ROS3.30限制P2P等软件(L7)脚本
ROS软路由防火墙配置规则
ROS软路由防火墙配置规则Routeros防火墙功能非常灵活。
routeros防火墙属于包过滤防火墙,你可以定义一系列的规则过滤掉发往routeros、从routeros发出、通过routeros转发的数据包。
在routeros防火墙中定义了三个防火墙(过滤)链(即input、forward、output),你可以在这三个链当中定义你自己的规则。
input意思是指发往routeros自己的数据(也就是目的ip是routeros接口中的一个ip地址);output意思是指从routeros发出去的数据(也就是数据包源ip是routeros接口中的一个ip地址);forward意思是指通过routeros转发的(比如你内部计算机访问外部网络,数据需要通过你的routeros进行转发出去)。
禁止ping routeros,我们一般需要在input链中添加规则,因为数据包是发给routeros 的,数据包的目标ip是routeros的一个接口ip地址。
(当然如果你硬是要在output里建立一条规则过滤掉icmp信息也能做到ping不通,当你ping的数据包到达routeos时,routeos能接收这个数据包并做出回应,当routeros回应给你的包要发出去的时候会检查output的规则并过滤掉回应你的包。
)在每条链中的每条规则都有目标ip,源ip,进入的接口(in interface),非常灵活的去建立规则。
比如ROS禁止PING,禁止外网ping你routeros,只需要在in interface中选择你连外部网络的接口。
禁止内部ping的话可以选择连你内部网络的接口。
如果禁止所有的ping 的话,那么接口选择all。
当然禁止ping 协议要选择icmp ,action选择drop或reject。
另外要注意的就是,icmp协议并不是就指的是ping,而是ping是使用icmp协议中的一种(我们ping 出去发送的数据包icmp协议的类型为8 代码为0,在routeros中写为icmp-options=8:0;而我们对ping做出回应icmp类型为0 代码为0),还有很多东西也属于icmp协议。
网吧用ROS最正确的限速
网吧用ROS最正确的限速网吧用简单队列做限速完全是扯蛋。
网吧限速最好的办法应该是带宽均分,然后在用简单队列来限制上传。
在利用小包优先来处理游戏卡的问题。
经过2个网吧,一个月的测试,完全摆脱了到处喊卡的噩梦,现在把经验发来大家分享一下。
ROS不要用简单队列来限速,什么智能动态限速也不要用。
只需要用小包优先+带宽均分+简单队列限制上传速度。
小包优先的脚本如下:1./ ip firewall mangle2.add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1440 comment="" disabled=no3.add chain=forward p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yes comment="" disabled=no4.add chain=forward connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=yes comment="" disabled=no5.add chain=forward connection-mark=!p2p_conn action=mark-packet new-packet-mark=general passthrough=yes comment=""6.7.disabled=no8.add chain=forward packet-size=32-512 action=mark-packet new-packet-mark=all passthrough=yes comment="" disabled=no9.add chain=forward packet-size=512-1200 action=mark-packet new-packet-mark=big passthrough=yes comment=""disabled=no10.11.12./ queue tree13.add name="p2p1" parent=wan packet-mark=p2p limit-at=2000000 queue=default priority=8 max-limit=6000000 burst-limit=014.15.burst-threshold=0 burst-time=0s disabled=no16.add name="p2p2" parent=lan packet-mark=p2p limit-at=2000000 queue=default priority=8 max-limit=6000000 burst-limit=017.18.burst-threshold=0 burst-time=0s disabled=no19.add name="ClassA" parent=lan packet-mark="" limit-at=0 queue=default priority=8 max-limit=100000000 burst-limit=0 burst-20.21.threshold=0 burst-time=0s disabled=no22.add name="ClassB" parent=ClassA packet-mark="" limit-at=0 queue=default priority=8 max-limit=0 burst-limit=0 burst-23.24.threshold=0 burst-time=0s disabled=no25.add name="Leaf1" parent=ClassA packet-mark=general limit-at=0 queue=default priority=7 max-limit=0 burst-limit=0 burst-26.27.threshold=0 burst-time=0s disabled=no28.add name="Leaf2" parent=ClassB packet-mark=alllimit-at=0 queue=default priority=5 max-limit=0 burst-limit=0 burst-29.30.threshold=0 burst-time=0s disabled=no31.add name="Leaf3" parent=ClassB packet-mark=big limit-at=0 queue=default priority=6 max-limit=0 burst-limit=0 burst-32.33.threshold=0 burst-time=0s disabled=no复制代码然后是带宽均分:1./ ip firewall mangle add chain=forward src-address=192.168.0.0/24 \2.action=mark-connection new-connection-mark=users-con3./ip firewall mangle add connection-mark=users-con action=mark-packet \4.new-packet-mark=users chain=forward5./queue type add name=pcq-download kind=pcq pcq-classifier=dst-address6./queue type add name=pcq-upload kind=pcq pcq-classifier=src-address7./queue tree add name=Download parent=lan max-limit=10M8./queue tree add parent=Download queue=pcq-download packet-mark=users9./queue tree add name=Upload parent=wan max-limit=9M10./queue tree add parent=Upload queue=pcq-upload packet-mark=users复制代码请根据直接实际修改IP地址段,下载最大速度,上传最大速度,lan为我连接内网的网卡,wan是我连接外网的网卡限制上传速度的脚本:1.:for aaa from 5 to 253 do={/queue simple add name=(yp . $aaa) dst-address=(192.168.0. . $aaa) limit-at=10000000/30000002.3.max-limit=10000000/3000000}复制代码如果是3.2版本的,这个脚本自己要修改下,就用这3个部分,别的不需要的,绝对比什么智能动态限速好的多.。
ros小包优先脚本
ros小包优先脚本2009-02-17 15:15RouterOS终极提速,彻底解决ROS小包(网络游戏数据包)转发性能差的问题以下只给有ROS基础的人看,2.9.7以上版本支持,2.9.26上调试通过ROS终端界面直接输入即可HTB QOS 流量质量控制/ ip firewall mangleadd chain=forward p2p=all-p2paction=mark-connection new-connection-mark=p2p_conn passthrough=yes comment="" disabled=noadd chain=forward connection-mark=p2p_connaction=mark-packet new-packet-mark=p2p passthrough=yes comment="" disabled=noadd chain=forward connection-mark=!p2p_connaction=mark-packet new-packet-mark=general passthrough=yes comment="" disabled=noadd chain=forward packet-size=32-512 action=mark-packetnew-packet-mark=small passthrough=yes comment="" disabled=noadd chain=forward packet-size=512-1200 action=mark-packetnew-packet-mark=big passthrough=yes comment="" disabled=no/ queue treeadd name="p2p1" parent=TEL packet-mark=p2p limit-at=2000000 queue=default priority=8 max-limit=6000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=noadd name="p2p2" parent=LAN packet-mark=p2p limit-at=2000000 queue=default priority=8 max-limit=6000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=noadd name="ClassA" parent=LAN packet-mark="" limit-at=0queue=default priority=8 max-limit=100000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=noadd name="ClassB" parent=ClassA packet-mark="" limit-at=0queue=default priority=8 max-limit=0 burst-limit=0burst-threshold=0 burst-time=0s disabled=noadd name="Leaf1" parent=ClassA packet-mark=general limit-at=0 queue=default priority=7 max-limit=0 burst-limit=0burst-threshold=0 burst-time=0s disabled=noadd name="Leaf2" parent=ClassB packet-mark=small limit-at=0 queue=default priority=5 max-limit=0 burst-limit=0burst-threshold=0 burst-time=0s disabled=noadd name="Leaf3" parent=ClassB packet-mark=big limit-at=0queue=default priority=6 max-limit=0 burst-limit=0burst-threshold=0 burst-time=0s disabled=no1-8级优先级控制,数字越小优先级越高LAN内网接口TEL 外网接口SMALL 小包 32-512字节 5级优先级BIG 大包 512-1200字节 6级优先级general 其它包 1200-1500字节 7级优先级P2P类 8级优先,全局限速 600KB/S下载Leaf 子类我这边网吧用的是电信光纤,没有网同,所以机器只装了2个网卡.我是用光盘安装的.首先看看网卡是否都被识别出来了,命令是:/interfaceprint可以缩写为/intpri然后我们来激活他们,命令是:ENABLE 0ENABLE 10是第一块网卡。
ros动态限速脚本l
ros动态限速脚本l网吧因客流比较大,所以网络流量变化也很大,单纯的单机限速,会造成大量的带宽被浪费掉.所以我们现在来考虑动态限速.我们简单的分为4个限速阶段,以30M带宽为例.1 不限速2 单机2M限速3 单机1M限速4 单机512K限速一限速策略的创建需要分2步1 建立新的队列类型/queue typeadd name="down_512k" kind=pcq pcq-rate=512000 pcq-limit=50 \pcq-classifier=dst-address pcq-total-limit=2000add name="down_1M" kind=pcq pcq-rate=1000000 pcq-limit=50 \pcq-classifier=dst-address pcq-total-limit=2000add name="down_2M" kind=pcq pcq-rate=2000000 pcq-limit=50 \pcq-classifier=dst-address pcq-total-limit=2000add name="up_512K" kind=pcq pcq-rate=512000 pcq-limit=50 \pcq-classifier=src-address pcq-total-limit=2000add name="up_1M" kind=pcq pcq-rate=1000000 pcq-limit=50 \pcq-classifier=src-address pcq-total-limit=2000add name="up_2M" kind=pcq pcq-rate=2000000 pcq-limit=50 \pcq-classifier=src-address pcq-total-limit=20002 建立新的简单队列简单队列的顺序一定要注意:按照512K在上,2M在下的原则排序(先小后大).因为此队列的执行原则是,先执行最上面的,后面的将被抛弃./ queue simpleadd name="PCQ_512K" dst-address=192.168.0.0/24 interface=Lan parent=none \ direction=both priority=8 queue=down_512k/up_512K limit-at=0/0 \max-limit=0/0 total-queue=default-small disabled=yesadd name="PCQ_1M" dst-address=192.168.0.0/24 interface=Lan parent=none \ direction=both priority=8 queue=up_1M/down_1M limit-at=0/0 max-limit=0/0 \ total-queue=default-small disabled=yesadd name="PCQ_2M" dst-address=192.168.0.0/24 interface=Lan parent=none \ direction=both priority=8 queue=up_2M/up_1M limit-at=0/0 max-limit=0/0 \total-queue=default-small disabled=yes二脚本的制作实际就是简单的允许某策略或不允许某策略,类似在winbox选中某策略,并点叉号或对号.这里操作的是前面建立的简单队列.来达到限速策略的开与关./ systemadd name="off512k" source="/queue sim disable PCQ_512k" \policy=ftp,reboot,read,write,policy,test,winbox,passwordadd name="on512k" source="/queue sim enable PCQ_512k" \policy=ftp,reboot,read,write,policy,test,winbox,passwordadd name="off1m" source="/queue sim disablePCQ_1M" \policy=ftp,reboot,read,write,policy,test,winbox,passwordadd name="on1m" source="/queue sim enable PCQ_1M" \ policy=ftp,reboot,read,write,policy,test,winbox,passwordadd name="off2m" source="/queue sim disable PCQ_2M" \ policy=ftp,reboot,read,write,policy,test,winbox,passwordadd name="on2m" source="/queue sim enable PCQ_2M" \ policy=ftp,reboot,read,write,policy,test,winbox,password三流量监控我们使用ROS自带的工具"通信监控"(tool traffic-monitor)来监视我们的网络流量.当流量达到一定数值,会自动运行前面制作的脚本.请注意:接口一定要选择你的外网网卡.这里的数据可根据实际情况修改,我是以自己30M带宽为例。
ROS 完美限制速度
Source(脚本)
OK-选择要运行的脚本-Run Script
ROS限速的极致应用
一般我们用ros限速只是使用了max-limit,其实ros限速可以更好的运用。比如我们希望
客户打开网页时速度可以快一些,下载时速度可以慢一些。ros2.9就可以实现。
max-limit------我们最常用的地方,最大速度
General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可)
Dst. Address:外网IP/32
Dst. Port:要映射的端口
Protocol:tcp(如果映射反恐的就用udp)
Action action:nat
TO Dst.Addresses:你的内网IP
$aaa)]})
脚本名:node_off
脚本内容:(:for aaa from 1 to 254 do={/queue sim dis [find name=(ip_ .
