ros内容过滤
㈠ ROS有过滤MAC地址的功能吗想TP-link那样,只允许指定的MAC地址上网
你在路由器管理界抄面就能看到连接到路由器的MAC地址的,除非你不是管理员。
只允许制定MAC地址上网的方式,是一些路由器基本上都具有的功能。ROS的话,你用一些比较专业的版本,都会有硬件路由器具有的功能,ROS的话,是可以看到路由器下所有在线连接PC的MAC地址。所以,你要封MAC的话,理论上是可以实现的,但是如果不是管理员的话,别人更改一下MAC地址,还是可以逃脱你的封杀的。建议,是先获取所有PC的MAC地址,然后手动添加以后,再去封杀你要封杀的MAC地址,就可以禁止对方上网了。
㈡ ros3.2网桥模式下如何实现过网址过滤
你可以做以下尝试:
在CMD下面PING www..com,看能出来IP地址回么
如果能出来那么可能是别答的问题,如果不能出来IP地址,那么请将DNS的IP添加到ACCEPT里面在限制访问互联网这条规则的前面
㈢ ros 防火墙 规则优先权
ROS防火墙的顺序是从上至下的顺序来执行的。
其中有jump例外,你可以理解版成 goto(跳转),就是权符合jump执行条件的折先跳转到jump target描述的chain执行,执行完毕返回并执行原jump的下一条规则。
㈣ ROS 路由器问题
ROS安装的时候你点了PPPOE没有?装了后在INTERNETFACE里面的+会有出现PPPOE选项的.进入“WINBOX”-----Interfaces-----点“+”--选择“PPPOE-CLIENT”在General这一项里只需要设置一下Interface:wan(连接ADSL的网卡);再设置下一项“Dial Out”这一项设置:User:(填你的ADSL用户名),Password:(密码填上),将 Add Default Route ,Use Peer DNS这两项给勾上;这里的东西就设置好了。之后还需要在 ip firewall mangle中添加一条规则:点“+”号,GeneraL选项卡中 Chain:forward,protocol:tcp;Advanced选项卡中 TCP Flags:SYN;然后设置ACTION选项卡 Action:change MSS,New TCP MSS:1440。
最后设置一下IP伪装就OK了。在ACTION里直接选择:masquerade,其他的都不要设置
RouterOS简单使用说明
看到很多人在问,简单说说吧,以通常的固定ip的为例:
1)安装--9块盘,注意硬盘内容会被删除!还有,机器内存不能小于24 M
安装过程中提示注册,注意注册码的大小写
2)启动后,使用admin 密码为空,进入
3)设第一块网卡的ip:
在提示付下输入setup命令,如果你的网卡是PCI的,会提示你设置ether1(就是第一块网卡),输入ipaddress(ip地址):192.168.0.1、netmask(子网掩码):255.255.255.0、gateway:192.168.0.254、network:192.168.0.0、broadcast:192.168.0.255。默认直接回车就行了。
4)从windows端机器,ip设成192.168.0.x ,在ie 地址栏输上192.168.0.1
出现routeos 的欢迎画面。点击,提示下载winbox ,保存
如果不能连接,就把网线连接到另外一块网卡
5)运行winbox 输上192.168.0.1 用户名admin 密码
不输,选连接。会出现路由的管理界面。如果你的机器上使用网络防火墙,这里需要关闭或者修改规则
6启用网卡:点击interface ,点击第二块卡,选择对号,启用(颜色不是虚的了)
7)设置地址:ip --》address ,选择+号,输入第二块卡的ip地址(isp给你的)
为了便于管理,最好从这里把两块卡的别名,改成public 和local
,另外,这里支持一个网卡多个ip,如果因为管理需要,你可以这样设
8)增加静态路由:ip--》routes 选择+号,选中gateway,输上网关地址
在这里,destination 可以使用默认0.0.0.0
,表示路由所有的地址,也可以根据你的需要,只对你指定的ip范围路由。静态路由可以有多条,比如可以分别指定多个ip段,达到管理的目的
9)设置NAT共享上网:ip --》firewall -source nat ,选择+号,选择action,action里面选择
masquerade ,其余选择默认即可
至此,共享上网就完成了
剩下的,需要增加设置防火墙规则,否则,安全没有保障
ip -》firewall -》filter fules ,选择+号,in interface 选择内网网卡(local),其他默认
这条路由允许来自内网的连接,如果有限制,可以修改src address 的ip段,或者content 内容过滤
ip -》firewall -》filter chains 选中input ,选择drop
这条规则禁止所有的外部连接
以上两条规则,屏蔽来自外网的所有连接,还要注意,顺序不要弄错,不然,你也连接不上路由了,即:允许来自内网的连接的规则在前,拒绝所有的连接的规则在后。如果出现规则设错,不能登陆了,可以从路由上直接登陆,然后手工删除错误的规则,或者,使用system
里面的reset 复位路由(会删除所有规则)
一些恶意网站和广告,也可以从这里屏蔽
例如,可以加一条规则,禁止登陆新浪聊天室:
ip -》firewall -》filter fules ,选择forward
选择+号,advanced 里面content 输上chat.sina.com ,action里面选择return,即可
如果chat.sina.com 换成ad4.sina.com.cn ,新浪主页的广告就没有了
