Winbox英文版是RouterOS的一個Windows遠程圖形管理軟件�����,同樣也可用通過mac地址連接
Winbox控制臺使用TCP8291端口�����,在登陸到路由器后可以通過Winbox控制臺操作MikroTik路由器的配置并執(zhí)行與本地控制臺同樣的任務����。
winbox教程
winbox配置ROS
點擊WINBOX下載WINBOX.EXE,運行
如果你在ROS添加了IP,你可以通過IP訪問也可以通過MAC訪問
WINBOX配制
用戶名:admin 密碼:空
回車或點擊Connect進入
打開WINBOX.EXE進入,點擊Interfaces
看到有流量的網(wǎng)卡,雙擊,我們先把他改一下名字,這個我們定義為內(nèi)網(wǎng)好了LAN
點擊OK確定,接下來你把好塊沒有流量的網(wǎng)卡就改成外網(wǎng)WAN[IMG][IMG]
好了,IP>Address List,讓我們來添加網(wǎng)址,點擊加號
在彈出來的 New Address中我們添加先添加內(nèi)網(wǎng)網(wǎng)址,也就是你的網(wǎng)關
192.168.1.250/24(這里后面的24是廣播,單網(wǎng)段我們設24,多網(wǎng)段有很多種設法,我
在這里就不作多講,網(wǎng)關可以設成,192.168.1.1或10.1.1.1等私有地址,看個人愛好來)
在Interface中我們點下拉選擇LAN,也就是網(wǎng)卡
單擊OK,接下我們加外網(wǎng)址,這里我們也是一樣填上外網(wǎng)網(wǎng)址就可以了,記得要在Interface中
選擇WAN OK確定
接下來我們來添加外網(wǎng)網(wǎng)關,IP>Route List
在彈出的對話框里,我們點加號,在彈出的對話框中Gateway中添加外網(wǎng)網(wǎng)關,點OK
我的外網(wǎng)網(wǎng)址是220.169.58.153,網(wǎng)關是220.169.58.152
接下我們打開防火墻,添加一條路由規(guī)則,我們就可以上網(wǎng)了
IP>Firewall>NAT
單擊加號在彈出來的對話框中,單擊Action,中Action下拉選擇masquerade
其它選項都是默認的,單擊OK
設置外網(wǎng)IP和外網(wǎng)網(wǎng)關(2)
這里��,我們假設本網(wǎng)吧外網(wǎng)IP為:222.82.241.34�����,網(wǎng)關為:222.82.241.33�����,子網(wǎng)掩碼為:
255.255.255.252開始設置��。IP-ADD項��。點紅十字添加IP����。IP及子網(wǎng)掩碼格式為:IP/子網(wǎng)掩碼。這里
我們應該輸入:222.82.241.34/255.255.255.252��。當然這樣輸入太羅嗦��,我們輸入:
222.82.241.34/30���,也是一樣��,道理和前面講的/24與/255.255.255.0的概念是一樣的���,換算結果是
這樣。我們輸入222.82.241.34/30��,表示的概念是IP為222.82.241.34��,子網(wǎng)掩碼為255.255.255.252����。
這里需要說明的一點是,子網(wǎng)掩碼你可以不按照電信給的設�����,可以設置為255.255.255.0也就是/24,
也可以通外網(wǎng)���,但是結果是會導致部分IP無法連接����,這個牽扯到電信的IP分配����,一般還是按照要
求來的比較好。點OK確認添加���。interface選項記得把WAN選上�,要不這個IP就分配給LAN網(wǎng)卡
了�,也就是造成的結果是內(nèi)網(wǎng)網(wǎng)卡有2個IP啦���。
IP添加完畢����,開始添加網(wǎng)關�����。IP-ROUTES項,還是紅十字添加��。第一項默認�����,第二項gateway�����,設置
網(wǎng)關IP�����,這個單詞的意思就是網(wǎng)關��。我們前面假設的網(wǎng)關是:222.82.241.33�,在這里輸入點OK添加。
至此����,ROS單機的外網(wǎng)已經(jīng)連接了,剩下的是要啟動路由�����,給內(nèi)網(wǎng)提供網(wǎng)絡路由了,我們可以現(xiàn)在
PING一下外網(wǎng)已經(jīng)通了��。TOOLS-PING小工具��,61.134.1.4是西安的DNS服務器IP��。
哇�����,為什么沒通呢���?呵呵 啦���。開始設開個小玩笑,我這是虛擬機�,當然不連外網(wǎng)的置路由了。
