在有固定ip的情况下,NAT转发效率比masquerade高效,尤其当带机量足够多时,NAT优势十分明显,如果是双线或多线用户,更可利用NAT方式分载到不同的内网机器。因masquerade设置起来更简单,所以很少有人谈及NAT转发。其实NAT设置并不复杂,实际应用中也会更灵活。

假如有两条线路,电信接入的网卡名为TEL,网通接入的网卡为CNC,内网分配的IP为192.168.0.0/23

/ ip firewall nat
add chain=srcnat action=src-nat to-addresses=网通线路IP to-ports=0-65535     out-interface=cnc src-address=192.168.0.0/24 comment="" disabled=no

这里,内网92.168.0.0的498个ip可网通转发出去。网通线路IP输入自己的外网ip,out-interface也得根据自己的接网通外网的网卡命名

如果是双线,只要做两个NET就可以了,一个电信,一个网通!


举一反三,假设有两条相同的网通或者多条线路,想做分流的话,同样简单高效,只需将src-address下的某个内网段指定给某个外网,如下:

/ ip firewall nat

chain=srcnat action=src-nat to-addresses=网通线路1号IP to-ports=0-65535     out-interface=cnc1 src-address=192.168.0.0/25 comment="" disabled=no


add chain=srcnat action=src-nat to-addresses=网通线路2号IP to-ports=0-65535     out-interface=cnc2 src-address=192.168.0.128/25 comment="" disabled=no

这样,线路1号带192.168.0.1-192.168.0.126这个段的128台电脑。线路2号带192.168.0.129-192.168.0.254电脑。如果有更多线路,也可以此类推划分更详细分配方案

如果采用了NET的转发方式,如果射映端口是要做回流的
ip fir net 增加
chain srcnet
src add 内网段
action 动作里
ACT src net
to add 外网IP (射映端口走外网的IP)
to por 0-65535

用上此方法,适合200台以上的网吧,用了效果绝对要比masquerade好。

 

ROS自动删除无效的连接

ROS 里TCP-STATE Close 状态过多,会出现网页打不开之类的现象,原因是ROS里TCP-STATE 连接状态默认时间是一天,这样要等24小时候ROS才会关掉这个连接,这个可以在Tracking 里把连接时间设置小一点,但是会有点副作用。最好的办法是用脚本定时清除。
1、在ROS的 SYSTEM 下的 Scripts 里建一个脚本
2、在ROS的 SYSTEM 下的 Scheduler 里建一个任务,时间设成一分钟执行一次脚本就差不多了。

2.9x 脚本如下:

/ip fir con remove [/ip fir con find tcp-state=close]

3.x 脚本如下:

/ip fir con remove [/ip fir con find tcp-state="close"]


/ system scheduler add name="del_close" on-event="/ip firewall connection remove \[/ip firewall connection find tcp-state=close\]" start-date=jan/01/1970 \start-time=00:00:00 interval=1m comment="" disabled=no