当前位置: 首页 > 工具软件 > RouterOS > 使用案例 >

RouterOS常用命令及方法

申黎明
2023-12-01

常用命令

/sy reset 恢复路由原始状态
/sy reboot 重启路由/sy showdown 关机
/sy ide set name=机器名 设置机器名
/export 查看配置
/ip export 查看IP配置
/sy backup 回车
save name=你要设置文件名 备份路由
LOAD NAME=你要设置文件名 恢复备份
/interface print 查看网卡状态
0 X ether1 ether 1500 这个是网卡没有开启
0 R ether1 ether 1500 这个是正常状态
/int en 0 激活0网卡
/int di 0 禁掉0网卡
/ip fir con print 查看当前所有网络边接
/ip service set www port=81 改变www服务端口为81
/ip hotspot user add name=user1 password=1 增加用户

1、配置网卡接口IP地址


[admin@MikroTik] > ip address add address=192.168.10.254/24 interface=ether1       #设置外网(第一块网卡)
[admin@MikroTik] > ip address add address=192.168.20.254/24 interface=ether2       #设置内网(第二块网卡)
[admin@MikroTik] > ip address print                           #显示IP地址

2、配置默认路由


[admin@MikroTik] > ip route add dst-address=0.0.0.0/0 gateway=192.168.10.1          #设置默认路由
[admin@MikroTik] > ip route print                             #查看路由情况

3、配置DHCP服务


[admin@MikroTik] > ip dhcp-server setup
Select interface to run DHCP server on
dhcp server interface: ether2                              #选择DHCP服务运行网络接口
Select network for DHCP addresses
dhcp address space: 192.168.20.0/24                         #选择DHCP网线地址段
Select gateway for given network
gateway for dhcp network: 192.168.20.254                      #设置网关地址
Select pool of ip addresses given out by DHCP server
addresses to give out: 192.168.20.100-192.168.20.200                 #设置DHCP地址池
Select DNS servers
dns servers: 202.96.128.86                               #设置DNS
Select lease time
lease time: 3d                                      #设置租约时间

4、设置DNS


[admin@MikroTik] > ip dns set servers=202.96.128.86,202.96.128.166                    #设置主DNS和备DNS
[admin@MikroTik] > ip dns print                                                       #查看DNS

各种方法

一、限速脚本


[admin@MikroTik] > :for wbsz from 1 to 254 do={/queue simple add name=(wbsz . $wbsz) dst-address=(192.168.0. . $wbsz) limit-at=1024K/1024K max-limit=1024K/1024K}

二、限制每台机最大线程数


[admin@MikroTik] > :for wbsz from 1 to 254 do={/ip firewall filter add chain=forward src-address=(192.168.0. . $wbsz) protocol=tcp connection-limit=50,32 action=drop}

三、端口映射


[admin@MikroTik] > / ip firewall nat add chain=dstnat dst-address=(202.96.134.134) protocol=tcp dst-port=80 to-addresses=(192.168.0.1) to-ports=80 action=dst-nat

四、封端口号


[admin@MikroTik] > / ip firewall filter
ad ch forward pr tcp dst-po 8000 act drop comment="Blockade QQ"

五、更变telnet服务端口


[admin@MikroTik] > / ip service set telnet port=23

六、更变SSH管理服务端口


[admin@MikroTik] > / ip service set ssh port=22

七、更变www服务端口号


[admin@MikroTik] > ip service set www port=80

八、更变FTP服务端口号


[admin@MikroTik] > / ip service set ftp port=21

九、增加本ROS管理用户


[admin@MikroTik] > / user add name=wbsz password=admin group=full

十、删除限速脚本


[admin@MikroTik] > :for wbsz from 1 to 254 do={/queue simple remove (wbsz . $wbsz) }

十一、封IP脚步本


[admin@MikroTik] > / ip firewall filter
add chain=forward dst-address=58.60.13.38/32 action=drop comment="Blockade QQ"

十二、禁P2P脚本


[admin@MikroTik] > ip firewall filter
add chain=forward src-address=192.168.0.0/24 p2p=all-p2p action=drop comment="No P2P"

十三、限制每台机最大的TCP线程数(线程数=60)


[admin@MikroTik] > / ip firewall filter
add chain=forward protocol=tcp connection-limit=60,32 action=drop \
disabled=no

十四、一次性绑定所有在线机器MAC


[admin@MikroTik] > :foreach wbsz in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$wbsz]

十五、解除所以绑定的MAC


[admin@MikroTik] > :foreach wbsz in [/ip arp find] do={/ip arp remove $wbsz}

十六、禁Ping


[admin@MikroTik] > / ip firewall filter
add chain=output protocol=icmp action=drop comment="No Ping"

十七、禁电驴


[admin@MikroTik] > / ip firewall filter
add chain=forward protocol=tcp dst-port=4661-4662 action=drop comment="No Emule"
add chain=forward protocol=tcp dst-port=4242 action=drop
add chain=forward dst-address=62.241.53.15 action=drop

十八、禁PPLIVE


[admin@MikroTik] > / ip firewall filter
add chain=forward protocol=tcp dst-port=8008 action=drop comment="No PPlive TV"
add chain=forward protocol=udp dst-port=4004 action=drop
add chain=forward dst-address=218.108.237.11 action=drop

十九、禁QQ直播


[admin@MikroTik] > / ip firewall filter
add chain=forward protocol=udp dst-port=13000-14000 action=drop comment="No QQLive"

二十、禁比特精灵


[admin@MikroTik] > / ip firewall filter
add chain=forward protocol=tcp dst-port=16881 action=drop comment="No BitSpirit"

二十一、禁QQ聊天(没事不要用)


[admin@MikroTik] > / ip firewall filter
add chain=forward src-address=10.5.6.7/32 action=accept comment="No Tencent QQ"
ad ch forward pr tcp dst-po 8000 act drop
ad ch forward pr udp dst-po 8000 act drop
ad ch forward pr udp dst-po 8000 act drop
add chain=forward dst-address=61.144.238.0/24 action=drop
add chain=forward dst-address=61.152.100.0/24 action=drop
add chain=forward dst-address=61.141.194.0/24 action=drop
add chain=forward dst-address=202.96.170.163/32 action=drop
add chain=forward dst-address=202.104.129.0/24 action=drop
add chain=forward dst-address=202.104.193.20/32 action=drop
add chain=forward dst-address=202.104.193.11/32 action=drop
add chain=forward dst-address=202.104.193.12/32 action=drop
add chain=forward dst-address=218.17.209.23/32 action=drop
add chain=forward dst-address=218.18.95.153/32 action=drop
add chain=forward dst-address=218.18.95.165/32 action=drop
add chain=forward dst-address=218.18.95.220/32 action=drop
add chain=forward dst-address=218.85.138.70/32 action=drop
add chain=forward dst-address=219.133.38.0/24 action=drop
add chain=forward dst-address=219.133.49.0/24 action=drop
add chain=forward dst-address=220.133.40.0/24 action=drop
add chain=forward content=sz.tencent action=reject
add chain=forward content=sz2.tencent action=reject
add chain=forward content=sz3.tencent action=reject
add chain=forward content=sz4.tencent action=reject
add chain=forward content=sz5.tencent action=reject
add chain=forward content=sz6.tencent action=reject
add chain=forward content=sz7.tencent action=reject
add chain=forward content=sz8.tencent action=rejec
add chain=forward content=sz9.tencent action=rejec
add chain=forward content=tcpconn.tencent action=reject
add chain=forward content=tcpconn2.tencent action=reject
add chain=forward content=tcpconn3.tencent action=reject
add chain=forward content=tcpconn4.tencent action=reject
add chain=forward content=tcpconn5.tencent action=reject
add chain=forward content=tcpconn6.tencent action=reject
add chain=forward content=tcpconn7.tencent action=reject
add chain=forward content=tcpconn8.tencent action=reject
add chain=forward content=qq action=reject
add chain=forward content=www.qq action=reject

二十二、防止灰鸽子入浸


[admin@MikroTik] > / ip firewall filter
add chain=forward protocol=tcp dst-port=1999 action=drop comment="Backdoor.GrayBird.ad"
add chain=forward dst-address=80.190.240.125 action=drop
add chain=forward dst-address=203.209.245.168 action=drop
add chain=forward dst-address=210.192.122.106 action=drop
add chain=forward dst-address=218.30.88.43 action=drop
add chain=forward dst-address=219.238.233.110 action=drop
add chain=forward dst-address=222.186.8.88 action=drop
add chain=forward dst-address=124.42.125.37 action=drop
add chain=forward dst-address=210.192.122.107 action=drop
add chain=forward dst-address=61.147.118.198 action=drop
add chain=forward dst-address=219.238.233.11 action=drop

二十三、防三波


[admin@MikroTik] > / ip firewall filter
add chain=forward protocol=tcp dst-port=135-139 action=drop comment="No 3B"

预防网络尖兵搜索,华为MT800关闭SNMP(161)端口的简单方法 大 | 中 | 小 [ 2006/12/18 21:21 | by spring]
预防网络尖兵搜索,华为MT800关闭SNMP(161)端口的简单方法
前些天电信工作人员上门,说发现我们有5台电脑共享上网,要求我们将上网用途改成企业用户,当然其主要目的是要收钱了!经过N天的网上搜寻,发现一贴终于将我的ADSL(MT800)的SNMP端口(161)成功关闭,这样电信就不可能知道我到底有几台电脑了,呵呵,喜悦之心不敢独享。
以下是关闭SNMP端口的方法
华为的MT800默认是开了SNMP(161端口)的,
使用telnet登陆MODEM,执行:
$modify snmp trap disable
$delete snmp comm community private
$delete snmp comm community public
$commit
我是用SoftPerfect Network Scanner进入telnet登陆MODEM的

