大型网吧技术管理人才特训班软路由ROS的安装和设置全过程语音视频讲解第二节.docx

1、大型网吧技术管理人才特训班软路由ROS的安装和设置全过程语音视频讲解第二节6 大型网吧技术管理人才特训班 -软路由ROS的安装和设置全过程语音视频讲解不要怀疑软路由的性能，也不用担心所谓的耗电多少。所谓的软路由耗电大，只不过是商家搞的噱头而已。软路由完全不需要显示器、键盘鼠标。甚至，可以在BIOS 里设置系统启动完即关闭硬盘。至于主板，带集成显卡的即可。这样的配置下来，软路由功率仅仅20-30瓦左右。软路由具有极高的性能和广泛的应用。可轻易实现双线策略、arp绑定、限速、封杀BT以及网吧借线、vpn等。尤其对有连锁网吧经营者，利用IPIP协议，不仅可实现借线目的，还可象本地操作一样远程管理其他

2、网吧。这些，一般硬路由根本无法与之比拟。我以前对硬路由一直情有独钟，换上软路由后，对它的强大功能赞叹不已。现在利用它的内置VPN技术轻易做出电信网通加速软件-南北网桥，又给两家网吧试做了IPIP借线，在这种比较大的压力下，软路由依然运行良好。我软路由配置：730主板，128M内存，早期的AMD800毒龙CPU，集成显卡和一个8139网卡，外加两块3C905网卡 从这里可以看出，软路由不需要太高的配置ros软路由基本设置非常简单，如果只做路由转发，以下几步数分钟即可高定：ROS硬盘版安装硬件准备：1、首先下载软路由的ghost硬盘版，如果没有，从安全中国下载或者和本文一样使用光盘版2、释放后，g

3、host至一个小硬盘（20G以下），注意，是整盘ghost而不是分区。3、将该硬盘挂在要做路由电脑上，注意必须接在第一个IDE并且是主硬盘接口。插上一张网卡，这是接内网的LAN。开机。软件设置：1、开机，出现登陆提示。用户:admin 密码：空2、输入setup再按两次A 3、在ether1后面输入你的内网IP，如：192.168.0.254/24 （这里/24是24位掩码与255.255.255.0一样）4、输入完ip后，按两次x退出，现在可以可以ping通192.168.0.254了，也可用winbox在图形界面下访问路由了。5、关机，插上另一张网卡，这个是接外网的，即WAN，现在可以去掉

4、软路由电脑的显示器和键盘了。6、开机，运行winbox以admin身份登陆7、添加外网网卡。在ip-address里按+，address输入你的外网ip和掩码位，比如218.56.37.11/29。network和BROADCAST不填，INTERFACE里选择ethr28、增加外网网关。ip-routes按+，Destination用默认的0.0.0.0/0 ，Gateway输入外网网关，比如218.56.37.109、实现NAT转发：IP-FIREWALL在NAT里点+，在ACTION里选masquerade10、现在该路由已经做好雏形，可以正常上网了。其他的诸如防火墙、双线策略等，可以参

5、考其他资料。ROS2.927光盘版安装机器要求主板:845以上网卡:Intel 82559(推荐)也可以使用8139.INTEL82540等硬盘:电子硬盘(推荐)也可以使用IDE硬盘1G-80G光驱:安装时使用显卡:主板自带(或者别的,没有要求)好了可以开始了,从光盘启动我们可以看到这个画面这里是问你选择要安装的组件,我们按A全选(也可以通过方向键和空格键选择要安装的组件)这里先不作组件的介绍,我就就全选 A 按 I 键开始安装会有一个提示Do you want to keep old configuration? y/n:意思问你是否保持磁盘原有的格式,这里我们选N,不保留接下来还有个提示,

6、Continue? 意思是是否格式化硬盘,我们选Y正在格式化硬盘,正在复制文件安装完成,按回车重启这个时候请取出光盘,或调成从硬盘启动,或者拆下光驱,ROS就安装好了,光驱不需要了启动路由,进入登录界面接上内网网线,也可以直接也计算机对连(这里等下再讲,请跳至)在WIN下用WINBOX访问-ROS下配制默认用户名:admin 密码: 空登录成功会有一个提示Do you want to see the software license? y/n: 你想不想看到软件许可吗？ 是/否意思是问你是否要看ROS使用说明和服务条款,都是E文的,我是看不懂,如果你想看的话选Y,这里我就不看了选N跳过直接进入

7、我们关键的IP配制关键步骤setup 开始配制r - reset all router configuration (恢复所有设置,回到初使)l - configure ip address and gateway 配置IP地址和网关a - configure ip akkress and gateway 配置IP akkress和网关d - setup dhcp client 设置DHCP客户端s - setup dhxp server 设置dhxp服务器p - setup pppoe client 设置的PPPoE客户端t - setup pptp client 设置PPTP的客户端x -