$aaa)]})
scripts(脚本部分)以完成
打开 /tools/traffic monitor
新建:
名:node_18M traffic=received trigger=above on event=node_on
2 to 254是2~254
192.168.0. . $aaa是IP
上两句加起来是192.168.0.2~192.168.0.254
connection-limit=50是线程数这里为50
max-limit=2000000/2000000是上行/下行
使用:
WinBox-System-Scripts-+
ROS软路由详细最完整教程(图)
/wangba/a/2009-09-12/a09116513.shtml?首页│新闻│文章│系统│设计│淘宝│网管│网赚│图文│专杀│杀毒│防火墙│更新编程│站长│热门│社区│ Delphi 源码│ VB 源码│ C 源码│ QQ │搜索│ Server 2008 │ Linux │专题安全中国首页 > 新闻中心 > 网吧管理技术ROS软路由详细最完整教程(图)安全中国 更新时间:2009-09-12 00:05:25责任编辑:池天ROS软路由基本设置非常简单,如果只做路由转发,以下几步数分钟即可高定:硬件准备:1、首先下载软路由的ghost硬盘版,如果没有,从/download/ros297.rar下载2、释放后,ghost至一个小硬盘(20G以下),注意,是整盘GHOST而不是分区。
3、将该硬盘挂在要做路由电脑上,注意必须接在第一个IDE并且是主硬盘接口。
插上一张网卡,这是接内网的LAN。
开机。
软件设置:1、开机,出现登陆提示。
用户:admin 密码:空2、输入setup再按两次A??3、在ether1后面输入你的内网IP,如:192.168.0.254/24 (这里/24是24位掩码与255.255.255.0一样)4、输入完ip后,按两次x退出,现在可以可以ping通192.168.0.254了,也可用winbox 在图形界面下访问路由了。
5、关机,插上另一张网卡,这个是接外网的,即WAN,现在可以去掉软路由电脑的显示器和键盘了。
6、开机,运行winbox以admin身份登陆7、添加外网网卡。
在ip---address里按+,address输入你的外网ip和掩码位,比如218.56.37.11/29。
network和BROADCAST不填,INTERFACE里选择ethr28、增加外网网关。
ip-routes按+,Destination用默认的0.0.0.0/0 ,Gateway输入外网网关,比如218.56.37.109、实现NAT转发:IP-FIREWALL在NAT里点+,在ACTION里选masquerade10、现在该路由已经做好雏形,可以正常上网了。
ros路由介绍及技术方案实现功能
路由介绍及技术方案实现功能路由简介 (1)特色功能介绍: (1)桥接功能: (1)包括特征如下: (2)多线路支持: (2)隧道协议: (2)Hotspot热点认证服务: (3)脚本控制 (3)具体功能 (3)二层链接 (4)X86硬件要求 (5)配置 (5)技术方案 (6)-、实现网页认证 (6)二、安全设置 (6)三、智能Qos控制 (6)四、管理平台 (6)路由简介routeros是mikrotik公司的软路由产品MikroTik RouterOS是一种路由操作系统,并通过该软件将标准的PC 电脑变成专业路由器,在软件的开发和应用上不断的更新和发展,软件经历了多次更新和改进,使其功能在不断增强和完善。
特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能,其极高的性价比,受到许多网络人士的青睐。
RouterOS在具备现有路由系统的大部分功能,能针对网吧、企业、小型ISP接入商、社区等网络设备的接入,基于标准的x86构架的PC。
一台586PC机就可以实现路由功能,提高硬件性能同样也能提高网络的访问速度和吞吐量。
完全是一套低成本,高性能的路由器系统特色功能介绍:桥接功能:RouterOS能将多张网卡组建为一个桥模式,使路由器变成一个透明的桥设备,同样也实行三层交换的作用,MAC层的以太网桥、EoIP 、Prism、Atheros和RadioLAN 等都是支持的。
所有802.11b和802.11a 客户端的无线网卡(如station模式的无线)受802.11 的限制无法支持桥模式,但可以通过EoIP协议的桥接方式实现。
为防止环路出现在网络中,可以使用生成树协议(STP) ,这个协议同样使冗余线路成为可能。
包括特征如下:生成树协议(STP)多桥接接口功能该协议能选择转发或者丢弃能实时监控MAC地址桥防火墙多线路支持:RouterOS基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力,路由器用从路由协议派生出来的路由表,根据目的地址进行报文的转发。
发一个能用的ros智能限速脚本和调试说明
发一个能用的ros智能限速脚本和调试说明申明:此脚本不是我写的,也是在这里找的,具体是哪位兄弟写的不知道了,帖子也找不到了,在这里要感谢那位兄弟。
以前下回来操作没成功就放弃了,昨天晚上研究了3个小时终于能用了。
现在把详细调试说明写下来,我的版本是2.927,其他版本未做测试。
--------------脚本开始,请按照下面修改说明,把限制速度修改好后,再一并导入----------:for szwm from 1 to 253 do={/queue simple add name=(TX . $szwm) target-addresses=(192.168.1. . $szwm) max-limit=500000/500000 interface=lan disabled=no} / ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=all-mark / passthrough=yes comment="" disabled=no / queue type add name="PCQ-up" kind=pcq pcq-rate=350000 pcq-limit=50 / pcq-classifier=src-address pcq-total-limit=2000 add name="PCQ-down" kind=pcq pcq-rate=350000 pcq-limit=50 / pcq-classifier=dst-address pcq-total-limit=2000 / queue simple add name="PCQ"target-addresses=192.168.1.254/24 dst-address=0.0.0.0/0 / interface=all parent=none packet-marks=all-mark direction=both priority=1 /queue=PCQ-up/PCQ-down limit-at=0/0 max-limit=10000000/10000000 / total-queue=default-small disabled=yes / system script add name="PCQON" source=":if /(/[ /queue sim get /[/queue sim find / name=/"PCQ/"/] disable /]=true/) do={/queue sim enable PCQ}" /policy=ftp,reboot,read,write,policy,test,winbox,password add name="PCQOFF" source=":if /(/[ /queue sim get /[/queue sim find / name=/"PCQ/"/] disable /]=false/) do={/queue sim disable PCQ}" /policy=ftp,reboot,read,write,policy,test,winbox,password / tool traffic-monitor add name="PCQON" interface=ether3 traffic=received trigger=above / threshold=9800000 on-event=PCQON comment="" disabled=no add name="PCQOFF"interface=ether3 traffic=received trigger=below / threshold=5000000on-event=PCQOFF comment="" disabled=no----------上面是我修改好的完整脚本,是10m速度设置,下面是脚本注释,请仔细看下面说明,修改好你要限制的速度后在全部导入------:for szwm from 1 to 253 do={/queue simple add name=(TX . $szwm) target-addresses=(192.168.1. . $szwm) max-limit=500000/500000 interface=landisabled=no}这个是建立静态限速,也就是普通速度限制。
