Toggle navigation
:::
主選單
校園佈告
校園行事
維修通報
線上書籍
會議系統
下載專區
資料填報
影音播放
線上相簿
網站地圖
教育處
公文系統
教師專區
教師進修
磨課師平台
彰化教育雲
彰化縣公開授課系統
教育部OneDrive
學習扶助
因材網
識字量測驗
國際教育暨英語資源中心
學務系統
雲端校務系統
行政業務
學校簡介
學校基本資料平台
百年校史
教務處
輔導室
家長會
雙語成果
校園十景
總體課程
停課不停學
臺灣母語日資源網
數位學習
彰化Gsuite
彰化教育雲
因材網
國語日報加分吧
Pagamo
均一教育平台
LearnMode學習吧
CoolEnglish酷英網
一小時玩程式
Scratch
Canva
圖書館
反霸凌信箱
登入
登入
帳號
密碼
登入
:::
所有書籍
「Routeros 解決方案」目錄
MarkDown
8. 客戶端(學生端)網卡綁定
1. Routeros 簡介
2. 方便好用的 RouterBOARD
3. IP 基本觀念
4. IPtable 基本觀念
5. 使用 VirtualBox 安裝 RouterOS
6. 使用 winbox 登入 Ros 基本設定
7. Dhcp 動態分配 IP
8. 客戶端(學生端)網卡綁定
9. 防火牆規則運用**
10. 以 Ros 建制學校路由
11. VPN(Virtual Private Network)
10. 以 Ros 建制學校路由
Routeros 解決方案 =============
~
規則有順序性,由上往下執行。順序錯誤有時會造成規則失效。
REJECT
比
DROP
多返回一個
ICMP
錯誤信息包,兩個策略各有優劣:
DROP
比
REJECT
好在節省資源,而且延緩駭客攻擊的進度(因為不會返回任何
有關伺服器的信息),壞處是讓單位網絡問題難以查找。
REJECT
容易診斷和調試網絡設備或防火墻造成的問題。
所以一般建議是單位內部中使用
REJECT
,單位連外網的防火墻上,使用
DROP
要相對安全一些。
□防火牆規則實際運用
\#
禁止
ip
連某網站
Ip > firewall +
Chain forward src-address=192.168.1.8
content=facebook action=drop
彰化縣學校路由器架設與應用(
Routeros
解決方案) 湖南國小 許銘堯 編寫
2014.08
19
※註解的使用:
Comment
\#
禁止網段連某網站
Ip > firewall +
Chain forward src-address=192.168.1.0/24
content=facebook action=drop
彰化縣學校路由器架設與應用(
Routeros
解決方案) 湖南國小 許銘堯 編寫
2014.08
20
\#
允許某些
IP
連某網站(其底下應配合一條規則是限制其餘
IP
不准訪問)
Ip > firewall +
Chain forward src-address=192.168.1.200-192.168.1.220
content= tw.yahoo.com action=accept
彰化縣學校路由器架設與應用(
Routeros
解決方案) 湖南國小 許銘堯 編寫
2014.08
21
※
不准訪問某網站
Ip > firewall +
Chain forward src-address=192.168.1.0/24
content= tw.yahoo.com action=drop
※以上兩條規則的順序很重要,先許允某些
IP
,再禁止其餘
IP
。
◎練習題:禁止學生
192.168.1.5-192.168.1.98
瀏覽含有「
sex
」字眼的網站。
◎練習題:建立規則允許
192.168.1.99
瀏覽「土豆網」、「優酷」、「百度」,其餘
IP
禁止瀏覽。
\#
建立惡意
IP
群組(使用
Address Lists
)
※若不知道對方
IP
,只知道網域名稱,可以利用
ping
方式(
winbox: tools > ping
輸入
網域名稱例如
www.dj3344.com
就能查得
IP
位址)。
IP > firewall > address Lists +
name: badip
address: 95.134.152.58
同樣方法,在新增以下
IP
66.154.55.147
109.73.70.114
178.95.61.252
109.73.78.98
41.226.24.2
58.68.228.123
175.117.151.224
173.203.104.57
61.90.198.172
201.144.41.210
217.149.243.26
125.224.121.170
119.145.149.78
213.34.207.198
95.134.62.195
91.124.162.157
\#
封鎖惡意
IP
群組
Ip > firewall +
Chain forward Src-Address-List=badip action=drop
Ip > firewall +
Chain input Src-Address-List=badip action=drop
\#
允許端口
port
\#
不同端口
port
用逗號隔開
Ip > firewall +
Chain forward protocol=tcp src-address=192.168.1.0/24
填寫自己 的 網 段
dst-port=20,21,22,53,80,82,443 action=accept comment="acceptTCPport"
Ip > firewall +
Chain forward protocol=udp src-address=192.168.1.0/24
填 寫 自 己 的 網 段
dst-port=20,21,22,53,80,82,443 action=accept comment="acceptUDPport"
\#
關閉
port
Ip > firewall +
chain=forward protocol=tcp src-address=192.168.1.0/24
填寫自己的網段
dst-port=1-65534 action=drop comment="dropPort"
\#
可以建立允許一些常用連接
port
的規則
Ip > firewall +
Chain forward protocol=tcp src-address=192.168.1.0/24
填寫自己 的 網 段
