http://www.is21.cn/ zh-cn PBlog2 v2.4 http://www.is21.cn/images/logos.gif http://www.is21.cn/ 21 工作室 http://www.is21.cn/default.asp?id=271 lianxiangpanjin@163.com(admin) Mon,14 Apr 2008 14:28:47 +0800 http://www.is21.cn/default.asp?id=271
加入 content=www.temp.com action=drop 
可以禁止对 www.temp.com 的访问
content=163 action=drop 

这样所有包含有163的网址都不能访问,如www.163.com ,www.163.net,163.com,news.163.com等
根本就不需要通配符
贴主如果只想让包含有fedex.com的网址可以访问可以这样
src=all dst=all content=fedex.com action=accept
src=all dst=all action=drop ]]> http://www.is21.cn/default.asp?id=270 lianxiangpanjin@163.com(admin) Mon,14 Apr 2008 14:27:52 +0800 http://www.is21.cn/default.asp?id=270
强大稳定，低到家庭网关防火墙—因为它免费。它可以提供以下几个主要功能： 
1、Winbox 图形界面远程管理 
2、telnet/serial 控制台管理 
3、高级带宽管理 
4、防火墙提供连接监视功能 
5、以太网10/100/1000Mb/s 
6、无线网络Clients和 AP 2.4GHz 11 Mb/s 
7、无线网络Clients和AP 5.2GHz 54 Mb/s 
8、v.35 synchronous 5Mb/s with frame-relay 
9、asynch PPP/RADIUS (up to 32 ports) Cyclades with E1/T1支持 
10、IP电话网关 
11、热点服务用户管理系统（hotspot gateway） 
更多的其他功能 
下面我就介绍一下作为家庭网关的配置方法。 
第一步：你要准备一台计算机，比486DX高就行，当然最好是奔腾以上的，至少32M内存，32M硬盘，最好

都是64M。有条件的可以使用DOM来代替硬盘，因为它的使用寿命比硬盘长。一个3.5”软盘驱动器。两张

网卡NE2000兼容网卡，或者是RTL8XXX的，PCI的最好了，显示器和键盘只是在安装时使用。你可以到

mikrotik.com.cn 软件介绍/兼容列表下查看一下你的硬件是否兼容。 
第二步：到mikrotik.com.cn 软件下载下下载一个安装磁盘制作程序。准备8张质量好一点的3.5”磁盘，

在Windows的计算机上运行它，先是一个许可协议点YES就行了，下面出来的就是软盘制作界面图一，插入

第一张软盘单击一下Contiune ，过一会它会提示你插入第二，直到第八张。 
第三步：将作路由器使用的计算机显示器和键盘连接好，为从软盘启动，插入第一张软盘，启动计算机，

正常的话画面会出现软盘启动过程，过一会会提示你插入第二张软盘、第二张直到第八张。当第八张磁盘

读完之后回提示你重起计算机，不要忘了取出磁盘，设置为从硬盘启动。 
第四步：重新启动之后路由器会提示你的“Software ID”是什么，让你输入”Licensing key”。你需要

一个免费的许可，获取方法请见网站上下载页面的说明。获得后将其输入注意大小写，正确的Licening 

key 输入后回出现登录过程，“Username”、“Password”，默认的管理员帐号是admin，没有密码。 
第五步：配置路由器，你以管理员身份登录，在提示付下输入setup命令，如果你的网卡是PCI的，会提示

你设置ether1（就是第一块网卡），输入ipaddress(ip地址)：192.168.0.1、netmask(子网掩码)：

255.255.255.0、gateway：192.168.0.254、network：192.168.0.0、broadcast：192.168.0.255。有默