ROS最完美限速-根据带宽进行限速
ROS最完美限速-根据带宽进行限速在用脚本之前我们都是使用Simple Queue简单限速来进行客户机的限速,他的缺点是固定了每台客户机的最大上传下载速度,这样在人比较少,带宽占用不高的情况下,客人还是只能按高峰期的最大上传下载速度来上网,体现不了我们光纤极速上网的优势。
今天看了一天的资料看的我是头昏脑胀~~看什么都模糊了···最后看好这个脚本··最重要的不浪费我们的一点带宽以下脚本,是网通百兆电信10M的双线的带宽·带了256台客户机进行智能pcq限速。
现在暂时上传脚本不会的朋友等我到时候发个教程帖子给出详细设置··具体设置1、总下载带宽高于85M时,启动限速,每台机设置下载限速为4.5M。
2、总下载带宽低于40M时,取消限速。
3、总上传带宽高于60M时,启动限速,每台机设置上传限速为6M。
4、总上传带宽低于25M时,取消限速。
使用前,请先将原来的Simple Queue 中设定的限速指令删除。
同时,外网连接的名称要为wan/ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=all passthrough=no/queue type add name="PCQ_download" kind=pcq pcq-rate=4500000 pcq-classifier=dst-address/queue type add name="PCQ_upload" kind=pcq pcq-rate=6000000 pcq-classifier=src-address/queue tree add name="PCQdown" parent=global-in queue=PCQ_download packet-mark=all/queue tree add name="PCQup" parent=global-out queue=PCQ_upload packet-mark=all/ tool traffic-monitor add name="PCQdownon" interface=wan traffic=received trigger=above threshold=85000000 on-event=downon comment="" disabled=no/ tool traffic-monitor add name="PCQdownoff" interface=wan traffic=received trigger=below threshold=40000000 on-event=downoff comment="" disabled=no/ tool traffic-monitor add name="PCQupon" interface=wantraffic=transmitted trigger=above threshold=60000000 on-event=upon comment="" disabled=no/ tool traffic-monitor add name="PCQupoff" interface=wan traffic=transmitted trigger=below threshold=25000000 on-event=upoff comment="" disabled=no/ system scriptadd name="upon" source=":if \(\[ /queue tree get \[/queue tree find name=\"PCQup\"\] disable \]=true \) do={/queue tree enable PCQup}" policy=password,read,reboot,write,policy,test/ system scriptadd name="upoff" source=":if \(\[/queue tree get \[/queue tree find name=\"PCQup\"\] disable \]=false \) do={/queue tree disable PCQup}" policy=password,read,reboot,write,policy,test/ system scriptadd name="downon" source=":if \(\[/queue tree get \[/queue tree find name=\"PCQdown\"\] disable \]=true \) do={/queue tree enable PCQdown}" policy=password,read,reboot,write,policy,test/ system scriptadd name="downoff" source=":if \(\[/queue tree get \[/queue tree find name=\"PCQdown\"\] disable \]=false \) do={/queue tree disable PCQdown}" policy=password,read,reboot,write,policy,test其中的最大带宽触发数量,每台机触发后限制的带宽;以及最小带宽触发数量,这些需要根据实际运用中不断调整,才能达到最佳的效果。
ROS全部命令及技巧
在输入脚本内容时不要把两边的()带上,那个是为了区分非脚本字符。
RO映射
ip-firewall-Destination NAT
General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可)
Dst. Address:外网IP/32
input:将其屏蔽或者删掉
关于mac地址扫描
/tool mac-scan all
VPN与ppp建立用户
在interfaces--settings-pptp server
Enabled选择 mtu1500 mru:1500
keepalive Timeout:disabledN# D# C
RO端口的屏蔽
ip-firewall-Filer Rules里面选择
forward的意思代表包的转发
firewall rule-General
Dst.Address:要屏蔽的端口
Protocol:tcp
Action:drop(丢弃)
ros限速
2 to 254是2~254
192.168.0. . $aaa是IP
上两句加起来是192.168.0.2~192.168.0.254
connection-limit=50是线程数这里为50
max-limit=2000000/2000000是上行/下行
使用:
WinBox-System-Scripts-+
Tracking:TCP Syn Sent Timeout:50
TCP syn received timeout:30
限线程脚本:
:for aaa from 2 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $aaa) protocol=tcp connection-limit=50,32 action=drop}
ROS脚本大全(通用)
