routeros 使用教程

admin管理员组

文章数量:1531466

2024年1月25日发(作者：)

一、 防火墙简介。

防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

一般来说，防火墙具有以下几种功能：

1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。

2．可以很方便地监视网络的安全性，并报警。

3．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

4．是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

二、 安装router os（2.9.27）。

os 简介

MikroTik RouterOS 是将标准的PC电脑变成功能强大的路由器，添加标准的PC网络接口卡能增强路由器的功能。MikroTik RouterOS基于路由、PPPoE认证、Web认证、流量控制、Web-proxy、专业无线等于一身，可以根据需要增加或删除相应的功能，是许多路由器所无法实现的。同时MikroTik RouterBOARD专门为RouterOS设计的路由硬件，能稳定的应用在各种网络环境中。

os 硬件要求

CPU和主板 – 核心频率在100MHz或更高的单核心i386处理器，以及与兼容的主板。

RAM – 最小32 MiB, 最大1 GiB; 推荐64 MiB或更高。

ROM – 标准ATA/IDE接口(SCSI和USB控制器不支持；RAID控制器驱动不支持; SATA仅支持老的访问模式) 最小需要64 Mb空间； Flash和一些微型驱动器使用ATA接口能连接使用。

本人公司网关主机配置：(100人左右，2个网段)

CPU：intel cd2.53

RAM：128m

主板：intel865pe

硬盘：40g(ide)

网卡：2×realtek 8139;1＋via rhine I/II fast Ethernet

os工作流程

os（2.9.27）安装

4-1.设置光盘启动，放入router os的安装光盘，主机启动后就会出现router os的安装界面。用 p 或者 n 键移动光标，空格键增加或者删除功能，a 键全选，m 键最小化安装，i 键开始安装，r 键远程安装，q 键退出安装。

一般按 a 键，然后按 i 键，开始安装。

4-2.提示Do you want to keep old configuration? [y/n]:，新装选n，要保存旧的配置选y。

4-3.提示Warning: all data on the disk will be erased!Continue? [y/n]:，按y继续，这时候就开始格式化磁盘，然后安装系统。

4-4.提示Software installed. Press ENTER to reboot，表示系统安装完毕，按enter重启。

os（2.9.27）基本操作

5-1.系统默认用户名为admin，密码为空。登陆系统后提示Do you want to see the

software licensa [Y/n] 选择n。

登录后命令提示符显示了路由器操作者和当前目录。

5-2./password命令更改密码。

5-3.在任何目录中都可以输入“？”获取目录中的命令列表。

5-4.你可以通过输入目录名称移动到指定的目录中去。

[admin@MikroTik] > 根目录

[admin@MikroTik] > driver 输入„driver‟移动到driver目录

[admin@MikroTik] driver > / 输入„/‟移动到根目录

[admin@MikroTik] > interface 输入„interface‟移动到interface目录

[admin@MikroTik] interface > /ip 输入„/ip‟移动到ip目录

[admin@MikroTik] ip >

一个指令或一个变量不需要完整的输入，如果是含糊不清的指令或变量参数需要完整的输入。如输入interface时，只要输入in或int，需要显示完整的指令可以使用[TAB]键。

5-5.指令执行概述

Command 指令

Command [Enter] 执行指令

[ ? ] 显示该目录中的所有指令列表

Command [ ? ] 显示指令的帮助和变量列表

Command argument [ ? ] 显示指令的变量帮助

[Tab] 使指令/字段完整，如果输入的内容含糊不清，第二次键入[Tab]就会给出存在的选项

/ 移动到根目录

/command 执行根目录中的指令

.. 移动到上一级目录

‟‟ ‟‟ 指定一个空字符串

三、router os基本配置

1、接口管理（interface Management）

在配置IP地址和路由前，先检查/interface中的接口列表，多数情况下设备驱动会自动安装，并且相关的接口信息会显示在/interface print列表中。如果网卡不被支持，请更换router os支持的型号;

1.1、如果设备被禁用，可以使用/interface enable name（接口名称或标号）指令启用;

[admin@MikroTik] > interface enable ether1 或 interface enable 0

1.2、/interface set指令来改变接口描述。

1.3、/interface ethernet monitor name指令显示接口状态。

1.4、/ip address add address=/xx interface=name指令增加接口IP地址。

2、router os远程管理工具winbox

Router os内能通过远程配置各种参数，包括telnet, ssh, winbox 和 webbox。

Winbox拥有比较直观的图形界面，功能完整，不用记繁琐的命令。

Webbox是os的web管理界面，功能上没有winbox完整。

telnet和ssh连接，要求使用者用命令输入指令。

这里我们将着重介绍怎样使用winbox。

2.1、下载winbox。在浏览器输入router os的ip地址192.168.10.1，打开web管理界面，Download it下载winbox。

connect登录os。Save可以保存当前连接列表;2.2、运行winbox输入os的IP地址，输入login和password

2.3、基本功能概述。

四、Winbox配置adsl虚拟拨号上网

增加一条PPPoE1、配置adsl虚拟拨号比较简单，选择interface DailGeneral，Name入名称，interface选择对应的接口Client项目 ok。out，User填写adsl的帐号，Password填写密码

