軟路由ftp

『壹』 安裝軟路由的命令

命令說明：

RouterOS的基本設置包括四個部分interface、ip address、ip route 、ip firewall src-nat。

1.interface的命令中主要為修改介面稱和激活介面；
2.ip address的命令主要為分別在兩接相應介面上增加外網IP地址和區域網IP地址；
3.ip route的命令主要是牆加路由表，這里簡單的網路路由表中只有三條，一條是手動加的，兩條是動態路由項；
4.ip firewall src-nat 的命令是用來設置網路地址轉換，這里的偽裝masquerade)即是網路地址轉換NAT)的一種特殊形式，區域網多台機器使用一個外網IP上網一般都用偽裝masquerade)。
如果只是做單純的路由器來使用，把上面綠色部分的IP按實際的網路修改即可！
此過程本人已全新安裝測試多次，均很正常，如果你按照此命令設置仍不能讓區域網訪問外網，最有可能的是你的內網和外網網線插反了網卡，更不要忘了客戶機的TCP/IP屬性配置。
設置RouterOS筒明教程官方設置） RouterOS V2.8

設置RouterOS筒明教程

如何設置RouterOS文檔版本:1.5 應用於:MikroTik RouterOS V2.8

怎麼樣保護你的MikroTik RouterOS™?

屬性描述
要保護你的MikroTik RouterOS™, 你不應該只是修改你的admin的密碼，還需要設置數據包的過濾，所以目的地到路由器的數據包需要在一次經過ip firewall的input鏈表處理。注意input鏈表不會去**通過路由器的傳輸數據。
你可以添加下面的規則到/ip firewall rule input 只需要通過' 和paste'到路由器的Terminal Console（終端控制台）或
在winbox中配置相關的參數):

/ip firewall rule input add connection-state=invalid action=drop \

comment="Drop invalid connections"

/ip firewall rule input add connection-state=established \

comment="Allow established connections"

/ip firewall rule input add connection-state=related \

comment="Allow related connections"

/ip firewall rule input add protocol=udp comment="Allow UDP"

/ip firewall rule input add protocol=icmp comment="Allow ICMP Ping"

/ip firewall rule input add src-address=10.0.0.0/24 \

comment="Allow access from our local network. Edit this!"

/ip firewall rule input add src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \

comment="This is web proxy service for our customers. Edit this!"

/ip firewall rule input add action=drop log=yes \

comment="Log and drop everything else"

使用/ip firewall rule input print packets 命令可以看到有多少個數據包被裡面的規則處理過。使用reset-counters 命令去復位統計值。檢查系統日誌文件通過/log print可以看到數據包被丟棄的信息。
你可能需要在裡面添加允許來至確認主機的訪問。例如：記住出現在列表中的防火牆規則在命令中被處理。一個規則匹配的數據包，不會被之後其他的規則處理。添加了新的規則後，如果想優先被處理，通過move命令移動到所以規則之上。
怎樣保護你的MikroTik RouterOS™ 從來至 Spam的請求

Description

To protect your MikroTik RouterOS™ from being used as spam relay you have to:

保證你的路由器使用了防火牆規則。 See the How To section about it!
配置web proxy 訪問列表
web proxy訪問列表配置在/ip web-proxy access下。例如，添加下面規則允許來至確認主機的訪問。 只需要通過' 和paste'到路由器的Terminal Console（終端控制台）或
在winbox中配置相關的參數)：

/ip web-proxy access add src-address=192.168.0.0/24 \

comment="Our customers"

/ip web-proxy access add dst-port=23-25 action=deny \

comment="Deny using us as telnet and SMTP relay"

/ip web-proxy access add action=deny \

comment="Deny everything else"

注意，允許確認服務首先你應該由規則，並且在規則的最後通常為拒絕任何的訪問。
如何連接你的家庭網路到xDSL?

