Router OS 使用双网卡固定IP路由上网的安装与配置

Router OS 使用双网卡固定IP路由上网的安装与配置

一、 Router OS的安装

1、 把硬盘装在IDE1主端口上

2、 将BIOS设为从光盘引导，将Router OS的光盘放入光驱，用它来引导计算机 3、 在出现的安装界面中选“i” 4、 然后会出现模块安装的选择界面，用光标移动键和空格键配合，选定“system”、

“ppp”、“advanced-tools”、“security”及“web-proxy”选项后，按“i” 5、 然后出现“Continue?[y/n]：”输入“y”

6、 又出现“Do you want to keep old configuration?[y/n]：”输入“n” 7、 系统开始自动建立分区，格式化磁盘，安装系统并安装已选定的模块组件 8、 最后出现“Press Enter to reboot”的提示时按“Enter”重新启动计算机，

Router OS安装完成

二、 Router OS的**

1、 重新启动计算机时不要取出Router OS的安装光盘 2、 在随后出现的界面中选“c”然后按“Enter” 3、 系统会自动**Router OS

4、 **完成后会出现“Reboot System Now?[y/n]：”的提示，选“y”系统将重新

启动

5、 取出Router OS的光盘，使计算机从硬盘引导Router OS的**成功

说明：硬盘必须挂在IDE1的主端口上否则**不一定会成功，这点应特别注意

三、 登录Router OS系统

1、 系统重启后出现

MikroTik Login：输入“admin“后按“Enter“ Password：直接按“Enter”系统默认的密码为空

2、 Router OS启动成功出现

[admin@MikroTik]>提示符

四、 Router OS的路由配置

1、 查计算机网卡的信息

[admin@MikroTik]>/int

[admin@MikroTik] interface>pri

2、 激活计算机中的网卡

查看后你会发现两块网卡的前面有“╳”，需要激活网卡，在Router OS2.9以上版本的系统中网卡会自动激活

[admin@MikroTik] interface>enable 0 [admin@MikroTik] interface>enable 1 [admin@MikroTik] interface>pri

输入完命令后会发现两网卡前出现“Ｒ”，证明网卡已经激活 ３、更改网卡的名称

[admin@MikroTik] interface>set 0 name=lan [admin@MikroTik] interface>set 1 name=wan [admin@MikroTik] interface>pri 发现网卡改名成功

４、设置路由器的内网ＩＰ地址及子网掩码 [admin@MikroTik] interface>／ [admin@MikroTik]>setup 出现如下提示 Your choice [Press Enter to configure ip address and gateway]： a Your choice [Press Enter to add ip address]：a Enabled interface：lan

Ip address/netmask:：192.168.0.1/24

Your choice [Press Enter to setup dafault gateway]：g Gateway：192.168.0.1 又出现

Your choice：X Your choice：X

输入两次X后完成内网IP地址及子网掩码的设置 5、设置外网的IP地址及子网掩码 [admin@MikroTik]>setup 出现如下提示 Your choice [Press Enter to configure ip address and gateway]： a Your choice [Press Enter to add ip address]：a Enabled interface：wan

Ip address/netmask:：61.54.32.108/26

Your choice [Press Enter to setup dafault gateway]：g Gateway：61.54.32.126 又出现

Your choice：X Your choice：X

输入两次X后完成外网IP地址及子网掩码的设置 6、查看IP地址的设置 [admin@MikroTik]>ip add

[admin@MikroTik] ip address>pri

说明：如果发现IP地址设置不正确，可以用remove命令删除出错的信息，例如：

[admin@MikroTik] ip address>remove 0 7、重新启动使设置生效

按“Ctrl+Alt+Del“重启Router OS 8、下载WINBOX

在内网中启动一台计算机，并将其IP地址设为与Router OS的内网IP地址在同一网段，并在IE地址栏中输入：“192.168.0.1”，在打开的网页中单击“winbox tool”下载winbox