8、 exit menu (退出菜单)your choice press Enret to configure ip address and gateway: 你的选择新闻enret来配置IP地址和网关我们选A 添加IP a - add ip address 添加IP地址g - setup default gateway 设置默认网关x - exit menu 退出菜单your choice press Enter to add ip address:回车添加IP和DNSenable interface:ether1(网卡选择,默认第一块,ether1,如果你要选择第二块请改成ether2)回车确

9、认ip address/netmask: (192.168.1.250/24)接下来,你可以通过WIN访问你的路由点击WINBOX下载WINBOX.EXE,运行如果你在ROS添加了IP,你可以通过IP访问也可以通过MAC访问-WINBOX配制用户名:admin 密码:空回车或点击Connect进入打开WINBOX.EXE进入,点击Interfaces看到有流量的网卡,双击,我们先把他改一下名字,这个我们定义为内网好了LAN点击OK确定,接下来你把好块没有流量的网卡就改成外网WANIMGIMG好了,IPAddress List,让我们来添加网址,点击加号在弹出来的 New Address中我们添

10、加先添加内网网址,也就是你的网关192.168.1.250/24(这里后面的24是广播,单网段我们设24,多网段有很多种设法,我在这里就不作多讲,网关可以设成,192.168.1.1或10.1.1.1等私有地址,看个人爱好来)在Interface中我们点下拉选择LAN,也就是网卡单击OK,接下我们加外网址,这里我们也是一样填上外网网址就可以了,记得要在Interface中选择WAN OK确定接下来我们来添加外网网关,IPRoute List在弹出的对话框里,我们点加号,在弹出的对话框中Gateway中添加外网网关,点OK我的外网网址是220.169.58.153,网关是220.169.58.1

11、52接下我们打开防火墙,添加一条路由规则,我们就可以上网了IPFirewallNAT单击加号在弹出来的对话框中,单击Action,中Action下拉选择masquerade其它选项都是默认的,单击OK设置外网IP和外网网关(2) 这里，我们假设本网吧外网IP为：222.82.241.34，网关为：222.82.241.33，子网掩码为：255.255.255.252开始设置。IP-ADD项。点红十字添加IP。IP及子网掩码格式为：IP/子网掩码。这里我们应该输入：222.82.241.34/255.255.255.252。当然这样输入太罗嗦，我们输入：222.82.241.34/30，也是一样

12、，道理和前面讲的/24与/255.255.255.0的概念是一样的，换算结果是这样。我们输入222.82.241.34/30，表示的概念是IP为222.82.241.34，子网掩码为255.255.255.252。这里需要说明的一点是，子网掩码你可以不按照电信给的设，可以设置为255.255.255.0也就是/24，也可以通外网，但是结果是会导致部分IP无法连接，这个牵扯到电信的IP分配，一般还是按照要求来的比较好。点OK确认添加。interface选项记得把WAN选上，要不这个IP就分配给LAN网卡了，也就是造成的结果是内网网卡有2个IP啦。IP添加完毕，开始添加网关。IP-ROUTES项，

13、还是红十字添加。第一项默认，第二项gateway，设置网关IP，这个单词的意思就是网关。我们前面假设的网关是：222.82.241.33，在这里输入点OK添加。至此，ROS单机的外网已经连接了，剩下的是要启动路由，给内网提供网络路由了，我们可以现在PING一下外网已经通了。TOOLS-PING小工具，61.134.1.4是西安的DNS服务器IP。哇，为什么没通呢？呵呵 啦。开始设开个小玩笑，我这是虚拟机，当然不连外网的置路由了。IP-FIREWALL-NET项。点红十字咯。chain里选择默认的选项srcnat，action标签里，action项选择路由项：masquerade 点OK确定添加

14、。至此，内网也已经通网了。做完了，可以收工回去睡觉咯？NO，还有好多活呐接下来，先顺手把防二级代理做上，还是FIREWALL页里，选择mangle标签，点红十字添加策略。还是action标签，action项里选择：change TLL。哦是TTL 输入错误。TTL ACTION项选最后一个。NEW TTL值为1。OK添加。限速SYSTEM-SCRIPTS 好像是这个吧。嗯 没错，添加脚本。选中脚本，RUN就行了。看见没，后面运行时间和次数出来了，怎么看导入成功没？别急QUEUES项点开，看见了吧 导入成功，如果你想对某一台机器单独限制，或者取消限制，可以选中双击，编辑，或者选中点八叉关闭限制，

15、或者干脆点“-”删除该机器的限制。演示一下。这里就是设置页general标签内显示的详细设置，左边是上传，右边是下载。详细概念是这样的，上传：MAX LIMIT是初始化速度，BURST LIMIT是最高速度，这个最高指的是额定的最高。也就是允许他的最高速度为。 BURST THREShold 是阀值，就是爆发速度，BURST TIME 巡回监测时间，这个限制的意思是这样：当某台机器的爆发速度也就是即时速度达到512K的时候。将其速度降低到512K以下，如果在巡回时间30秒内它的速度没有超过阀值512K，那么开放其速度最高限制为1M。简单的说，就是一直监视机器流量，如果超过512K，降低他的速度