ROS脚本大全(通用)ROS脚本大全(通用)一:限速脚本:for wbsz from 1 to 254 do={/queue simple add name=(wbsz . $wbsz) dst-address=(192.168.0. . $wbsz) limit-at=1024K/1024K max-limit=1024K/1024K}二:限制每台机最大线程数:for wbsz from 1 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $wbsz) protocol=tcp connection-limit=50,32 action=drop}三:端口映射ip firewall nat add chain=dstnat dst-address=(202.96.134.134) protocol=tcp dst-port=80 to-addresses=(192.168.0.1) to-ports=80 action=dst-nat四:封端口号/ ip firewall filterad ch forward pr tcp dst-po 8000 act drop comment="Blockade QQ"五:更变telnet服务端口/ip service set telnet port=23六:更变SSH管理服务端口/ip service set ssh port=22七:更变www服务端口号/ip service set www port=80八:更变FTP服务端口号/ip service set ftp port=21九:增加本ROS管理用户/user add name=wbsz password=admin group=full十:删除限速脚本:for wbsz from 1 to 254 do={/queue simple remove (wbsz . $wbsz) }十一:封IP脚步本/ ip firewall filteradd chain=forward dst-address=58.60.13.38/32 action=drop comment="Blockade QQ"十二:禁P2P脚本/ ip firewall filteradd chain=forward src-address=192.168.0.0/24 p2p=all-p2p action=drop comment="No P2P"十三:限制每台机最大的TCP线程数(线程数=60)/ ip firewall filteradd chain=forward protocol=tcp connection-limit=60,32 action=drop \ disabled=no十四:一次性绑定所有在线机器MAC:foreach wbsz in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$wbsz]十五:解除所以绑定的MAC:foreach wbsz in [/ip arp find] do={/ip arp remove $wbsz}十六:禁Ping/ ip firewall filteradd chain=output protocol=icmp action=drop comment="No Ping"十七:禁电驴/ ip firewall filteradd chain=forward protocol=tcp dst-port=4661-4662 action=drop comment="No Emule"add chain=forward protocol=tcp dst-port=4242 action=dropadd chain=forward dst-address=62.241.53.15 action=drop十八:禁PPLIVE/ ip firewall filteradd chain=forward protocol=tcp dst-port=8008 action=drop comment="No PPlive TV"add chain=forward protocol=udp dst-port=4004 action=dropadd chain=forward dst-address=218.108.237.11 action=drop十九:禁QQ直播/ ip firewall filteradd chain=forward protocol=udp dst-port=13000-14000 action=drop comment="No QQLive"二十:禁比特精灵/ ip firewall filteradd chain=forward protocol=tcp dst-port=16881 action=drop comment="No BitSpirit"二十一:禁QQ聊天(一般公司才需要)/ ip firewall filteradd chain=forward src-address=10.5.6.7/32 action=accept comment="No Tencent QQ"ad ch forward pr tcp dst-po 8000 act dropad ch forward pr udp dst-po 8000 act dropad ch forward pr udp dst-po 8000 act dropadd chain=forward dst-address=61.144.238.0/24 action=dropadd chain=forward dst-address=61.152.100.0/24 action=dropadd chain=forward dst-address=61.141.194.0/24 action=dropadd chain=forward dst-address=202.96.170.163/32 action=dropadd chain=forward dst-address=202.104.129.0/24 action=dropadd chain=forward dst-address=202.104.193.20/32 action=dropadd chain=forward dst-address=202.104.193.11/32 action=dropadd chain=forward dst-address=202.104.193.12/32 action=dropadd chain=forward dst-address=218.17.209.23/32 action=dropadd chain=forward dst-address=218.18.95.153/32 action=dropadd chain=forward dst-address=218.18.95.165/32 action=dropadd chain=forward dst-address=218.18.95.220/32 action=dropadd chain=forward dst-address=218.85.138.70/32 action=dropadd chain=forward dst-address=219.133.38.0/24 action=dropadd chain=forward dst-address=219.133.49.0/24 action=dropadd chain=forward dst-address=220.133.40.0/24 action=dropadd chain=forward content=sz.tencent action=rejectadd chain=forward content=sz2.tencent action=rejectadd chain=forward content=sz3.tencent action=rejectadd chain=forward content=sz4.tencent action=rejectadd chain=forward content=sz5.tencent action=rejectadd chain=forward content=sz6.tencent action=rejectadd chain=forward content=sz7.tencent action=rejectadd