9、利用WINBOX登录Router OS路由器

双击winbox，输入Router OS内网的IP地址，用户名中输入“admin”，密码为空，单击“connect”进行连接

10、设置外网的DNS

在打开的页面中单击“IP”-“DNS”-“Settings” 在“Primary DNS：”中输入“202.102.227.68” 在“Seconday DNS：”中输入“202.102.224.68” 单击“ok”完成设置 11、设置共享上网

单击“IP”-“firewall”-“Source NAT”

单击“+”-“Action”在列表中选“masquerade”单击“ok”

至此所有设置完成，其他电脑就可以使用Router OS路由器共享上网了 说明：（1）、对于Router OS2.9以上版本最后一步可选择以下操作：

“IP”-“firewall”-“NAT”

单击“+”-“Action”选“masquerade” （2）、若外网需绑定IP地址

“IP”-“ARP”

单击“+”在“Interface”中选“wan”输入IP地址及MAC地址，再单击“ok”即可

（3）、子网掩码的换算方法

把十进制的掩码将数字换为二进制再数一下有多少个1就行了

看了很多router os 的资料都是关于如何安装的，却很少见到关于router os的命令资料（也许因为有winbox了），虽然在router os 的手册中有说明，但是是英文版本的，很不好看懂。下面就我就写出一些常用的命令，希望对大家有所帮助：1、开机登陆以后常用的一个 ？ 是常用的帮助命令，可以列出可用的命令及简单的说明。

2、有些英文命令很长，可以简写如interface ，你输入in后回车自动就会进入interface了。或者你可以按下tab键来帮你完成长英文命令的输入。

3、有些命令的参数很多，你不知道的时候可以输入命令后加空格 ？，如print ？ 可以显示该命令的参数。

4、setup 该命令可是谁都要记得的，因为最初安装完router os 必须用它分配网卡的ip地址。

5、ip route add gate=211.12.*.14，220.163.*.12 该命令用于多线路接入时加入多个网关用的。

6、ip firewall add action=nat protocol=tcp dst-address=212.12.*.*/32：80 to-dst-address=192.168.0.198 该命令用于映射端口80到本地的192.168.0.198上。 7、print 该命令有点用于列出所有的项目。

8、interface monitor-traffice 0，1，2 可以监视当前0，1，2网卡的活动情况。 9、ip firewall connection print 显示当前的所有的连接。

10、ip arp print 显示所有router os 知道的ip地址和mac地址的对应列表。

11、user active print 显示所有的router os 的活动用户。 12、system reboot 、system shutdown分别是重启和关机。

13、system reset 删除所有原来的配置，并重新启动router os. 14、system resource monitor 可以监视当前的cpu，和内存的使用情况。

15、log print 可以显示router os 的日志。

16、tool ping-speed 210.13.14.* 可以显示ping 的速度。

17、tool sniffer start，和tool sniffer stop 可以开启和停止嗅探器。 18、tool sniffer packet print 可列出嗅探的包。

19 、system backup name=2004107.bak 可以将系统的配置备份到文件2004107.bak，可以用file print看到。

还有什么enable，disable，remove，set 那些常用的就不说了。

以上是我用了router os接入两个光纤后，常使用的一些命令，发现router os 真是个好东西，所以忍不住写出来，为router os 宣传一下。有很多不成熟的东西，希望大家多原谅。

具我观察我没设置什么负载均衡，但是两个光纤基本上是收发的包是均衡的，而且很稳定。

RouterOS 2.9防火墙设置

/ ip firewall connection tracking

set enabled=yes tcp-syn-sent-timeout=1m tcp-syn-received-timeout=1m \\ tcp-established-timeout=1d tcp-fin-wait-timeout=10s \\ tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \\

tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \\ udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m / ip firewall filter

add chain=input protocol=tcp dst-port=135-139 action=drop add chain=input protocol=udp dst-port=135-139 action=drop add chain=input connection-state=established action=accept add chain=input connection-state=related action=accept

add chain=input src-address=127.0.0.1 dst-address=127.0.0.1 action=accept add chain=input connection-state=invalid action=drop add chain=input dst-address-type=!local action=drop add chain=input src-address-type=!unicast action=drop add chain=input protocol=tcp psd=21,3s,3,1 action=drop add chain=input protocol=tcp connection-limit=10,32 action=add-src-to-address-list address-list=black_list address-list-timeout=1d

add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit

add chain=input protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept add chain=input protocol=icmp icmp-options=3:3 limit=5,5 action=accept add chain=input protocol=icmp icmp-options=3:4 limit=5,5 action=accept add chain=input protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept add chain=input protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept add chain=output protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept add chain=output protocol=icmp icmp-options=3:3 limit=5,5 action=accept add chain=output protocol=icmp icmp-options=3:4 limit=5,5 action=accept add chain=output protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept add chain=output protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept add chain=forward protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept add chain=forward protocol=icmp icmp-options=3:3 limit=5,5 action=accept add chain=forward protocol=icmp icmp-options=3:4 limit=5,5 action=accept add chain=forward protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept add chain=forward protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept add chain=input protocol=icmp action=drop add chain=output protocol=icmp action=drop add chain=forward protocol=icmp action=drop

/ ip firewall service-port set ftp ports=21 disabled=no set tftp ports=69 disabled=no set irc ports=6667 disabled=no set h323 disabled=no set quake3 disabled=no set mms disabled=no set gre disabled=no set pptp disabled=no /ip firewall mangle

add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1440 说明:

/ ip firewall connection tracking

set enabled=yes tcp-syn-sent-timeout=1m tcp-syn-received-timeout=1m \\ tcp-established-timeout=1d tcp-fin-wait-timeout=10s \\ tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \\

tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \\ udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m # + 防火墙部分 +# / ip firewall filter

# 关135-139端口 不用多说了

add chain=input protocol=tcp dst-port=135-139 action=drop comment=\add chain=input protocol=udp dst-port=135-139 action=drop

# + 对本机数据包相关 +# # 允许已建立的连接

add chain=input connection-state=established action=accept comment=\add chain=input connection-state=related action=accept # 允许本机对本机

add chain=input src-address=127.0.0.1 dst-address=127.0.0.1 action=accept # 丢弃明显异常包

add chain=input connection-state=invalid action=drop # 丢弃目标非本机的包

add chain=input dst-address-type=!local action=drop # 丢弃多播包

add chain=input src-address-type=!unicast action=drop # + 安全相关 +#

# 在短时间内从同一地址用不断变化的端口向本机发送大量数据包,视为端口扫描 add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=\

# 短时间内同时建立大量TCP连接(超过10),视为DoS拒绝服务攻击,进黑名单一天! add chain=input protocol=tcp connection-limit=10,32 action=add-src-to-address-list address-list=black_list

address-list-timeout=1d disabled=no # 黑名单上的只能建立3个并发连接,tarpit

add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit disabled=no

# + ICMP相关 +#

# 允许常见命令ping tracert,其它ICMP丢弃

add chain=input protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept add chain=input protocol=icmp icmp-options=3:3 limit=5,5 action=accept add chain=input protocol=icmp icmp-options=3:4 limit=5,5 action=accept add chain=input protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept add chain=input protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept add chain=output protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept add chain=output protocol=icmp icmp-options=3:3 limit=5,5 action=accept add chain=output protocol=icmp icmp-options=3:4 limit=5,5 action=accept add chain=output protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept add chain=output protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept add chain=forward protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept add chain=forward protocol=icmp icmp-options=3:3 limit=5,5 action=accept add chain=forward protocol=icmp icmp-options=3:4 limit=5,5 action=accept add chain=forward protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept add chain=forward protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept add chain=input protocol=icmp action=drop add chain=output protocol=icmp action=drop add chain=forward protocol=icmp action=drop

/ ip firewall service-port set ftp ports=21 disabled=no set tftp ports=69 disabled=no set irc ports=6667 disabled=no set h323 disabled=no set quake3 disabled=no set mms disabled=no set gre disabled=no set pptp disabled=no # + MMS值 +

# 对于光纤接入的没多大关系，但对于ADSL如果某些网页打不开，可以修改一下. /ip firewall mangle

add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1440

本文来源：https://www.bwwdw.com/article/5f23.html