软路由MikroTik RouterOS 简明教程配置过程见附图Word下载.docx
《软路由MikroTik RouterOS 简明教程配置过程见附图Word下载.docx》由会员分享,可在线阅读,更多相关《软路由MikroTik RouterOS 简明教程配置过程见附图Word下载.docx(11页珍藏版)》请在冰豆网上搜索。
怎么样保护你的MikroTikRouterOS™?
属性描述
要保护你的MikroTikRouterOS™,你不应该只是修改你的admin的密码,还需要设置数据包的过滤,所以目的地到路由器的数据包需要在一次经过ipfirewall的input链表处理。
注意input链表不会去**通过路由器的传输数据。
你可以添加下面的规则到/ipfirewallruleinput(只需要通过'
copy和paste'
到路由器的TerminalConsole(终端控制台)或
在winbox中配置相关的参数):
/ipfirewallruleinputaddconnection-state=invalidaction=drop\
comment="
Dropinvalidconnections"
/ipfirewallruleinputaddconnection-state=established\
Allowestablishedconnections"
/ipfirewallruleinputaddconnection-state=related\
Allowrelatedconnections"
/ipfirewallruleinputaddprotocol=udpcomment="
AllowUDP"
/ipfirewallruleinputaddprotocol=icmpcomment="
AllowICMPPing"
/ipfirewallruleinputaddsrc-address=10.0.0.0/24\
Allowaccessfromourlocalnetwork.Editthis!
"
/ipfirewallruleinputaddsrc-address=192.168.0.0/24protocol=tcpdst-port=8080\
Thisiswebproxyserviceforourcustomers.Editthis!
/ipfirewallruleinputaddaction=droplog=yes\
Loganddropeverythingelse"
使用/ipfirewallruleinputprintpackets命令可以看到有多少个数据包被里面的规则处理过。
使用reset-counters命令去复位统计值。
检查系统日志文件通过/logprint可以看到数据包被丢弃的信息。
你可能需要在里面添加允许来至确认主机的访问。
例如:
记住出现在列表中的防火墙规则在命令中被处理。
一个规则匹配的数据包,不会被之后其他的规则处理。
添加了新的规则后,如果想优先被处理,通过move命令移动到所以规则之上。
怎样保护你的MikroTikRouterOS™从来至Spam的请求
Description
ToprotectyourMikroTikRouterOS™frombeingusedasspamrelayyouhaveto:
保证你的路由器使用了防火墙规则。
SeetheHowTosectionaboutit!
配置webproxy访问列表
webproxy访问列表配置在/ipweb-proxyaccess下。
例如,添加下面规则允许来至确认主机的访问。
(只需要通过'
在winbox中配置相关的参数):
/ipweb-proxyaccessaddsrc-address=192.168.0.0/24\
Ourcustomers"
/ipweb-proxyaccessadddst-port=23-25action=deny\
DenyusingusastelnetandSMTPrelay"
/ipweb-proxyaccessaddaction=deny\
Denyeverythingelse"
注意,允许确认服务首先你应该由规则,并且在规则的最后通常为拒绝任何的访问。
如何连接你的家庭网络到xDSL?
确认你的家用DSLmodem以安装好,并想通过一个安全的方式将你的家庭网络连接到Internet,首先你需要安装MikroTik路由器在DSLmodem和你家庭网络中间:
下一步连接你的家庭网络到xDSL:
首先你的MikroTik路由器有两张以太网卡,一个对应家庭的DSLmodem,一个对应你的家庭网络。
安装时,确定你安装了dhcp软件功能包。
启用两个网卡,如下:
/interfaceenableether1,ether2
配置DHCP客户端在对外的接口上(xDSL)接收来至IP配置的服务:
/ipdhcp-clientsetenabled=yesinterface=ether1
检查,如果你收到IP配置信息后使用leaseprint,如下:
[admin@MikroTik]ipdhcp-client>
leaseprint
address:
81.198.16.4/21
expires:
may/10/200104:
41:
49
gateway:
81.198.16.1
primary-dns:
195.13.160.52
secondary-dns:
195.122.1.59
添加你的私有网络地址到ether2网卡上,如下:
/ipaddressaddaddress=192.168.0.1/24interface=ether2
在你的本地网络配置伪装:
/ipfirewallsrc-nataddout-interface=ether1action=masquerade\comment="
Masqueradeseverythingleavingtheexternalinterface"
配置防火墙保护你的路由器:
Dropinvalidconnectionpackets"
/ipfirewallruleinputaddsrc-address=192.168.0.0/24\
Frommyhomenetwork"
(可选)配置DHCP服务散发IP配置到你的家庭网络中去:
/ippooladdname=privateranges=192.168.0.2-192.168.0.254
/ipdhcp-servernetworkaddgateway=192.168.0.1address=192.168.0.0/24\
dns-server=195.13.160.52,195.122.1.59domain="
/ipdhcp-serveraddname=homeinterface=ether2lease-time=3h\
address-pool=private
/ipdhcp-serverenablehome
这样!
你能通过你的家庭网络访问Internet。
如何保持我的路由器的更新
保持你的路由器更新,你应该:
更新最新的RouterOS软件版本
如果你有一个RouterBoard,需要更新BIOS固件版本
在这部分将介绍你如何升级你的RouterBoard的BIOS固件版本。
首先,Atfirst,检查你的一个routerboard功能包被安装
[admin@MikroTik]systempackage>
print
Flags:
I-invalid
#NAMEVERSIONBUILD-TIMEUNINSTALL
0routerboard2.8.14aug/06/200415:
30:
32no
1security2.8.14aug/06/200414:
08:
54no
2system2.8.14aug/06/200414:
03:
02no
3advanced-tools2.8.14aug/06/200414:
04:
55no
4wireless2.8.14aug/06/200414:
42:
17no
检查你的RouterBoardBIOS固件:
[admin@MikroTik]systemrouterboard>
routerboard:
yes
model:
230
serial-numbe