这是我学ROS时随记下的

ROS死机很可能是日志生成太快造成的，跟CISCO的Debug all一样，日志设置要谨慎
特别是防火墙的防冲击波的规则，最好不要让他长期产生日志

把TCP MMS的值设置少点。。。打开网页的速度会快点。。
还有是不要限制速度的上下限。。。

使用"/system reboot“命令重起

基本安装只包含"system"包，它包含基本IP路由和路由管理

Mikrotik充分体现了“right out of the box”，所以说，我强烈向那些需要配置Hotspots或是需要功能强大而价格低廉的路由解决方案的人们推荐Mikrotik Router OS。

带宽控制软件

主要应用
防火墙
  ISP核心路由器
  用户认证管理系统
  拨号服务器（拨入/拨出）
  高性能ADSL/宽带共享器
  流量记录（源地址，目标地址）

认证管理网关。

****Ros
CPU是越强越好，内存128就够了

****怎么用RouterOS 架设DHCP服务器****
先建地址池
ip pool
再建DHCP服务模板
ip dhcp-server

****如何封QQ****
封掉udp协议的8000端口

****如何备份ROS****
在winbox中
备份：files---backup
恢复：files---restore
reset和/file load没有本质区别
一个是载入出厂状态，
一个是载入你设定的状态
[admin@MikroTik] system backup>save导出配置文件，就是备份
[admin@MikroTik] system backup>load导入配置文件，就是恢复

****如何导出导入防火墙设置****
将设置用FTP上传到你的routeros主机，再用import导入。关于import（导入脚本）和export（导出脚本）的使用。在这里我举个例子简单说下他们的使用格式：
1.如我想导出input防火墙的设置。（在routeros主机操作export，下面的“input ”是导出的脚本文件名，生成的文件放在/files文件夹下）

/ ip firewall rule input export file=input

2.如我想导入下面附件中的forward.rsc文件。首先下载forward.rsc文件到你的内网任何一台机子上，再通过FTP上传到你routeros主机/files文件夹下，在routeros主机打入如下命令。

/import forward.rsc

********
备份：export file=(fileneme)
恢复：import

****请问怎么设置才能启用web cache****

admin@MikroTik] ip web-proxy> print
enabled: yes
address: 0.0.0.0:3128
hostname: ""
transparent-proxy: no
parent-proxy: 0.0.0.0:0
cache-administrator: "webmaster"
max-object-size: 4096 kB
max-cache-size: unlimited
status: running
reserved-for-cache: 10240 kB
[admin@MikroTik] ip web-proxy>

[admin@MikroTik] ip firewall dst-nat> print
Flags: X - disabled, I - invalid
0 src-address=192.168.0.0/32:0-65535 in-interface=8139
dst-address=!192.168.0.0/32:80 protocol=tcp icmp-options=any:any flow=""
src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0
limit-time=0s action=redirect to-dst-address=0.0.0.0 to-dst-port=3218

[admin@MikroTik] ip firewall dst-nat>

按上面设好web-proxy，在firewall dst-nat设置重定向就行了
摄制web-proxy不需要设置dst-nat就能用的，只要在客户机ie属性的连接属性中加上你的服务器ip和端口就行，与用外面的代理一样。

dst-nat是设置对外服务用的端口映射，例如在内网存在web服务器，需要从外面访问的话，就做80端口。

****屏蔽恶意网站和广告****
例如，可以加一条规则，禁止登陆新浪聊天室：
ip －>firewall －>filter Rules ， 选择 forward
选择 ＋ 号，advanced 里面content 输上 chat.sina.com ,action里面选择return，即可
如果chat.sina.com 换成 ad4.sina.com.cn ,新浪主页的广告就没有了

需要增加设置 防火墙规则，否则，安全没有保障
ip －》firewall －》filter Rules ，选择 ＋ 号，in interface 选择内网网卡（local），其他默认
这条路由允许来自内网的连接，如果有限制，可以修改 src address 的ip段，或者content 内容过滤
ip －》firewall －》filter chains 选中 input ，选择 drop
这条规则禁止所有的外部连接

内网的电脑就无访问网页
内网不能上网的电脑的DNS是192.168.0.1
将DNS的IP设为允许，就能上网了
add src-address=202.101.172.37/32 action=accept comment="" disabled=no

Rx就是接收到的；Tx就是传输出的。

#用ROUTEOS分网段上网
两个子网，不同IP段上网，只要在ROUTEOS中加一块网卡，管理那个IP段，就可以直接上网

#有没有好办法避免RouterOS的ip地址被客户机占用
RouterOS好是好,但客户机一旦使用了网关的IP就没搞了
买三层式交换机吧。呵呵。其实呢ARP欺骗的是交换机
通过MAC地址和IP地址绑定，把路由器内网的IP和网卡的MAC地址用手工进行绑定？然后通过设置内网网卡为reply-only
1、指定内网的机器为指定IP地址
2、将ROS的ARP列表里的动态ARP地址全部复制添加成静态ARP
ip->arp
3、设置内网网卡ARP属性为reply-only
interface->

#怎样更改ros的web端口？
就是进管理页面下载winbox的那个页面的端口中。
ip service> set www port=xxx

#input、forward、output的详细说明
学习一下ip table
input
output
forward才是管内外网的进出的
forward是指路由转发数据设置，即哪些包允许被路由转发

#有没有好办法避免RouterOS的ip地址被客户机占用
通过MAC地址和IP地址绑定，把路由器内网的IP和网卡的MAC地址用手工进行绑定？然后通过设置内网网卡为reply-only
1、指定内网的机器为指定IP地址
2、将ROS的ARP列表里的动态ARP地址全部复制添加成静态ARP
ip->arp
3、设置内网网卡ARP属性为reply-only
interface->

回流

怎么测试回流？？？  

内网做个WEB或FTP，用外网地址访问。

能告诉什么叫回流吗？
举个例子：
假设你的外网IP是111.111.111.111，就是你如果内网的1号机（如192.168.0.1）做了FTP服务器并映射，那么如果你用192.168.0.2这个机器访问FTP，
假设路由器支持回流，你就可以用111.111.111.111直接访问FTP，
如果不支持，那么只有用192.168.0.1访问。

关键在于：在 “IP”-“FIREWALL”，“Source NAT”选项卡里建立第一条IP伪装规则时（也就是ACTION 选择 masquerade 的这个规则），“General”里的“Src.Address”一定要输入自己内网的网址和掩码。不要用0.0.0.0/0。如我们是192.168.0.0/24。这样就可以实现环流了。

要是不成功把“out. Interface " 设成 all 就可以了！ 我就是这种情况！请多指教！

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: