ROS全部命令及技巧

ROS全部命令及技巧


ROS菜单含义

interfaces---网络接口
wireless---无线网络
bridge---桥接
ppp-虚拟拨号

ports--端口
queues-限速
drivers-设备

files-文件 备份/恢复
log--系统日志
snmp-snmp管理方式
users-用户
radius-radius管理
tools-工具
new terminal-命令方式
telnet--tlenet连接方式
password--修改密码
certificate---证书 哎，盗版
madk supout.rif 制作rif文件
manual--说明
isdn chanels--一线通方式
routing--路由
exit--退出



addresses--ip地址
routers-路由表
pool-地址池
arp-绑定ip
vrrp-热备份
firewall-防火墙
socks-代理
upnp-自动端口映射
traffic flow-网络流量
accounting--合计
services--服务
packing-ros模块
neighbors--邻居ros用户

dns
proxy-代理
dhcp client-dhcp客户端
dhcp server - dhcp服务
dhcp relay-dhcp转换
hospot-热点认证
telephony-电话
ipsec-ip隧道连接方式
web proxy web代理

identity---ros标示
clock-时间
resources-系统配置
license-注册信息
packages--安装包
auto upgrade-自动升级
logging--日志
history--历史日志
console---com控制台
scripts--脚本
scheduler--进程
watchdog--监视狗
reboot-重启
shutdown-关机
lcd-小液晶显示ros消息
ntp chient--ros时间客户端
ntp server---ros时间服务端 自动更新ros时间
health---ros情况
ups-ups电源，可持续电源，就是电瓶。


ping

macping 探测mac地址
traceroute---Tracert命令
bandwidth test-宽带测试
btest server--btest服务器
traffic monitor--数据报监视器
packet sniffer--数据报扫描



RO防syn
ip-firewall-connections1
Tracking:TCP Syn Sent Timeout:50
TCP syn received timeout:30

限线程脚本：
:for aaa from 2 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $aaa) protocol=tcp connection-limit=50,32 action=drop}

RO端口的屏蔽

ip-firewall-Filer Rules里面选择
forward的意思代表包的转发
firewall rule-General
Dst.Address:要屏蔽的端口
Protocol:tcp
Action:drop(丢弃）


ros限速

手动限速
winbox---queues----simple queues

点“+”，NAME里随便填，下面是IP地址的确定

①Target Address 不管，Dst. Address里填 你要限制的内网机器的IP，比如我这里有个 1号机器 IP为 192.168.1.101，那dst.address 里就填 192.168.1.101 然后是/32（这里的32不是指掩码了，个人理解为指定的意思）！

②interface里 记着要选你连接外网那个卡，我这里分了“local和public”，所以选public

③ 其他的不管，我们来看最重要的东西拉，Max limit ，这个东西是你限制的上限，注意的是 这里的数值是比特位，比如我要限制 下载的速度为 500K 那么就填入多少呢？ 500 X 1000 X 8=400 0000=4M。

④ 另外，很多朋友都有个疑问，到底一般的用户会有多大流量呢？一般的网络

游戏，如 梦幻西游 传奇 封神榜 等等，其下行在 20Kbps以内！ 最耗网络资源的就是下载-----我们就是为了限制它拉，其次是VOD点播，一般DVD格式的大约要 2M多吧，所以你看情况限制拉 别搞的太绝！！！

限速脚本：
:for aaa from 2 to 254 do={/queue simple add name=(queue . $aaa) dst-address=(192.168.0. . $aaa) limit-at=0/0 max-limit=2000000/2000000} 说明：
aaa是变量
2 to 254是2~254
192.168.0. . $aaa是IP
上两句加起来是192.168.0.2~192.168.0.254
connection-limit=50是线程数这里为50
max-limit=2000000/2000000是上行／下行

使用：
WinBox-System-Scripts-＋
Name(脚本名程)
Source(脚本)
OK-选择要运行的脚本-Run Script



ROS限速的极致应用

一般我们用ros限速只是使用了max-limit，其实ros限速可以更好的运用。比如我们希望客户打开网页时速度可以快一些，下载时速度可以慢一些。ros2.9就可以实现。



max-limit------我们最常用的地方，最大速度
burst-limit--------突破速度的最大值
burst-thershold--------突破速度的阀值
burst-time-------突破速度的时间值

解释一下图片的限制意义

当客户机在30秒（burst-time）内的平均值小于突破速度阀值（burst-thershold）180K时，客户机的最大下载速率可以超过最大限速值（max-limit）200K，达到突破最大值（burst-limit）400K，如果30秒内平均值大于180K，那客户机的最大速度只能达到200K。