防火墙设置需要较强的网络知识,可以参考有关资料,或者天网等防火墙里面的规则
10)如果需要上网时输入密码认证才可以上网的,可以启用hotspot(注意,不是那种isp认证,是通过这个路由器的客户机上网时,会出现登陆提示,必须输入密码后,才有权上网)
增强部分:
以下情况需要使用VPN,这是个极其有用的功能
1)通过不安全的网络连接两个内部网,比如总公司与派出的分公司之间
2)多层网关
VPN的设置可以参考其它文档,简单的说明如下:
首先保证安装了PPP功能包,如果是光盘安装,就都有了;如果软盘安装,需要ftp到你的路由,上传上去PPP功能包,然后启动路由,到system--package
list 里面能看到就行了
一切设置完成,对于增加的PPP功能,防火墙上仅需要增加1723端口和gre 的支持,其余的最好拒绝
㈤ ros软件路由:关键字过滤中如何设置ip段。比如想禁止192.168.0.2-192.168.0.200范围的电脑上360.cn。
你可以直接在该规则的第一页*(General)里找到src-address一栏,填入192.168.0.2-192.168.0.200即可以了。
㈥ ROS里面是如禁止用户上一些游戏网站的 原理是什么
关键字过滤 域名 IP 等可以实现
㈦ ros 指定IP 只能访问指定网址 用过滤方法
楼主你肯定是以禁IP的形式来做规则了,这种方式只能对应固定IP的服务器才生效的,对于那些在回一定范围内浮动的IP最好答用域名过滤的规则来做,详细做法如下,先在src上添加内网IP,然后在第二个选项卡,中文版为高级的选项上的connect填上指定域名和后缀,在应用处选accept,也就是接受,最后再做几条connect到.com、cn、org等禁止的策略就可以实现只访问某个网站的目的了,如果想做指定端口的限制可以在TCP那填上端口类型和在下面填上对应端口号,策略最好分开来做,不然会乱,做好以后标识一下,希望我的答案对你有帮助。
我本军团:助人为本,以本会友
㈧ ros方面的知识帮我具体讲讲
RouterOS应用说明
主要特征
TCP/IP协议组:
Firewall和NAT – 包状态过滤;P2P协议过滤;源和目标NAT;对源MAC、IP地址、端口、IP协议、协议(ICMP、TCP、MSS等)、接口、对内部的数据包和连接作标记、ToS 字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制...
路由 – 静态路由;多线路平衡路由;基于策略的路由(在防火墙中分类); RIP v1 / v2, OSPF v2, BGP v4
数据流控制 – 能对每个IP、协议、子网、端口、防火墙标记做流量控制;支持PCQ, RED, SFQ, FIFO对列; Peer-to-Peer协议限制
HotSpot – HotSpot认证网关支持RADIUS验证和记录;用户可用即插即用访问网络;流量控制功能;具备防火墙功能;实时信息状态显示;自定义HTML登录页;支持iPass;支持SSL安全验证;支持广告功能。
点对点隧道协议 – 支持PPTP, PPPoE和L2TP访问控制和客户端; 支持PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议; 支持RADIUS验证和记录;MPPE加密;PPPoE压缩;数据流控制;具备防火墙功能;支持PPPoE按需拨号。
简单隧道 – IPIP隧道、EoIP隧道 (Ethernet over IP)
IPsec – 支持IP安全加密AH和ESP协议;
Proxy – 支持FTP和HTTP缓存服务器;支持HTTPS代理;支持透明代理 ; 支持SOCKS协议; DNS static entries; 支持独立的缓存驱动器;访问控制列表;支持父系代理。
DHCP – DHCP服务器;DHCP接力;DHCP客户端; 多DHCP网络;静态和动态DHCP租约;支持RADIUS。
VRRP – 高效率的VRRP协议(虚拟路由冗余协议)
UPnP – 支持即插即用
NTP – 网络对时协议服务器和客户端;同步GPS系统
Monitoring/Accounting – IP传输日志记录;防火墙活动记录;静态HTTP图形资源管理。
SNMP – 只读访问
M3P – MikroTik分包协议,支持无线连接和以太网。
MNDP – MikroTik邻近探测协议;同样支持思科的CDP。
Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; DDNS。
二层链接
Wireless - IEEE802.11a/b/g wireless client和访问节点(AP);Nsetreme和 Nstreme2 协议;无线分布系统(WDS);虚拟AP功能;40和104 bit WEP; WPA pre-shared key加密; 访问控制列表;RADIUS服务器验证;漫游功能(wireless客户端); 接入点桥接功能。
Bridge – 支持生成树协议(STP);多桥接口;桥防火墙;MAC NAT功能。
VLAN - IEEE802.1q Virtual LAN,支持以太网和无线连接;多VLAN支持;VLAN桥接。
Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3)媒体类型; sync-PPP, Cisco HDLC, 帧中继协议; ANSI-617d (ANDI or annex D)和Q933a (CCITT or annex A) 帧中继LMI类型