chain=forward content=sz8.tencent action=rejecadd chain=forward content=sz9.tencent action=rejecadd chain=forward content=tcpconn.tencent action=rejectadd chain=forward content=tcpconn2.tencent action=rejectadd chain=forward content=tcpconn3.tencent action=rejectadd chain=forward content=tcpconn4.tencent action=rejectadd chain=forward content=tcpconn5.tencent action=rejectadd chain=forward content=tcpconn6.tencent action=rejectadd chain=forward content=tcpconn7.tencent action=rejectadd chain=forward content=tcpconn8.tencent action=rejectadd chain=forward content=qq action=rejectadd chain=forward content=www.qq action=reject二十二:防止灰鸽子入浸/ ip firewall filteradd chain=forward protocol=tcp dst-port=1999 action=drop comment="Backdoor.GrayBird.ad"add chain=forward dst-address=80.190.240.125 action=dropadd chain=forward dst-address=203.209.245.168 action=dropadd chain=forward dst-address=210.192.122.106 action=dropadd chain=forward dst-address=218.30.88.43 action=dropadd chain=forward dst-address=219.238.233.110 action=dropadd chain=forward dst-address=222.186.8.88 action=dropadd chain=forward dst-address=124.42.125.37 action=dropadd chain=forward dst-address=210.192.122.107 action=dropadd chain=forward dst-address=61.147.118.198 action=dropadd chain=forward dst-address=219.238.233.11 action=drop二十三:防三波/ ip firewall filteradd chain=forward protocol=tcp dst-port=135-139 action=drop comment="No 3B"以上脚本使用说明:用winbox.exe 登陆找到System -- Script - 点击+ 将对应脚本复制其中后,点击Run Script即脚本安装成功!。
ROS普通限速+PCQ限速+服务器不限速+详细
一. IP限速普通限速就这样:我刚刚调整的:for aPC from 1 to 239 do={/queue simple add name=(A0 . $aPC)dst-address=(192.168.0. . $aPC) interface=all priority=6max-limit=1600000/720000 burst-limit=2240000/800000burst-threshold=1024000/240000 burst-time=16s/10s }:for bPC from 1 to 239 do={/queue simple add name=(B0 . $bPC)dst-address=(192.168.1. . $bPC) interface=all priority=8max-limit=1024000/360000 burst-limit=1280000/480000burst-threshold=800000/240000 burst-time=10s/8s }二.PCQ限速1.PCQ和普通限速是没有冲突的,普通的限速基本上是大于PCQ的限速值,也就是说按10M光纤来说,已经有普通限速的基础上还是要快超过10M的,网速肯定就慢了,这时候马上使用PCQ的限速策略代替普通限速,保证带宽不超过10M。
PCQ启用后,带宽降下来后,那么就再使用普通限速,如此循环.那么有的朋友就会说有普通限速了还搞什么PCQ,直接把速度降低点不就OK了。
我们做PCQ 主要的目的是使10M的光纤得到充分利用,不浪费宝贵资源。
白了就是少人的时候带宽给他多用点,速度快点,高峰期的时候减低点,慢点,但不能离谱。
2.首先要保证你ROS是正常的能NAT,一切正常后我们开始做PCQ2.1 说明:其他设置值在最后面贴出2.2 注意:new packet mark:中的(all-mark)这个要自己打上的2.3 在QUEUE菜单里面选择Queue Types 创作PCQ限速的子项这里就决定了你的限制每个IP多少K的速度(2.9系列可以直接用K单位2.8 的不行)注意看图信息这里注意下TOTAL LIMIT 设置我这样吧--------------------------------------------------------------------------------------------------------------速度设置到底多少合适呢,如果是100M的就不搞什么PCQ了,我100M的网吧直接每台机器设置20M,用都用不完,他也很少会达到20M 哈哈10M的来说,130台这样吧,PCQ设置800K,最低的了。
ros_warn_throttle用法 -回复
ros_warn_throttle用法-回复“ros_warn_throttle用法”是指ROS(Robot Operating System)中用于限制ROS节点消息警告频率的功能。
本文将逐步回答关于ros_warn_throttle的用法,并为读者提供实际示例和详细说明。
第一步:了解ros_warn_throttle是什么ros_warn_throttle是ROS中的一个工具,用于限制节点中的消息警告频率。
在ROS中,消息警告用于通知用户某个节点存在一些问题或异常情况。
然而,当节点发出大量的警告信息时,这可能会干扰用户的操作并降低ROS系统的整体性能。
ros_warn_throttle允许用户设置警告的最大频率,以避免上述问题。
第二步:安装ros_warn_throttle在使用ros_warn_throttle之前,需要先安装它。
ros_warn_throttle是ROS软件包之一,可以通过ROS软件包管理器进行安装。
打开命令行终端并输入以下命令:sudo apt-get install ros-<版本>-ros-warn-throttle请将“<版本>”替换为您使用的ROS版本,例如“melodic”或“kinetic”。
第三步:使用ros_warn_throttle安装完成后,可以在ROS节点中使用ros_warn_throttle。
以下是ros_warn_throttle的基本用法:rosrun ros_warn_throttle ros_warn_throttle_node.py <节点名称> <最大警告频率>其中,"<节点名称>"是要限制警告频率的节点的名称,而"<最大警告频率>"是要设置的最大警告频率。
警告频率的单位是Hz(赫兹),表示每秒发出的警告数量。
示例用法:假设我们有一个名为“my_node”的节点,并且我们希望限制其警告频率为1 Hz。
ROS L7抓包 教程
ROS L7抓包教程
此短文简单介绍使用了L7配合防火墙禁WINBOX登录,大家可以举一反三,封什么都是可以的,即使它的服务器地址或端口经常变化也一样能封.
