ROS笔记,亲手测试！（1）

虽然说是笔记，很多东西是网上摘抄的，还是那句话。但是全部经过自己亲手测试！
我对ROS是很菜的，命令啊，方法什么的都记不住的， 要用的时候就找一下就是了，因为还是那句话，这些全部经过自己亲手测试！
使用ROS 2年多的感觉：ROS稳定是要建立在稳定机器上的，特别是网卡.ROS防火墙我从来不用，一开始用网上的那些，严重影响网速。
所以到现在我都没再用了，只用来封一些端口，网站。IP等等，还有，不要认为哪个路由很好，很牛B，ROS也罢，其他的也行，任你怎么设置，真的是DDOS，SYN等攻击都无一幸免！所以想网吧网络稳定，还是需要在客户机多下功夫，叫老板不要得罪周边同行……。


关于ROS中TX RX的理解

RX ：接收
TX：传送
1、在INTTERFACE中 我们查看WAN网卡的流量时 RX 为下行流量 TX为上行流量
查看LAN网卡的流量时 RX为上行流量 TX为下行流量
原因，以ROS为中心，WAN网卡接收的流量，即从ISP进来的流量，则为下行
以ROS为中心，LAN网卡接收的流量，即从工作站进来的流量，则为上行。
TX同理。
2、在SIMPLE QUEUES中，当目的地址为工作站IP，网卡为WAN时，TX为下行流量限制
原因，以ROS为中心，向工作站传送数据，即为工作站的下行流量
RX同理。
个人理解：以ROS为中心，RX就是向ROS发送数据包，TX就是ROS发出的数据包。

更改WINBOX端口
ip service> set www port=81 disabled=no

这条命令就可以给IP 192.168.0.2--192.168.0.254 分别设置流量控制，真的很简单
:for i from 1 to 219 do={/queue simple add name=(p . $i) dst-address=(192.168.1. . $i) max-limit=40000/512000 interface=all parent=none priority=8 queue=default/default burst-limit=800000/1024000 burst-threshold=25000/300000 burst-time=6s/6s total-queue=default target-address=0.0.0.0/0 disabled=no}
删除所有流量控制
:foreach i in [/queue simple find] do {/queue simple remove $i}
ROUTEROS改本机MAC的方法
/ interface ethernet
set lan name="lan" mtu=1500 mac-address=00:10:AA:3F:45:41 arp=enabled \
disable-running-check=yes auto-negotiation=yes full-duplex=yes \






日志：节省磁盘资源
:foreach i in=[/system logging facility find local=memory ] do=[/system logging facility set $i local=none]

RO防syn
ip-firewall-connections
Tracking:TCP Syn Sent Timeout:50
TCP syn received timeout:30
RO端口的屏蔽
ip-firewall-Filer Rules里面选择
forward的意思代表包的转发
firewall rule-General
Dst.Address:要屏蔽的端口
Protocol:tcp
Action:drop(丢弃)

RO限速
Queues-Simple Queues
name:可以任意
Dst. Address:内网IP/32
Limit At (tx/rx) :最小传输
Max Limit (tx/rx) :最大传输

RO映射
ip-firewall-Destination NAT
General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可
Dst. Address:外网IP/32
Dst. Port:要映射的端口
Protocol:tcp(如果映射反恐的就用udp)
Action action:nat
TO Dst.Addresses:你的内网IP
TO Dst.Ports:要映射的端口

RO IP伪装
ip-firewall-Source NAT
Action Action:masquerade(IP伪装）
回流（因为假如说在本网吧做SF需要回流）
ip-firewall-Source NAT
在general-Src.address： 192.168.0.0/24
RO的IP:mac绑定
:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]
:foreach i in=[/ip arp find ] do=[/ip arp remove $i]
完了在interfaces里面选择内网在选择reply-only
RO设置的备份（两总方法）
files-file list
backup即可（可以到你的ftp里面找）
背份资料命令行：system回车
backup回车
save name=设置文件名 回车
资料恢复命令

system回车
backup回车
load name=文件名 回车

RO禁ping
/ ip firewall rule input add protocol=icmp action=drop comment="Drop excess pings" disabled=no
解ping
ip-firewall-filter rules
input:将其屏蔽或者删掉

关于mac地址扫描

/tool mac-scan all


VPN与ppp建立用户

在interfaces--settings-pptp server
Enabled选择 mtu1500 mru：1500
keepalive Timeout：disabled
default Profiles： default
Authentication： 下面打上四个对号（这也代表服务器启动）
ip-pool-ip pool
pptp=192.168.0.150-192.168.0.160(此IP段为内网中没有在用的段）
pptp1=192.168.0.170-192.168.0.180(此IP段为内网中没有在用的段）
自己总结出来的，有人问，为什么要写2个ip段一个不也行吗。。。
这也是我自己的心得，我想看到这个资料的人也不是一般人。呵呵
因为在vpn连接的时候我们要给他分配一个远程的主机ip做为网关。
在本配一个本地的做为ip。所以选择了2个，往下看在
ppp-Secrets
new ppp secret
service:pptp
routes:可以添加网关（一般VPN都是默认录找网关可添可不添）
Profiles:
Local Address:在这里我添加的是pptp
Remote Address:在这里我添加的是pptp1
dns，建议最好填写：
下面有两个 use Encryption Require Encryption 代表加密
Limits:
Tx bit Rate:()用来限速的最大值
Rx bit Rate:()用来限速的最小值

这也就表明了，远程给他一个地址，本地给他一个地址，这样可以更好的来识别
最重要的，就是，基本每次都能拨上来。可能有很多人说我能拨你家电信，为啥不
能拨网通，我来告诉你答案因为isp的关系。在这里我就不详细说明了。

