网吧ROS需要设置一些东西

网吧ROS需要设置一些东西 (2008-06-02 16:32:06)
标签：爱在中国行 action ip add to p2p 杂谈   分类：网络技术

          网吧ROS需要设置的东东

禁止PING"
                     / ip firewall filter add chain=output protocol=icmp action=drop comment="No Ping"

"禁止P2P"
/ ip firewall filter
add chain=forward protocol=tcp dst-port=4661-4662 action=drop comment="No Emule"
add chain=forward protocol=tcp dst-port=4242 action=drop
add chain=forward dst-address=62.241.53.15 action=drop

"禁止三波"

/ip firewall filter

add chain=forward protocol=tcp dst-port=135-139 action=drop comment="no san bu"

"封某个端口号"(这里比如说封80端和21端口吧)

/ ip firewall filter add chain=forward protocol=tcp dst-port=21 action=drop comment="NO FTP"
/ ip firewall filter add chain=forward protocol=tcp dst-port=80 action=drop comment="NO WEB"

"封某些特定的IP地址或IP地址段"(这里比如说218.28.186.177/32 和211.67.150.0/24)
/ ip firewall filter add chain=forward dst-address=218.28.186.177/32 action=drop comment="wangba"
/ ip firewall filter add chain=forward dst-address=211.67.150.0/24 action=drop comment="mother xiao"

端口影射(这里我是用作把网吧的一全电影服务服务器及FTP服务器影射出去便于外部访问)

/ ip firewall nat add chain-dstnat dst-address=(218.28.186.177) protocol=tcp dst-port=80 to-address=
(192.168.0.254) to-ports=80 action=dst-nat comment="WEB SERVER"
/ ip firewall nat add chain-dstnat dst-address=(218.28.186.177) protocol=tcp dst-port=21 to-address=
(192.168.0.253) to-ports=80 action=dst-nat comment="FTP SERVER"

封某个域名(网吧和单位都是有可能经常用的呀,比如说BAIDU.GOOGLE)
/ ip firewall filter
add chain=forward content=www.baidu.com action=reject comment="baidu"
/ ip firewall filter
add chain=forward content=www.google.cn action=reject commnet="google"

限制每台机器的NAT数量,有些地方说这是限程我认为用NAT数量最为好(比如网吧有一百台,我让每台机器最多可以建立50NAT连接)
:for computer from 1 to 253 do={/ip firewall filter add chain=forward src-address=(192.168.0..&computer)
protocol=tcp connection-linmit=50.32 action=drop}

网站转向功能的使用,这些东西可能大家都感觉着没有什么用处,可是他的用是大大的有呀,比如单位领导规定,下面业务员用机器只能看我们特定的及于B/S模式的ERP系统,但是ERP服务器又在总公司,那么部分重要领导要看网页,查资料,那么如何来实现呢?看一下命令

/ ip firewall nat add chain=dstnat src-address=192.168.0.1-253 protocol=tcp dst-port=80 action=dst-nat to address=218.28.186.177 to-ports=80 disables=no commnet="80 to ERP"

用户的管理:(大家在建ROS时,可能做好以后ROS的管理员密码我们就不归我们管了,但是出现问题以后我们又不得不去处理,还有你做了ROS,要让朋友看一下,当然了,这个朋友不是太熟,那么怎么办,这就需要给他分级建立一定的用户了,当然这些用户没有在正儿八经的LINUX分级分得那么细,但这些就足够我们用了.

/ user add name=liadmin password=liadmin group=full address=0.0.0.0/0 comment="admin"
/ user add name=chuanmin password=chuanmin group=full address=192.168.0.51/32 comment="zhuan young"

正向大家看到的那样我建立了两个管理员帐户,但他们有区别的一个是允许192.168.0.51这个IP地址可以用这个用户名登录,其他IP地址不能登录(这个IP地址是我用的,哈哈)
/ user add name=laowu password=laowu group=write address=0.0.0.0/0 comment="xie"
/ user add name=laoli password=laoli group=read address=0.0.0.0/0 commnet="read"

这两个大家看到了吧,这是一个写,一个只读的权限的两个用户

防止P2P软件下载东西占用网络资源这个在公司里面及网吧里面用的也是多较多的,比如说在公司经常用人在上班期间下一些电影电视连接剧,一个人下也就无所谓了,关键是好多人都有这爱好,没有办法只有禁P2P软件下载了,在网吧更是:费话少说言归正传,看命令(我用的是192.168.0.0/24网段的)

/ ip firewall filter
add chain=foreard src-address=192.168.0.0/24 p2p=all-p2p action=drop comment="Disable P2P"

关闭系统服务包括FTP,TELNET.关闭SSH,关闭WWW服务等(这些东西有时确实对我们来说没有太多的用处,比如说这个WWW.服务吧,我们用这个干什么,进行ROS的配置,也不太好,SSH我们一般都在内网进行配置,那么也就没有必要了,所以说针对这种情况,我建议全部给禁用了.)
/ ip service disable ftp
/ ip service disable www
/ ip service disable ssh
/ ip service disable telnet

批理绑定所有机器ARP,这个东西在网吧用处是比较大.具体做法,下面所有机器IP,计算机名都改好,等等,这时一定不要忙着让网管及客户都做上玩,这样如果一旦有机器这时种了ARP病毒及不是前功尽弃啦,与其这样还不好我们一个一个的绑定呢

:foreach computer in=[/ ip arp find dynameic=yes] do=[/ip arp add copy-from=$computer]

备份ROS路由器的设置,这个是非常有必要的,因为一旦路由器出现问题,那将会对网吧和单位是一个很大的打击,这是其中的一个应用,还有就是我们想实验某一个新东西的时,也需要这个,因为一旦我们的配置影向到我们的路由器,我们可以在第一时间内恢复.其他的也不多说,看命令:

/ system backup save name=baK

恢复路由器的设置,当然了,出现问题以后我们就要恢复了,下面看恢复代码

/ system backup load name=bak

更改TELNET端口号,这个也是有必要的,因为这样更安全

 

 

/ ip service set telnet port=21213

本文出自 51CTO.COM技术博客

转载于:https://blog.51cto.com/1680902/325193