ros內容過濾

㈠ ROS有過濾MAC地址的功能嗎想TP-link那樣，只允許指定的MAC地址上網

你在路由器管理界抄面就能看到連接到路由器的MAC地址的，除非你不是管理員。
只允許制定MAC地址上網的方式，是一些路由器基本上都具有的功能。ROS的話，你用一些比較專業的版本，都會有硬體路由器具有的功能，ROS的話，是可以看到路由器下所有在線連接PC的MAC地址。所以，你要封MAC的話，理論上是可以實現的，但是如果不是管理員的話，別人更改一下MAC地址，還是可以逃脫你的封殺的。建議，是先獲取所有PC的MAC地址，然後手動添加以後，再去封殺你要封殺的MAC地址，就可以禁止對方上網了。

㈡ ros3.2網橋模式下如何實現過網址過濾

你可以做以下嘗試：
在CMD下面PING www..com，看能出來IP地址回么
如果能出來那麼可能是別答的問題，如果不能出來IP地址，那麼請將DNS的IP添加到ACCEPT裡面在限制訪問互聯網這條規則的前面

㈢ ros 防火牆 規則優先權

ROS防火牆的順序是從上至下的順序來執行的。
其中有jump例外，你可以理解版成 goto（跳轉），就是權符合jump執行條件的折先跳轉到jump target描述的chain執行，執行完畢返回並執行原jump的下一條規則。

㈣ ROS 路由器問題

ROS安裝的時候你點了PPPOE沒有?裝了後在INTERNETFACE裡面的+會有出現PPPOE選項的.進入「WINBOX」-----Interfaces-----點「+」--選擇「PPPOE-CLIENT」在General這一項里只需要設置一下Interface:wan(連接ADSL的網卡)；再設置下一項「Dial Out」這一項設置：User:(填你的ADSL用戶名)，Password:(密碼填上)，將 Add Default Route ,Use Peer DNS這兩項給勾上；這里的東西就設置好了。之後還需要在 ip firewall mangle中添加一條規則：點「+」號，GeneraL選項卡中 Chain:forward,protocol:tcp;Advanced選項卡中 TCP Flags:SYN;然後設置ACTION選項卡 Action:change MSS,New TCP MSS:1440。
最後設置一下IP偽裝就OK了。在ACTION里直接選擇：masquerade，其他的都不要設置

RouterOS簡單使用說明

看到很多人在問，簡單說說吧，以通常的固定ip的為例：
1）安裝－－9塊盤，注意硬碟內容會被刪除！還有，機器內存不能小於24 M
安裝過程中提示注冊，注意注冊碼的大小寫
2）啟動後，使用admin 密碼為空，進入
3）設第一塊網卡的ip：
在提示付下輸入setup命令，如果你的網卡是PCI的，會提示你設置ether1（就是第一塊網卡），輸入ipaddress(ip地址)：192.168.0.1、netmask(子網掩碼)：255.255.255.0、gateway：192.168.0.254、network：192.168.0.0、broadcast：192.168.0.255。默認直接回車就行了。
4）從windows端機器，ip設成192.168.0.x ，在ie 地址欄輸上192.168.0.1
出現routeos 的歡迎畫面。點擊，提示下載winbox ，保存
如果不能連接，就把網線連接到另外一塊網卡
5）運行winbox 輸上192.168.0.1 用戶名admin 密碼
不輸，選連接。會出現路由的管理界面。如果你的機器上使用網路防火牆，這里需要關閉或者修改規則
6啟用網卡：點擊interface ，點擊第二塊卡，選擇對號，啟用（顏色不是虛的了）
7）設置地址：ip －－》address ，選擇＋號，輸入第二塊卡的ip地址（isp給你的）
為了便於管理，最好從這里把兩塊卡的別名，改成public 和local
，另外，這里支持一個網卡多個ip，如果因為管理需要，你可以這樣設
8）增加靜態路由：ip－－》routes 選擇＋號，選中gateway，輸上網關地址
在這里，destination 可以使用默認0.0.0.0
，表示路由所有的地址，也可以根據你的需要，只對你指定的ip范圍路由。靜態路由可以有多條，比如可以分別指定多個ip段，達到管理的目的
9）設置NAT共享上網：ip －－》firewall －source nat ，選擇＋號，選擇action，action裡面選擇
masquerade ，其餘選擇默認即可
至此，共享上網就完成了
剩下的，需要增加設置防火牆規則，否則，安全沒有保障
ip －》firewall －》filter fules ，選擇＋號，in interface 選擇內網網卡（local），其他默認
這條路由允許來自內網的連接，如果有限制，可以修改src address 的ip段，或者content 內容過濾
ip －》firewall －》filter chains 選中input ，選擇drop
這條規則禁止所有的外部連接
以上兩條規則，屏蔽來自外網的所有連接，還要注意，順序不要弄錯，不然，你也連接不上路由了，即：允許來自內網的連接的規則在前，拒絕所有的連接的規則在後。如果出現規則設錯，不能登陸了，可以從路由上直接登陸，然後手工刪除錯誤的規則，或者，使用system
裡面的reset 復位路由（會刪除所有規則）
一些惡意網站和廣告，也可以從這里屏蔽
例如，可以加一條規則，禁止登陸新浪聊天室：
ip －》firewall －》filter fules ，選擇forward
選擇＋號，advanced 裡面content 輸上chat.sina.com ,action裡面選擇return，即可
如果chat.sina.com 換成ad4.sina.com.cn ,新浪主頁的廣告就沒有了
防火牆設置需要較強的網路知識，可以參考有關資料，或者天網等防火牆裡面的規則
10）如果需要上網時輸入密碼認證才可以上網的，可以啟用hotspot（注意，不是那種isp認證，是通過這個路由器的客戶機上網時，會出現登陸提示，必須輸入密碼後，才有權上網）
增強部分：
以下情況需要使用VPN，這是個極其有用的功能
1）通過不安全的網路連接兩個內部網，比如總公司與派出的分公司之間
2）多層網關
VPN的設置可以參考其它文檔，簡單的說明如下：
首先保證安裝了PPP功能包，如果是光碟安裝，就都有了；如果軟盤安裝，需要ftp到你的路由，上傳上去PPP功能包，然後啟動路由，到system--package
list 裡面能看到就行了
一切設置完成，對於增加的PPP功能，防火牆上僅需要增加1723埠和gre 的支持，其餘的最好拒絕

㈤ ros軟體路由：關鍵字過濾中如何設置ip段。比如想禁止192.168.0.2-192.168.0.200范圍的電腦上360.cn。

你可以直接在該規則的第一頁*（General）里找到src-address一欄，填入192.168.0.2-192.168.0.200即可以了。

㈥ ROS裡面是如禁止用戶上一些游戲網站的 原理是什麼

關鍵字過濾 域名 IP 等可以實現

㈦ ros 指定IP 只能訪問指定網址 用過濾方法

樓主你肯定是以禁IP的形式來做規則了，這種方式只能對應固定IP的伺服器才生效的，對於那些在回一定范圍內浮動的IP最好答用域名過濾的規則來做，詳細做法如下，先在src上添加內網IP，然後在第二個選項卡，中文版為高級的選項上的connect填上指定域名和後綴，在應用處選accept，也就是接受，最後再做幾條connect到.com、cn、org等禁止的策略就可以實現只訪問某個網站的目的了，如果想做指定埠的限制可以在TCP那填上埠類型和在下面填上對應埠號，策略最好分開來做，不然會亂，做好以後標識一下，希望我的答案對你有幫助。

