制作人：郭成玉

1、准备工作：主板：845以上、硬盘：1G—80G并口、CPU：2.0G、内存：256M、网卡：(Inter82559、8139.INTEL82540)、显卡：主板自带、光盘一张、光驱！

2、光驱启动到如图：一般选择者几项（按a全选、按空格选中一项）按i开始安装。

3、安装提示：是否保留以前的设置（按N不保留，按Ｙ保留）一般不保留按Ｎ

4、安装提示：是否格式化硬盘选Y是。

5、出现格式化过程，格式化完后按Enter从起电脑

6、启动电脑到后如果你下载的ROS不是破解版的还需按C破解，如果已经破解的直接用硬盘启动到ros的登录界面

7、用户名：admin(回车)，密码：空（直接回车）是否查看ros相关信息，全洋文看不懂按N回车

8、进入ros的最初配置这里输入/int pri查看已经安装的网卡信息

9、出现网卡信息，这儿只有一张网卡，R表示网卡已经激活了，如果是X那还需激活网卡：命令Int回车 输入enable 0 表示第一张网卡

10、我们看到ether1如果是两张或者是三张等等，那么ether2、ether3。。我们把网卡的名字改一下便于后好操作。改名网卡：int set 0(表示第一张网卡) name=dianxin(也可以WAN表示)、如果还有网通的就命名为：int set 1 name=wangtong、第三张就命名为内网：set 2 name=LAN网卡命名完成！！

11、接下来配内网和的IP

  命令：ip address add address 192.168.XXX.XXX/24 interface=lan回车

        ip address add address 58.42.XXX.XXX(通行部门给你的IP)/子网掩码 interface=dianxin(WAN)

12、查看配置信息命令：ip add pri查看IP地址配置信息！

13、找局域网内的某一天电脑浏览器上输入http://192.168.XXX.XXX后下载一个Winbox登陆器

14、登陆路由WebConnet Tok：输入192.168.XXX.XXX,   Login：输入原始账号：admin、Password密码为：空点击Connect登陆路由器

15、进入路由Web的第一个界面。

16、点击ip—Routes

17、点击红“+”号Destination不用管，Gateway填写你的网关（询问当地通讯部门所得）后直接按OK！

18、返回到最初Web界面，添加IP伪装后才能局域网内正常上网了。选择ip—firewall—NAT再点红“+”号

19、点击红“+”号出现，选择Chain：srcnat

20、在点击Action选择Action：masqurade后按OK！这样局域网内能通网络了！！

接下来要做ARP绑定工作！

1、返回到Web最初界面，此时把网吧电脑全部开启点击IP—ARP显示当前网吧所有电脑ip地址前边有字幕D字样，接下来一个一个得ip地址进行绑定！

2、双击ip地址比如要绑定192.168.168.1得ARP双击。

3、双击后出现点击Copy后点OK绑定完成。

4、ARP绑定后之前看到的D字幕不见了！

ROS相关设置详解

一、ROS设置的备份！（两种方法）

1、files-file list

   backup即可（可以到你的ftp里面找）登陆FTP地址为Ftp：//192.168.XXX.XXX登陆账号：路由器账号、密码：路由器密码！备份的路由在FTP里面！

2、命令行：system回车

backup回车

save name=设置文件名 回车

二、资料恢复命令

1、system回车

   backup回车

   load name=文件名 按（回车）

三、ROS绑定MAC

登录路由器，IP-----ARP，这样可以看到 一行行的 IP和MAC地址，这些就是内网有网络活动的计算机。选中一个，双击，选COPY----点OK，依次进行，全部绑定后，来到WINBOX的interface选项，双击内网和，在ARP选项里，winbox--Interfaces--选择内网网卡或网卡选择“replay-only”至此，通过ROS绑定IP完毕，这样下面客户机只要一改IP，那么它就无法和网关进行通讯了，当然也无法使主机吊线了。这样绑定之后，没有绑定的IP就不能与网关通信了。只要你修改了IP或MAC地址，内网都无法通信，即使你修改成网关IP也无法与内网通信

四、ip伪装

ip-firewall-NAT 左上角的+号                                   

General—Chain选择srcnat在general-Src.address：192.168.0.0/24 内网ip段 24代表定值不可修改！

Action Action:masquerade(IP伪装）

这样网吧就能上网了！

五、ROS端口映射

ip-firewall-Destination Nat 点左上角+号

Genera   Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可）

        Dst. Address:IP/32

        Dst. Port:要映射的端口

Action action:Src-nat

        TO  Addresses:你的内网IP

        TO  Ports:要映射的端口

六、手动限速

1、winbox---queues----simple queues

点“+”，NAME里随便填，下面是IP地址的确定

①Target Address 不管，Dst. Address里填 你要的内网机器的IP，比如我这里有个 1号机器 IP为 192.168.1.1，那dst.address 里就填 192.168.1.1 然后是/32（这里的32不是指掩码了，个人理解为指定的意思）！

②Max Limit里选择你要限速的速度！

2、生成代码限速：（下载限速生成软件推荐：www.szwblm.com，调试好所需参数）Web---system---Scripts—Script List点红色“+”号！

在Name输入名称，把复制的限速脚本ROS通用限速脚本:for aaa from 1 to 254 do={/queue simple add name=(ip_ . $aaa) dst-address=192.168.0. . $aaa interface=wan max-limit=256000/800000 burst-limit=1000000/3000000 burst-threshold=128000/512000 burst-time=30s/1m }粘贴在Source文本框里面即可！

然后点OK运行Run Script！！

删除限速脚本 :for wbsz from 1 to 254 do={/queue simple remove (wbsz . $wbsz) }

七、ROS端口屏蔽

   ip-firewall-Filer Rules里面选择

forward的意思代表包的转发

firewall rule-General

Dst.Port:要屏蔽的端口

Protocol:tcp

Action:drop(丢弃）

八、ROS防syn

ip-firewall-connections

Tracking:TCP Syn Sent Timeout:50

               TCP syn received timeout:30

九、ROS创建VPN详解

1、选择ppp—﹥profiles  如下图：

点击“红色加号”添加，如下图：

上面的图片中，local address：可以随意填写，但是不能为空；use encryption：选择yes为128位加密。

然后点击limits选项卡：

only one：选择yes，功能是一个账户只限同时一个用户在线。

 选择第一画面中的interfaces，点“pptp server”如下图：

enabled前打钩；default profile：选择你图3中设置的name；其他默认即可。

 接下来，设置用户：

选择图1中的 secrets——“加号”添加用户，如下图：

上图中：name：为用户名；password：为密码；service：选择pptp；profile：选择你在图三中设置的name；remote address：你分配给该用户的IP，可以与你的局域网同段也可以不同段，但是要使用共享等功能最好设置同段IP，其他默认。在这里附加说明一点，若想让用户能访问内网共享文件夹，需要在防火墙中开发135-139端口。出于安全考虑，可以只开放内网网段的135-139端口，其他网段135-139端口关闭。如下图：把端口映射出去！

至此ros的设置完成，

十、ros本身恢复设置

进入ROS路由电脑，输入账号和密码进入ROS，输入命令：system(回车)  再输入reset(回车)   按Y恢复从起电脑路由后已经恢复到默认状态，此时从新配置网络信息即可！

十一、备份ROS

可用ghost8.0备份，注意是全盘备份！

十二、关闭ROS

     进如路由器电脑中，登陆账号和密码，输入命令：system（回车）  再输入:sh(回车)按Y执行此时关闭路由！

十三、检查磁盘

     在路由或中断模拟下输入命令：system（回车）  check-disk(回车)ROS从起执行任务！

十四、更改路由器登陆端口号！

     进入Web或者登陆路由器：New Terminal输入：ip ser pri(回车)   set www port=你的端口号回车即可!

十五、禁止ping网关

1、进入Web选择IP—Firewall—选择红“+”号把Chain改为output，protocol改为1（icmp）

2、

再选择Action把Action右框改为drop！

再点击comment在弹出的框里边输入“no ping”按回车即可

禁止PING ：点击IP －> Firewall －> Filter Rules －> 右面选中 input －> "+" －> General －> Protocol 中选择 icmp，再选择Action右框改为drop!