Asynchronous – 串型PPP dial-in / dial-out;PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议;RADIUS验证和记录;支持串口;modem池支持128个端口。
ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议;RADIUS验证和记录;Cisco HDLC, x75i, x75ui, x75bui 队列支持。
硬件要求
CPU和主板 – 核心频率在100MHz或更高的单核心i386处理器,以及与兼容的主板。
RAM – 最小32 MiB, 最大1 GiB; 推荐64 MiB或更高。
ROM – 标准ATA/IDE接口(SCSI和USB控制器不支持;RAID控制器驱动不支持; SATA仅支持老的访问模式) 最小需要64 Mb空间; Flash和一些微型驱动器使用ATA接口能连接使用。
MIPS硬件要求
支持系统 - RouterBOARD series (532、153、112)
RAM – 最小 16 MiB
ROM – 板载NAND驱动,最小64Mb
配置
RouterOS提供了强大的命令配置接口。你同样可以通过简易的Windows远程图形软件WinBox管理路由器。Web 配置提供了多数常用的功能上。 主要特征:
完全一至的用户接口
运行时配置和监控
支持多个连接访问
用户策略配置
活动历史记录,undo/redo操作
安全模式操作
Scripts能事先安排执行时间和执行内容,脚本支持所有的命令操作。
路由器可用通过下面的接口进行管理:
本地teminal console - PS/2或USB键盘和VGA显示卡进行控制
Serial console – 任何 (默认使用COM1) RS232异步串口,串口默认设置为9600bit/s, 8 data bits, 1 stop bit, no parity, hardware (RTS/CTS) flow control。
Telnet – telnet服务默认运行在TCP端口23
SSH - SSH (安全shell) 服务默认运行在TCP端口22
MAC Telnet - MikroTik MAC Telnet协议被默认启用在所以类以太网卡接口上。
Winbox – Winbox是RouterOS的一个Windows远程图形管理软件,使用TCP端口8291(限2.9版本的winbox),同样也可用通过MAC地址连接。
基本设置向导
如何登陆RouterOS
MikroTik RouterOS内能通过远程配置各种参数,包括Telnet, SSH, WinBox 和 Webbox。在这里我们将着重介绍怎样使用WinBox:
MAC-telnet是在路由器没有IP地址的情况下或者配置防火墙参数后无法连接,通过路由器网卡MAC地址登录的方式远程连接到路由器。MAC-telnet仅能使用在来自同一个广播域中(因此在网络中不能有路由的存在),且路由器的网卡应该被启用。注:在Winbox中嵌入了通过MAC地址连接路由器的功能,并内置了探测工具。 这样在管理员忘记或复位了路由器后,同样可以通过MAC登陆到RouterOS上,进行图形界面操作。
Winbox控制台是用于MikroTik RouterOS的管理和配置,使用图形管理接口(GUI)。通过连接到MikroTik路由器的HTTP(TCP 80端口)欢迎界面下载Winbox.exe可执行文件 ,下载并保存在你的Windows中,之后直接在你Windows电脑上运行Winbox.exe文件
下面是对相应的功能键做介绍:
搜索和显示MNDP (MikroTik Neighbor Discovery Protocol) 或CDP (Cisco Discovery Protocol) 设备。可以通过该功能键搜索同一子网内MikroTik和Cisco设备。并能通过MAC地址登陆到MikroTik RouterOS进行操作。
通过指定的IP地址(默认端口为80,不许特别指定,如果你修改了端口需要对具体访问端口做自定)或MAC地址(如果路由器在同一子网内)登陆路由器。
保存当前连接列表(当需要运行它们时,只需双击)
删除从列表中选择的项目
删除所有列表中的项目,清除在本地的缓存,从wbx文件导入地址或导出为wbx文件
㈨ ros里面ip-firewall-layer7 protocol过滤协议起什么作用的
找到应用程序特征数据后,输入,可以过滤应用程序(禁止应用程序数据通过,如禁止QQ)
㈩ 怎么配置ROS防火墙规则
Ip 防火墙应用
描述
在这个部分,我们讨论防火墙的一些的应用和例子。
防火墙设置基本原则
假定我们有一个本地网通过路由连接到internet,那么基本的防火墙构建原则由以下几部分组成:
1、保护路由避免没有认证的访问
必须监控那些到路由的连接。只能允许某些特定的主机到路由某些特定的 tcp端口的访问。这项工作可以在input中设置,以便比较匹配通过路由所有连接界面到路由目的地址的数据包。
2、保护本地主机
必须监控那些到本地网络地址的连接。只有有权到某些主机和服务的连接才能被允许。这项工作可以在forward中设置,以便比较匹配决定通过路由所有连接界面到本地网路目的地址的数据包。
3、利用nat将本地的网络隐藏在一个公网的ip后面。
所有本地网络的连接被伪装成来自路由本身的公网地址。这项工作可以通过启用伪装行为来实现源地址转换规则。
4、强制本地网络连接到公网的访问原则。
必须监控那些来自本地网络地址的连接。这项工作可以通过forward中设置,或者通过伪装哪些被允许的连接来实现。数据的过滤会对router的性能造成一定的影响,为了把这个影响降到最低,这些过滤的规则必须放在各个chain的顶部。这个在传输控制协议选项non- syn -only中.
