MikroTik RouterOS 应用实例讲解

首页关于方案工具下载路由产品无线应用技术资料代理商汇款方式MikroTikRouterOS应用事例讲解导航：防火墙配置规则防火墙Tracking设置双线备份自动切换配置源地址双线应用配置端口策略路由配置透明传输整形器配置电信网通流量控制动态流量控制PPTP借线配置Hotspot服务器配置PPPoE服务器配置EoIP隧道配置UserManager操作配置Webbox配置无线网络PPTP远程办公互联配置1:1NAT实例防火墙规则下面是三条预先设置好了的chains，他们是不被能删除的：input–用于处理进入路由器的数据包，即数据包目标IP地址是到达路由器一个接口的IP地址，经过路由器的数据包不会在input-chains处理。forward–用于处理通过路由器的数据包output–用于处理源于路由器并从其中一个接口出去的数据包。他们具体的区别如下：当处理一个chain（数据链），策略是从chain列表的顶部从上而下执行的。如果一个数据包满足策略的条件，这时会执行该操作。我们来看看防火墙过滤原则：现在我来看事例中的防火墙规则：我先从input链表开始，这里是对所有访问路由的数据进行过滤和处理：从input链表的第一条开始执行，这里一共有三条规则：0;;;接受你信任的IP地址访问(src-address=填写信任IP,默认允许任何地址)chain=inputsrc-address=192.168.100.2action=accept1;;;丢弃非法连接chain=inputconnection-state=invalidaction=drop2;;;丢弃任何访问数据chain=inputaction=drop下面是forward链表forward链表，一共有7条规则，包括两个跳转到自定义链表ICMP和virus链表：0;;;接受已建立连接的数据chain=forwardconnection-state=establishedaction=accept1;;;接受相关数据chain=forwardconnection-state=relatedaction=accept2;;;丢弃非法数据包chain=forwardconnection-state=invalidaction=drop3;;;限制每个主机TCP连接数为80条chain=forwardprotocol=tcpconnection-limit=80,32action=drop4;;;丢弃掉所有非单播数据chain=forwardsrc-address-type=!unicastaction=drop5;;;跳转到ICMP链表chain=forwardprotocol=icmpaction=jumpjump-target=ICMP6;;;跳转到病毒链表chain=forwardaction=jumpjump-target=virusforward工作过程如下：在自定义链表ICMP中，是定义所有ICMP（Internet控制报文协议），ICMP经常被认为是IP层的一个组成部分。它传递差错报文以及其他需要注意的信息。ICMP报文通常被IP层或更高层协议（TCP或UDP）使用。例如：ping、traceroute、traceTTL等。我们通过ICMP链表来过滤所有的ICMP协议：ICMP链表操作过程：0;;;Ping应答限制为每秒5个包chain=ICMPprotocol=icmpicmp-options=0:0-255limit=5,5action=accept1;;;Traceroute限制为每秒5个包chain=ICMPprotocol=icmpicmp-options=3:3limit=5,5action=accept2;;;MTU线路探测限制为每秒5个包chain=ICMPprotocol=icmpicmp-options=3:4limit=5,5action=accept3;;;Ping请求限制为每秒5个包chain=ICMPprotocol=icmpicmp-options=8:0-255limit=5,5action=accept4;;;TraceTTL限制为每秒5个包chain=ICMPprotocol=icmpicmp-options=11:0-255limit=5,5action=accept5;;;丢弃掉任何ICMP数据chain=ICMPprotocol=icmpaction=drop在virus链表中过滤常见的病毒，我可以根据需要在该链表中添加新的病毒对他们做过滤：Tracking设置这里我们可以设置是否启用tracking连接跟踪，以及TCP、UDP和ICMP等协议的timeout时间，和TCP-syncookie设置，RouterOS在2.9.16中增加了TCP-syncookie参数。在使用NAT时需要启用Tracking连接跟踪，如果你的RouterOS没有使用NAT（如在使用bridge模式下），可以选择关闭tracking，降低系统资源。SYNCookie原理SYNFlood是一种非常危险而常见的DoS攻击方式。到目前为止，能够有效防范SYNFlood攻击的手段并不多，而SYNCookie就是其中最著名的一种SYNCookie是对TCP服务器端的三次握手协议作一些修改，专门用来防范SYNFlood攻击的一种手段。它的原理是，在TCP服务器收到TCPSYN包并返回TCPSYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。在收到TCPACK包时，TCP服务器在根据那个cookie值检查这个TCPACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。事例操作双线备份自动切换配置RouterOS2.9中路由规则增加的两点功能：1、在RouterOS2.9路由规则中增加了check-gateway的功能，能检测到网关的线路状态，如果网关无法探测到，便认为网关无法连接，会自动禁止访问网关的数据通过，check-gateway功能的探测时间为10s一个周期。