十六、禁用某忙站

  进入路由Web里边的IP-Firewall-点红色“+”号—General全部默认—Advanced里面的Content填写你所屏蔽的网站—再选Action把Action选drop!完毕

十七、ros禁止IP登陆进入路由Web后ip— firewall—— 点击红“+”号 add chain=forward dst-address=自己IP protocol=tcp dst-port=Web端口号 action=accept comment=" disabled=no " 

十八、ROS之实例教你映射和回流 

这两天在内网里面搞了个个人ftp，端口是2121,通过RO映射2121端口出去的，我现在把我的映射和回流以实际的例子讲解一遍，希望对大家有些帮助！

我RO的地址是221.234.1.56 我个人内网的地址是192.168.1.6

1.映射

winbox

下面没有提到的选项全部默认

ip->firewall->Destination NAT

General选项里面

Dst.address: 221.234.1.56

Dst.Port: 2121

Protocol: tcp

Action选项里面

Action: nat

To Dst.Add: 192.168.1.6-192.168.1.6

TO Dst.Ports: 2121

做完这一步，访问你内网的ftp站点就正常了。不过现在内网里面用的地址，就是我在内网里面用 ftp://221.234.1.56:2121 是无法访问的，这个时候，你就需要做回流了。当然了，这也不是必须要做的。不过既然要做的话，就做的完美一些吧。

2.回流

下面没有提到的选项全部默认

ip->firewall->Source NAT

General选项里面

Src.Address: 192.168.1.6/32 [32表示的是一台机器]

Dst.Address: 192.168.1.0/24 [24表示的是一个内网网段]

Protocol: tcp

Action选项里面

这里面就有个选择了

a.如果 Action: masquerade

那么 To Src Addresses : 就要填写 0.0.0.0-0.0.0.0

b.如果 Action: nat

那么 To Src Addresses : 就要填写 221.234.1.56

To Src. Ports: 2121

好了。现在再试试内网里面用的地址访问你的ftp看！ 

网桥（bridge）防火墙的特点是用户察觉不到防火墙的存在。而且这种方式最适用于已经建成的网络。可以在不对原来网络结构进行任何修改的情况下，添加防火墙

　　首先添加一个 “bridge”

　　然后对bridge进行设置

　　将需要的网络接口添加进来，根据实际情况进行添加

　　然后对firewall rules进行设置

　　这样网桥防火墙就基本配置完成了。其他设置可根据具体的情况进行设置。

ROS路由常用命令：

/sy reset                      恢复路由原始状态

/sy reboot                      重启路由

/sy showdown                      关机

/sy ide set name=机器名      设置机器名

/export                        查看配置

/ip export                      查看IP配置

/sy backup 回车

save name=你要设置文件名              备份路由

LOAD NAME=你要设置文件名              恢复备份

/interface print                  查看网卡状态

0 X ether1 ether 1500 这个是网卡没有开启

0 R ether1 ether 1500 这个是正常状态

/int en 0                      激活0网卡

/int di 0                      禁掉0网卡

这几天为了优化上面脚本，苦想了好久，终于又找出了另一个方法来实验动静结合，而且不会占用ROS的CPU。呵呵。累呀！

动静结合智能限速脚本

由时间段启发不同的限速的脚本

:for aaa from 1 to 254 do={/queue simple add name=(PC . $aaa) dst-address=(192.168.0. . $aaa) limit-at=500000/500000 max-limit=3000000/3000000}

/ ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=all-mark \\ passthrough=yes comment="" disabled=no 

/ queue type add name="PCQ-up" kind=pcq pcq-rate=1500000 pcq-limit=50 \\ pcq-classifier=src-address pcq-total-limit=2000 add name="PCQ-down" kind=pcq pcq-rate=1500000 pcq-limit=50 \\ pcq-classifier=dst-address pcq-total-limit=2000 

/ queue simple add name="PCQ" target-addresses=192.168.0.0/24 dst-address=0.0.0.0/0 \\ interface=all parent=none packet-marks=all-mark direction=both priority=1 \\ queue=PCQ-up/PCQ-down limit-at=0/0 max-limit=15000000/15000000 \\ total-queue=default-small disabled=yes 

