RouterOS 學校防火牆實務感謝 錦昌、阿彪、仁奕 三位大師的細心指導
還有錦焜學長幫忙校對和補充內容...
實作的機器:MikroTik CCR1009-8G-1S-1S+
作業系統:RouterOS 6.35.2
1 開放防火牆的80埠和8291埠
開放RouterBoard 防火牆的80埠和 winbox 8291埠
Chain input Dst. Port:80,8129
如果還要開放手機版的Winbox API可以連,則還要放 8728-8729 這兩個埠
2 設定防火牆的連線範圍
設定防火牆的連線範圍
感謝錦昌的教學...
IP /Services-->www Port 80
Available From :163.19.30.0/24、120.106.158.0/24 (限學校或VPN連線才可以進入管理)
Available From :163.19.1.0/24、163.19.3.0/24 (縣網要定請將縣網的這兩個範圍也納入)
Winbox 8291
同理我們也可以設定Winbox或用其它 Ports 要連進防火牆的連線IP範圍
Available From :163.19.30.0/24、120.106.158.0/24(限學校或VPN連線才可以進入管理)
Available From :163.19.1.0/24、163.19.3.0/24 (縣網要定請將縣網的這兩個範圍也納入)
如此設定完畢後
經測試:
不管是透過網頁還是winbox 在VPN 連線後要連 120.106.158.254 才能成功
若連163.19.30.254 會出現連線被重設的錯誤訊息。還蠻值得玩味的...
3 SNTP Client 設備校時
4 讓校內server 可以外連
開放 校內server 可以從外面連
Server 163.19.30.15
開放的Ports 80、5001、5006(記得用 , 號分隔喔)
5 Firewall -- Adress Lists(Alias)Adress Lists(Alias)
應用在防火牆規則
6 電腦教室禁止下載EXE的檔
Drop All Download *.exe Sessions for Computer Rooms
Src. Address:163.19.30.51-163.19.30.125
Advanced tag Content:*.exe
Action: drop
7 電腦教室禁用facebook
Drop facebook Sessions for Computer Rooms
01 General tag
Chain:forward
Src. Address:設定電腦教室的IP 可以用 - 表連續的IP
02 Advanced -->Content :facebook
如果要擋的是即刻槍戰 Content:gunsrush
Content:gamesofa
03 Action: drop
8 讓學校的機器晚上都睡覺
讓晚上00-06 所有機器都斷線(請將規則拉放到適合的位置)
General Chain forward
Extra 設定時間排程
Action drop 順便看看那些人這麼晚還想上網!!!
由於無法設定22:00:00-06:00:00(系統規定設定開始的時間不能大於結束的時間)
所以如果有上述需求,則需再加一條規則來達成( 22:00:00-23:59:59)+(00:00:00-06:00:00)
9 阻擋所有p2p的連線Firewall Rule for drop all-p2p
Action: drop
10 DHCP Serverdhcp_pool
我會先指定一個Pool -->dhcp_pool
DHCP Server
設定好dchp_pool 之後再來設定DHCP Server
在租約Leases 中可以做到DHCP IP Binding
可雙擊開啟選定的作用中連線 按 Make Static綁定; 也可以直接按 + 手動設定
11 DHCP Alerts
DHCP Alerts
檢測ether 1(163 網段) 是否有其他機器發IP(DHCP)
實際的應用...
12 偉大的工程 IP BindingIP Binding(ARP)
讓學校的電腦的MAC 和IP 透過ARP 列表 來幫忙做綁定的動作
如果Client端,亂改成其它IP,將無法上網......Oh Ya.....
大工程:目前沒有用到的IP全部都要「綁」起來
不然Client 用到沒有「綁」到的IP,也是可以上網滴 ~~
目前沒有使用到的IP 士玉MAC Address的命名規則(僅供參考)
IP 01-99 我的命名規則
B0:B0:B0:B0:B0:數字
IP 100-199 我的命名規則
B0:B0:B0:B0:B1:數字
IP 200-253 我的命名規則
B0:B0:B0:B0:B2:數字
DHCP IP Binding.....
若學校還有DHCP Server
那還需要在 DHCP Sever Leases再做DHCP IP Binding的動作
否則Client 手動改IP 固然是無法上網,但Client 若改動態取得IP 仍能上網,那就很尷尬了。
實例:
163.19.30.10 ARP IP Binding完成後,再到DHCP Server Leases 手動新增一個租約
請在Address欄位輸入163.19.30.10
將MAC Address欄位輸入該IP的實體位圵
啟用(勾選) Block Access
嘿嘿嘿,經測試......It Woks........
結論:
IP Binding 真的是大工程,整個網段的每個IP都要綁定(ARP IP Binding)
如果有開DCHP還要再多做一次(DHCP IP Binding),若只做半套 Client還是可以突破限制上網......
13 RouterOS設定檔的備份還原
ROS設定檔的備份還原(在Files頁籤裡操作)
建議 Name不要手動輸入 (系統會自動帶出 microtik主機名稱-系統時間 當檔名)
Password 是設定還原時需要輸入的密碼(我是偷懶就不設密碼啦!!)
勾選 Don't Encrypt---檔案不加密:之後還會時不會再問東問西。
沒勾選 Don't Encrypt---會以目前RouterBoard的密碼加密
(我猜之後還原時RouterBoard系統的密碼必需和現在一樣不然應該會無法還原。)
14 Reset後預設的帳號密碼
Reset後預設的帳號密碼(eth1)
192.168.88.1
admin
密碼 空白
再來到網頁 [Files ]上傳備份檔-->Restore
15 用Graphing監看 網路流量
http://163.19.30.254/graphs/
Tools-->Graphing
New Interface Graphing Rule
設定 3個界面eth1、eth2 和sfp1(光籤進來的界面相當於WAN)
16 RuterOS 更新
System /Packages/ Check For Upddates
RuterBoard 更新
感謝 錦昌、阿彪、仁奕 三位大師的細心指導
還有錦焜學長幫忙校對和補充內容...
實作的機器:MikroTik CCR1009-8G-1S-1S+
作業系統:RouterOS 6.35.2
Top Related