IP-FIREWALL-NET項�����。點紅十字咯�。chain里選擇默認的選項srcnat,���,action標簽里��,action項選擇
路由項:masquerade
點OK確定添加�。至此�����,內(nèi)網(wǎng)也已經(jīng)通網(wǎng)了�。做完了,可以收工回去睡覺咯����?NO,還有好多活吶
接下來�����,先順手把防二級代理做上��,還是FIREWALL頁里���,選擇mangle標簽����,點紅十字添加策略。
還是action標簽����,action項里選擇:change TLL。哦是TTL 輸入錯誤�����。TTL ACTION項選最后一個����。
NEW TTL值為1。OK添加��。
限速
SYSTEM-SCRIPTS 好像是這個吧����。嗯 沒錯,添加腳本��。選中腳本�,RUN就行了。看見沒���,后面運行時間和次數(shù)出來了,怎么看導入成功沒��?別急QUEUES項點開��,看見了吧 導入成功��,如果你想對某一臺機器單獨限制���,或者取消限制���,可以選中雙擊,編輯�,或者選中點八叉關閉限制,或者干脆點“-”刪除該機器的限制�����。演示一下����。這里就是設置頁general標簽內(nèi)顯示的詳細設置,左邊是上傳�,右邊是下載����。詳細概念是這樣的���,上傳:MAX LIMIT是初始化速度����,BURST LIMIT是最高速度���,這個最高指的是額定的最高��。也就是允許他的最高速度為�����。BURST THREShold 是閥值�,就是爆發(fā)速度�,BURST TIME 巡回監(jiān)測時間,這個限制的意思是這樣:當某臺機器的爆發(fā)速度也就是即時速度達到512K的時候��。將其速度降低到512K以下����,如果在巡回時間30秒內(nèi)它的速度沒有超過閥值512K�,那么開放其速度最高限制為1M����。簡單的說�,就是一
直監(jiān)視機器流量,如果超過512K��,降低他的速度在這個值以下��,如果沒有超過�,那么開放其速度在這個值以上,巡回監(jiān)視時間為30秒�����。舉例來講�,如果我們用迅雷下載東西或者IE下載東西,那么他的
上傳速度就會在256-1M之間徘徊�����,每30秒進行變換����。下載:和上傳一樣�����,只是設置的數(shù)值不一樣���。參照上傳概念。
MAC 綁定
接下來講ARP的問題啦���,很多人關心的�����,首先�,你的客戶機必須是有了開機綁定的操作�,ARP -S IP MAC。其實綁定網(wǎng)關IP就可以了���,有人是把客戶機自己也綁�����,沒啥意義�,難道自己還不認識自己啊�����?ROS上的設置有2個地方�����,一���,IP-ARP項里,所有的IP前的D沒有啦���,那就表示都綁定了��。
我們看下��。我這就一臺機器����,是本機�����。(不是虛擬機本機哦,是虛擬機的載體機)如果是網(wǎng)吧應該是很多�,另外,如果機器未開機����。看不到的����,必須是客戶機開機并且向ROS進行了連接,這里才可以看到��。綁定的操作很簡單����,手動也行,腳本也行���。手動操作看我演示�����。簡單吧���,但是上百臺機器叫你一個一個右鍵估計你就要叫了哦����。那么我們用腳本���。這是沒綁定的狀態(tài)��,腳本添加前面講過���,不重復了?���?匆娮兓税?���,腳本是在ARP池內(nèi)的所有IP都進行綁定操作。我一般是�����,做完ROS后將所有客戶機開機并PING一下ROS��,然后一個腳本�,OK了��。ARP的另一個ROS設置��,INTERFACE(接口)項里��,內(nèi)網(wǎng)網(wǎng)卡打開設置頁�����,這里�,一共四個選項����,第一個關閉,第二個開放���,第三個不知道���,第四個鎖定選擇第四個鎖定,概念解釋是:鎖定該網(wǎng)內(nèi)的MAC表���,那么當有新的MAC進入該網(wǎng)的時候�����,阻止其
通過��。防ARP的根本解決方案��,很多人都說過雙綁���,這就是雙綁���,許多人在做教程的時候沒有提到這里,鎖定操作�����,大家都以為�,客戶機綁上面,ROS綁下面����,雙綁就完了�����,其實這只是干了一半的活��。
繼續(xù),當INTERFACE選項里將ARP鎖定后����,會導致客戶機如果更改IP或者MAC就連不上網(wǎng),一般這樣的時候�����,在IP-ARP頁里把需要修改的機器雙擊打開修改MAC或者IP就行了����。
安全防護
防火墻,將下載好的或者自己做的防火墻策略傳到ROS上��,可以用FTP�,
也可以直接拉進去。
