卡1设错,删除设错的网卡,
华为NAT配置案例
华为NAT配置案例
华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet (公网) 静态一对一: AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试:
查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet (公网) 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1) [AR1]dis cu | begin acl acl number 2000 (定义转换的源IP)
网吧专用Ros软路由+Winbox教程(图)
网吧专用Ros软路由+Winbox教程(图) 一:安装 1、光盘版的(转自雨纷飞大哥作品) 将iso文件刻录成可引导光盘。机器的硬盘设置为IDE0,即第一个IDE通道的主盘。bios设置光盘引导系统,放入光盘启动机器得到如下 选择 2:Install RouteOS 2.8.18后稍等,得到如下画面: 用方向键和空格选择你需要的模组功能后,按"A"全选,摁“i“键确定安装。会再次询问你继续?yes or no?,摁“Y“. 然后又问:do you want to keep lod configuraton?你需要保留旧的结构么?摁“N
然后开始自动的格式化磁盘、安装核心、安装模组。最后提示: Press ENTER to Reboot,按回车重新启动机器。 重新启动后出现图1的那个引导画面(如果没有出现而直接进了登陆界面说明用硬盘引导了):
选择3: Crack RouteOS Floppy Disk,开始破解。 破解过程都是中文的。如果你的硬盘在IDE0:0的话破解是不会有问题的。否则可能出现系统文件被破坏、启动时0123456...循环出现等问题。 问你是否重启呢。把光盘拿出来后按下Y确定重启动
重新启动后开始登陆。初始用户名admin,初始密码为空。 咦?怎么还有提示注册的信息和Soft ID? 原来是还需要一个命令激活注册补丁才可以哦: 输入命令:/system license import file-name=key 或者缩写为/sy lic i f key 然后提示你是否重新启动。按Y重新启动 重新启动并用admin:““登陆后发现,提示注册的信息已经完全消失了,现在是正式版了
相关文档
- ROS安装与设置(精选)
- MikroTik RouterOS安装及注册图解
- ESXi上安装ROS
- 软路由ROS的安装和Winbox的配置
- ROS软路由详细最完整教程(图)
- ROS5.25安装及设置简易教程(by锅片儿)
- Ros软路由快速安装设置拨号上网方法
- ROS设置大全
- ROS安装及配置(图解)步骤
- ROS基本设置
- ROS安装及配置教程
- Ros软路由安装+Winbox教程
- routerOS安装教程
- RouterOS软路由安装及配置
- MikroTik RouterOS安装及注册图解
- ROS 5.21版本安装及配置,实用详细教程
- Ros安装教程
- ros安装及设置完整版
- ROS安装及设置简易教程by锅片儿
- Ros安装-配置初学者教程