斩断扫描ROS的黑手

以下是引用片段：
/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="Port scanners to list " disabled=no  
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP FIN Stealth scan"  
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/FIN scan"  
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/RST scan"  
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="FIN/PSH/URG scan"  
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="ALL/ALL scan"  
/ip firewall filter add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP NULL scan"  
/ip firewall filter add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no

RouterOS终极提速，彻底解决ROS小包（网络游戏数据包）转发性能差的问题

RouterOS终极提速，彻底解决ROS小包（网络游戏数据包）转发性能差的问题
以下只给有ROS基础的人看,2.9.7以上版本支持，2.9.26上调试通过
ROS终端界面直接输入即可
HTB QOS 流量质量控制
/ ip firewall mangle
add chain=forward p2p=all-p2p action=mark-connection         new-connection-mark=p2p_conn passthrough=yes comment="" disabled=no
add chain=forward connection-mark=p2p_conn action=mark-packet         new-packet-mark=p2p passthrough=yes comment="" disabled=no
add chain=forward connection-mark=!p2p_conn action=mark-packet         new-packet-mark=general passthrough=yes comment="" disabled=no
add chain=forward packet-size=32-512 action=mark-packet new-packet-mark=small         passthrough=yes comment="" disabled=no
add chain=forward packet-size=512-1200 action=mark-packet new-packet-mark=big         passthrough=yes comment="" disabled=no
/ queue tree
add name="p2p1" parent=TEL packet-mark=p2p limit-at=2000000 queue=default         priority=8 max-limit=6000000 burst-limit=0 burst-threshold=0 burst-time=0s         disabled=no
add name="p2p2" parent=LAN packet-mark=p2p limit-at=2000000 queue=default         priority=8 max-limit=6000000 burst-limit=0 burst-threshold=0 burst-time=0s         disabled=no
add name="ClassA" parent=LAN packet-mark="" limit-at=0 queue=default priority=8         max-limit=100000000 burst-limit=0 burst-threshold=0 burst-time=0s         disabled=no
add name="ClassB" parent=ClassA packet-mark="" limit-at=0 queue=default         priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s         disabled=no
add name="Leaf1" parent=ClassA packet-mark=general limit-at=0 queue=default         priority=7 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s         disabled=no
add name="Leaf2" parent=ClassB packet-mark=small limit-at=0 queue=default         priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s         disabled=no
add name="Leaf3" parent=ClassB packet-mark=big limit-at=0 queue=default         priority=6 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s         disabled=no
1-8级优先级控制，数字越小优先级越高
LAN内网接口
TEL 外网接口
SMALL 小包 32-512字节      5级优先级
BIG 大包      512-1200字节       6级优先级
general 其它包 1200-1500字节      7级优先级
P2P类       8级优先，全局限速 600KB/S下载
Leaf 子类

我这边网吧用的是电信光纤,没有网同，所以机器只装了2个网卡.我是用光盘安装的.
首先看看网卡是否都被识别出来了，命令是：
/interface
print
可以缩写为
/int
pri
然后我们来激活他们，命令是：
ENABLE 0
ENABLE 1
0是第一块网卡。
激活后没有提示。用print命令查看后发现网卡前面的X变成R，就代表激活成功了。

所以我把网卡给改个名字：
命令：
set 0 name=dianxin
set 1 name=neiwang

然后给他们相应的IP。
先返回顶层目录，用/键就可以了。
然后输入：
IP
ADDRESS
add address 192.168.0.1/24 interface neiwang
add address xxx.xxx.xxx.xxx/24 interface waiwang （这里写ISP给的地址）
这样就设置好了dianxin、neiwang网卡的IP和子网掩码。24代表255.255.255.0
添加完后可以用print命令来查看结果。如果发现某条有错误，用“remove 错误的编号“既可以删除。
我比较喜欢在命令行下面操作，我们来设置外网的网关
[admin@MikroTik] >setup
会出来选项，这里的选项就是安装的时候你所选择的组件，
我们选+ a - configure ip address add geteway
然后选+ g - setup default gateway      （这里是设置外网网关
然后根据自己的实际情况来，我的是218.92.5.1

接下来设置DNS了，
[admin@MikroTik] >ip
[admin@MikroTik] >ip> dns
[admin@MikroTik] >ip> dns> pri
可以察看DNS列表，我们用命令来设置一下
set        primary-dns=xxx.xxx.xxx.xxx        (首选DNS）
set      secondary-dns=xxx.xxx.xxx.xxx       （备用的）

