网络安全与防护课程迟恩宇实训指导3.21软件防火墙配置保护主机与内部网络RouterOS1.pptVIP

第二步：添加IP 地址在/ip address 中添加IP 地址和选择网卡接口，添加内网和外围的IP 地址如图： Winbox基本操作 第三步：添加默认网关在/ip routes 里添加默认网关，开启check-gateway=ping（网关ping 监测）如图： Winbox基本操作 第四步，NAT 地址转换: 在/ip firewall nat 里点击“+”添加伪装规则： Winbox基本操作 在 NAT 里添加新的规则，在chain 里选择srcnat 链表 Winbox基本操作 在选择 action 里的action=masquerade 规则： Winbox基本操作 第五步，DNS 配置在/ip dns 的settings 中添加多个DNS服务器地址，根据需要启用DNS缓存（allow remote requests）： 到此，上述的单线上网事例就已经配置完成！ Winbox基本操作 端口映射 这里我们需要将内网的http 服务器发布到外网，内网的http 服务器IP 地8 这里需要做端口映射规则，进入ip firewall nat 里，选择chain=dstnat，我们的外网IP 地址是17 配置到dst-address，dst-port 为tcp 协议80 端口，如下图: Winbox基本操作 在 action 选择dst-nat 操作，to-address 设置内网http 服务器IP 地址，和端口80 Winbox基本操作 Arp地址绑定: 打开winbox,定位到ip-arp,如图: Winbox基本操作 打开arp list 列表,地址前面出现“D”的就是动态的，按ctrl+a选择全部的地址列表;右键列表选择Make Statik，如图： Winbox基本操作 上面操作后如图，地址前面动态显示字母“D”消失 Winbox基本操作 RouterOS限速功能与限速单位详解: 批量动态限速脚本示例: :for ip from 1 to 253 do={/queue simple add name=(No. . $ip . #“) target-address=(192.168.0. . $ip . /32) max-limit=160000/3200000 burst-limit=3200000/6400000 burst-threshold=800000/1600000 burst-time=30/30 total-queue=default \ time=8h-23h,sun,mon,tue,wed,thu,fri,sat disabled=no } # 路由内的限速单位是Kbitp/s(千比特位/秒)/8=Windows下的存储单位KByte(千字节/秒) # K代表的是个数量单位K=1000; # b(bit),bit是网速的基本单位.bps(bits per Second):每秒传输多少位数(二进制) # B(Byte),Byte是字节的意思,就是Windows的存储单位, 8Kb=1KB. # 有时在路由里看到某机器下载速度达到20Mbps,在windows下的速度显示是20Mbps/8=2.5MByte # 上面脚本中的max-limit=160000/3200000，在winbox查看的话就是1600k和3200k；WINDOWS下速度显示就是1600kbps/8=200KB和3200kbps/8=400KB。 # max-limit:表示正常的速度限制；上传/下载 # burst-limit：表示突发速度；上传/下载 # burst-threshold：表示突发速度阀值；上传/下载 # burst-time：表示突发时间阀值;上传时间/下载时间 # 其中burst-threshold的值不能大于burst-limit，设置错误的话会导致脚本实效或者路由运行不正常。 # 上面脚本中的time=8h-23h,sun,mon,tue,wed,thu,fri,sat disabled=no .表示周1到周日上午8点到晚上11点限速.其余时间不限制. Winbox基本操作 上述脚本表示： 如果客户机在30秒（burst-time）内下载速率平均值小于突发速度阀值（burst-thershold）1600K 时，客户机的最大下载速率可以超过最大限速值（max-limit）3200K，达到突发最大值（burst-limit ）6400K，如果30秒内