五、配置固定IP上网

ok。Address填SP提供的外网固定IP，Interface选择对应的网卡增加一条项目address1、增加一个isp提供的公网IP，选择ip

ok;Destination一般填0.0.0.0/0，Gateway填ISP提供的网关地址增加一条项目routes2、增加一条到isp网关的路由，选择ip

ok。Action，Action选masqueradeGeneral，Chain选srcnat增加一条项目natfirewall3、增加一条nat项目，选择ip

经过以上配置，os已经可以作为网关共享上网。

六、os firewall（由于os firewall功能比较多，以下只简单说明端口过滤和nat。）

1、firewall规则。

下面是三条预先设置好了的chains，他们是不被能删除的：

input – 用于处理进入路由器的数据包，即数据包目标IP地址是到达路由器一个接口的IP地址，经过路由器的数据包不会在input-chains处理。

forward – 用于处理通过路由器的数据包

output – 用于处理源于路由器并从其中一个接口出去的数据包。

他们具体的区别如下：

当处理一个chain（数据链），策略是从chain列表的顶部从上而下执行的。如果一个数据包满足策略的条件，这时会执行该操作。

我们来看看防火墙过滤原则：

filterfirewall2、firewall的第一条规则：禁止所有端口进出。选择ip 输入标识。做标识有助于自己查看和别人理解你的规则。Commentok。最后对这条规则做一个标识。指向规则按鼠标右键Action，Action选dropGeneral，Chain选forward增加一条项目rules

这条规则启用后，就断绝了内网与外网的连接，此时就需要开放常用的端口：51000、50000、21、25、53、80、110、143、443、1863、3000、4000、5000、8000、8080、8088等。

filterfirewall3、开放端口。这里拿http协议做例子：选择ip General，Chain选forward，Protocol选6(tcp)，填80，ace选增加一条项目rules Action，Action选accept。外网接口

这样就增加了一条80端口从内网出外网的规则，但是这样内网还不能上网，还要增加一条80端口从外网进内网的规则。同时要把这两条规则放到第一条禁止所有端口的规则上面。

注意：当增加第一条禁止的规则，所有端口的开放都必需有出与进两条规则。

的简单应用。

Action，Action选dst-nat，s填分销系统IP，ToGeneral，Chain选dstnat，s填外网IP，Protocol选6（tcp），填分销系统端口，ace选wan增加一条项目natfirewall端口映射一般运用到外网连接内网的服务器上，例如我想外部用户连接内部分销系统服务器(192.168.10.254)就需要用到nat。选择ip Ports填分销系统端口。最后还要在Filter Rules上增加允许外网连接分销服务器的规则。

七、带宽流量控制Queues

Simple1-1.以限制192.168.10.3速度为例：选择Queues General，Name填写这条规则的名称，Target Address填写需要限制的IP，Target增加一个项目Queues Upload是

限制的每秒上传速度，Targer Advanced，Interface选择对应的接口。Download是限制的每秒下传速度

一条条去增加流量规则是不现实的。所以IP流量的控制一般使用批量导入的方法，打开New Terminal终端，输入queue simple回车，然后将router os Simplequeues批量导入.xls里的内容分别粘贴到终端里,导入成功后在Queues Queues就会出现导入的控制规则。

禁用其它服务，只保留ftp和www，修改www端口。Service八、.关闭OS一些不必要的服务。选择IP

九、DHCP服务。

ok。Name填写名称，Address填写IP范围增加一个项目PoolsPool1.增加DHCP的IP池。选择IP

DHCP2、配置DHCP服务。选择IP Name填服务的名称，Interface选择内网接口，Address增加一条项目DHCPServer Address填写对应的网段，Getway填写用户获取的网关，Netmask填写子网掩码，DNS增加一条项目NetworkokPool选择IP池名称，Authoritative选no ok。servers填写用户获取的DNS

十、帐号密码。

Name填写帐号，Group选择权限，Password输入密码。增加一体项目1.增加OS帐号。Users

OS默认了3组权限：read是只读；write是可写；full是管理员权限。

十一、备份和恢复

1、配置备份和恢复。选择Files，Backup备份系统配置，系统会生成一个以日期时间命名的文件。Restore恢复系统，恢复需要重启网关。

2、打开浏览器输入ftp://OS内网地址，输入用户名密码，可以提取备份文件或者把文件放到routeros中。

Router os官网/

MSN：llhh1188@

QQ：9293437

培训结束，谢谢！

本文标签： 增加输入路由器选择指令