我本軍團：助人為本，以本會友

㈧ ros方面的知識幫我具體講講

RouterOS應用說明

主要特徵

TCP/IP協議組：

Firewall和NAT – 包狀態過濾；P2P協議過濾；源和目標NAT；對源MAC、IP地址、埠、IP協議、協議（ICMP、TCP、MSS等）、介面、對內部的數據包和連接作標記、ToS 位元組、內容過濾、順序優先與數據頻繁和時間控制、包長度控制...
路由 – 靜態路由；多線路平衡路由；基於策略的路由(在防火牆中分類); RIP v1 / v2, OSPF v2, BGP v4
數據流控制 – 能對每個IP、協議、子網、埠、防火牆標記做流量控制；支持PCQ, RED, SFQ, FIFO對列; Peer-to-Peer協議限制
HotSpot – HotSpot認證網關支持RADIUS驗證和記錄；用戶可用即插即用訪問網路；流量控制功能；具備防火牆功能；實時信息狀態顯示；自定義HTML登錄頁；支持iPass；支持SSL安全驗證；支持廣告功能。
點對點隧道協議 – 支持PPTP, PPPoE和L2TP訪問控制和客戶端； 支持PAP, CHAP, MSCHAPv1和MSCHAPv2 驗證協議； 支持RADIUS驗證和記錄；MPPE加密；PPPoE壓縮；數據流控制；具備防火牆功能；支持PPPoE按需撥號。
簡單隧道 – IPIP隧道、EoIP隧道 (Ethernet over IP)
IPsec – 支持IP安全加密AH和ESP協議；
Proxy – 支持FTP和HTTP緩存伺服器；支持HTTPS代理；支持透明代理 ； 支持SOCKS協議； DNS static entries; 支持獨立的緩存驅動器；訪問控制列表；支持父系代理。
DHCP – DHCP伺服器；DHCP接力；DHCP客戶端; 多DHCP網路；靜態和動態DHCP租約；支持RADIUS。
VRRP – 高效率的VRRP協議（虛擬路由冗餘協議）
UPnP – 支持即插即用
NTP – 網路對時協議伺服器和客戶端；同步GPS系統
Monitoring/Accounting – IP傳輸日誌記錄；防火牆活動記錄；靜態HTTP圖形資源管理。
SNMP – 只讀訪問
M3P – MikroTik分包協議，支持無線連接和乙太網。
MNDP – MikroTik鄰近探測協議；同樣支持思科的CDP。
Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; DDNS。
二層鏈接

Wireless - IEEE802.11a/b/g wireless client和訪問節點（AP）；Nsetreme和 Nstreme2 協議；無線分布系統(WDS)；虛擬AP功能；40和104 bit WEP; WPA pre-shared key加密; 訪問控制列表；RADIUS伺服器驗證；漫遊功能(wireless客戶端); 接入點橋接功能。
Bridge – 支持生成樹協議（STP）；多橋介面；橋防火牆；MAC NAT功能。
VLAN - IEEE802.1q Virtual LAN，支持乙太網和無線連接；多VLAN支持；VLAN橋接。
Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3)媒體類型； sync-PPP, Cisco HDLC, 幀中繼協議; ANSI-617d (ANDI or annex D)和Q933a (CCITT or annex A) 幀中繼LMI類型
Asynchronous – 串型PPP dial-in / dial-out；PAP, CHAP, MSCHAPv1和MSCHAPv2 驗證協議；RADIUS驗證和記錄；支持串口；modem池支持128個埠。
ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1和MSCHAPv2 驗證協議；RADIUS驗證和記錄；Cisco HDLC, x75i, x75ui, x75bui 隊列支持。
硬體要求

CPU和主板 – 核心頻率在100MHz或更高的單核心i386處理器，以及與兼容的主板。
RAM – 最小32 MiB, 最大1 GiB; 推薦64 MiB或更高。
ROM – 標准ATA/IDE介面(SCSI和USB控制器不支持；RAID控制器驅動不支持; SATA僅支持老的訪問模式) 最小需要64 Mb空間； Flash和一些微型驅動器使用ATA介面能連接使用。
MIPS硬體要求

