RouteOS软路由笔记

1420 次查看 0 条评论
本文可能超过1年没有更新,今后内容也许不会被维护或者支持,部分内容可能具有时效性,涉及技术细节或者软件使用方面,本文不保证相应的技术更新和实践可操作性。

1、设置 IP Address

# 先查看一下有哪些网卡设备
[admin@MikroTik] > interface print
[admin@MikroTik] > ip address add address=192.168.0.1/24 interface=ether0

查看 IP Address 设置

[admin@MikroTik] > ip address print

2、绑定 IP Address <-> MAC Address

如果在指定接口上的arp属性设置为reply-only,这时路由器在该接口上只应答来至静态ARP的请求,即对ARP列表中的静态ARP条目进行匹配。

添加静态的IP与ARP条目:

[admin@MikroTik] > ip arp> add address=10.10.10.10 interface=ether2 mac-address=06:21:00:56:00:12

在接口 ether2 上开启只响应静态IP-MAC

[admin@MikroTik] > ip arp> /interface ethernet set ether2 arp=reply-only

双向IP <-> MAC 绑定

如果ARP功能在接口上被关闭(即设置为了 ARP=disabled ),即关闭了ARP协议,无法学习到IP和MAC相关信息,来至客户端的ARP请求将不被路由器回应,因此必须手动添加静态的ARP才行。 例如,通过 arp 命令将路由器的IP和MAC地址必须添加到windows工作站中。

[admin@MikroTik] > ip arp> /interface ethernet set LAN arp=disabled

现在路由器已经绑定了内网主机的所有IP地址后,现在需要对Windows电脑做对路由器绑定的设置

C:\> arp -s 10.5.8.254 00-aa-00-62-c6-09

3、防火墙

在RouterOS通过ip firewall filter能对IP数据包、P2P协议、源和目标IP、端口、IP协议、协议(ICMP、TCP、MSS等)、网络接口、对内部的数据包和连接作标记、ToS 字节、关键内容、时间控制和包长度进行过滤控制。RouterOS是基于iptables,如果你熟悉linux的iptables操作,那RouterOS防火墙就能很快上手,RouterO的防火墙规则从数据包来源方向上分类:分为input、foreward和output三种链表(chain)过滤,不管是二层或者三层过滤上都包含这三个链表。RouterOS的防火墙包括了对address-list和L7-protocol等调用。

3.1 添加一条firewall规则,将所有通过路由器到目标协议为TCP端口为135的数据包全部丢弃掉:

/ip firewall filter add chain=forward dst-port=135 protocol=tcp action=drop

3.2 拒绝通过Telnet访问路由器(协议 TCP, 端口 23):

/ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop

注意:RouterOS防火墙input、forward和output链表默认都是accept。

3.3 网站域名过滤

下面的规则过滤板掉对 www.xxx.com 的访问

/ip firewall filter add action=drop chain=forward content=www.xxx.com

3.4 禁PING(丢弃ICMP协议)

/ip firewall filter add chain=output protocol=icmp action=drop

禁PING详解:http://lzgong.blog.163.com/blog/static/22906260201211684345121/

3.5 伪装共享上网

[admin@MikroTik] > ip firewall nat add chain=srcnat action=masquerade
Other 路由器

暂无评论,快来抢沙发。