这样也就是当我们开网页时可以得到一个更大的速度400K，长时间下载时速度只能得到200K，使我们的带宽可以更有效的利用
动态限速
ROS动态限速（检测外网总速度进行限速开关）废话不说先看脚本原理：
以下操作全部在WINBOX界面里完成https://www.sodocs.net/doc/e48930217.html,& p& A! j5 b1 ?; C4 n( z7 F
介绍：可以实现在总速度不超过9M的情况下自动关闭所有生成的限速规则在总速度超过18M的时候自动启动所有生成的限速规则。
说明：在输入脚本内容时不要把两边的（）带上，那个是为了区分非脚本字符。
总速度=你的外网网卡当前速度。
打开 /system/scripts
脚本:
:for aaa from 1 to 254 do={/queue simple add name=(ip_ . $aaa) dst-address=(192.168.0. . $aaa) interface=wan max-limit=256000/800000 burst-limit=1000000/3000000 burst-threshold=128000/512000 burst-time=30s/1m }
上面是生成限速树，对网段内所有IP的限速列表！
下面进入正题：

脚本名：node_on
脚本内容：（:for aaa from 1 to 254 do={/queue sim en [find name=(ip_ . $aaa)]}）

脚本名：node_off
脚本内容：（:for aaa from 1 to 254 do={/queue sim dis [find name=(ip_ . $aaa)]}）
scripts（脚本部分）以完成
打开 /tools/traffic monitor
新建：
名：node_18M traffic=received trigger=above on event=node_on threshold:18000000

新建：

名：node_9M traffic=received trigger=below on event=node_off threshold:9000000

在输入脚本内容时不要把两边的（）带上，那个是为了区分非脚本字符。

RO映射
ip-firewall-Destination NAT
General-In. Interface all(如果你是拨号的就选择pppoe的、固定IP选择all即可）
Dst. Address:外网IP/32
Dst. Port:要映射的端口
Protocol:tcp(如果映射反恐的就用udp)
Action action:nat
TO Dst.Addresses:你的内网IP
TO Dst.Ports:要映射的端口

ip伪装

ip-firewall-Source NAT
Action Action:masquerade(IP伪装）
回流（因为假如说在本网吧做SF需要回流）
ip-firewall-Source NAT
在general-Src.address： 192.168.0.0/24
这里特殊说明下 内网ip段 24代表定值不可修改
$ q2 T: d0 A. a1 I3 z9 j

RO的IP:mac绑定

绑定:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]
解除绑定:foreach i in=[/ip arp find ] do=[/ip arp remove $i]
完了在interfaces里面选择内网在选择reply-only

RO设置的备份（两总方法）
files-file list
backup即可（可以到你的ftp里面找）
背份资料命令行：system回车
backup回车
save name=设置文件名 回车
资料恢复命令

system回车
backup回车
load name=文件名 回车



RO禁ping

/ ip firewall rule input add protocol=icmp action=drop comment="Drop excess pings" disabled=no4
解ping
ip-firewall-filter rules
input:将其屏蔽或者删掉

关于mac地址扫描

/tool mac-scan all
VPN与ppp建立用户

在interfaces--settings-pptp server
Enabled选择 mtu1500 mru：1500
keepalive Timeout：disabledN# D# C
default Profiles： default
Authentication： 下面打上四个对号（这也代表服务器启动）
ip-pool-ip pool
pptp=192.168.0.150-192.168.0.160(此IP段为内网中没有在用的段）
pptp1=192.168.0.170-192.168.0.180(此IP段为内网中没有在用的段）
自己总结出来的，有人问，为什么要写2个ip段一个不也行吗。。。
这也是我自己的心得，我想看到这个资料的人也不是一般人。呵呵
因为在vpn连接的时候我们要给他分配一个远程的主机ip做为网关。
在本配一个本地的做为ip。所以选择了2个，往下看在
ppp-Secrets
new ppp secret
service:pptp
routes:可以添加网关（一般VPN都是默认录找网关可添可不添）


Profiles:
Local Address:在这里我添加的是pptp
Remote Address:在这里我添加的是pptp1
dns，建议最好填写：
下面有两个
use Encryption
Require Encryption
代表加密
Limits:
Tx bit Rate )用来限速的最大值
Rx bit Rate )用来限速的最小值

检查磁盘
在路由或终端模拟下用下面命令：
system
check-disk
检查磁盘，要重启。 但是很慢，一分钟一G。。。

关机
可以在WINBOX

中关机，也可以用命令关：
system
sh
即可。。。自我感觉不好使

如果有一些网页打不开，你ISP的MTU=1492，请在IP > Firewall > Mangle >
单击红加号 > Protocol选择TCP > Tcp Options 选择 sync >

