RouteOS开局初始配置整理 V1.1

最新推荐文章于 2024-08-12 08:29:41 发布
最新推荐文章于 2024-08-12 08:29:41 发布
阅读量712 收藏
点赞数
分类专栏: RouteOS 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq948718360/article/details/109055850
版权

Update@2020.10.13 xifeng

#修改设备名称
/system identity set name=CQ

#删除默认,增加管理员账号
/user add name=user password=User@user group=full
/user remove 0

#动态Ip联网,升级系统版本
/ip dhcp-client
remove numbers=0
add interface=ether1 disabled=no

/system package update check-for-updates
/system package update install

/system> package update install
channel: stable
installed-version: 6.45.6
latest-version: 6.47.4
status: Downloaded, rebooting…

/system package update check-for-updates
channel: stable
installed-version: 6.47.4
latest-version: 6.47.4
status: System is already up to date

/system routerboard upgrade

/system routerboard print
;;; Firmware upgraded successfully, please reboot for changes to take effect!
routerboard: yes
model: 2011UiAS-2HnD
serial-number: 7315061BC1FD
firmware-type: ar9344
factory-firmware: 3.33
current-firmware: 6.45.6
upgrade-firmware: 6.47.4

/system routerboard print
routerboard: yes
model: 2011UiAS-2HnD
serial-number: 7315061BC1FD
firmware-type: ar9344
factory-firmware: 3.33
current-firmware: 6.47.4
upgrade-firmware: 6.47.4

#修改默认端口
/ip service> /ip service set telnet port=5555
/ip service set www port=1111
/ip service set winbox port=2222
/ip service set ssh port=3333
/ip service set ftp disabled=yes
/ip service set api disabled=yes
/ ip service set api-ssl disabled=yes

#增加桥方便后期配置
/int bridge add name=Brige-Wan1
/int bridge add name=Brige-Wan2
/int bridge add name=Brige-Wan3
/int bridge add name=Brige-Wan4
/int bridge add name=Brige-Lan1
/int bridge add name=Brige-Ovpn

#删除原有标记,把端口加入对应的桥里面
/interface bridge port remove numbers=0,1,2,3,4,5,6,7,8,9,10
/interface bridge port
add bridge=Brige-Lan1 interface=ether6
add bridge=Brige-Lan1 interface=ether7
add bridge=Brige-Lan1 interface=ether8
add bridge=Brige-Lan1 interface=ether9
add bridge=Brige-Lan1 interface=ether10
add bridge=Brige-Wan1 interface=ether1
add bridge=Brige-Wan2 interface=ether2
add bridge=Brige-Wan3 interface=ether3
add bridge=Brige-Wan4 interface=ether4

#删除默认IP,配置新的管理IP
/ip address remove numbers=0
/ip address add address=172.20.1.1/24 interface=Brige-Ovpn comment=“OVPN”
/ip address add address=172.20.2.1/24 interface=Brige-Lan1 comment=“LAN1”

#删除默认的防火墙规则,可以远程访问。有些版本可能没有,注意检查
/ip firewall filter remove numbers=0,1,2,3,4,5,6,7,8,9,10,11

#配置客户端DHCP上网
/ip pool remove numbers=0
/ip pool add name=lan1 ranges=172.20.2.100-172.20.2.200
/ip dhcp-server remove numbers=0
/ip dhcp-server add address-pool=lan1 disabled=no interface=Brige-Lan1 name=server1
/ip dhcp-server network add address=172.20.0.0/24 gateway=172.20.2.1

#配置DNS(可选)
/ip dns set servers=223.5.5.5

#配置动态DNS功能
/ip cloud set ddns-enabled=yes

#配置内网nat
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Brige-Wan1
add action=masquerade chain=srcnat out-interface=Brige-Wan2
add action=masquerade chain=srcnat out-interface=Brige-Wan3
add action=masquerade chain=srcnat out-interface=Brige-Wan4