dst-port=20,21,22,53,80,82,443,8291 action=accept comment="AcceptPort"
◎練習題:
chain
採用
input
,關閉通訊協定
tcp
、
udp
的
135-139 port
並加以註解
\#135Port
:遠端程序呼叫服務。
\#137Port
:
NetBIOS
名稱服務。
\#139Port
:
Windows
檔和印表機共用以及
Unix
中的
Samba
服務。
◎練習題:建立
192.168.1.201
、
192.168.1.211
、
192.168.1.223
三個
IP
為
myServer
網址
群組
開放
tcp
、
udp 53,80,443
服務的
port
。
\#
常見危險的
port
:
TCP 135
、
139
、
445
、
593
、
1025
和
UDP 135
、
137
、
138
、
445
\#
常見病毒的後門
port
(
TCP 2745
、
3127
、
6129
),以及遠程服務訪問
3389
※
重要:單機
TCP
連接數太大者紀錄下來(紀錄一天)
ip firewall > forward,src address 192.168.1.2-192.168.1.250,protocol 6tcp >
extra,Connection Limit limit 200 netmask 32 > action add src to address list
,address list
輸入「連線太多電腦」
Timeout 1d 00:00:00
一天
\#
重要:
TCP
連接數管理
※此範例指限定
192.168.1.2-192.168.1.250
位址者,
tcp
連接數只能有
150
條,超過
150
條的拒絕。這些位址還是能正常上網,如果單機中毒或亂下載,一直狂發
tcp
連接數,
此規則能適時管控。(可以從
IP > firewall > connection
裡觀察各
IP
連接情形)
ip firewall > forward,src address 192.168.1.2-192.168.1.250, protocol 6tcp >
extra,Connection Limit limit 150 netmask 32 > action drop
◎練習題:新增規則限定
192.168.2.0/24
此網段的
tcp
連接數超過
200
條的紀錄下來。
超過
120
的
drop
拒絕。
□
頻寬管理
※限定某網段頻寬
Queues > Simple Queues > name:t1
(自取名稱)
target address=192.168.2.0/24
填入網段
upload:2M download:20M comment
可以加入註解彰化縣學校路由器架設與應用(
Routeros
解決方案) 湖南國小 許銘堯 編寫
2014.08
24
※限定某
IP
頻寬
Queues > Simple Queues > name:t55
(自取名稱)
target address=192.168.2.55
填入要限定
的
IP
upload:500k download:800k comment
:加入註解「一甲教師機」
◎練習題:設定公文主機
192.168.2.200
的頻寬為上傳
2M
,下載
6M
,註解「公文主機」
□
routeros
顯示
graphs
流量圖
Tools->Graphing->Interface Rules
,點選
+
,加入新的
Interface Graphing Rule
,
Interface
可以選任一個網路界面,或是全部
all
,按
OK
在
winbox->Tools->Graphing->Interface Graphs
中我們就能觀察到界面流量圖
※如果開啟網頁服務,就能在
192.168.1.1/graphs
看到流量圖
(注意:開啟關閉網頁服務
ip > services
,其中
192.168.1.1
是指您的服務器位址)
※如果有設
Queues
限速,可以在
Queues Graphs
看到個別的流量圖。
◇
Web Proxy
網頁代理(
port
不一定要設
8080
)
然後在
IP --> Firewall --> NAT
中新加一個規則
:
一般
dsnat tcp dst port 80 in
介面
lan
action redirect 8180
注意:規則拉到原本
masquerade
上面
IP --> Web Proxy --> Access -->
點
Web Proxy Setting -->General
設置網頁代理
勾
enable
apply
Max client connection
最大可以設到
5000
Max server connection
最大可以設到
5000 ※
新增
Access
中可以設置 使用代理的權限
,
可以對部
分
IP
地址做限制
,
相當與
ip
的
firewall,
web proxy
新增
access
規則
src 192.168.2.0/24
dst. host tw.yahoo.com deny
※
導向另外一個網站
新增
access
規則
src 192.168.2.0/24
dst. host \*facebook\* deny redirect www.gov.tw
意思是 有人上
facbook
網站 會自動導向
www.gov.tw
永遠看不到
facebook
□
區域內部架設
server
ip firewall >nat> dstnat
,
dstnat address 163.23.xx.xx
,
protocol tcp
,
dst port 80 > action,dst-nat,192.168.x.x,to ports
80
□
**
虛擬
IP
連接網際網路(以某個真實
IP
訪外)
**
ip firewall >nat> srcnat
,
src address 192.168.2.0/24
,
選好連外的網卡(例如
wan
),
> action, src-nat, 163.23.x.x
□
備份設定檔
Files > Backup
設定檔還原
Files >
選定設定檔,然後按「
Restore
」
:::
語系選擇
學校簡介
校長室
教務處
學務處
總務處
輔導室
家長會
媒體報導
北小臉書
北小附幼臉書
課程計畫平台
主選單
首頁
校園佈告
校園行事
維修通報
線上書籍
會議系統
下載專區
資料填報
影音播放
線上相簿
網站地圖