今天改动routeros的是首先防御syn攻击
用winbox连接，在 ip――firewall――connections――tracking――connections tracking中修改tcp syn sent timeout 这项的时间为00：00：50。再修改tcp syn received timeout 这项的时间为00：00：30。

内网IP和MAC帮定

A. 打开所有子网电脑，并随便浏览什么网页。

B.在 winbox 里，点击 IP － ARP，出现 ARP list ，前面有 D 的表示是 routeros 动态捕捉到的，我们可以用copy 的办法把这个绑定留下来。

C.双击 这个前面有 D 的，依次点击 Tools – Copy，按 OK 即可。
D.依次做，当你所有的需要上网的电脑的 IP- MAC 绑定都 Copy 好以后选择 主菜单 中的 interface ，双击其中

的 内网网卡，其中General 选项卡 中的 ARP 项选 reply－only ，按 OK 就行了。

掉线是因为你还没有绑定IP-MAC，做 reply－only 了。

本文章由雨豪博客撰写,采用CC授权分享,转载时请注明原文链接。

(因为超过了50000个字节不得不省略 请下载附件)

在技术上 保守就意味着被淘汰

—————————————————————————————–

12月30日改进
—————————————————————————————–

——————————————————————————————

1月11日

在INPUT里面加入DROP BLACK LIST

把所有ROS判断为DDOS攻击的IP屏蔽直到它停止攻击

附件： 点击下载

本文章由雨豪博客撰写,采用CC授权分享,转载时请注明原文链接。

本文章由雨豪博客撰写,采用CC授权分享,转载时请注明原文链接。

本来不想多说

因为这个问题涉及的网络设备很多

但是大家总希望往ROS 身上找原因

那么我就按照大家的思路给出1个100% 解决 ARP 的方案

而且在我经手的 几十家网吧 都已经实施了

第一: 改ROS

必须把 ROS 改变成 PPPOE 服务器的模式带客户机器上网

关于 PPPOE 的话题大家可以使用论坛的搜索功能 完全可以看到 图文并茂的贴

推荐看这个 http://www.routerbbs.com/read-htm-tid-20452-keyword-PPPOE.html

第2: 改客户机器

WINDOWS 系统 已经默认带有PPPOE 的拨号方式

大家完全可以建立脚本 的方式来让XP 或者2003 开机自动拨号

[转]

假设我这里的宽带帐号和密码分别是wzl.8878888密码是1234567，我这里只举个例子，当然大家自己输入的时候，需要输入你们真实的宽带拨号的帐号和密码，废话不说了。
1.首先 在桌面上，鼠标 右键 新建  文本文档特别注意，命令格式如下：
rasdial 宽带连接 wzl.8878888 1234567
rasdial命令是windows自带的一个命令，可以实现网通，电信，宽带自动拨号的一个命令。

宽带连接是 你桌面上的拨号连接的程序名，可以自己随便修改，默认的是宽带连接，自己可以修改为adsl，lan等等的名字都可以。

wzl.8878888这个是宽带拨号的帐号。
1234567是宽带拨号的密码。
特别提醒大家rasdial和宽带连接之间有一个空格，宽带连接 和wzl.8878888之间也有一个空格，wzl.8878888和1234567也有一个空格。

好了，大家知道了上面的命令及，写命令的方法。下面我们开始自己写一个批处理文件把。
打开刚刚桌面上新建立的 新建 文本文档然后输入：
rasdial 宽带连接 wzl.8878888 1234567

（再次提醒大家：宽带连接，是你点桌面上的拨号程序的名称，如果你的拨号程序名称是adsl那这里的宽带连接就填写adsl，wzl.8878888是宽带拨号帐号，1234567是宽带拨号密码，请都正确填写）

然后大家点 文件  另存为

然后在文件名里输入adsl.bat点保存就可以了，这个时候大家会发现桌面上多了一个adsl.bat的批处理文件，请看

（特别注意的是：adsl.bat里的adsl是我自己随便取的一个批处理文件名，当然大家可以随便取，比如lan，宽带拨号，等名字都可以的）。

好了。现在大家只要把adsl.bat鼠标 左键点着不要放，然后拉到 开始 程序  启动里，或者在计划任务里设置一下就可以实现开机自动拨号连接了了。两种方法，可以任选一种，每种方法都可以，大家觉的哪种方法好就用哪一种，两种方法详细介绍如下：
1.把adsl.bat鼠标 左键点着不要放，然后拉到 开始 程序  启动里

已上介绍的方法，同样适合win98/winme/win2000/winxp/win2003等操作系统。

第3步 取消本地 网络 原有的 网关和 DNS

================================

OK 使用上述方式100% 解决ARP 问题

==================================================================
以下是转自 xqs428 的文章

ARP欺骗的防御措施

一就是不使用ARP协议,没有ARP协议也就没有ARP欺骗
    1)在局域网内可以采用PPPOE的方式上网,PPPOE不使用ARP协议,也就不会产生ARP,而且PPPOE不会改变原来的局域网拓扑结构,它是在802.3的基础上的二次封装数据包.
    2)使用PPP方式上网,ADSL就是这个方式,这个有点片面,需要改变原本的拓扑结构.
    3)使用IPX协议,难于实施
    4)使用其他的模式上网,不再讨论,不是很现实
二继续使用ARP协议,从其他的方面防止ARP病毒
    1)下层设备和上层设备的双向绑定,双先绑定能解决ARP欺骗所造成的断网现象,但是此方式内的缺陷是在网络内ARP数据包乱飞(影响网络质量,在用户多的情况下,用户端绑定不利于实施,适用于小型网络).
    2)用户端处上接可网管交换机,用交换机进行端口和MAC地址以及IP地址的绑定,很好的防止ARP欺骗,但是这个也有一定的缺陷(投资大,需要可网管交换机,适用于小型网络)
    3)用户端使用ARP防御工具,比如彩影的ARP防御工具,或者包过滤防火墙,很好的防止ARP欺骗(在用户端比较多的情况下不利于实施,用于小型网络)
    4)使用路由器广播网关的MAC地址的ARP包,ARP病毒在发包比较厉害的情况下用处不大(没有根本阻止ARP影响,不怎么地)

本文章由雨豪博客撰写,采用CC授权分享,转载时请注明原文链接。

如何用ros限一个IP的并发连接数–限线程

这个操作主要是在ip-firewall下的转发链中操作的.
如:

/ip firewall rule forward add protocol=tcp tcp-options=syn-only connection-limit=25\
action=drop

看他们的连接数是在connection项中观看!!

本文章由雨豪博客撰写,采用CC授权分享,转载时请注明原文链接。

一、首先说明，本篇受“情灭缘尽”转帖的脚本启发，其发布的原始脚本如下：
# Dynamic DNS Update Script v1.1
# ——————————
# This script will perform automatic dynamic dns updates on the Mikrotik
# router platform.  (http://www.mikrotik.com/)  Since Mikrotik does not
# support sending http requests we have created a smtp -> ddns proxy service
# which will take the http URL querystring used for a dynamic dns update and
# process it via email.
# ——————————
# Written by Sam Norris, ChangeIP.com
# 7/31/04 – Created script.
# 12/9/04 – Made some values dynamic (smtp server, dhcp interface)
# ——————————
#
# Instructions:
#    There are a few variables down below that you need to configure for your
#    specific setup.  Please modify the variables in the ‘ddnsInit’ script to
#    reflect your specific information, ie userid, password, hostname to update.
#

# Blow away any existing script code, if necessary.
/system scheduler remove ddnsJob
/system script remove ddnsCheck
/system script remove ddnsInit
/system script remove ddnsReset
/system script remove ddnsSendUpdate

# Setup global variables needed to keep track of changing IP address.
/system script add name="ddnsInit" source={

  :log message="ddnsInit: Creating Dynamic DNS update system."

# ENTER YOUR CHANGEIP.COM USER ID HERE.
  :global u
  :set u "USERID"

# ENTER YOUR CHANGEIP.COM PASSWORD HERE.
  :global p
  :set p "PASSWORD"

  :global s
  :set s "Mikrotik"

# ENTER THE TARGET HOSTNAME TO UPDATE, *1 is Set 1.
  :global h
  :set h "*1"

  :global dhcpInterface
  :set dhcpInterface [ /ip dhcp-client get interface ]
  :log message=("ddnsInit: Found dhcp interface " . $dhcpInterface )

# EMAIL PROXY ADDRESS – DO NOT CHANGE FOR PRODUCTION.
  :global ddnsProxyEmail
  :set ddnsProxyEmail "ddnsUpdate@ChangeIP.com"

# ENTER YOUR EMAIL ADDRESS FOR CONFIRMATIONS.
  :global ddnsFromEmail
  :set ddnsFromEmail "youremail@domain.tld"

# SMTP DDNS PROXY SERVER – CHANGE ONLY IF NECESSARY (port 25 blocked?)
  :global ddnsSmtpServer
  :set ddnsSmtpServer [:resolve smtp.changeip.com]

  :global a
  :set a [ \
    /ip address get \
      [/ip address find interface=$dhcpInterface] \
      address \
    ]

  }

/system script add name="ddnsCheck" source={
  :if ([/system scheduler get ddnsJob run-count]<=1) do={
    /system script run ddnsInit
    }
  :global temp
  :global b
  :set temp $a
  :set b [ \
    /ip address get \
      [/ip address find interface=$dhcpInterface] \
      address \
    ]
  :if ($temp != $b) do={
    :log message="ddnsCheck:  Found new IP address."
    /system script run ddnsSendUpdate
    :set a $b
    }
  }

/system script add name="ddnsSendUpdate" source={
    :log message=("ddnsSendUpdate:  Sending Dynamic DNS smtp update to " . $ddnsSmtpServer)
    /tool e-mail send \
      to=$ddnsProxyEmail \
      from=$ddnsFromEmail \
      server=$ddnsSmtpServer \
      subject="New Dynamic IP" \
      body=("u=" . $u . "&p=" . $p . "&hostname=" . $h . "&system=" . $s . "&myip=" . $b)
  }

/system script add name="ddnsReset" source={

  :log message="ddnsReset:  Resetting global values."
  /system scheduler set ddnsJob run-count=0
  :unset u
  :unset p
  :unset s
  :unset h
  :unset dhcpInterface
  :unset ddnsProxyEmail
  :unset ddnsFromEmail
  :unset ddnsSmtpServer
  :unset a
  :unset b
  :unset temp

  }

/system scheduler add name=ddnsJob interval=30s on-event=ddnsCheck

二、红色部分是需要根据个人注册的信息填写

三、黄色部分是我要着重解释的，也是成功的关键。

四、具体说明：
1、该脚本是基于www.changeip.com网站申请的免费动态域名，大家可自行申请；
2、该脚本的原始作者sam norris就是www.changsip.com的运行者，故此，这个脚本在ros下是绝对支持www.changeip.com申请的域名，至于其他国内的类似www.3322.org等我还没有试过，不知可不可以
；
3、
  :global dhcpInterface
  :set dhcpInterface [ /ip dhcp-client get interface ]
  :log message=("ddnsInit: Found dhcp interface " . $dhcpInterface )
这是本文的关键部分，sam norris是基于dhcp客户机的架构来设置他的动态域名，而国内用户主要关心的是adsl拨号下得动态域名解析，dhcinterface是一个全局变量，他代表的是dhcp客户机的接口号，也就是分到ip地址的接口设备名，这个变量名可以不改，但如何取得你的系统中adsl设备的接口号呢？请将 [/ip dhcp-client get interface] 改为 [/interface find type=pppoe-out],好了，dhcpinterface的值就变成了你所建立的adsl拨号接口号了，ros内部的表示一般为*3，当然这个不用关心。至此，你所要做的就是等待了；

4、关于脚本的建立我在此就不多说了，大家只要把上述脚本的各个部分复制-粘帖到命令交互界面，自然会生成，正确的结果是生成四个脚本，分别为： ddnsCheck,ddnsInit,ddnsReset,ddnsSendUpdate;同时生成一个名字为ddnsJob的计划日程。

最后祝大家成功，ros自己能做的事情自己做，从此摆脱ros+windows +域名客户软件的日子。

本文章由雨豪博客撰写,采用CC授权分享,转载时请注明原文链接。

关于winbox操作手册的说明,还有如何配置负载均衡的设置!

点击下载

本文章由雨豪博客撰写,采用CC授权分享,转载时请注明原文链接。

我现在做的是基于 ADSL PPPOE的 ROUTER OS 2.9.7 做的

但是光纤用户一样适用

我现在开始说说步骤

第一：当然最前提的是你的 ROUTER OS 软件路由器能工作了 NAT共享上网成功

第2步：在所有经过ROUTER OS的数据包+ 上MARK 就像猎人要杀猎物也要先找到目标阿

第3步：在QUEUE菜单里面选择Queue Types 创作PCQ限速的子项

这里就决定了你的限制每个IP多少K的速度（2.9系列可以直接用K单位2.8 的不行）

这里多说2句

网吧的带宽和银行道理一样 总带宽不能平均处以IP数量 这个公式不合适

你可以想想 网吧的客人不可能同时全部去下载或者全部去上传

网吧的目标 追求 网络利用最大化 这个IP的限制要看你自己的网吧的需要的

1般来说 每个IP限制下载最高 512K；上传128K已经可以流畅游戏和视频

—————————————————————————————————-

另外： 这个也和你的开关频繁开启和关闭有关系 如果设置得不合理网络带宽浪费严重

客户也会对你的网吧的网络速度抱怨的！（这可是得不尝失）

第4步：做好流量监视触发器

就像1个条件过滤器

注意2 和3 红色数字那里

*要选择对你的外网线路

*要注意ABOVE是 > 的意思,就是大于多少K的时候启动这个限制,只要模糊数字就可以

如果你的带宽是10M,你可以直接设置 10000000

*另外1个就是BELOW 当然就是 < 小于的意思，这里很关键的地方就是你刚才设置的

每IP限制数了你们看第2张图的2那里，你这个BELOW的数值一定要 < 它

不然你在限速的时候客户的机器就会1会快1会慢的，其中的道理你们慢慢体会就会理解

第5步：做1个执行这个限制的脚本

很简单的就2行，但是注意脚本的名字要和你的在 第四张图EVEN里面的一致

（如果你想我拷贝那几句命令出来给你，你就不要看了，这么懒的都有的！）

做到这里这个PCQ 脚本限速就做好了

以前斑竹也写过命令的

我这里只不过用图片的形式写出来！！

希望大家喜欢

有些朋友说不会看GIF的图 （其实可以缩放的 用鼠标滚轮就可以）

我特别作了1个图的包给大家下载

（我可花了2个小时的时间 作的）
—————————————————————————————————–

最近有朋友说开关不正常或者限速不明显

刚好另外1个论坛的版主也发了1个关于这个的文章

大家可以在 效果不好的时候参考人家版主的的做法

以下内容是 转贴的 （刚才试验了1下 他的环境应该是 2.8 系列的 ）

地址 http://www.routerclub.com/viewthread.php?tid=9005&extra=page%3D1
——————————————————————————————————-

怎么保证和按优先级管理流量?

怎么保证和按优先级管理流量?概述
队列树通常的应用，是用来限定特殊用户，协议和端口等等。
在下边的例子里将介绍：
•   怎样保证某一服务的带宽和使用空闲带宽
•   怎样优化一个服务(POP3)在其它的服务中(HTTP 、 FTP)
看这张图里我们如何共享流量的 ( 192.168.0.0/24是伪装地址):

1.   首先,我们用 mangle 标记 HTTP, FTP 和 POP3 的下载数据流. 在 192.168.0.0/24里, 我们需要用mark-connection参数标记外出的连接

QUOTE:
/ip firewall mangle
add in-interface=Local dst-address=:80 protocol=tcp action=passthrough
mark-connection=http-con comment="" disabled=no
add in-interface=Local dst-address=:110 protocol=tcp action=passthrough
mark-connection=pop3-con comment="" disabled=no
add in-interface=Local dst-address=:21 protocol=tcp action=passthrough
mark-connection=ftp-con comment="" disabled=no
接着才能用 flow mark标记下载的数据流

QUOTE:
/ip firewall mangle
add protocol=tcp connection=http-con action=passthrough mark-flow=HTTP
comment="" disabled=no
add protocol=tcp connection=pop3-con action=passthrough mark-flow=POP3
comment="" disabled=no
add protocol=tcp connection=ftp-con action=passthrough mark-flow=FTP
comment="" disabled=no
2.   然后当我们有了用flow-mark 标记的数据包，我们就可以用它来构建一个队列树
添加一个队列保证有全部带宽（512kbps）的80% ，就是409.6kbps ，给HTTP服务。如果其它服务空闲时可以使用全部的带宽：

QUOTE:
/queue tree
add name="http-queue" parent=Local flow=HTTP limit-at=409600 max-limit=512000
添加一个队列给FTP保证有15% (76,8kbps):

QUOTE:
/queue tree
add name="ftp-queue" parent=Local flow=FTP limit-at=76800 max-limit=512000
现在添加一个队列保证全部带宽5% (25,6kbps)给POP3 服务使用. 设置这个服务的优先级为优先级7. 这意味着这条队列比其它之前的队列有着更高的优先级（默认的优先级是8） 所以他能在http-queue 和ftp-queue 之前处理:

QUOTE:
/queue tree
add name="pop3-queue" parent=Local flow=POP3 limit-at=25600 max-limit=512000 priority=7
POP3数据流因为更高的优先级，所以他能够抢先处理，比其他服务有更小的延迟通过路由。
使用 limit-at 和 max-limit参数，你能控制给服务允许的最小和最大的带宽。首先，limit-at是能够达到的速率，然后如果有更多的能用带宽，他将使用这些带宽（上边例子里是512kbps）
注意：对于正确设置的队列树所有limit-at的值得总和应该小于或低于总的带宽。这里是25,6kbps + 76,8kbps + 409,6kbps = 512kbps.

本文章由雨豪博客撰写,采用CC授权分享,转载时请注明原文链接。

先做好一个PCQ的限速

一个一个限制用simple queue
/ queue simple
add name="queue1" target-address=192.168.0.1/32 dst-address=0.0.0.0/0 /
interface=all queue=default priority=8 limit-at=330000/330000 /
max-limit=400000/400000 disabled=no

限制一个网段用PCQ

1. Mark all packets with flow all:用flow all 标记所有数据包
/ip firewall mangle add action=accept mark-flow=all

2. Create two PCQ queue types – one for download and one for upload. For download traffic：创建两条PCQ类型，下载和上传
queues will be classified by dst-address and for upload – by src-address:
/queue type add name=PCQ-Download kind=pcq pcq-rate=768000 /
pcq-classifier=dst-address
/queue type add name=PCQ-Upload kind=pcq pcq-rate=512000 /
pcq-classifier=src-address

3. Add two queue rules – one for download and one for upload:添加PCQ规则，下载和上传/
queue tree add parent=Local queue=PCQ-Download flow=all
/queue tree add parent=Public queue=PCQ-Upload flow=all

ROS的流量监控只能监控不同网卡的流量收发
假如wan口的带宽是10M我们在9M的时候开启控制条件.

/tool traffic-monitor
add name=pcqon interface=WAN on-event=pcqon threshold=9000000 trigger=above traffic=received

/system script add name="pcqon" source="/queue tree enable queue1 " owner="admin" policy=reboot,read,write,policy,test

在带宽使用低于7M时关闭流量控制

/tool traffic-monitor
add name=pcqoff interface=WAN on-event=pcqoff threshold=7000000 trigger=below traffic=received

/system script add name="pcqoff" source="/queue tree disable queue1 " owner="admin" policy=reboot,read,write,policy,test

本文章由雨豪博客撰写,采用CC授权分享,转载时请注明原文链接。

下面将说明怎么样在网络中配置一台DMZ站点

DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web 服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

路由器有3块网卡

给网卡添加所有需要的ip地址

给路由器添加默认静态路由

给DMZ服务器添加ip地址10.1.0.2 ，网关地址10.1.0.1

配置dst-nat 规则，使DMZ服务器能通过192.168.0.3这个互联网地址访问

本文章由雨豪博客撰写,采用CC授权分享,转载时请注明原文链接。