#配置多线路回程路由
/ip firewall mangle
add action=mark-connection chain=prerouting in-interface=Brige-Wan1 new-connection-mark=ISP1 passthrough=yes
add action=mark-connection chain=prerouting in-interface=Brige-Wan2 new-connection-mark=ISP2 passthrough=yes
add action=mark-connection chain=prerouting in-interface=Brige-Wan3 new-connection-mark=ISP3 passthrough=yes
add action=mark-connection chain=prerouting in-interface=Brige-Wan4 new-connection-mark=ISP4 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP1 dst-address-type="" in-interface=Brige-Lan1 new-routing-mark=pcc passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP2 dst-address-type="" in-interface=Brige-Lan1 new-routing-mark=pcc passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP3 dst-address-type="" in-interface=Brige-Lan1 new-routing-mark=pcc passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP4 dst-address-type="" in-interface=Brige-Lan1 new-routing-mark=pcc passthrough=yes
add action=mark-connection chain=input in-interface=Brige-Wan1 new-connection-mark=ISP1 passthrough=yes
add action=mark-connection chain=input in-interface=Brige-Wan1 new-connection-mark=ISP2 passthrough=yes
add action=mark-connection chain=input in-interface=Brige-Wan1 new-connection-mark=ISP3 passthrough=yes
add action=mark-connection chain=input in-interface=Brige-Wan1 new-connection-mark=ISP4 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2 new-routing-mark=pcc1 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2 new-routing-mark=pcc2 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2 new-routing-mark=pcc3 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2 new-routing-mark=pc4 passthrough=yes

#配置静态路由和各线路的标记

/ip route
add distance=1 gateway=172.16.1.1
add check-gateway=ping distance=1 gateway=172.16.1.1 routing-mark=pcc1
add check-gateway=ping distance=1 gateway=172.16.2.1 routing-mark=pcc2
add check-gateway=ping distance=1 gateway=172.16.3.1 routing-mark=pcc3
add check-gateway=ping distance=1 gateway=172.16.4.1 routing-mark=pcc4

#配置简单的防火墙脚本
#标记本地DNS地址
/ip firewall address-list
add list=DNS address=8.8.8.8
add list=DNS address=8.8.4.4
add list=DNS address=114.114.114.114
add list=DNS address=223.5.5.5
add list=DNS address=223.6.6.6
add list=DNS address=210.22.84.3
add list=DNS address=210.22.70.3

标记本地安全地址
/ip firewall address-list
add list=local address=172.20.0.0/17 comment=“LAN”

#允许DNS和本地安全地址
/ip firewall filter
add chain=input action=accept src-address-list=local in-interface-list=all comment=“local safe IP”
add chain=forward action=accept src-address-list=DNS comment=“discover accpet DNS”

#拒绝端口扫描和DDOS攻击(先标记,后拒绝,也可以直接拒绝,不做记录),注意,需要绑定外网端口(默认有端口组WAN),否则容易导致本地内网被封。经过验证,有VPN的情况下不受影响。
/ip firewall filter
add chain=input action=drop connection-state=invalid comment=“drop all port no use input”
add chain=forward action=drop connection-state=invalid comment=“drop all port no use forward”
add chain=input protocol=tcp connection-limit=100,32 action=add-src-to-address-list address-list=DDOS-tcp in-interface-list=WAN address-list-timeout=1d disabled=no comment=“sign wan DDoS address table”
add chain=input action=add-src-to-address-list protocol=tcp psd=99,3s,3,1 address-list=TCP-SCAN address-list-timeout=1d in-interface-list=WAN comment=“sign wan TCP scan table”
add chain=forward action=add-dst-to-address-list protocol=udp psd=99,3s,3,1 address-list=UDP-Scan address-list-timeout=1d in-interface-list=WAN comment=“sign wan UDP scan table”
add chain=input protocol=tcp connection-limit=3,32 src-address-list=DDOS-tcp action=tarpit comment=“limit wan DDoS”
add chain=input action=drop src-address-list=TCP-SCAN comment=“deny wan TCP scan”
add chain=input action=drop src-address-list=UDP-Scan in-interface-list=WAN comment=“deny wan UDP scan”
add chain=input action=drop protocol=udp in-interface-list=WAN dst-port=53,161 comment=“deny wan DNS and SNMP”
add chain=forward src-address-type=!unicast action=drop comment=“Discard all non-unicast data”
add chain=input dst-address-type=!local action=drop comment=“drop no lan date”