我现在想禁WINBOX登录,假设WINBOX的端口经常变动或者也使用与网页一样的80端口(仅仅是假设一下),这时我就不能简单地用禁端口的方法来禁WINBOX.此时可以使用L7配合防火墙过滤器来禁WINBOX登录.下面是操作步步骤:
为了抓包方便,关闭WINBOX客户端机器上所有网络软件,再打开wireshark或ethereal来抓包.然后使用WINBOX登录路由器,此时抓包工具会抓到很多数据包,如图.
ROS L7抓包教程
找到从winbox客户机(192.168.1.210)到routeros路由器(202.1.1.2)的第一个拥有Data字段的数据包.在此数据包中选中的部分即是WINBOX登录时的特征码,此例我们选DATA字段前5个字符应该可以了.这5个连续字符使用正则表达式表达即是x12x02x69x6ex64x65或者是x12x02ind.使用下面两条命令,你就不能再使用WINBOX登录路由器了.
/ip firewall layer7-protocol
add comment="" name=winbox regexp="x12x02x69x6ex64"
/ip firewall filter
add chain=input layer7-protocol=winbox action=drop
(因为使用winbox是进入路由器的连接,所以加到input链表,如果是封QQ或PPS 等,过滤过则要加到forward链表)
这样就结束了,简单吧!。
ROS限制QQ等
ROS和行为控制网关赵锐ROS是MikroTik RouterOS的简称,是一种路由操作系统,并通过该软件将标准的PC电脑变成专用的路由器。
也就是软路由的一种。
在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能,是功能和稳定性最好的软路由产品之一。
行为控制网关是通过制定细度的访问策略,实现对互联网使用者的上网行为、访问内容、外发信息、带宽流量等进行有效的控制和管理,从控制和管理的角度帮助用户指定并落实互联网使用规定,阻止访问高风险、非法和不健康的互联网内容,阻止外发信息泄密,从而帮助用户提高工作生产效率、提高设备和带宽资源的利用率、避免法律纠纷,建立更加安全、更加完善的网络环境。
如果你们学校为以下这些问题困扰,你可以考虑使用部署网络行为控制网关:工作效率下降:聊天、游戏、电影、购物、BBS...网络资源浪费:BT、eMule、PP点点通....青少年网瘾:网络游戏、网络交友、不良信息....信息系统安全:病毒、木马、黑客、蠕虫....使用ROS部署行为控制网关,有着部署简便、成本低廉、维护方便、功能强大、性能稳定的优势。
学校可以任意找一台pc作为ROS行为控制网关的主机,具体安装不再细表,有很多初级教程。
下面我主要讲一下行为控制所用到的一些命令。
普通限速:限制192.168.0.1-192.168.0.200网段上传限速100kbit,下载限速100 kbit:for szwm from 1 to 200 do={/queue simple add name=(njeu . $szwm) dst-add ress=(192.168.0. . $szwm) max-limit=800000/800000 interface=all disabled=no} 突发限速(限制下载,而不影响网页打卡速度):限制192.168.0.1-192.168.0.20 0网段,突发上传和下载为5秒,突发上传限速200kbit,下载限速200kbit,普通上传限速100kbit,下载限速100kbit:for szwm from 1 to 200 do={/queue simple add name=(njeu . $szwm) dst-add ress=(192.168.0. . $szwm) limit-at=640000/640000 max-limit=800000/800000 int erface=all parent=none priority=8 queue=default/default burst-limit=1600000/1600 000 burst-threshold=800000/800000 burst-time=5s/5s total-queue=default target-ad dress=0.0.0.0/0 disabled=no}分时段限速:以上设置不变,加上时段限制为周一至周五。
ROS禁止PING 方法
ROS禁止PING 方法止内网PING :点击IP -> Firewall -> Filter Rules -> 右面选中output -> "+" -> General -> Protocol 中选择icmp ,在同级界面上点击Action 中,将Action选择为"drop",按"OK"确认禁止外网PING :点击IP -> Firewall -> Filter Rules -> 右面选中input -> "+" -> General -> Protocol 中选择icmp ,在同级界面上点击Action 中,将Action选择为"drop",按"OK"确认看了“[分享]ROS禁止PING方法”这篇贴,觉得大家对routeros防火墙和基本的tcp/ip协议理解不是很好。
这里说说自己的看法,以便供大家和我一起讨论学习。
我喜欢routeros的一个理由是,routeros防火墙功能非常灵活。
routeros 防火墙属于包过滤防火墙,你可以定义一系列的规则过滤掉发往routeros、从routeros发出、通过routeros转发的数据包。
在routeros防火墙中定义了三个防火墙(过滤)链(即input、forward、output),你可以在这三个链当中定义你自己的规则。
其中input意思是指发往routeros自己的数据(也就是目的ip是routeros 接口中的一个ip地址);output意思是指从routeros发出去的数据(也就是数据包源ip是routeros 接口中的一个ip地址);forward意思是指通过routeros转发的(比如你内部计算机访问外部网络,数据需要通过你的routeros进行转发出去)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
add comment="" name=http_javascript regexp="http/(0\\.9|1\\.0|1\\.1)[\\x09-\\x\
0d ][1-5][0-9][0-9][\\x09-\\x0d -~]*(content-type: text/javascript)"
add address=121.14.75.0/24 comment="" disabled=no list=games4 comment="" disabled=no list=games
add address=183.60.14.0/24 comment="" disabled=no list=games
# jun/01/2011 20:16:01 by RouterOS 3.30
# software id = U731-QIJR
# 使用说明:192.168.0.0/22批量替换成你自己的网段,如包括在内则不用修改。
# 服务器IP在IP address list自行更改
# 默认限速是50M带宽。
add comment="" name=rar regexp="^.*get.+\\.rar.*\$"