支持系統 - RouterBOARD series (532、153、112)
RAM – 最小 16 MiB
ROM – 板載NAND驅動，最小64Mb
配置

RouterOS提供了強大的命令配置介面。你同樣可以通過簡易的Windows遠程圖形軟體WinBox管理路由器。Web 配置提供了多數常用的功能上。 主要特徵：

完全一至的用戶介面
運行時配置和監控
支持多個連接訪問
用戶策略配置
活動歷史記錄，undo/redo操作
安全模式操作
Scripts能事先安排執行時間和執行內容，腳本支持所有的命令操作。
路由器可用通過下面的介面進行管理：

本地teminal console - PS/2或USB鍵盤和VGA顯示卡進行控制
Serial console – 任何 (默認使用COM1) RS232非同步串口，串口默認設置為9600bit/s, 8 data bits, 1 stop bit, no parity, hardware (RTS/CTS) flow control。
Telnet – telnet服務默認運行在TCP埠23
SSH - SSH (安全shell) 服務默認運行在TCP埠22
MAC Telnet - MikroTik MAC Telnet協議被默認啟用在所以類乙太網卡介面上。
Winbox – Winbox是RouterOS的一個Windows遠程圖形管理軟體，使用TCP埠8291（限2.9版本的winbox），同樣也可用通過MAC地址連接。
基本設置向導

如何登陸RouterOS

MikroTik RouterOS內能通過遠程配置各種參數，包括Telnet, SSH, WinBox 和 Webbox。在這里我們將著重介紹怎樣使用WinBox：

MAC-telnet是在路由器沒有IP地址的情況下或者配置防火牆參數後無法連接，通過路由器網卡MAC地址登錄的方式遠程連接到路由器。MAC-telnet僅能使用在來自同一個廣播域中（因此在網路中不能有路由的存在），且路由器的網卡應該被啟用。注:在Winbox中嵌入了通過MAC地址連接路由器的功能，並內置了探測工具。 這樣在管理員忘記或復位了路由器後，同樣可以通過MAC登陸到RouterOS上，進行圖形界面操作。

Winbox控制台是用於MikroTik RouterOS的管理和配置，使用圖形管理介面（GUI）。通過連接到MikroTik路由器的HTTP（TCP 80埠）歡迎界面下載Winbox.exe可執行文件 ，下載並保存在你的Windows中，之後直接在你Windows電腦上運行Winbox.exe文件

下面是對相應的功能鍵做介紹:

搜索和顯示MNDP (MikroTik Neighbor Discovery Protocol) 或CDP (Cisco Discovery Protocol) 設備。可以通過該功能鍵搜索同一子網內MikroTik和Cisco設備。並能通過MAC地址登陸到MikroTik RouterOS進行操作。

通過指定的IP地址（默認埠為80，不許特別指定，如果你修改了埠需要對具體訪問埠做自定）或MAC地址（如果路由器在同一子網內）登陸路由器。

保存當前連接列表（當需要運行它們時，只需雙擊）

刪除從列表中選擇的項目

刪除所有列表中的項目，清除在本地的緩存，從wbx文件導入地址或導出為wbx文件

㈨ ros裡面ip-firewall-layer7 protocol過濾協議起什麼作用的

找到應用程序特徵數據後，輸入，可以過濾應用程序（禁止應用程序數據通過，如禁止QQ）

㈩ 怎麼配置ROS防火牆規則

Ip 防火牆應用
描述
在這個部分，我們討論防火牆的一些的應用和例子。
防火牆設置基本原則
假定我們有一個本地網通過路由連接到internet，那麼基本的防火牆構建原則由以下幾部分組成：
1、保護路由避免沒有認證的訪問
必須監控那些到路由的連接。只能允許某些特定的主機到路由某些特定的 tcp埠的訪問。這項工作可以在input中設置，以便比較匹配通過路由所有連接界面到路由目的地址的數據包。
2、保護本地主機
必須監控那些到本地網路地址的連接。只有有權到某些主機和服務的連接才能被允許。這項工作可以在forward中設置，以便比較匹配決定通過路由所有連接界面到本地網路目的地址的數據包。
3、利用nat將本地的網路隱藏在一個公網的ip後面。
所有本地網路的連接被偽裝成來自路由本身的公網地址。這項工作可以通過啟用偽裝行為來實現源地址轉換規則。
4、強制本地網路連接到公網的訪問原則。
必須監控那些來自本地網路地址的連接。這項工作可以通過forward中設置，或者通過偽裝哪些被允許的連接來實現。數據的過濾會對router的性能造成一定的影響，為了把這個影響降到最低，這些過濾的規則必須放在各個chain的頂部。這個在傳輸控制協議選項non- syn -only中.