16、在这个值以下，如果没有超过，那么开放其速度在这个值以上，巡回监视时间为30秒。举例来讲，如果我们用迅雷下载东西或者IE下载东西，那么他的上传速度就会在256-1M之间徘徊，每30秒进行变换。下载：和上传一样，只是设置的数值不一样。参照上传概念。MAC 绑定接下来讲ARP的问题啦，很多人关心的，首先，你的客户机必须是有了开机绑定的操作，ARP -S IP MAC。其实绑定网关IP就可以了，有人是把客户机自己也绑，没啥意义，难道自己还不认识自己啊？ROS上的设置有2个地方，一，IP-ARP项里，所有的IP前的D没有啦，那就表示都绑定了。我们看下。我这就一台机器，是本机。（不是虚拟机本机哦，是虚拟机

17、的载体机）如果是网吧应该是很多，另外，如果机器未开机。看不到的，必须是客户机开机并且向ROS进行了连接，这里才可以看到。绑定的操作很简单，手动也行，脚本也行。手动操作看我演示。简单吧，但是上百台机器叫你一个一个右键估计你就要叫了哦。那么我们用脚本。这是没绑定的状态，脚本添加前面讲过，不重复了。看见变化了吧，脚本是在ARP池内的所有IP都进行绑定操作。我一般是，做完ROS后将所有客户机开机并PING一下ROS，然后一个脚本，OK了。ARP的另一个ROS设置，INTERFACE（接口）项里，内网网卡打开设置页，这里，一共四个选项，第一个关闭，第二个开放，第三个不知道，第四个锁定选择第四个锁定，概念

18、解释是：锁定该网内的MAC表，那么当有新的MAC进入该网的时候，阻止其通过。防ARP的根本解决方案，很多人都说过双绑，这就是双绑，许多人在做教程的时候没有提到这里，锁定操作，大家都以为，客户机绑上面，ROS绑下面，双绑就完了，其实这只是干了一半的活。继续，当INTERFACE选项里将ARP锁定后，会导致客户机如果更改IP或者MAC就连不上网，一般这样的时候，在IP-ARP页里把需要修改的机器双击打开修改MAC或者IP就行了。安全防护防火墙，将下载好的或者自己做的防火墙策略传到ROS上，可以用FTP，也可以直接拉进去。FTP的用户名和密码就是ROS的用户名和密码。有可写权限的哦，这个可以在ROS

19、里设置是否允许该用户进行连接FTP，一会再讲。看见了吧，文件已经在里面了。现在进入BOX的模拟系统登陆界面进行导入操作。这里的显示就是导入的防火墙策略了，导入命令是：import 文件名，关于其他命令可以HELP或者/？察看。这就是所有命令了多讲一点，刚才做的MAC和限速的脚本，在这里也一样可以运行，只要输入脚本内容回车就行了。然后要做的是比如网内的端口映射之类的。比如你有台机器需要开放某端口给互联网，操作如下：我们假设为3389端口，需要映射的IP为：192.168.0.2IP-FIREWALL-NET（IP-防火墙-网）项chain项选择dstnat，下面输入映射的端口和回流IP。回流的意

20、思是在网内用本网的外网IP也一样可以访问连接的意思。3389端口 协议为TCP action里。接下来是ROS的端口设置，关闭一些不安全的不必要的东西。别担心你登陆不上去，全部关闭。看到了吧，不影响BOX登陆。最后是账户设置。users项，红十字是添加group是权限，下面还可以设定指定IP连接。权限有3个，第一个只读，第二个可写，第三个完全开放还可以单独设置部分组件权限。这里可以设置单独的组件使用权限。最后一部 做完了要做个备份，当遇到故障的时候可以迅速的恢复，这个备份不同于WINDOWS系统的GHO，它只是设置备份。具体操作有2种，一种是在BOX的FILE里做，一种是在模拟系统登陆界面做，

21、我一般选择后者。具体命令是：SYSTEM-BACKUP-SAVE NAME=123。BOX界面的操作刚做了，再演示遍。选择FILE项，点BACKUP就行了。恢复的时候可以直接在BOX里选择备份文件点RES键，restore。如果你已经登陆不了BOX，那么在ROS本机上，登陆上去，用命令操作恢复也行，恢复命令是：SYSTEM-BACKUP-LOAD NAME=123 （-的意思是回车，可别输入了哦）使用ROS设置DHCP服务器.添加ip pool地址池ip-pool add name=dhcp_pool1 ranges=192.168.0.2-192.168.0.254 2.ip dhcp se

22、rver设上网关和dns ip-dhcp-serveradd name=DHCP_SERVER interface=LAN lease-time=3d address-pool=dhcp_pool1 add-arp=no authoritative=no disabled=noip-dhcp-server-networkadd address=192.168.0.0/24 gateway=192.168.0.1 netmask=24 dns-server=192.168.0.1 comment=3.end 到这里，一台ROS路由服务器制作完成，你的网吧内网的互联网还有安全都没太大问题了，ARP你不怕了，一般的攻击你不怕了。