扫描检查
最后用X-scan进行扫描,用上面的软件也可以扫描到SNMP端口到底是否关闭。
Viking ADSL Modem配置管理程序:http://blog.xasanzi.com/bo-blog/attachment/1166448601_0.rar
MT800固件V100R006C01B010SP06:http://blog.xasanzi.com/bo-blog/attachment/1166448623_0.rar
spring 2006/12/18 21:28
MT800固件下载地址: http://www.chinadsl.net/adsl/vikingII/huawei/V100R006C01B010SP06.rar 解压密码:chinadsl.net 默认IP:192.168.1.1 用户名:admin 密码:admin 本固件是华为7月5日发布的MT800固件 软件版本:V100R006C01B010SP06 DSL版本号:Y.1.28.150/2.1.050224e
第二步 用Viking ADSL Modem配置管理程序,将MT800的配置程序读出。然后用写字板打开commitedcfg.cfg,在create ipf rule entry ruleid 1009 dir in act accept destaddr bcast seclevel high下一行加入create ipf rule entry ruleid 161 dir in act accept destaddr bcast seclevel high将161端禁止。然后保存,
再用Viking ADSL Modem配置管理程序将修改好的CFG文件写入。重起猫即可 PS:Viking ADSL Modem配置管理程序 点击浏览该文件 第三步 修改电脑防火墙禁止SNMP 我在以上的贴子中讲过 自己去看 搞掂 收工
spring 2006/12/18 21:24
一.打开Modem的防护墙:点击服务-防火墙-将攻击保护和DOS保护由禁止改为许可
注意:有的版本没有防火墙选项。
二.更改端口:点击管理-端口设置-将现有HTTP,Telnet,FTP端口加上61000,变为61080,61023,61021。或者更改为其它的端口号。让扫描软件不能轻易扫描到即可。
上面两种方式请尽量都做。然后点击管理-保存和重启-保存配置。
注意:更改后的端口号要记住,以后访问Modem的配置页面使用

二十四、修改PPPOE拨号MSS

# 具体的MSS测试后确定
/ip firewall mangle
add action=change-mss chain=forward comment="Change MSS" disabled=yes new-mss=1440 passthrough=yes protocol=tcp tcp-flags=syn

二十五、设置IP伪装(上网关键步骤)


/ip firewall nat
add action=masquerade chain=srcnat

二十六、设置DNS缓存


# 223.5.5.5和223.6.6.6为alibaba公共dns
# 8.8.8.8为google公共dns
/ip dns set allow-remote-requests=yes max-udp-packet-size=1024 servers=223.5.5.5,223.6.6.6,8.8.8.8

二十七、PCQ限速(适用于7.xxx版本)

**方法1(标记上下行)**
# 给上下行数据包打标签
# down-mark 下行标签,in-interface=wan1,为外网接口
# up-mark 上行标签,in-interface=lan,为内网接口
/ip firewall mangle
add action=mark-packet chain=prerouting comment=down in-interface=wan1 new-packet-mark=down-mark passthrough=yes
add action=mark-packet chain=prerouting comment=up in-interface=lan new-packet-mark=up-mark passthrough=yes

# 添加queue type
# pcq-down为下行,限速40M,pcq-classifier=src-port为可选,不勾选也生效
# pcq-up为上行,限速20M,pcq-classifier=dst-port为可选,不勾选也生效
/queue type
add kind=pcq name=pcq-down pcq-rate=40M
add kind=pcq name=pcq-up pcq-rate=20M

# 添加queue tree
# pcq-down为下载,parent=global,mark选down-mark
# pcq-down为下载,parent=blobal,mark选up-mark
/queue tree
add name=pcq-down packet-mark=down-mark parent=global queue=pcq-down
add name=pcq-up packet-mark=up-mark parent=global queue=pcq-up


**方法2(标记接口)**
# 给所有数据包打all-mark标签
/ip firewall mangle
add action=mark-packet chain=prerouting comment=global new-packet-mark=all-mark passthrough=yes

# 添加queue type
# pcq-down为下行,限速40M,pcq-classifier=src-port为可选,不勾选也生效
# pcq-up为上行,限速20M,pcq-classifier=dst-port为可选,不勾选也生效
/queue type
add kind=pcq name=pcq-down pcq-classifier=src-port pcq-rate=40M
add kind=pcq name=pcq-up pcq-classifier=dst-port pcq-rate=20M

# 添加queue tree
# pcq-down为下载,parent=lan,为内网网卡名称,做了bridge则为bridge名称
# pcq-down为下载,parent=wan1,为外网网卡名称
/queue tree
add name=pcq-down packet-mark=all-mark parent=lan queue=pcq-down
add name=pcq-up packet-mark=all-mark parent=wan1 queue=pcq-up
 类似资料: