RouterOS 學校防火牆實務感謝 錦昌、阿彪、仁奕 三位大師的細心指導

還有錦焜學長幫忙校對和補充內容...

實作的機器：MikroTik CCR1009-8G-1S-1S+

作業系統：RouterOS 6.35.2

1 開放防火牆的80埠和8291埠

開放RouterBoard 防火牆的80埠和 winbox 8291埠

Chain input Dst. Port：80,8129

如果還要開放手機版的Winbox API可以連，則還要放 8728-8729 這兩個埠

2 設定防火牆的連線範圍

設定防火牆的連線範圍

感謝錦昌的教學...

IP /Services-->www Port 80

Available From ：163.19.30.0/24、120.106.158.0/24 (限學校或VPN連線才可以進入管理)

Available From ：163.19.1.0/24、163.19.3.0/24 (縣網要定請將縣網的這兩個範圍也納入)

Winbox 8291

同理我們也可以設定Winbox或用其它 Ports 要連進防火牆的連線IP範圍

Available From ：163.19.30.0/24、120.106.158.0/24(限學校或VPN連線才可以進入管理)

Available From ：163.19.1.0/24、163.19.3.0/24 (縣網要定請將縣網的這兩個範圍也納入)

如此設定完畢後

經測試：

不管是透過網頁還是winbox 在VPN 連線後要連 120.106.158.254 才能成功

若連163.19.30.254 會出現連線被重設的錯誤訊息。還蠻值得玩味的...

3 SNTP Client 設備校時

4 讓校內server 可以外連

開放 校內server 可以從外面連

Server 163.19.30.15

開放的Ports 80、5001、5006(記得用 , 號分隔喔)

5 Firewall -- Adress Lists(Alias)Adress Lists(Alias)

應用在防火牆規則

6 電腦教室禁止下載EXE的檔

Drop All Download *.exe Sessions for Computer Rooms

Src. Address：163.19.30.51-163.19.30.125

Advanced tag Content：*.exe

Action： drop

7 電腦教室禁用facebook

Drop facebook Sessions for Computer Rooms

01 General tag

Chain：forward

Src. Address：設定電腦教室的IP 可以用 - 表連續的IP

02 Advanced -->Content ：facebook

如果要擋的是即刻槍戰 Content：gunsrush

Content：gamesofa

03 Action： drop

8 讓學校的機器晚上都睡覺

讓晚上00-06 所有機器都斷線(請將規則拉放到適合的位置)

General Chain forward

Extra 設定時間排程

Action drop 順便看看那些人這麼晚還想上網!!!

由於無法設定22:00:00-06:00:00(系統規定設定開始的時間不能大於結束的時間)

所以如果有上述需求，則需再加一條規則來達成( 22:00:00-23:59:59)+(00:00:00-06:00:00)

9 阻擋所有p2p的連線Firewall Rule for drop all-p2p

Action： drop

10 DHCP Serverdhcp_pool

我會先指定一個Pool -->dhcp_pool

DHCP Server

設定好dchp_pool 之後再來設定DHCP Server

在租約Leases 中可以做到DHCP IP Binding

可雙擊開啟選定的作用中連線 按 Make Static綁定； 也可以直接按 + 手動設定

11 DHCP Alerts

DHCP Alerts

檢測ether 1(163 網段) 是否有其他機器發IP(DHCP)

實際的應用...

12 偉大的工程 IP BindingIP Binding(ARP)

讓學校的電腦的MAC 和IP 透過ARP 列表 來幫忙做綁定的動作

如果Client端，亂改成其它IP，將無法上網......Oh Ya.....

大工程：目前沒有用到的IP全部都要「綁」起來

不然Client 用到沒有「綁」到的IP，也是可以上網滴 ~~

目前沒有使用到的IP 士玉MAC Address的命名規則(僅供參考)

IP 01-99 我的命名規則

B0:B0:B0:B0:B0:數字

IP 100-199 我的命名規則

B0:B0:B0:B0:B1:數字

IP 200-253 我的命名規則

B0:B0:B0:B0:B2:數字

DHCP IP Binding.....

若學校還有DHCP Server

那還需要在 DHCP Sever Leases再做DHCP IP Binding的動作

否則Client 手動改IP 固然是無法上網，但Client 若改動態取得IP 仍能上網，那就很尷尬了。

實例：

163.19.30.10 ARP IP Binding完成後，再到DHCP Server Leases 手動新增一個租約

請在Address欄位輸入163.19.30.10

將MAC Address欄位輸入該IP的實體位圵

啟用(勾選) Block Access

嘿嘿嘿，經測試......It Woks........

結論：

IP Binding 真的是大工程，整個網段的每個IP都要綁定(ARP IP Binding)

如果有開DCHP還要再多做一次(DHCP IP Binding)，若只做半套 Client還是可以突破限制上網......

13 RouterOS設定檔的備份還原

ROS設定檔的備份還原(在Files頁籤裡操作)

建議 Name不要手動輸入 (系統會自動帶出 microtik主機名稱-系統時間 當檔名)

Password 是設定還原時需要輸入的密碼(我是偷懶就不設密碼啦!!)

勾選 Don't Encrypt---檔案不加密：之後還會時不會再問東問西。

沒勾選 Don't Encrypt---會以目前RouterBoard的密碼加密

(我猜之後還原時RouterBoard系統的密碼必需和現在一樣不然應該會無法還原。)

14 Reset後預設的帳號密碼

Reset後預設的帳號密碼(eth1)

192.168.88.1

admin

密碼 空白

再來到網頁 [Files ]上傳備份檔-->Restore

15 用Graphing監看 網路流量

http://163.19.30.254/graphs/

Tools-->Graphing

New Interface Graphing Rule

設定 3個界面eth1、eth2 和sfp1(光籤進來的界面相當於WAN)

16 RuterOS 更新

System /Packages/ Check For Upddates

RuterBoard 更新

感謝 錦昌、阿彪、仁奕 三位大師的細心指導

還有錦焜學長幫忙校對和補充內容...

實作的機器：MikroTik CCR1009-8G-1S-1S+

作業系統：RouterOS 6.35.2