#防止暴力破解。登录失败5秒禁止,超过3次限制5M

/ip firewall filter
add chain=input protocol=tcp dst-port=1111,2222,3333,4444,5555 src-address-list=login_blacklist action=drop comment=“drop login brute forcers 1” log=“yes” disabled=no
add chain=input protocol=tcp dst-port=1111,2222,3333,4444,5555 connection-state=new src-address-list=login_stage5 action=add-src-to-address-list address-list=login_blacklist address-list-timeout=5m comment=“drop login brute forcers 2” disabled=no
add chain=input protocol=tcp dst-port=1111,2222,3333,4444,5555 connection-state=new src-address-list=login_stage4 action=add-src-to-address-list address-list=login_stage5 address-list-timeout=1m comment=“drop login brute forcers 3” disabled=no
add chain=input protocol=tcp dst-port=1111,2222,3333,4444,5555 connection-state=new src-address-list=login_stage3 action=add-src-to-address-list address-list=login_stage4 address-list-timeout=10s comment=“drop login brute forcers 4” disabled=no
add chain=input protocol=tcp dst-port=1111,2222,3333,4444,5555 connection-state=new src-address-list=login_stage2 action=add-src-to-address-list address-list=login_stage3 address-list-timeout=5s comment=“drop login brute forcers 5” disabled=no
add chain=input protocol=tcp dst-port=1111,2222,3333,4444,5555 connection-state=new src-address-list=login_stage1 action=add-src-to-address-list address-list=login_stage2 address-list-timeout=5s comment=“drop login brute forcers 6” disabled=no
add chain=input protocol=tcp dst-port=1111,2222,3333,4444,5555 connection-state=new action=add-src-to-address-list address-list=login_stage1 address-list-timeout=5s comment=“drop login brute forcers 7” disabled=no

#常用端口封锁(外网21,22,80,81,443,1433,8800,8080,8081,8088等),先标记,后拒绝。
/ip firewall filter
add action=drop chain=input comment=“Port attack” src-address-list=“Port attack”
add action=add-src-to-address-list address-list=“Port attack” address-list-timeout=1w3d chain=input connection-state=new dst-port=21,22,80,443,1433,7700,8800,8080,8081,8088 log=yes log-prefix=“Port attack” protocol=tcp

#关闭默认无线,使路由器充分发挥性能
/interface wireless> set numbers=wlan1 disabled=yes

#配置图表监控,可以查看流量和CPU,内存,硬盘记录
/tool graphing set store-every=24hours
/tool graphing interface add interface=all
/tool graphing resource add

#如果外置优盘或者SD卡,可以设置日志单文本显示1万条,保存5万个文本,适用于256G SD卡

/system logging action
set 1 disk-file-count=100
add disk-file-count=50000 disk-file-name=“log SD” disk-lines-per-file=10000 name=SDfile target=disk
/system logging
set 0 action=SDfile
set 1 action=SDfile
set 2 action=SDfile
set 3 action=SDfile
add action=SDfile prefix=FW topics=firewall
add action=SDfile prefix=manager topics=manager
add action=SDfile prefix=health topics=health
add action=SDfile disabled=yes topics=debug,ovpn
add action=SDfile disabled=yes topics=ipsec

`xifeng
关注
专栏目录
路由进阶:route-policy实验配置
网络技术联盟站
11-18 1766
在R2上将RIP路由注入OSPF时,如果直接执行import-route rip命令,则R2路由表中所有的RIP路由都会被注入到OSPF,并且路由在注入OSPF后的度量值是统一的一个值,而我们的需求是要对192.168.1.0/24及192.168.2.0/24这两条路由区分对待,前者的度量值设置为10,后者设置为20,这就需要在R2执行路由重发布动作时关联一个route-policy来执行策略。序号20调用ACL2002,对满足该ACL的路由设置度量值20,同时设置外部路由类型为type2。
RouterOS 安装及配置(功能真的很强大)
weixin_33859231的博客
07-31 3376
一,硬件支持兼容的x86平台SMP – 兼容的多核心处理器和多处理器内存:最小32MB,最大支持2GB存储:IDE、SATA,、CF存储卡、USB和DOM闪存盘,最小需要64MB空间Linux v2.6内核支持的扩展槽PCI、PCI-e、PCI-X二,安装完后必配3项:ip地址,nat,指定网关,之后网络就可以通了。我的实施环境:内存 256m双网卡RouterOS 2....
正在配置远程会话_软路由Router OS系统安装初始配置
weixin_39722563的博客
12-17 799
1、软路由Router OS系统下载。2、https://mikrotik.com/download3、ARM64位这个系统是用在手机的晓龙,麒麟CPU处理器上的。我们要下载X86系统,下载这个系统就可以安装intel CPU x86平台上。下载一个X86稳定平台。下载镜像系统安装包,25.9MB不是很大。4、RouterOS系统分四个等级去卖,各等级功能如下所示:Routeros许可级...
routeos ipsec配置
weixin_33777877的博客
11-12 622
今天实验了半天,把西安-上海 点对点的IPSEC调试完成,最终测试正常。下面是方案 1.拓扑图 我们需要实现172.19.0.0/24--西安路由--219.145.57.220--互联网--116.231.52.80--上海路由–172.18.0.0/16 首先配置西安路由 1.因为LAN口和WAN口都是设置好的,这里就不写了,我们直接进入IPSEC...
RouterOS 安装与使用教程
最新发布
gitblog_00496的博客
08-12 394
RouterOS 安装与使用教程 routerosRouterOS Security Research Tooling and Proof of Concepts项目地址:https://gitcode.com/gh_mirrors/ro/routeros 1. 项目目录结构及介绍 在 https://github.com/tenable/routeros.git 中,我们找到了一个名为 rou...
MikroTik RouterOS安装后初始配置(PPPOE拨号上网)
weixin_34101784的博客
09-05 1740
1、修改登入密码 路由器默认登入账号为admin,密码为空,强烈建议修改登入密码保证安全: 2、修改接口名称 选择Interface,切换到Ethernet标签,找到状态是R(run)的两个端口。 给网口修改名称方便识别 比如我们双击ether2端口,我们发现ether2网卡MAC地址和winbox标题栏显示的MAC地址一致,说明这是连接PC的端口,我们给它改名为lan,...
Routos Nat
一个想做dba的sa
09-28 1060
最近上线的需要把内网几台机器映射到外网上去,本来打算用iptables 来做的,但是线上使用了Routeos 做的 所以进入Routeos [admin@MikroTik] > ip [admin@MikroTik] /ip> firewall [admin@MikroTik] /ip firewall> nat [admin@MikroTik] /ip firewall nat>
软路由RouterOS设置实战篇
12-28
RouterOS设置实战篇(ADSL拨号和固定IP设置) Router OS 设置 实战篇 RouteOS可以将一台普通的PC机变成一台专业的路由器,高到ISP的核心路器/认证网关—因为它功能强大稳定, 低到家庭网关防火墙—因为它免费。它可以提供以下几个主要功能: 1、Winbox 图形界面远程管理 2、telnet/serial 控制台管理 3、高级带宽管理 4、防火墙提供连接监视功能 5、以太网10/100/1000Mb/s 6、无线网络Clients和 AP 2.4GHz 11 Mb/s 7、无线网络Clients和AP 5.2GHz 54 Mb/s 8、v.35 synchronous 5Mb/s with frame-relay 9、asynch PPP/RADIUS (up to 32 ports) Cyclades with E1/T1支持 10、IP电话网关 11、热点服务用户管理系统(hotspot gateway) 更多的其他功能 下面我们就来详细介绍使用ADSL PPPOE拨号及固定ip光纤下安装设置过程. 篇
RouterOS入門到精通v6.3.11e
05-30
RouterOS入门到精通v6.3.11e.pdf 6.3.11e修改 823页 * 12.6章节,RouterOS v6 queue更新 * 3.14章节,更新cloud内容 * 3.12章节,新增CRS bonding和端口隔离介绍 * 第三章节,更名为MikroTik RB/CCR/CRS介绍 * 1.1...