认直接回车就行了，在这里我将ether1作为局域网口，ehher2作为广域网口。将你的局域网连通。客户端

（windows的计算机）设置ip地址：192.168.0.10，子网掩码：255.255.255.0，网关：192.168.0.1，DNS

：192.168.0.1。好了试试网络通不通，在开始-运行中敲command点确定，在出来的DOS窗口敲ping 

192.168.0.1 看通不通，如果出现Reply from 192.168.0.1 : bytes=32 time<10ms TTL=64 则通了，如

果出现Request timed out 你则要检查你和路由器之间的网线是否连通。如果连通，启动IE，在地址位置

输入：http://192.168.0.1 回车，页面中点击MikroTik WinBox Console的图标，下载winbox (winbox为

RouteOS 的图形管理程序)，运行出现登陆对话框，Connect To:输入192.168.0.1、Login:输入admin、

password:空白，点击Connect，登录后打开一个新的窗口，这就是winbox的管理界面。接着你需要启用

ether2，点击Interface,单击灰色的ether2，单击窗口上的兰色勾。启用IP伪装，点击IP，Firewa，

Source NAT，点击加号添加策略，默认即可。启用DNS Cache，IP > DNS Cache > DNS Cache Settings > 

Enable 输入ISP的DNS服务器地址。 > OK > OK。 
以下步骤分两种，宽带和ADSL（PPPoE）不一样。 
宽带：单击IP，DHCP Clients，Enable，Add Default Route，Interface 选择ether2，hostname为

Client1,OK。再次打开DHCP Clients，查看Status页看是否获取IP地址，如果获取了就完工了。 
ADSL：点击Interface，点击加号PPPoE Client 修改MTU为1492（大多数是），切换Dail Out页面输入

Service：（可以从ISP处获得也可以用RASPPPoE查到。），输入用户名密码，勾上Use peer DNS，OK，查

看Status页看是否连接上。如果有一些网页打不开，你ISP的MTU=1492，请在IP > Firewall > Mangle > 

单击红加号 > Protocol选择TCP > Tcp Options 选择 sync > Actions选择 accept >TCP MSS:1448。 
大多数情况是不用的。 
以上就是配置家庭网关的过程，在终端更多的网络配置方法差不多，只是需要购买License。注意这里使

用的是免费License，有一些限制的如下： 
最多 PPTP server 连接 - 4. 
最多PPPoE server 连接 - 4. 
最多 DHCP server 租约 - 8. 
最多热点服务客户数量 - 4. 
最多queues数量 - 4. 
最多NAT策略数量 - 4. 
最多EoIP界面数量 - 4. 
Web Cache 禁止 

1）安装 －－ 9块盘，注意硬盘内容会被删除！还有，机器内存不能小于 24 M 
安装过程中提示注册，注意注册码的大小写 
2）启动后，使用 admin 密码为空，进入 
3）设第一块网卡的ip： 在提示付下输入setup命令，如果你的网卡是PCI的，会提示你设置ether1（就是

第一块网卡），输入ipaddress(ip地址)：192.168.0.1、netmask(子网掩码)：255.255.255.0、gateway

：192.168.0.254、network：192.168.0.0、broadcast：192.168.0.255。默认直接回车就行了。 
4）从windows端机器，ip设成192.168.0.x ，在 ie 地址栏输上 192.168.0.1 
出现 routeos 的欢迎画面。点击，提示下载 winbox ，保存 
5）运行 winbox 输上 192.168.0.1 用户名 admin 密码 不输，选连接。会出现路由的管理界面 
6启用网卡：点击 interface ，点击第二块卡，选择对号，启用（颜色不是虚的了） 
7）设置地址：ip －－》 address ，选择 ＋ 号，输入第二块卡的ip地址（isp给你的） 
为了便于管理，最好从这里把两块卡的别名，改成 public 和 local ，另外，这里支持一个网卡多个ip

，如果因为管理需要，你可以这样设 
8）增加静态路由：ip－－》routes 选择 ＋ 号，选中gateway，输上网关地址 
在这里，destination 可以使用默认 0.0.0.0 ，表示路由所有的地址，也可以根据你的需要，只对你指

定的ip范围路由。静态路由可以有多条，比如可以分别指定多个ip段，达到管理的目的 
9）设置NAT共享上网： ip －－》firewall －source nat ，选择 ＋ 号，选择action，action里面选择 

masquerade ，其余选择默认即可 
至此，共享上网就完成了 
剩下的，需要增加设置 防火墙规则，否则，安全没有保障 
ip －》firewall －》filter fules ，选择 ＋ 号，in interface 选择内网网卡（local），其他默认 
这条路由允许来自内网的连接，如果有限制，可以修改 src address 的ip段，或者content 内容过滤 

ip －》firewall －》filter chains 选中 input ，选择 drop 
这条规则禁止所有的外部连接 
以上两条规则，屏蔽来自外网的所有连接 