2、在RouterOS2.9中具备了对缺省网关的判断，在RouterOS2.9的任何一个路由表中只能存在一个缺省网关，即到任何目标地址为0.0.0.0/0，没有做路由标记（routing-mark）的规则,如果存在另一个缺省网关则认为是错误，路由将不予以执行。如下图：从上图我们可以看到，所有访问电信的IP段从10.200.15.1出去，其他的数据走网通的缺省网关出去，在我们可以这些网关的前缀都为“AS”，即确定的静态路由，而在第二排可以看到蓝色一行，他也是一个缺省网关，但因为一个路由表中只能存在一个缺省网关，所有前缀为“S”即静态但不确定的网关，被认为位非法的。如果当202.112.12.12.11网关断线，则10.200.15.1会自动启用，变为缺省路由，实现现在的切换，如下：当202.112.12.11断线后，check-gateway在10s一个周期后探测到，并将10.200.15.11设置为缺省路由，如果202.112.12.11正常后，系统也将会将202.112.12.11设置为缺省路由，因为他是先于10.200.15.1添加入路由表中。源地址双线应用案例这是一个典型的通过一个路由器并使用两条ISP线路接入的环境（比如都是两条电线的ADSL或者LAN接入）：当然，你可以选择负载均衡！这里有多种方法可以选择，只是根据你的环境，选择最适合你解决方案。基于用户端IP地址的策略路由如果你有很多的主机地址，你可以通过IP地址将他们分组。这时，指定源IP地址，发送的传输通过ISP1或者ISP2的网关出去。让我们假设终端电脑的网络地址段为192.168.100.0/24，IP分配如下：192.168.100.1-127分配到A组192.168.100.128-253分配到B组192.168.100.254路由器本地IP地址（即内网的网关）现在，我们通过子网划分的方式，将终端电脑进行分组：A组为192.168.100.0/25，地址范围：192.168.100.0-127B组为192.168.100.128/25，地址范围：192.168.100.128-255如果你不能理解，请你查阅TCP/IP的相关教材或通过网上查找相关的子网划分资料！我们需要添加两个ipfirewallmangle的规则，标记来至A组和B组终端电脑的数据包。定义A组：链表为chain=prerouting，源地址：src-address=192.168.100.0/25操作为Action=markrouting并定义新的路由标记GroupA.最好做一个注释，以便以后便于你自己或者别人查看和处理。定义B组：链表为chain=prerouting，源地址：src-address=192.168.100.128/25操作为Action=markrouting并定义新的路由标记GroupB所有来至终端电脑的IP传输都通过路由标记为GroupA或者GroupB。这样我们可以标记到路由表中（routingtable）。下面，我们需要定义两个默认路给相应的路由标记和网关：到这里，如果你没有对路由器做NAT的伪装，请在/ipfirewallnat里添加src-Address=192.168.100.0/24action=masquerade,在终端电脑上测试一下跟踪路由是否正确定义两个分组的默认路由：A组测试如下情况：C:\tracert-d8.8.8.8Tracingrouteto8.8.8.8overamaximumof30hops12ms2ms2ms192.168.100.254210ms4ms3ms10.1.0.1...B组测试如下情况：C:\tracert-d8.8.8.8Tracingrouteto8.8.8.8overamaximumof30hops12ms2ms2ms192.168.100.254210ms4ms3ms10.5.8.1...如何做端口的策略路由：MikroTikRouterOS可以支持多种策略路由，如我们常见的源地址、目标地址，同样支持端口的策略路由，多种规则可以根据用户情况配合使用，如下图：现在我们通过下面的图解一步步实现端口的策略路由：我们有两个ISP接入的线路，一个是WAN1：211.162.172.23，一个是WAN2：218.112.109.27（地址为假设），我们让默认的数据通过WAN1，让访问网页的数据通过WAN2。现在我们定义访问网页的端口，访问网页的端口是TCP80端口，我们进入/ipfirewallmangle中做数据标记首先我们标记80端口的连接，标记名为“http”然后我们从这些连接中提取我们想要的数据：之后我们从标记中提取路由标记，命名为“web”，因为我们在前面的连接标记中做过了passthrough的设置，在这里就不用在重复设置。然后我们进入/iproute，配置路由我们让标记好的80端口路由去WAN2的线路：在这里，我们也可以通过/iprouterule来定义端口的规则：让定义的web标记在一次回到web路由表中去查找网关。透明传输整形器（TransparentTrafficShaper）这个事例将介绍如何配置一个透明传输整形器。透明整形器是建立在一个桥上，能区分和优先考虑什么样的传输通过。现在考虑下面的网络拓扑：在这里配置一组队列限制，一个客户端的总的通过量和三个子队列（HTTP、P2P和其他的传输数据），HTTP传输将优先在其他传输之上。快速配置配置代码（可以复制到MikroTikRouterOS执行）：/interfacebridgeaddname=bridge1/interfacebridgeportaddinterface=ether2bridge=bridge1addinterface=ether3bridge=bridge1/ipfirewallmangleaddchain=pre