[研究所] MikroTik RouterOS 學習 (持續更新)

p大您好,小弟是去年底購入750GL的,當時也沒什麼研究,光看功能就很強大,CP值又高,於是敗了一台…

研究二個月後,把家裡的網路搞的有點亂,現在又遇到SERVER常常遭到大陸不明人士來試帳密,於是想說在FIREWALL裡建立 ADDRESS LIST加入大陸IP網段,來封鎖他們進來SERVER的情形,但是他們又利用跳板,有時透過歐洲、南美、北美或韓國等等…真是每次一來試就鎖一個IP;後面透過下列網站:

http://rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp?Order=ORG.ID

將台灣網段加入進去,僅讓台灣的IP才能進入SERVER…

但不知是小弟哪設定錯了,因為到現在還是一樣會有IP進來試帳密…

以下是小弟在防火牆的規則設定(好像是亂設定的感覺):


/ip firewall filter
add action=accept chain=input comment=\
"\B1\B5\A8\FC\AEa\B8\CC\BA\F4\B8\F4 IP \B3X\B0\DD" disabled=no \
src-address=192.168.1.0/24
add action=accept chain=forward comment="\\AB\\D8\\A5\\DF\\A5x\\C6W\\BA\\F4\\ACq\\B6i\\A4\\
J\\B0\\CF\\BA\\F4\\A1]\\A8\\CC\\A6C\\AA\\ED\\A1^" connection-state=established \
disabled=no src-address-list=TaiwanIPList
add action=accept chain=forward comment="\\B1\\B5\\A8\\FC\\A5x\\C6W\\BA\\F4\\ACq\\B6i\\A4\\
J\\B0\\CF\\BA\\F4\\A1]\\A8\\CC\\A4W\\B6\\B5\\A6C\\AA\\ED\\A4\\BA\\A1^" connection-state=\
related disabled=no src-address-list=TaiwanIPList
add action=accept chain=input comment="default configuration" disabled=no \
protocol=icmp src-address-list=TaiwanIPList
add action=accept chain=input comment="default configuration" \
connection-state=established disabled=no src-address-list=TaiwanIPList
add action=accept chain=input comment="default configuration" \
connection-state=related disabled=no src-address-list=""
add action=accept chain=forward comment=\
"\AB\D8\A5\DF\A6\B3\AE\C4\AA\BA UDP \BCs\BC\BD" connection-state=\
established disabled=no protocol=udp src-address-list=TaiwanIPList
add action=accept chain=forward comment=\
"\B1\B5\A8\FC\A6\B3\AE\C4\AA\BA UDP \BCs\BC\BD" connection-state=related \
disabled=no protocol=udp
add action=drop chain=forward comment=\
"\AA\FD\BE\D7\A4j\B3\B0\BA\F4\AF\B8\B3X\B0\DD" connection-state=invalid \
disabled=no src-address-list=ChinaIPList
add action=drop chain=forward comment=\
"\A5\E1\B1\F3\A8\E4\A5L\AA\BA UDP \BCs\BC\BD" disabled=no protocol=udp \
src-address-list=!TaiwanIPList
add action=drop chain=input comment=\
"\A5\E1\B1\F3\ABD\AAk\B3s\B5\B2\A1]\ABO\C5@\B8\F4\A5\D1\A1^" \
connection-state=invalid disabled=no

請大大有空時幫小弟看看,予以指導,感恩!
necosjou wrote:
將台灣網段加入進去,僅讓台灣的IP才能進入SERVER…...(恕刪)


指點不敢, RouterOS firewall 這塊我還沒有讀通, 你這裡指的 Server 是否區網內架設的 Server 嗎?

因為你有設 china ip address-list(ChinaIPList) & taiwan ip address-list(TaiwanIPList), 如果你只允許台灣的 IP 才能連上你的 server, 那麼 china ip address-list 應該就用不到了.
FB:VoIP電話技術交流
跟p大報告,p大提到的那一項我一開始也是去掉,但是後面對岸的ip還是可以直接進來server試帳密,雖然server最後都black ip 了(試三次就會被black ip),但是感覺像是要遙無止境的black ip下去…就…

還是感謝p大的指點,我再試試看別的方式,到時有其他心得再與p大及各位網友們一同研究…



小弟家裡的網路構想圖是上面這張…

等於二台server加監視器要吃掉三個 ip ,光這段就搞了很久,因為家裡是第四台連入,不需撥接就依mac配發ip上網,不用pppoe的部份就查翻了整個網路,連內地的網站也去發問,只知道是用vrrp方去取得浮動ip,最後還是請在拍賣場的賣家幫忙設定主要dmz及vrrp等部份…

只能說那位仁兄真專業,一開始都看不懂,慢慢才知道他是怎麼設定…

在ip address 中用到1.1.1.0 可以用vrrp抓到配發的ip,這真不知道是什麼原理?(之前用192.168.**.**都會有藍色無效的字出現…


RB2011UAS-2HND-IN switch port 設定

推薦友人買了一台 RB2011UAS-2HND-IN, 這台內建 Gigabit*5 port, 以及 FE(10/100)*5 port.


在系統 default 的設定裡, switch 規劃如下.
ether1~ether5: master port=none.
ether6: master port=none
ether7~ether10: master port=ether6
bridge(bridge-local): ether2,ether3,ether4,ether5,ether6,wlan1

一開始也並不了解為何要把 ether2~ether5 設為 bridge, 畢竟在官方文件裡強調儘可能用 switch 來達到 wire speed 的交換速度, 透過 bridge 需要利用到 CPU resource 反而較慢些.

這是 RB2011UAS 的結構圖.


gigabit switch 和 fast ethernet switch 看起來是分開的(10/100M 為SOC內建功能), 在內部並無電路做交換, 所以再怎麼做都要把它 bridge 起來才能互通.

這是一般較建議的做法.(假設如有一個 WAN port)
ether1: master port=none
ether2: master port=none
ether3~ether5: master port=ether2

ether6: master port=none
ether7~ether10: master port=ether6

最後再把 ether2, ether6 & wlan1 設為 bridge(bridge-local), 當然如果 WAN port 用不著 gigabit, 也可以把 WAN port 設定在 10/100M port, 這樣就多了一個 GbE lan port 出來. RouterBoard 的優點就是 WAN, LAN 的 port 可以隨自己規劃.

ps: 但如果不做 bridge, 把 ether5 & ether6 用 lan cable 直接串起來呢? 這樣是不是就 bypass CPU 了?
FB:VoIP電話技術交流
necosjou wrote:
p大您好,小弟是去年...(恕刪)


你的主機是DMZ方式對應PORT?
網際網路IP的80對應內部主機80 port?

基本上這有方法對應..可以按照官方過濾機制設定就可以..
下面是我的範本,你自己新增或修剪

目前我的過濾,防禦攻擊有4種,至於抓到後要檔多久,你自己設定看要幾天..

還有我的過濾機制基本上都是按照官方來設定,除了防毒的PORT可以刪除,這是自己另外加強..

1.dos攻擊
2.FTP攻擊
3.SMTP攻擊
4.pop3攻擊

http://www.8o.idv.tw/filter.rsc


necosjou wrote:
等於二台server加監視器要吃掉三個 ip ,光這段就搞了很久,因為家裡是第四台連入,不需撥接就依mac配發ip上網,不用pppoe的部份就查翻了整個網路,連內地的網站也去發問,只知道是用vrrp方去取得浮動ip,最後還是請在拍賣場的賣家幫忙設定主要dmz及vrrp等部份…

只能說那位仁兄真專業,一開始都看不懂,慢慢才知道他是怎麼設定…

在ip address 中用到1.1.1.0 可以用vrrp抓到配發的ip,這真不知道是什麼原理?(之前用192.168.**.**都會有藍色無效的字出現…)...(恕刪)


感謝分享, 剛才去看了官方 VRRP 的說明及範例, 大致了解它的做法.

VRRP 實作上大多做在 Router 的 LAN side, 但這裡卻是把它反向應用, 做在 WAN side.
而實作上是多台 Router 組合成數個 virtual interface, 這裡是一台 Router 做出多個 virtual interface


它算是 VRRP 一種另類的應用, 因為你的環境 WAN 是透過 dhcp-client 從 ISP 取得 IP, 如你所言需要多個固定IP, 此時標準的做法就是規劃多個 WAN Port 即可, 在 RouterOS 上也可以如此做, 但它利用 VRRP 的特性, 在一個 WAN port 上定義出多個 vrID, 相當於多個 Interface, 但 VRRP 的設置上必須給原 ethernet interface & virtual interface 配置固定 IP, 不然它的狀態會是 Inactive, 所以 assign 1.1.1.0/24 只是為了符合 VRRP 的規定, 這 IP 你自己可以隨意指定, 在每個 virtual interface 再加上 dhcp-client, 此時才是真正從 ISP 取得配發的 IP. 大抵做法是如此.

以下是以中華電信的線路實作.(ADSL MODEM 自動配發的 IP 為 private IP)

FB:VoIP電話技術交流
小弟routeros nat中的2-5項是由那位專家設定的,剩餘後面都是自己加的;第0、1項是因為與2、3同一個網域(0是監視器一:port 8100、1是監視器2:port 810),所以會放在nat最前面,而第二台server則是用到3、4項,又是另一個網域…

後來看一看裡面設定其實不難,只是之前自己複雜化了,沒理解通,就先在mangle裡標記,弄的亂七八糟,光搞這些就快被搞到抓狂了…

感謝h大分享防火牆的設定資料,因為我那台ds111(群○)裡面也有mail server,我想我一定會應用上的,感恩!

因為他們每天都會來報到…



192.168.1.45那封個是自己打錯密碼…

pctine wrote:
RB2011UAS-...(恕刪)


RB2011UAS 这台真的很棒,无线的信号 default 设置感觉比 RT-N16强。



請問大哥容我問一個笨問題
我將大哥你附的檔案放到 450g(版本是v5.24)裡面的"Files"(拉過去有reboot)
但是在IP->firewall中沒有看到設定資料
請問大哥我還缺啥步驟沒做呢?
Ethernet over IP (EoIP)

一般我們常見的 VPN 大抵都屬於 layer 3 IP 層級的, 在 RouterOS 支援 Layer 2 的 EoIP VPN.

官方文件: Interface / EoIP

引用 MikroTik, 用於說明 EoIP


如上圖兩端各一台 MikroTik Router, 你可以把它想像成兩端的網路如同利用一個 Switch 串連起來.

首先建立一 EoIP interface, remote-address 指向 remote site 之 IP.
為了將兩端的 LAN '串接' 起來, 我們先將 local lan 和已建立 eoip-tunnel bridge 起來.

#建立一 EoIP interface
/interface eoip
add keepalive=10 local-address=114.32.xxx.xx mac-address=02:65:76:87:5C:BF \
name=eoip-tunnel1 remote-address=114.34.xxx.xxx tunnel-id=0

#建立一 bridge, 並將 eoip-tunnel 和 lan interface bridge 起來
/interface bridge
add l2mtu=1598 name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether2-lan
add bridge=bridge1 interface=eoip-tunnel1


如前就完成一個端點的設定, 另一端點的設法完全相同. 經此設定, 兩端的 LAN 就如同以 switch 串接起來了.

其他說明
在 LAN A 一 PC 故意手動指定二個 IP, 一個屬於 LAN A, 一個屬於 LAN B, 由於 VPN 兩端點已經相當於透通了, 自然它可以同時存取兩端的資源.

但也因為網段透通, 在實作上還有很多要特別注意的, 例如兩端都有 DHCP Server, 此時配發上也會產生衝突, 這也是必須在 firewall rule or VLAN 上再加以微調的. (不過在設定 EoIP 時, 它不曉得是如何判斷的, 就自動把 dhcp server 設為 inactive 了)

評分
複製連結
請輸入您要前往的頁數(1 ~ 734)