add comment="" name=exe regexp="^.*get.+\\.exe.*\$"
add comment="" name=iso regexp="^.*get.+\\.rar.*\$"
add address=121.11.148.0/24 comment="" disabled=no list=games
add address=119.147.68.0/24 comment="" disabled=no list=games
add address=121.14.74.0/24 comment="" disabled=no list=games
add address=119.147.32.0/24 comment="" disabled=no list=games
add address=121.14.102.0/24 comment="" disabled=no list=games
add address=121.11.159.0/24 comment="" disabled=no list=games
add comment="" name=hlv regexp="^.*get.+\\.hlv.*\$"
add comment="" name=rmvb regexp="^.*get.+\\.rmvb.*\$"
add comment="" name=rm regexp="^.*get.+\\.rm.*\$"
1-5][0-9][0-9][\\x09-\\x0d -~]*(content-type: application/x-shockwave-flas\
h)"
add comment="" name=https regexp=\
"^(.\?.\?\\x16\\x03.*\\x16\\x03|.\?.\?\\x01\\x03\\x01\?.*\\x0b)"
/ip firewall layer7-protocol
add comment="" name=dns regexp="^.\?.\?.\?.\?[\\x01\\x02].\?.\?.\?.\?.\?.\?[\\\
x01-\?][a-z0-9][\\x01-\?a-z]*[\\x02-\\x06][a-z][a-z][fglmoprstuvz]\?[aeop]\
add address=183.60.3.0/24 comment="" disabled=no list=games
add address=216.52.241.0/24 comment="" disabled=no list=games
add address=74.125.19.0/24 comment="" disabled=no list=games
7D/x98/x38/xE4.+"
add comment="" name=kugoo regexp="^(\\x64.....\\x70....\\x50\\x37|\\x65.+)"
add comment="" name=pps regexp="^.\?.\?\\c.+\\c"
add comment="" name=qqlive regexp="(^get.+\\video.\?\\qq.+\\flv|^\\xFE.\?.\?.\
add comment="" name=qqmusic regexp=\
"(^\\xFE.\?.\?.\?.\?\\xCF|^get.+\\qqmusic.\?\\qq.+\\qqmusic)"
add comment="" name=zip regexp="^.*get.+\\.zip.*\$"
add address=121.11.93.90 comment="" disabled=no list=games
add address=183.60.138.115 comment="" disabled=no list=games
add address=183.60.154.113 comment="" disabled=no list=games
add comment="" name=avi regexp="^.*get.+\\.avi.*\$"
add comment="" name=http_html regexp="http/(0\\.9|1\\.0|1\\.1)[\\x09-\\x0d ][1\
-5][0-9][0-9][\\x09-\\x0d -~]*(content-type: text/html)"
add address=121.14.100.193 comment="" disabled=no list=games
add address=121.11.93.111 comment="" disabled=no list=games
add address=183.60.138.41 comment="" disabled=no list=games
add comment="" name=http_png regexp="http/(0\\.9|1\\.0|1\\.1)[\\x09-\\x0d ][1-\
5][0-9][0-9][\\x09-\\x0d -~]*(content-type: image/png)"
add comment="" name=http_gif regexp="http/(0\\.9|1\\.0|1\\.1)[\\x09-\\x0d ][1-\
\?.\?\\xD3|^get.+\\video.\?\\qq.+\\mp4)"
add comment="" name=pplive regexp="(\\x06\\x02\\xA8\\xC0\\xB1\\x13|\\xA8\\x02\
\\x06\\x19\\x1A\\x5F\\x1B\\x6F\\xAE\\xE1|^get.+\\mp4.\?\\key.+\\pplive)"
add address=121.11.93.0/24 comment="" disabled=no list=games
add address=183.60.138.0/24 comment="" disabled=no list=games
add address=183.60.154.0/24 comment="" disabled=no list=games
add comment="" name=Qzone regexp="()"
/ip firewall address-list
add address=121.14.107.0/24 comment="" disabled=no list=games
add address=121.14.100.0/24 comment="" disabled=no list=games
add address=216.52.252.0/24 comment="" disabled=no list=games
add address=125.64.132.11-125.64.132.18 comment="" disabled=no list=games