ROS详解限速、防syn、ip伪装、mac绑定、防火墙、屏蔽端口

ROS限速、防syn、ip伪装、mac绑定、防火墙、屏蔽端口节省磁盘资源!

:foreach i in=[/system logging facility find local=memory ] do=[/system logging facility set $i local=none]

RO防syn

ip-firewall-connections

Tracking:TCP Syn Sent Timeout:50

                 TCP syn received timeout:30

限线程脚本:

:for aaa from 2 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $aaa) protocol=tcp connection-limit=50,32 action=drop}

RO端口的屏蔽

ip-firewall-Filer Rules里面选择

forward的意思代表包的转发

firewall rule-General

          Dst.Address:要屏蔽的端口

          Protocol:tcp

Action:drop(丢弃)

ros限速

手动限速

winbox---queues----simple queues

点“+”,NAME里随便填,下面是IP地址的确定

①Target Address 不管,Dst. Address里填你要限制的内网机器的IP,比如我这里有个 1号机器 IP为 192.168.1.101,那dst.address 里就填 192.168.1.101 然后是/32(这里的32不是指掩码了,个人理解为指定的意思)!

②interface里记着要选你连接外网那个卡,我这里分了“local和public”,所以选public

③ 其他的不管,我们来看最重要的东西拉,Max limit ,这个东西是你限制的上限,注意的是 这里的数值是比特位,比如我要限制 下载的速度为 500K 那么就填入多少呢? 500 X 1000 X 8=400 0000=4M。

④ 另外,很多朋友都有个疑问,到底一般的用户会有多大流量呢?一般的网络游戏,如梦幻西游 传奇 封神榜 等等,其下行在 20Kbps以内!最耗网络资源的就是下载-----我们就是为了限制它拉,其次是VOD点播,一般DVD格式的大约要 2M多吧,所以你看情况限制拉别搞的太绝!!!

限速脚本:

:for aaa from 2 to 254 do={/queue simple add name=(queue . $aaa) dst-address=(192.168.0. . $aaa) limit-at=0/0 max-limit=2000000/2000000} 说明:

aaa是变量

2 to 254是2~254

192.168.0. . $aaa是IP

上两句加起来是192.168.0.2~192.168.0.254

connection-limit=50是线程数这里为50

max-limit=2000000/2000000是上行/下行

使用:

WinBox-System-Scripts-+

Name(脚本名程)

Source(脚本)

OK-选择要运行的脚本-Run Script

ROS限速的极致应用

一般我们用ros限速只是使用了max-limit,其实ros限速可以更好的运用。比如我们希望客户打开网页时速度可以快一些,下载时速度可以慢一些。ros2.9就可以实现。

max-limit------我们最常用的地方,最大速度

burst-limit--------突破速度的最大值

burst-thershold--------突破速度的阀值

burst-time-------突破速度的时间值

解释一下图片的限制意义

当 客户机在30秒(burst-time)内的平均值小于突破速度阀值(burst-thershold)180K时,客户机的最大下载速率可以超过最大限 速值(max-limit)200K,达到突破最大值(burst-limit)400K,如果30秒内平均值大于180K,那客户机的最大速度只能达到 200K。

这样也就是当我们开网页时可以得到一个更大的速度400K,长时间下载时速度只能得到200K,使我们的带宽可以更有效的利用

动态限速

ROS动态限速(检测外网总速度进行限速开关)废话不说先看脚本原理:

以下操作全部在WINBOX界面里完成

介绍:可以实现在总速度不超过9M的情况下自动关闭所有生成的限速规则在总速度超过18M的时候自动启动所有生成的限速规则。

说明:在输入脚本内容时不要把两边的()带上,那个是为了区分非脚本字符。

              总速度=你的外网网卡当前速度。

打开 /system/scripts

脚本:

:for aaa from 1 to 254 do={/queue simple add name=(ip_ . $aaa) dst-address=(192.168.0. . $aaa) interface=wan max-limit=256000/800000 burst-limit=1000000/3000000 burst-threshold=128000/512000 burst-time=30s/1m          }

上面是生成限速树,对网段内所有IP的限速列表!

下面进入正题:

脚本名:node_on

脚本内容:(:for aaa from 1 to 254 do={/queue sim en [find name=(ip_ . $aaa)]})

脚本名:node_off

脚本内容:(:for aaa from 1 to 254 do={/queue sim dis [find name=(ip_ . $aaa)]})

scripts(脚本部分)以完成

打开 /tools/traffic monitor

新建:

名:node_18M          traffic=received          trigger=above          on event=node_on threshold:18000000

新建:

名:node_9M          traffic=received          trigger=below          on event=node_off          threshold:9000000

在输入脚本内容时不要把两边的()带上,那个是为了区分非脚本字符。

RO映射

ip-firewall-Destination NAT

General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可)

          Dst. Address:外网IP/32

          Dst. Port:要映射的端口

          Protocol:tcp(如果映射反恐的就用udp)

Action action:nat

          TO Dst.Addresses:你的内网IP

          TO Dst.Ports:要映射的端口

ip伪装

ip-firewall-Source NAT

Action Action:masquerade(IP伪装)

回流(因为假如说在本网吧做SF需要回流)

ip-firewall-Source NAT

在general-Src.address: 192.168.0.0/24          这里特殊说明下          内网ip段          24代表定值不可修改

ROS的IP:mac绑定

绑定:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]

解除绑定:foreach i in=[/ip arp find ] do=[/ip arp remove $i]

完了在interfaces里面选择内网在选择reply-only

RO设置的备份(两总方法)

files-file list

backup即可(可以到你的ftp里面找)

背份资料命令行:system回车

backup回车

save name=设置文件名 回车

资料恢复命令

system回车

backup回车

load name=文件名          回车

ROS禁ping

/ ip firewall rule input          add protocol=icmp action=drop comment="Drop excess pings" disabled=no

解ping

ip-firewall-filter rules

input:将其屏蔽或者删掉

关于mac地址扫描

/tool mac-scan all

本文标题:ROS详解限速、防syn、ip伪装、mac绑定、防火墙、屏蔽端口
本文链接:http://citywo.com/index.php/post/133.html
作者授权:除特别说明外,本文由 citywo 原创编译并授权 大城小我 刊载发布。
版权声明:本文不使用任何协议授权,您可以任何形式自由转载或使用。