一些恶意网站和广告，也可以从这里屏蔽 

其他的可以参考有关资料，或者天网等防火墙里面的规则 


10）如果需要上网时输入密码认证才可以上网的，可以启用hotspot 

实例：网卡8139C连接局域网，NE2000 ISA（IO300 IRQ10）连接ADSL Modem，路由器地址192.168.0.1，

接入宽带ADSL（下载2m上传512K），网内一PC地址192.168.0.8（限制下载256K上传64K），开启Upnp，开

启DHCP服务。 

RouteOS安装好后设置8139C地址为192.168.0.1，然后用winbox设置。 

1.Drivers---“＋”---选NE2000 IO=300 IRQ=5 
2.Interfaces---点灰色的NE2000网卡---点“勾”启用 

PPPoe: 
3.Interfaces---“+”---PPPoe Client--- 
name=ADSL MTU=1492 MRU=1492 Interface=NE2000 Service=ADSL User=xxxxxxxx Password=xxxxxxxx 

UsePeerDns=yes 
在查看status页中查看ADSL有没有连上 
4.IP---Firewall---Source NAT---"+" 
Action=masquerade 
5.IP---Firewall---Mangle---"+" 
Protocol=TCP TcpOptions=sync Actions accept=TCP MSS=1448 

DNS cache: 
6.IP---DNS cache Settings 
PrimaryDnsServer=202.96.209.6 Enabled=yes 

DHCP Server: 
7.IP---pool---"+" 
name=123 Addresser=192.168.0.2-192.168.0.99 
8.IP---DhcpServer---"+" 
name="" Interface=8139C Addpool=123 netmask=24 gatway=192.168.0.1 DnsServer=192.168.0.1 

Upnp: 
9.IP---Upnp---"+" 
Interface=8139C Type=internal 
10.IP---Upnp---"+" 
Interface=ADSL Type=external Enabled=yes 
11.Terminal---键入 ip upnp interface (enter) 
enable 0,1 (enter) 
.. set enabled=yes (enter) 

Queues: 
12.下载带宽 IP---Simple Queues---"+" 
Name=down SrcAddress=0.0.0.0/0 DstAddress=192.168.0.8/32 terface=8139C Maxlimit=256000 
13.上传带宽 IP---Firewall---Mangle---"+" 
SrcAddress=192.168.0.8/32 InInterface=8139C DstAddress=0.0.0.0/0 Protocol=all Action=accept 

FlowMark=UP 
14.Queues---QueuesTree---"+" 
Name=UP Parent=ADSL Flow=UP MaxLimit=64000 

以前一直把目标放在OSPF上,后来专心攻读PDF文档中路由一项,终于小有成就 
其他的一些设置大家看以前的文章吧 
我就说说要让两条固定IP的网关如何同时起作用该注意那些东西 
在WINBOX的路由设置中,把能删掉的路由规则能删掉的都删掉 
只留下DC开头的路由规则(删不掉的) 
然后选择终端模式进入命令行状态 
键入: IP ROUTE ADD GAT=xxxxxxxxxxxxxx,xxxxxxxxxx(两个网关的地址)

]]> http://www.is21.cn/default.asp?id=269 lianxiangpanjin@163.com(admin) Mon,14 Apr 2008 14:23:34 +0800 http://www.is21.cn/default.asp?id=269
routeros 的安装心得

研究了一段时间ROUTEROS发现他的确是一个不错的软路由下面说一下我的安装设置心得 <!--emo&:P--><!--endemo-->

先说一下我的网络环境 
二根有限通是动态ip，要做负载均衡 
内网ip段192.168.0.1-192.168.0.200 
要完全开放192.168.0.168主机（就像路由中的dmz主机） 