屬性描述
確認你的家用DSL modem以安裝好，並想通過一個安全的方式將你的家庭網路連接到Internet，首先你需要安裝MikroTik路由器在DSL modem和你家庭網路中間：
下一步連接你的家庭網路到xDSL：
首先你的MikroTik路由器有兩張乙太網卡，一個對應家庭的DSL modem ，一個對應你的家庭網路。
安裝時，確定你安裝了dhcp軟體功能包。
啟用兩個網卡，如下：
/interface enable ether1,ether2

配置DHCP客戶端在對外的介面上xDSL) 接收來至IP配置的服務：
/ip dhcp-client set enabled=yes interface=ether1

檢查，如果你收到IP配置信息後使用lease print，如下：
[admin@MikroTik] ip dhcp-client> lease print

address: 81.198.16.4/21

expires: may/10/2001 04:41:49

gateway: 81.198.16.1

primary-dns: 195.13.160.52

secondary-dns: 195.122.1.59

[admin@MikroTik] ip dhcp-client>

添加你的私有網路地址到ether2網卡上，如下：
/ip address add address=192.168.0.1/24 interface=ether2

在你的本地網路配置偽裝：
/ip firewall src-nat add out-interface=ether1 action=masquerade \ comment="Masquerades everything leaving the external interface"

配置防火牆保護你的路由器：
/ip firewall rule input add connection-state=invalid action=drop \

comment="Drop invalid connection packets"

/ip firewall rule input add connection-state=established \

comment="Allow established connections"

/ip firewall rule input add connection-state=related \

comment="Allow related connections"

/ip firewall rule input add protocol=udp comment="Allow UDP"

/ip firewall rule input add protocol=icmp comment="Allow ICMP Ping"

/ip firewall rule input add src-address=192.168.0.0/24 \

comment="From my home network"

/ip firewall rule input add action=drop log=yes \

comment="Log and drop everything else"

可選)配置DHCP服務散發IP配置到你的家庭網路中去：
/ip pool add name=private ranges=192.168.0.2-192.168.0.254

/ip dhcp-server network add gateway=192.168.0.1 address=192.168.0.0/24 \

dns-server=195.13.160.52,195.122.1.59 domain="mail.com"

/ip dhcp-server add name=home interface=ether2 lease-time=3h \

address-pool=private

/ip dhcp-server enable home

這樣！你能通過你的家庭網路訪問Internet。
如何保持我的路由器的更新
屬性描述
保持你的路由器更新，你應該：
更新最新的RouterOS軟體版本
如果你有一個RouterBoard，需要更新BIOS固件版本
在這部分將介紹你如何升級你的RouterBoard的BIOS固件版本。
首先，At first, 檢查你的一個routerboard功能包被安裝
[admin@MikroTik] system package> print

Flags: I - invalid

# NAME VERSION BUILD-TIME UNINSTALL

0 routerboard 2.8.14 aug/06/2004 15:30:32 no

1 security 2.8.14 aug/06/2004 14:08:54 no

2 system 2.8.14 aug/06/2004 14:03:02 no

3 advanced-tools 2.8.14 aug/06/2004 14:04:55 no

4 wireless 2.8.14 aug/06/2004 14:42:17 no

[admin@MikroTik] system package>

檢查你的RouterBoard BIOS固件：
[admin@MikroTik] system routerboard> print

routerboard: yes

model: 230

serial-number: 8387617

current-firmware: 1.3.1 Aug/06/2004 15:30:19)

upgrade-firmware: 1.3.1 Aug/06/2004 15:30:19)

[admin@MikroTik] system routerboard>

可以通過在下載頁面查看在all packages文檔最新的BIOS更新（http://www.routerboard.com/archive.html）。BIOS更新文件被命名為wlb-bios-[version_number].fwf 這里的version_number 是BIOS固件版本。
如果這個文件包含一個較新的版本，通過FTP使用二進制文件傳輸模式，拷貝到路由器。但完成後，你應該能在/file目錄看到文件以及包含的BIOS固件信息：
[admin@MikroTik] system routerboard> /file print

# NAME TYPE SIZE CREATION-TIME

0 wlb-bios-1.3.2.fwf routerbios 73079 sep/07/2004 00:12:05

[admin@MikroTik] system routerboard>

檢查RouterBoard的BIOS固件版本和你可以看到能一個能用於更新的版本：
[admin@MikroTik] system routerboard> print

routerboard: yes

model: 230

serial-number: 8387617

current-firmware: 1.3.1 Aug/06/2004 15:30:19)

upgrade-firmware: 1.3.2 Aug/22/2004 12:13:56)

[admin@MikroTik] system routerboard>

現在通過upgrade命令更新BIOS版本。
[admin@MikroTik] system routerboard> upgrade

Firmware upgrade requires reboot of the router. Continue? [y/n]

選擇y後軟體將升級BIOS，路由器將自動重啟，請不要手動重啟路由器。在路由器重啟完成後，可用檢查新的BIOS版本：

[admin@MikroTik] system routerboard> print

routerboard: yes

model: 230

serial-number: 8387617

current-firmware: 1.3.2 Aug/22/2004 12:13:56)

upgrade-firmware: 1.3.2 Aug/22/2004 12:13:56)

[admin@MikroTik] system routerboard>

如何配置透明橋在兩個網路中？
屬性描述
遠程網路能通過MikroTik RouterOS™基於IP的以太傳輸（EoIP）或WDS功能簡單橋接起來，使用EoIP能擴展到其他別的類型的網卡上，如PPTP, CISCO/Aironet, Prism 。WDS 只能工作在Prism與Atheros網卡上。
註：因為MikroTik RouterOS不能直接在兩個無線設備上做透明橋，所以通過EoIP方式實現。
讓我們假設下面的一個網路設置：
使用EoIP隧道的透明橋
下面的步驟將使用EoIP介面創建透明橋：
確定你以將兩個MikroTik路由器連接，例如一個路由器配置為服務端 AP)，另外一個則為客戶端station):
[admin@AP] > interface wireless set wlan1 mode=bridge ssid=mikrotik \

\... disabled=no

[admin@Station] interface wireless> print

[admin@Station] interface wireless> set wlan1 mode=station ssid=mikrotik disabled=no

確定IP配置正確，並能從一個路由器訪問到另一個:
[admin@AP] > ip address add address=10.1.0.1/24 interface=wlan1
[admin@Station] > ip address add address=10.1.0.2/24 interface=wlan1
[admin@Station] > ping 10.1.0.1
10.1.0.1 64 byte pong: ttl=64 time=1 ms
10.1.0.1 64 byte pong: ttl=64 time=1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 1/1.0/1 ms
[admin@Station] >
添加EoIP隧道介面：
[admin@AP] > interface eoip add remote-address=10.1.0.2 tunnel-id=1 disabled=no
[admin@Station] > interface eoip add remote-address=10.1.0.1 tunnel-id=1 \\... disabled=no

添加橋介面並將相應的介面放入：
[admin@AP] > interface bridge add forward-protocols=ip,arp,other disabled=no

[admin@AP] > interface bridge port set eoip-tunnel1,ether1 bridge=bridge1

[admin@Station] > interface bridge add forward-protocols=ip,arp,other \

\... disabled=no

[admin@Station] > interface bridge port set eoip-tunnel1,ether1 bridge=bridge1

註：
如果你是通過ether1連接的，那在設置後將會丟失連接。這是因為網卡設置的切換。
將乙太網卡的IP地址移動到橋介面上：
[admin@AP] ip address> set [find interface=ether1 ] interface=bridge1

[admin@AP] ip address> print

Flags: X - disabled, I - invalid, D - dynamic

# ADDRESS NETWORK BROADCAST INTERFACE

0 10.0.0.215/24 10.0.0.0 10.0.0.255 bridge1

1 10.1.0.1/24 10.1.0.0 10.1.0.255 wlan1

[admin@AP] ip address>

[admin@Station] ip address> set [find interface=ether1 ] interface=bridge1

[admin@Station] ip address> print

Flags: X - disabled, I - invalid, D - dynamic

# ADDRESS NETWORK BROADCAST INTERFACE

0 10.0.0.216/24 10.0.0.0 10.0.0.255 bridge1

1 10.1.0.2/24 10.1.0.0 10.1.0.255 wlan1 [admin@Station] ip address>

現在你可以通過在ether1上的bridge1介面連接到路由器。
通過ping 測試橋連接從10.0.0.215到10.0.0.216。注，橋需要10到30秒時間學習地址和開始經過的流量。
如果你有prism、CISCO/Aironet網卡或加密的PPTP隧道，同樣可以創建EoIP透明橋然而，EoIP隧道只能用於建立兩個MikroTik路由器之間。
如何將公網地址連接到一個本地地址?