route配置 vue_vue-router的使用方法及含参数的配置方法
weixin_29789925的博客
01-17 2887
htmlrouter-link:跳转链接参数to:就是跳转到的链接位置二层链接 eg:/users/evan需要配置所对应的对应的childrenchildren所对应的参数path:可分我固定的参数url 和带参数的 区别于 :(冒号)name:对应的参数的模块名称(动态传参数)component:可以传多个组件eg:{ path: '/',// a single route can defi...
routeros基础配置实验(OSPF)
de_line的博客
05-12 2460
这次的实验是从零开始配置opsf TOP图是 ROS-----13.1.1.0-----ROS-----14.1.1.0-----ROS 我在配置的时候发现我用vm安装ROS之后他们的接口mac地址都是一样这就导致我一开始直连都不通 routeros的安装我就不展示了,直接进入系统然后用winbox打开 winbox可以通过mac来连接所以安装完之后直接点连接就可以 我们先把最基础的地址写好,选择左边IP中的addresses在点击加号添加 对应的命令行是 ip address add
RouterOS电信+多ADSL负载80端口
03-15
RouterOS电信+多ADSL负载80端口
RouterOS(ROS)软路由端口映射转发回流
Hewitt的博客
08-28 1万+
端口映射又叫端口转发,端口映射是NAT地址转换的一种,端口映射就是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问外网IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。 ROS配置端口映射有两种配置方法: 第一种:无回流配置,无回流映射配置后在内网环境中无法使用外网地址访问相应服务,但外网可以打开。 第二种:有回流配置,内外网都可以访问相应服务,建议使用第二种方法设置端口映射。 本文以外网端口为33899映射到内网3389为演示举例。 一、第一种:.
【一步一步学】RouterOS升级与安装指南
介绍多个领域的专业技术知识传播,包括开发、运维、网络加速、网络代理、软路由等,有兴趣可以加V一起交流。V:fastman2024,备注:CSDN
12-22 1万+
每当官方发布新版本,有部分人就想着升级最新版本体验各种新功能,本次教大家如何尝试ROS新特性。
routeros AP配置
routeros专栏
06-02 1771
#添加一个桥。 /interface bridge add name=bridge1 protocol-mode=rstp #将设备的网口添加到桥。 /interface bridge port add interface=ether1 bridge=bridge1 /interface bridge port add interface=ether2 bridge=bridge1 ...
【一步一步学】新手如何学习RouterOS
介绍多个领域的专业技术知识传播,包括开发、运维、网络加速、网络代理、软路由等,有兴趣可以加V一起交流。V:fastman2024,备注:CSDN
04-07 1470
记住,一定要多实战、多实战、多实战。实践是提高技能的关键,不断尝试和解决问题将使您更加熟练地运用RouterOS。
【FAQ】什么是 MikroTik RouterOS?有哪些常见问题?
介绍多个领域的专业技术知识传播,包括开发、运维、网络加速、网络代理、软路由等,有兴趣可以加V一起交流。V:fastman2024,备注:CSDN
12-28 7651
RouterOS 开发和应用上不断的更新和发展,软件经历了多次更新和改进,使其功能在不断增强和完善。特别在 Wlan 无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能,其极高的性价比,受到许多网络人士的青睐。
MikroTik RouterOS上网设置
alfiy的专栏
02-13 1万+
本文是一篇关于MikroTik Routeros上网配置的示例文章,适合有一定RouterOS路由器配置基础的同学学习。 网络拓扑如下图,家用WIFI已配置并正常上网,接口地址如图所示(大家凑合着看吧,没有找到RouterOS和光猫的图标)。 ???? 在网络中,大家牢记以下观点,能够帮助你解决很多问题:一是同一子网可以直接通信。二是路由器上的接口无论是实接口还是虚接口,必须配置了IP才能互通。 1.完成RouterOS的硬件连接。 将RouterOS上的Internet接口通过网线与wifi路由器的非W
虚拟机中安装软路由RouterOS详解教程
热门推荐
仲达先生
09-27 2万+
MikroTik RouterOS是以
ROUTEos故障解决与限制带宽指南
这篇文档主要聚焦于RouterOS操作系统,也称为ROUTEos,的常见问题及其解决方法。RouterOS是由MikroTik公司开发的一种网络操作系统,常用于路由器和无线接入点设备,提供强大的网络配置和管理功能。 1. 重装ROS: 当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值