机器配置 
赛扬1。1G 64M 3块3com网卡 

1。用光盘版全选安装 （软盘版要另外下插件） 
注意注册码都用大写 
先插上一块网卡以便定下他作为连接内网的网卡 
2。使用 admin用户登陆， 密码为空 
3。设置第一块网卡的ip 
输入setup，提示你设置ether1（第一块网卡连接内网），输入ip地址（192.168.0.1）子网掩码(255.255.255.0) gateway：192.168.0.254一路回车即可。 
4。将剩下二块网卡插入电脑 
5。在windows机器上，ip设成192.168.0.x ，在 ie 地址栏输上 192.168.0.1 
出现 routeos 的欢迎画面。点击，提示下载 winbox ，保存 
6。运行 winbox 输上 192.168.0.1 用户名 admin 密码为空，选连接。会出现路由的管理界面 
7。激活新插入的二块网卡：点 interface ，点第二块卡，选勾，启用前面由x变为R 
8。设置外网的二块网卡地址，在winbox选ip->dhcp-client 在窗口中勾上enabled interface选ether2（第二块网卡）勾上add default route 选hostname并添上wan1 表示第一块外网网卡，然后apply 这时如果拿到ip就会在ip->address里看到ip了 
现在设置第三块网卡，现在有问题了routeros只能添加一个dhcp客户，所以如果再按上面的方法获得ip那么前面的到的ip就没有了，所以这里只能将就一下了，因为有限通ip一般只要连接就不会变ip所以就把还有一根线上的ip作为静态ip看，先记下ip然后在ip->address里按加号填入ip如219.233.23.23/24,在这里要注意：其实都是固定ip的话就在这设置即可，但如果你的二个ip在同一网段中如一个是219.233.23.23另一个是219.233.23.147的话就要在/后就是掩码这部分分一下 
如219.233.23.23/25 219.233.23.147/24 这样在后面负载均衡时就不会出错了 
9。现在你应该能ping通外网了，不过防火墙还没设置，在ip->firewall里选source nat 按加号添加规则，在规则里选action ->action里选masquerade 
现在就能局域网里就能上网了。 
10。现在来设负载均衡 
在控制台里输入 
ip route add gat=外网地址1,外网地址2 
即可 
是不是很简单啊 
11。端口映射 
端口映射很容易 
在控制台里 
ip firewall dst-nat> add action=nat protocol=tcp 
^ 
这是协议可以选all 
dst-address=外网地址/32:80 to-dst-address=内网ip地址 
^ 
这里是你要映射的端口，如果全部就不要添 

例子1：将外网所有80端口的请求都指向到168上 
ip firewall dst-nat> add action=nat protocol=tcp 
dst-address=319.23.23.23/32:80 to-dst-address=192.168.0.168 
例子2：完全开放192.168.0.168 
ip firewall dst-nat> add action=nat protocol=tcp 
dst-address=319.23.23.23/32 to-dst-address=192.168.0.168 


12.来看看routeros的防火墙吧，功能不错哦 
比如现在流行的震荡波和冲击波的端口134－139 
在winbox中 
ip->firewall->filter rules 先设input(在右边可选的) 
选加 
general 
protocl选udp或tcp（其实这二个都要设，只要重复作就好了） 
src.port勾上填入134－139 
dst.port勾上填入134－139 
action 
在action里选drop丢弃包或reject拒绝包 
ok完成 
再选forward和output照上面设完，这样不论是外网的机器或内网的机器中毒都不会影响其他用户了。 
其实ip filter rules可设很多规则可以作一个非常不错的防火墙不过要注意input，forward，output根据不同情况的设置 

补充一下，其实在端口映射里这样作，环流（就是内网也可用外网的地址访问内网的主机）功能也自然实现了[p:1]

]]> http://www.is21.cn/default.asp?id=268 lianxiangpanjin@163.com(admin) Mon,14 Apr 2008 14:22:13 +0800 http://www.is21.cn/default.asp?id=268

UDP方式,目的端口8000 4000=OICQ Client 
TCP方式,目的端口80 
VIP方式，目的端口443 


　　QQ服务器分为三类： 

　　1、UDP 8000端口类7个：速度最快，服务器最多。 
　　QQ上线会向这7个服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器。 
sz sz2 : 61.144.238.145 146 156 
sz3 sz4 sz6 sz7 : 202.104.129.251 254 252 253 
sz5 : 61.141.194.203 

　　2、TCP HTTP连接服务器2个，使用HTTP 80端口连接 
　　这2个服务器名字均以tcpconn开头，域后缀是tencent.com，域名与IP对应为 
tcpconn tcpconn3 218.17.209.23 
tcpconn2 tcpconn4 218.18.95.153 
　　虽然有4个名字，但是只有2个服务器 

　　3、会员VIP登陆服务器，使用HTTP 443安全连接 
　　服务器IP 218.17.209.42 

　　由于第2、3种我这儿无法选择进行登陆，我只是通过反向查询得到了IP及端口，至于第1种我经过了详细的测试，封锁了这7个UDP服务器，QQ是不能登陆的。 
Nslookup -querytype=all www.tencent.com 
218.18.95.165 
202.96.170.188 
202.104.129.246 
61.144.238.137 
202.96.170.175 
202.103.190.61 
202.103.149.40
218.18.95.140 
218.18.95.153 
61.135.131.240 
216.239.33.99 
218.17.209.23 
202.104.129.251 

]]>