自动切换脚本：
系统-脚本：
cncdown:
source:/ip policy-routing table cnc set [ ip policy-routing table cnc find dst-address=0.0.0.0] gateway 222.168.11.165(电信的网关)
cncup:
source:/ip policy-routing table cnc set [ ip polic -routing table cnc find dst-address=0.0.0.0] gateway 218.62.26.137(网通的网关）
maindow:
source:/ip policy-routing table main set [ ip policy-routing table main find dst-address=0.0.0.0] gateway 218.62.26.137(网通的网关
mainup:
source:/ip policy-routing table main set [ ip policy-routing table main find dst-address=0.0.0.0] gateway 222.168.11.165(电信的网关)
RO监控流
tools-netwatch
netwatch host:
host:218.62.26.137(网通的网关）
up:cncup down:cncdown
双网的就加一条电信的网关（做法同上）

怎么样把ROS的各种设定导出

使用export命令导出，使用import命令导入
如：导出全部配置命令为：/export file=xxx
导入配置命令：/import file=xxx
导出防火墙配置的命令：/ip firewall export file=xxx

备份设置：files-->backup 再用ftp client download备份文件
恢复设置：ftp client upload 备份文件；files --> restore

检查磁盘
在路由或终端模拟下用下面命令：
system
check-disk
检查磁盘，要重启。 但是很慢，一分钟一G。。。哈哈
关机
可以在WINBOX中关机，也可以用命令关：
system
sh
即可。。。自我感觉不好使

如果有一些网页打不开，你ISP的MTU=1492，请在IP > Firewall > Mangle > 单击红加号 > Protocol选择TCP > Tcp Options 选择 sync >

Actions选择 accept >TCP MSS:1448

屏蔽来自外网的所有连接 ，一些恶意网站和广告，也可以从这里屏蔽

ip－firewall -filter fules ，选择 ＋ 号，in interface 选择内网网卡（local），其他默认
这条路由允许来自内网的连接，如果有限制，可以修改 src address 的ip段，或者content 内容过滤

ip －》firewall －》filter chains 选中 input ，选择 drop
这条规则禁止所有的外部连接

记录网卡MAC地址才能限制网卡上网。具体设置如下。
在防火墙里面的filter rules项选择forward然后添加一项设定也就是“＋”号，
在advanced项里面的src .mac.address项里面加入网卡的MAC地址，然后在ACTION中选择Drop项。这样子添加后，那块网卡的ip地址无论咋换，都
无法上网。除非它把网卡换了。我就是这样子作出来得，效果不错。

如果改了端口用winbox打不开了的解决方法 用SSH进入
/ip ser
/ip ser/>set www port 80 on
/ip ser/>set ftp port 21

解决因防火墙屏蔽来自内网的所有连接
进入后输入 /ip f ru o 可打开OUTPUT 输入 //ip f ru in 可打开INPUT
再、输入p 可看结果
按REM O（此0为数字）可删除相应0的规则
你输入/ip f set i p a 可恢复系统默认input改回accept。
或者，使用system 里面的reset 复位路由（会删除所有规则）

系统自动复位清除设置并重新启动）

[admin@MikroTik] > system reset
（
启用dns缓存

[admin@MikroTik] ip dns> set allow-remote-requests=yes
[admin@MikroTik] ip dns> ..

user 管理员只能在内网登陆
set 0 address=192.168.0.0/24
给ROS新手使用，下面是我接触ROS以来经常用到的

我这边网吧用的是电信光纤,没有网同，所以机器只装了2个网卡.我是用光盘安装的
首先看看网卡是否都被识别出来了，命令是：
/interface
print
可以缩写为
pri
然后我们来激活他们，命令是
ENABLE 0
ENABLE 1
0是第一块网卡
激活后没有提示。用print命令查看后发现网卡前面的X变成R，就代表激活成功了

所以我把网卡给改个名字：
命令：
set 0 name=dianxin
set 1 name=neiwang

然后给他们相应的IP。
先返回顶层目录，用/键就可以了
然后输入：
IP
ADDRESS
add address 192.168.0.1/24 interface neiwang
add address xxx.xxx.xxx.xxx/24 interface waiwang （这里写ISP给的地址）
这样就设置好了dianxin、neiwang网卡的IP和子网掩码。24代表255.255.255.0
添加完后可以用print命令来查看结果。如果发现某条有错误，用“remove 错误的编号“既可以删除。
我比较喜欢在命令行下面操作，我们来设置外网的网关
[admin@MikroTik] >setup
会出来选项，这里的选项就是安装的时候你所选择的组件
我们选+ a - configure ip address add geteway
然后选+ g - setup default gateway （这里是设置外网网关
然后根据自己的实际情况来，我的是218.92.5.1

接下来设置DNS了，
[admin@MikroTik] >ip
[admin@MikroTik] >ip> dns
[admin@MikroTik] >ip> dns> pri
可以察看DNS列表，我们用命令来设置一下
set primary-dns=xxx.xxx.xxx.xxx (首选DNS）
set secondary-dns=xxx.xxx.xxx.xxx （备用的）
可以使用winbox来控制服务器了
在IE地址栏输入:http://192.168.0.1（根据你配置的IP实际情况）
输入你的IP，用户名、密码，既可登陆。
初始用户名admin，密码空
然后我们设置共享上网
设置NAT共享上网ip －－》firewall －source nat ，选择 ＋ 号，选择action，action里面选择 masquerade
好了，现在就可以上网了，然后我改了管理员账号和密码，安全工作要做做好，嘿嘿。