屬性描述
例如一個電腦有一個自己在區域網的地址但需要使用公務網路的通信。
讓我們假設兩個地址（10.0.0.216和10.0.0.217）被分配到路由器。在這個例子中我們將在一個'full NAT'到內網地址192.168.0.4指向外網的10.0.0.216的地址。10.0.0.217的外網地址仍然用於自己內部網路的偽裝。
添加10.0.0.216/24和10.0.0.217/24 地址到路由器的外網網卡上，並設置192.168.0.254/24到內網網卡：

/ip address

add address=10.0.0.216/24 interface=Public

add address=10.0.0.217/24 interface=Public

add address=192.168.0.254/24 interface=Local

print

Flags: X - disabled, I - invalid, D - dynamic

# ADDRESS NETWORK BROADCAST INTERFACE

0 10.0.0.216/24 10.0.0.0 10.0.0.255 Public

1 10.0.0.217/24 10.0.0.0 10.0.0.255 Public

2 192.168.0.254/24 192.168.0.0 192.168.0.255 Local

在添加默認路由的時你應該意識到有兩個地址。While adding the default route to the router you should be aware of having two addresses. You should specify the address that the router will be using while talking to the outer networks:

/ip route

add gateway=10.0.0.1 preferred-source=10.0.0.217

print

Flags: X - disabled, I - invalid, D - dynamic, J - rejected,

C - connect, S - static, r - rip, o - ospf, b - bgp

# DST-ADDRESS G GATEWAY DISTANCE INTERFACE

0 S 0.0.0.0/0 r 10.0.0.1 1 Public

1 DC 10.0.0.0/24 r 0.0.0.0 0 Public

2 DC 192.168.0.0/24 r 0.0.0.0 0 Local

添加dst-nat規則允許從外網到內網伺服器的訪問：

/ip firewall dst-nat

add dst-address=10.0.0.216/32 action=nat to-dst-address=192.168.0.4

print

Flags: X - disabled, I - invalid, D - dynamic

0 dst-address=10.0.0.216/32 action=nat to-dst-address=192.168.0.4

添加src-nat規則允許內網伺服器能與外網通信，並這是除192.168.0.4主機地址通過外網地址10.0.0.216出去，其他的內網地址通過10.0.0.217：

/ip firewall src-nat

add src-address=192.168.0.4/32 action=nat to-src-address=10.0.0.216

add src-address=192.168.0.0/24 action=nat to-src-address=10.0.0.217

print

Flags: X - disabled, I - invalid, D - dynamic

0 src-address=192.168.0.4/32 action=nat to-src-address=10.0.0.216

1 src-address=192.168.0.0/24 action=nat to-src-address=10.0.0.217

一些提示:
如果你是ADSL用戶，在上文描述的基礎上不要在外網的網路介面上指定IP及掩碼，也不要在路由表中加入任何靜態路由記錄，但要在外網的網路介面上加入PPPoE Client，在PPPoE Client屬性中輸入ADSL帳號和密碼。這時外網介面會自動獲得IP，也可獲得路由記錄。
如果你僅僅是動態IP用戶但不是ADSL用戶，應在上文描述的基礎上不要在外網的網路介面上指定IP及掩碼，也不要在路由表中加入任何靜態路由記錄，只需要在外網的網路介面上加入DHCP Client即可。這時外網介面會自動獲得IP，也可獲得路由記錄。
MikroTik RouterOS 中為IP10限速的設置
請把下面的列印改為命令

[root@MikroTik] queue simple> print
Flags: X - disabled, I - invalid, D - dynamic
0 name="queue1" target-address=0.0.0.0/0 dst-address=192.168.1.10/32
interface=all queue=default priority=8 limit-at=0/0
max-limit=800000/00
MikroTik RouterOS 把迅雷限制為單資源下載的設置
請把下面的列印改為命令

[admin@MikroTik] ip firewall rule forward> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; 允許IP252所有
src-address=192.168.1.252/32 action=accept
1 ;;; 禁迅雷TCP兩埠
dst-address=:3076-3077 protocol=tcp action=drop
2 ;;; 禁迅雷UDP兩埠
dst-address=:3076-3077 protocol=udp action=drop
MikroTik RouterOS 埠映射的設置

[admin@MikroTik] ip firewall dst-nat> dst-address=218.*.*.170/32:21 protocol=tcp action=nat to-dst-address=192.168.1.251 to-dst-port=21