可以使用winbox来控制服务器了。
在IE地址栏输入:http://192.168.0.1（根据你配置的IP实际情况）
输入你的IP，用户名、密码，既可登陆。
初始用户名admin，密码空
然后我们设置共享上网

设置NAT共享上网ip －－》firewall －source nat ，选择 ＋ 号，选择action，action里面选择 masquerade
好了，现在就可以上网了，然后我改了管理员账号和密码，安全工作要做做好，嘿嘿。

1、备份和恢复设置
我比较喜欢在命令行下面做备份。命令是。
system回车
backup回车
这里可以简化成这样
sy
ba

[admin@MikroTik] system backup>save      备份
[admin@MikroTik] system backup>load      恢复 。

2.如果WINBOX进不了，怎么办，我经常遇到。
如果设错了规则或者地址，造成win不能进入管理界面，可以恢复默认。
使用 admin 登陆
system 回车
reset 选择 y
将删除所有改动，恢复新装的状态。

还有就是用MAC登陆工具，
进入后
输入 /ip f ru o        可打开OUTPUT
输入 /ip f ru in       可打开INPUT
输入 /ip f ru f        可打开forward
然后看看哪里错了，用命令remove      1 （数字是错误规则的排序）      

手动设置限速
winbox---queues----simple queues
点“+”，NAME里随便填，下面是IP地址的确定
①Target Address 不管，Dst. Address里填 你要限制的内网机器的IP，比如我这里有个 1号机器 IP为 192.168.1.101，那dst.address 里就填 192.168.1.101 然后是/32（这里的32不是指掩码了，个人理解为指定的意思）！
②interface里 记着要选你连接外网那个卡，我这里分了“local和public”，所以选public
③ 其他的不管，我们来看最重要的东西拉，Max limit ，这个东西是你限制的上限，注意的是 这里的数值是比特位，比如我要限制 下载的速度为 500K 那么就填入多少呢？ 500 X 1000 X 8=400 0000=4M。
Queues-Simple Queues
name:可以任意
Dst. Address:内网IP/32
Limit At (tx/rx) :最小传输
Max Limit (tx/rx) :最大传输

ROS菜单含义

guanlian
interfaces---网络接口
wireless---无线网络
bridge---桥接
ppp-虚拟拨号
ip
ports--端口
queues-限速
drivers-设备
system
files-文件      备份/恢复
log--系统日志
snmp-snmp管理方式
users-用户
radius-radius管理
tools-工具
new terminal-命令方式
telnet--tlenet连接方式
password--修改密码
certificate---证书 哎，盗版
madk supout.rif 制作rif文件
manual--说明
isdn chanels--一线通方式
routing--路由
exit--退出
ip addr add addr=192.168.1.1/24 interface=ether1
ip addr add addr=58.213.126.58/30 interface=ether2
ip route add gateway=58.213.126.57      外网
ip firewall nat add chain=srcnat src-address=192.168.1.0/24 action=masquerade
222.190.124.46
218。94。132。50天之骄傲
ipipipiipipipipipipipipipipip
sys reset
__________________________________
addresses--ip地址
routers-路由表
pool-地址池
arp-帮定ip
vrrp-热备份
firewall-防火墙
socks-代理
upnp-自动端口映射
traffic flow-网络流量
accounting--合计
services--服务
packing-ros模块
neighbors--邻居ros用户
dns--
proxy-代理
dhcp client-dhcp客户端
dhcp server - dhcp服务
dhcp relay-dhcp转换
hospot-热点认证
telephony-电话
ipsec-ip隧道连接方式
web proxy web代理
system system system system system system
---------------------------------------------
identity---ros标示
clock-时间
resources-系统配置
license-注册信息
packages--安装包
auto upgrade-自动升级
logging--日志
history--历史日志
console---com控制台
scripts--脚本
scheduler--进程
watchdog--监视狗
reboot-从起
shutdown-关机
lcd-小液晶显示ros消息
ntp chient--ros时间客户端
ntp server---ros时间服务端 自动更新ros时间
health---ros情况
ups-ups电源，可持续电源，就是电瓶。汗~
tools tools tools tools tools tools
--------------------------------------
ping
macping 探测mac地址
traceroute---Tracert命令
bandwidth test-宽带测试
btest server--btest服务器
traffic monitor--数据报监视器
packet sniffer--数据报扫描
torch--察看客户机信息
mac server mac 服务器
graphing---曲线图
ip sacan--ip扫描
ping speed--ping 速度
flood ping --ping阻塞
netwatch--网络监视