FTP的用戶名和密碼就是ROS的用戶名和密碼���。有可寫權限的哦���,這個可以在ROS里設置是否允許該用戶進行連接FTP,一會再講��。看見了吧����,文件已經(jīng)在里面了。現(xiàn)在進入BOX的模擬系統(tǒng)登陸界
面進行導入操作��。這里的顯示就是導入的防火墻策略了���,導入命令是:import 文件名�����,關于其他命令可以HELP或者/�?察看���。這就是所有命令了多講一點��,剛才做的MAC和限速的腳本����,在這里也一樣可以運行�,只要輸入腳本內(nèi)容回車就行了。然后要做的是比如網(wǎng)內(nèi)的端口映射之類的����。比如你有臺機器需要開放某端口給互聯(lián)網(wǎng),操作如下:我們假設為3389端口�,需要映射的IP為:192.168.0.2IP-FIREWALL-NET(IP-防火墻-網(wǎng))項chain項選擇dstnat,下面輸入映射的端口和回流IP��?����;亓鞯囊馑际窃诰W(wǎng)內(nèi)用本網(wǎng)的外網(wǎng)IP也一樣可以訪問連接的意思����。
3389端口 協(xié)議為TCP action里。
接下來是ROS的端口設置��,關閉一些不安全的不必要的東西���。別擔心你登陸不上去���,全部關閉。
看到了吧����,不影響B(tài)OX登陸。
最后是賬戶設置。users項����,紅十字是添加group是權限,下面還可以設定指定IP連接����。權限有
3個,第一個只讀����,第二個可寫,第三個完全開放還可以單獨設置部分組件權限����。這里可以設置
單獨的組件使用權限。
最后一部 做完了要做個備份�����,當遇到故障的時候可以迅速的恢復�����,這個備份不同于WINDOWS
系統(tǒng)的GHO��,它只是設置備份。具體操作有2種���,一種是在BOX的FILE里做,一種是在模擬
系統(tǒng)登陸界面做�����,我一般選擇后者���。
具體命令是:
SYSTEM-BACKUP-SAVE NAME=123��。BOX界面的操作剛做了�����,再演示遍��。選擇FILE項�����,
點BACKUP就行了�����?��;謴偷臅r候可以直接在BOX里選擇備份文件點RES鍵�,restore�。如果
你已經(jīng)登陸不了BOX,那么在ROS本機上����,登陸上去,用命令操作恢復也行�,
恢復命令是:SYSTEM-BACKUP-LOAD NAME=123 (-的意思是回車,可別輸入了哦)
使用ROS設置DHCP服務器
.添加ip pool地址池
ip->pool
add name="dhcp_pool1" ranges=192.168.0.2-192.168.0.254
2.ip dhcp server設上網(wǎng)關和dns
ip->dhcp-server
add name="DHCP_SERVER" interface=LAN lease-time=3d \
address-pool=dhcp_pool1 add-arp=no authoritative=no disabled=no
ip->dhcp-server->network
add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24 \
dns-server=192.168.0.1 comment=""
3.end
到這里���,一臺ROS路由服務器制作完成�,你的網(wǎng)吧內(nèi)網(wǎng)的互聯(lián)網(wǎng)還有安全都沒太大問題了��,
ARP你不怕了�����,一般的攻擊你不怕了���。
ROS命令
/sy reset 恢復路由原始狀態(tài)
/sy reboot 重啟路由
/sy showdown 關機
/sy ide set name=機器名 設置機器名
/export 查看配置
/ip export 查看IP配置
/sy backup 回車
save name=你要設置文件名 備份路由
LOAD NAME=你要設置文件名 恢復備份
/interface print 查看網(wǎng)卡狀態(tài)
0 X ether1 ether 1500 這個是網(wǎng)卡沒有開啟
0 R ether1 ether 1500 這個是正常狀態(tài)
/int en 0 激活0網(wǎng)卡
/int di 0 禁掉0網(wǎng)卡
/ip fir con print 查看當前所有網(wǎng)絡邊接
/ip service set www port=81 改變www服務端口為81
/ip hotspot user add name=user1 password=1 增加用戶
網(wǎng)友評分:8 