防火牆過濾實例
實現目標：
目標1、讓路由只允許來自10.5.8.0/24網路地址的訪問。
目標2、保護本地主機（192.168.0.0/24）遠離未授權的訪問。
目標3、讓公網可以訪問本地主機192.168.0.17的http 和smtp服務。
目標4、只允許本地網路中的主機進行icmp ping 操作。強制使用在192.168.0.17主機上的代理服務。

假設我的網路設置如下：
公網 ip :10.0.0.217/24 網關 ip ：10.0.0.254
內網 ip :192.168.0.254/24 內網伺服器地址：192.168.0.17/24
step1
為了實現第一個目標，我們必須對所有通過路由的數據包進行過濾，只接受哪些我們允許的數據。因為所有通過路由的數據包都要經過input chain進行處理，所以，我們可以在ip->firewall-> rule input 中加入以下規則。
[admin@MikroTik] >ip firewall rule input
[admin@MikroTik] ip firewall rule input>add protocol=tcp [admin@MikroTik] ip firewall rule input>tcp-options=non-syn-only connection-state=established
[admin@MikroTik] ip firewall rule input>add protocol=udp
[admin@MikroTik] ip firewall rule input>add protocol=icmp
[admin@MikroTik] ip firewall rule input>add src-addr=10.5.8.0/24
[admin@MikroTik] ip firewall rule input>add action=reject log=yes
通過上述設置，input chain就可以實現只接受10.5.8.0/24地址段的連接，而把其他連接都拒絕並且記錄到日誌。

Step 2
為了保護本地網路，我們必須對通過路由訪問本地網路也就是對192.168.0.0/24一段地址的訪問的數據包進行比對篩選，這個功能可以在forward chain 中實現。在forward 中，我們可以依靠ip地址對數據包進行匹配，然後跳轉到我們自己創建的chain中，比如這里我們創建一個 customer chain 並加入一些規則。
[admin@MikroTik] ip firewall> add name=customer
[admin@MikroTik] ip firewall> print
# NAME POLICY
0 input accept
1 forward accept
2 output accept
3 customer none
[admin@MikroTik] ip firewall> rule customer
[admin@MikroTik] ip firewall rule customer> protocol=tcp tcp-options=non-syn-only connection-state=established
[admin@MikroTik] ip firewall rule customer> add protocol=udp
[admin@MikroTik] ip firewall rule customer> add protocol=icmp
[admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:80 [admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:25
[admin@MikroTik] ip firewall rule customer> add action=reject log=yes
通過上述規則，我們在customer chain 中設定了對數據包的過濾規則，那麼下面我要做的就是在forward chain 中做一個跳轉，將所有進入到本地網的數據跳轉到customer chain 中處理。
[admin@MikroTik] ip firewall rule forward> add out-interface=Local action=jump jump-target=customer
這樣，所有通過路由進入到本地網路的數據包都將通過customer chain中的防火牆規則進行過濾。

Step 3
為了強制本地網路的主機通過192.168.0.17這台代理伺服器訪問internet ,
我們應該在forward 鏈中加入以下規則。（這個設置我覺得好像有點多餘，是不是這里192.168.0.17起到了一層防火牆的作用，反正我是沒有加這個規則）。
[admin@MikroTik] ip firewall rule forward> add protocol=icmp out-interface=Public
[admin@MikroTik] ip firewall rule forward> add src-address = 192.168.0.17 / 32 out-interface=Public
[admin@MikroTik] ip firewall rule forward> add action=reject out-interface=Public