/ system script add name="PCQON" source=":if \\(\\[ /queue sim get \\[/queue sim find \\ name=\\"PCQ\\"\\] disable \\]=true \\) do={/queue sim enable PCQ}" \\ policy=ftp,reboot,read,write,policy,test,winbox,password add name="PCQOFF" source=":if \\(\\[ /queue sim get \\[/queue sim find \\ name=\\"PCQ\\"\\] disable \\]=false \\) do={/queue sim disable PCQ}" \\ policy=ftp,reboot,read,write,policy,test,winbox,password 

/ tool traffic-monitor add name="PCQON" interface=WAN traffic=received trigger=above \\ threshold=14800000 on-event=PCQON comment="" disabled=no add name="PCQOFF" interface=WAN traffic=received trigger=below \\ threshold=5000000 on-event=PCQOFF comment="" disabled=no 

上面是完整脚本，直接把每一段复制进去就可以了。需要修改的看下面的说明！

下面是注释

15M为例 静态是3M，达到14.8M后启用动态是1.5M！

:for aaa from 1 to 254 do={/queue simple add name=(PC . $aaa) dst-address=(192.168.0. . $aaa) limit-at=500000/500000 max-limit=3000000/3000000}

这个是建立静态限速，1to254 改为你内网的IP！比如 2 to 120！ 192.168.0. 这里改为你的IP段！ limit-at=500000/500000 是平均网速500K，max-limit=3000000/3000000 是普通限速3M！

注意一下，在网盟里，包括很多高手都把ROS的算法搞错了，在这里我抖正一下，ROS不是1KB=8Kbit！ 而是 1000=1K 1000000=1M

/ ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=all-mark \\ passthrough=yes comment="" disabled=no 

这个是固定脚本！

/ queue type add name="PCQ-up" kind=pcq pcq-rate=1500000 pcq-limit=50 \\ pcq-classifier=src-address pcq-total-limit=2000 add name="PCQ-down" kind=pcq pcq-rate=1500000 pcq-limit=50 \\ pcq-classifier=dst-address pcq-total-limit=2000 这里把1500000改为你动态限速时的全网上传速度和下载速度！其他不要改！这里是1.5M！ 

/ queue simple add name="PCQ" target-addresses=192.168.0.0/24 dst-address=0.0.0.0/0 \\ interface=all parent=none packet-marks=all-mark direction=both priority=1 \\ queue=PCQ-up/PCQ-down limit-at=0/0 max-limit=15000000/15000000 \\ total-queue=default-small disabled=yes 到这里就是建立动态限速的策略了！192.168.0.0/24 改为你IP段！max-limit=15000000/15000000 这里是你总宽带，电信给你多少就填多少！其他不用改，因为需要转跳到上面的！ 

/ system script add name="PCQON" source=":if \\(\\[ /queue sim get \\[/queue sim find \\ name=\\"PCQ\\"\\] disable \\]=true \\) do={/queue sim enable PCQ}" \\ policy=ftp,reboot,read,write,policy,test,winbox,password add name="PCQOFF" source=":if \\(\\[ /queue sim get \\[/queue sim find \\ name=\\"PCQ\\"\\] disable \\]=false \\) do={/queue sim disable PCQ}" \\ policy=ftp,reboot,read,write,policy,test,winbox,password 

这个是启发脚本，就是启发动态和关闭动态的脚本！直接复制！

/ tool traffic-monitor add name="PCQON" interface=WAN traffic=received trigger=above \\ threshold=14800000 on-event=PCQON comment="" disabled=no add name="PCQOFF" interface=WAN traffic=received trigger=below \\ threshold=5000000 on-event=PCQOFF comment="" disabled=no 

这个是流量监控，我有15M设置是14.8M启发，足够了。不会延时或者怎么的，不建议改得太少。threshold=5000000是少于5M时关闭动态！这个自己掌握好！多试试！

另外注意的是！interface=WAN 把WAN改成你的网卡！上面的每一段都需要，少一段这个脚本就不完整！不然没效果不要说我！ 

关于时间段来启发脚本我发出来了，只需要改最后一段就OK了！受之网盟，反哺网盟！

/system scheduler add name=timeon interval=24h start-time=08:00:00 on-event={PCQON} disabled=no

/system scheduler add name=timeoff interval=24h start-time=23:59:59 on-event={PCQOFF} disabled=no

把最后一段替换成这段就是由时间段控制开关PCQ了！下载本文