RouterOS配置

外網地址 211.139.17.x
掩碼 255.255.255.192
網關 211.139.17.1


內網地址10.10.10.1
掩碼 255.255.255.0




-----------------------------------
控制檯
-----------------------------------


清空已有設置
setup 
r 


設置LAN口和WAN口，指明數據從哪進(WAN)，從哪出(LAN)，如果不確定0、1分別對哪個口，可查看MAC地址
interface print v


給網卡添加別名，習慣性的一LAN一WAN
interface se 0 na=WAN
interface se 1 na=LAN


打印看看
interface print


設置LAN口IP和掩碼（LAN口不設網關，這裏的LAN口IP即後續內網裏客戶機的網關IP）
ip add add in=LAN add=10.10.10.1/24


設置WAN口IP和掩碼
ip add add in=WAN add=211.139.17.x/26


設置WAN口網關並啓用
ip route add gateway=211.139.17.1 disabled=no


打印了看看
ip add print 
ip route print

設置nat防止環路，否則NAT後的ip不能訪問外網
其中10.10.10.0/24爲整個網段，如果只放行單個ip，寫爲10.10.10.100這樣即可
ip firewall nat add action=masquerade chain=srcnat src-address=10.10.10.0/24
ip firewall nat print


-----------------------------------
網頁http://10.10.10.1
-----------------------------------
找一臺客戶機連接到路由器，將IP設爲剛纔LAN口的內網地址範圍，LAN地址爲網關，比如
地址/掩碼     10.10.10.101/24
網關      10.10.10.1
DNS1      8.8.8.8
DNS2      8.8.4.4


注意客戶機需自行設置DNS，否則不能解析域名


然後在瀏覽器裏輸入http://10.10.10.1訪問路由器，RouterOS默認賬號admin，密碼爲空


進入界面後(或者在登陸頁上也有這個圖標)找到菜單左下角的winbox，下載下來啓動，使用winbox登錄（不習慣網頁操作）


1.刪除默認地址
 ip->address
 除了以上設置的一個LAN和WAN之外，routeros有個默認WAN口，192.168.88.xx的刪除之，否則外網不能接到剛纔設置的183ip上


2.添加防火牆規則
 ip->firewall->filterRules
 routeOS默認三條鏈input、forward、output都是ACCEPT，所以在不設置任何規則之前都是開放的（也可改爲DROP或REJECT）
 1.添加允許所有接口的TCP 8291，用於winbox登錄
 2.添加禁止來自WAN口的所有連接，注意這條必須在最低下（在filterrule列表中序號最大，winbox裏拖拉後即時生效）
   否則數據包一進來就先給你幹掉，啥也進不去
 3.NAT列表中的規則不再需要添加到filterRules


3.添加NAT
 ip->firewall->nat
 添加目標NAT(dst-nat)對內網機器做端口映射