"禁止PING"
/ ip firewall filter add chain=output protocol=icmp action=drop comment="No Ping"
"禁止P2P"
/ ip firewall filter
add chain=forward protocol=tcp dst-port=4661-4662 action=drop comment="No Emule"
add chain=forward protocol=tcp dst-port=4242 action=drop
add chain=forward dst-address=62.241.53.15 action=drop
"禁止三波"
/ip firewall filter
add chain=forward protocol=tcp dst-port=135-139 action=drop comment="no san bu"
"封某個端口號"(這裏比如說封80端和21端口吧)
/ ip firewall filter add chain=forward protocol=tcp dst-port=21 action=drop comment="NO FTP"
/ ip firewall filter add chain=forward protocol=tcp dst-port=80 action=drop comment="NO WEB"
"封某些特定的IP地址或IP地址段"(這裏比如說218.28.186.177/32 和211.67.150.0/24)
/ ip firewall filter add chain=forward dst-address=218.28.186.177/32 action=drop comment="wangba"
/ ip firewall filter add chain=forward dst-address=211.67.150.0/24 action=drop comment="mother xiao"
端口影射(這裏我是用作把網吧的一全電影服務服務器及FTP服務器影射出去便於外部訪問)
/ ip firewall nat add chain-dstnat dst-address=(218.28.186.177) protocol=tcp dst-port=80 to-address=
(192.168.0.254) to-ports=80 action=dst-nat comment="WEB SERVER"
/ ip firewall nat add chain-dstnat dst-address=(218.28.186.177) protocol=tcp dst-port=21 to-address=
(192.168.0.253) to-ports=80 action=dst-nat comment="FTP SERVER"
封某個域名(網吧和單位都是有可能經常用的呀,比如說BAIDU.GOOGLE)
/ ip firewall filter
add chain=forward content=www.baidu.com action=reject comment="baidu"
/ ip firewall filter
add chain=forward content=www.google.cn action=reject commnet="google"
限制每臺機器的NAT數量,有些地方說這是限程我認爲用NAT數量最爲好(比如網吧有一百臺,我讓每臺機器最多可以建立50NAT連接)
:for computer from 1 to 253 do={/ip firewall filter add chain=forward src-address=(192.168.0..&computer)
protocol=tcp connection-linmit=50.32 action=drop}
網站轉向功能的使用,這些東西可能大家都感覺着沒有什麼用處,可是他的用是大大的有呀,比如單位領導規定,下面業務員用機器只能看我們特定的及於B/S模式的ERP系統,但是ERP服務器又在總公司,那麼部分重要領導要看網頁,查資料,那麼如何來實現呢?看一下命令
/ ip firewall nat add chain=dstnat src-address=192.168.0.1-253 protocol=tcp dst-port=80 action=dst-nat to address=218.28.186.177 to-ports=80 disables=no commnet="80 to ERP"
用戶的管理:(大家在建ROS時,可能做好以後ROS的管理員密碼我們就不歸我們管了,但是出現問題以後我們又不得不去處理,還有你做了ROS,要讓朋友看一 下,當然了,這個朋友不是太熟,那麼怎麼辦,這就需要給他分級建立一定的用戶了,當然這些用戶沒有在正兒八經的LINUX分級分得那麼細,但這些就足夠我們用了.
/ user add name=liadmin password=liadmin group=full address=0.0.0.0/0 comment="admin"
/ user add name=chuanmin password=chuanmin group=full address=192.168.0.51/32 comment="zhuan young"
正向大家看到的那樣我建立了兩個管理員帳戶,但他們有區別的一個是允許192.168.0.51這個IP地址可以用這個用戶名登錄,其他IP地址不能登錄(這個IP地址是我用的,哈哈)
/ user add name=laowu password=laowu group=write address=0.0.0.0/0 comment="xie"
/ user add name=laoli password=laoli group=read address=0.0.0.0/0 commnet="read"
這兩個大家看到了吧,這是一個寫,一個只讀的權限的兩個用戶
防止P2P軟件下載東西佔用網絡資源這個在公司裏面及網吧裏面用的也是多較多的,比如說在公司經常用人在上班期間下一些電影電視連接劇,一個人下也就無所謂了,關鍵是好多人都有這愛好,沒有辦法只有禁P2P軟件下載了,在網吧更是:費話少說言歸正傳,看命令(我用的是192.168.0.0/24網段的)
/ ip firewall filter
add chain=foreard src-address=192.168.0.0/24 p2p=all-p2p action=drop comment="Disable P2P"
關閉系統服務包括FTP,TELNET.關閉SSH,關閉WWW服務等(這些東西有時確實對我們來說沒有太多的用處,比如說這個WWW.服務吧,我們用這個幹什麼,進行ROS的配置,也不太好,SSH我們一般都在內網進行配置,那麼也就沒有必要了,所以說針對這種情況,我建議全部給禁用了.)
/ ip service disable ftp
/ ip service disable www
/ ip service disable ssh
/ ip service disable telnet
批理綁定所有機器ARP,這個東西在網吧用處是比較大.具體做法,下面所有機器IP,計算機名都改好,等等,這時一定不要忙着讓網管及客戶都做上玩,這樣如果一旦有機器這時種了ARP病毒及不是前功盡棄啦,與其這樣還不好我們一個一個的綁定呢
:foreach computer in=[/ ip arp find dynameic=yes] do=[/ip arp add copy-from=$computer]
備份ROS路由器的設置,這個是非常有必要的,因爲一旦路由器出現問題,那將會對網吧和單位是一個很大的打擊,這是其中的一個應用,還有就是我們想實驗某一個新東西的時,也需要這個,因爲一旦我們的配置影向到我們的路由器,我們可以在第一時間內恢復.其他的也不多說,看命令:
/ system backup save name=baK
恢復路由器的設置,當然了,出現問題以後我們就要恢復了,下面看恢復代碼
/ system backup load name=bak
更改TELNET端口號,這個也是有必要的,因爲這樣更安全
/ ip service set telnet port=21213