防火墙过滤实例
实现目标:
目标1、让路由只允许来自10.5.8.0/24网络地址的访问。
目标2、保护本地主机(192.168.0.0/24)远离未授权的访问。
目标3、让公网可以访问本地主机192.168.0.17的http 和smtp服务。
目标4、只允许本地网络中的主机进行icmp ping 操作。强制使用在192.168.0.17主机上的代理服务。
假设我的网络设置如下:
公网 ip :10.0.0.217/24 网关 ip :10.0.0.254
内网 ip :192.168.0.254/24 内网服务器地址:192.168.0.17/24
step1
为了实现第一个目标,我们必须对所有通过路由的数据包进行过滤,只接受哪些我们允许的数据。因为所有通过路由的数据包都要经过input chain进行处理,所以,我们可以在ip->firewall-> rule input 中加入以下规则。
[admin@MikroTik] >ip firewall rule input
[admin@MikroTik] ip firewall rule input>add protocol=tcp [admin@MikroTik] ip firewall rule input>tcp-options=non-syn-only connection-state=established
[admin@MikroTik] ip firewall rule input>add protocol=udp
[admin@MikroTik] ip firewall rule input>add protocol=icmp
[admin@MikroTik] ip firewall rule input>add src-addr=10.5.8.0/24
[admin@MikroTik] ip firewall rule input>add action=reject log=yes
通过上述设置,input chain就可以实现只接受10.5.8.0/24地址段的连接,而把其他连接都拒绝并且记录到日志。
Step 2
为了保护本地网络,我们必须对通过路由访问本地网络也就是对192.168.0.0/24一段地址的访问的数据包进行比对筛选,这个功能可以在forward chain 中实现。在forward 中,我们可以依靠ip地址对数据包进行匹配,然后跳转到我们自己创建的chain中,比如这里我们创建一个 customer chain 并加入一些规则。
[admin@MikroTik] ip firewall> add name=customer
[admin@MikroTik] ip firewall> print
# NAME POLICY
0 input accept
1 forward accept
2 output accept
3 customer none
[admin@MikroTik] ip firewall> rule customer
[admin@MikroTik] ip firewall rule customer> protocol=tcp tcp-options=non-syn-only connection-state=established
[admin@MikroTik] ip firewall rule customer> add protocol=udp
[admin@MikroTik] ip firewall rule customer> add protocol=icmp
[admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:80 [admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:25
[admin@MikroTik] ip firewall rule customer> add action=reject log=yes
通过上述规则,我们在customer chain 中设定了对数据包的过滤规则,那么下面我要做的就是在forward chain 中做一个跳转,将所有进入到本地网的数据跳转到customer chain 中处理。
[admin@MikroTik] ip firewall rule forward> add out-interface=Local action=jump jump-target=customer
这样,所有通过路由进入到本地网络的数据包都将通过customer chain中的防火墙规则进行过滤。
Step 3
为了强制本地网络的主机通过192.168.0.17这台代理服务器访问internet ,
我们应该在forward 链中加入以下规则。(这个设置我觉得好像有点多余,是不是这里192.168.0.17起到了一层防火墙的作用,反正我是没有加这个规则)。
[admin@MikroTik] ip firewall rule forward> add protocol=icmp out-interface=Public
[admin@MikroTik] ip firewall rule forward> add src-address = 192.168.0.17 / 32 out-interface=Public
[admin@MikroTik] ip firewall rule forward> add action=reject out-interface=Public