Actions选择 accept >TCP MSS:1448。

ip－firewall -filter fules ，选择 ＋ 号，in interface
选择内网网卡（local），其他默认
这条路由允许来自内网的连接，如果有限制，可以修改 src address 的ip段，或者content 内容过滤

ip －》firewall －》filter chains 选中 input ，选择 drop

这条规则禁止所有的外部连接

以上两条规则，屏蔽来自外网的所有连接

一些恶意网站和广告，也可以从这里屏蔽

关于解决不能上百度的问题
把TCP MSS 1448改成1432

记录网卡MAC地址才能限制网卡上网。具体设置如下。

在防火墙里面的filter rules项选择forward然后添加一项设定也就是“＋”号，
在advanced项里面的src .mac.address项里面加入网卡的MAC地址，然后在ACTION中选择DROP项。这样子添加后，那块网卡的ip地址无论咋换，都

无法上网。除非它把网卡换了。我就是这样子作出来得，效果不错。

如果改了端口用winbox打不开了的解决方法

用SSH进入

/ip ser

/ip ser/>set www port 80

/ip ser/>set ftp port 21


解决因防火墙屏蔽来自内网的所有连接

进入后输入 /ip f ru o
可打开OUTPUT 输入 //ip f ru in
可打开INPUT
再、输入p 可看结果
按REM O（此0为数字）可删除相应0的规则
你输入/ip f set i p a 可恢复系统默认input改回accept。
或者，使用system 里面的reset 复位路由（会删除所有规则）
[admin@MikroTik] > system reset （系统自动复位清除设置并重新启动）
启用dns缓存
CODE
[admin@MikroTik] ip dns> set allow-remote-requests=yes
[admin@MikroTik] ip dns> ..
user 管理员只能在内网登陆
set 0 address=192.168.0.0/24

将规则另存为*.rsc文件，进入控制台，或者在路由器本机上，输入 import *.rsc
该规则导入完成
基本也就这些了，还有自己知道的，也说不出来的。。本人都已经测试过了。

斩断扫描ROS的黑手精典片段：
/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="Port scanners to list " disabled=no
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP FIN Stealth scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/FIN scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-l

ist address-list="port scanners" address-list-timeout=14d comment="SYN/RST scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="FIN/PSH/URG scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="ALL/ALL scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP NULL scan"
/ip firewall filter add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no


RouterOS终极提速，彻底解决ROS小包（网络游戏数据包）转发性能差的问题

以下只给有ROS基础的人看,2.9.7以上版本支持，2.9.26上调试通过
ROS终端界面直接输入即可

HTB QOS 流量质量控制

/ ip firewall mangle add chain=forward p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yes comment="" disabled=no
add chain=forward connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=yes comment="" disabled=no
add chain=forward connection-mark=!p2p_conn action=mark-packet new-packet-mark=general passthrough=yes comment="" disabled=no
add chain=forward packet-size=32-512 action=mark-packet new-packet-mark=small passthrough=yes comment="" disabled=no
add chain=forward packet-size=512-1200 action=mark-packet new-packet-mark=big passthrough=yes comment="" disabled=no
/ queue tree add name="p2p1" parent=WAN packet-mark=p2p limit-at=2000000 queue=default priority=8 max-limit=6000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="p2p2" parent=LAN packet-mark=p2p limit-at=2000000 queue=default priority=8 max-limit=6000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="ClassA" parent=LAN packet-mark="" limit-at=0 queue=default priority=8 max-limit=100000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="ClassB" parent=ClassA packet-mark="" limit-at=0 queue=default priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="Leaf1" parent=ClassA packet-mark=general limit-at=0 queue=default priority=7 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="Leaf2" parent=ClassB packet-mark=small limit-at=0 queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
add name="Leaf3" parent=ClassB packet-mark=big limit-at=0 queue=default priority=6 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no


1-8级优先级

控制，数字越小优先级越高

LAN内网接口
WAN 外网接口
SMALL 小包 32-512字节 5级优先级

BIG 大包 512-1200字节 6级优先级
general 其它包 1200-1500字节 7级优先级
P2P类 8级优先，全局限速 500KB/S下载
Leaf 子类


Ros限制网吧收银IP开网站，不限制其他
现在网上搜索限制IP的方法
/ip firewall filter add chain=forward src-address=收银机IP dst-address=!点卡网站IP action=drop comment="" disabled=no
这样就可以只能上 充值网站了.
但收银台用的万象和过滤王收费.数据是又是什么实名，那些的数据 所以这样不太实际!
结合其他老前辈的阻止的帖子 自己总结了个
首先允许收银台机器能上某个IP网站 (当然,你也可以添加多个允许的其他IP地址)
/ip firewall filter add chain=forward src-address=收银机IP dst-address=点卡网站IP protocol=tcp dst-port=80 action=accept comment="" disabled=no
然后阻止收银台机器打开其他网站的80口 (只阻止80端口,所以不必担心其他什么)
/ip firewall filter add chain=forward src-address=内网限制IP protocol=tcp dst-port=80 action=drop comment="" disabled=no

注意一定要把允许的放前面,然后再阻止!
全部ROS命令都写完了