ROS 软路由相关命令用法

时间:2024-03-03 19:47:49

详细说明: ROS新手必看:如何解决不能启动的问题.txt
routeros 的安装心得--ros***禁用词语***.txt
ros关于如何 限制速度.txt
ROS如何映射和回流.txt
ros如何限制PP POCO等^^软件.txt
RouterOS的Hotspot设置说明.txt
ros教程.doc
ROS另类封网址的方法,比INPUT的DRO实用!.doc
RouteOs做双机冗余.txt
ROS之透明代理设置.txt
ROS之DHCP设置.txt
routerOS防火墙规则.txt
Ip 防火墙应用--ros.txt


都是本人收藏滴。。。吐血推荐。。
下了,记得顶哦。。。。。
Ip 防火墙应用--ros


Ip 防火墙应用
描述
在这个部分,我们讨论防火墙的一些的应用和例子。
防火墙设置基本原则
假定我们有一个本地网通过路由连接到internet,那么基本的防火墙构建原则由以下几部分组成:
1、保护路由避免没有认证的访问
必须监控那些到路由的连接。只能允许某些特定的主机到路由某些特定的 tcp端口的访问。这项工作可以在input中设置,以便比较匹配通过路由所有连接界面到路由目的地址的数据包。
2、保护本地主机
必须监控那些到本地网络地址的连接。只有有权到某些主机和服务的连接才能被允许。这项工作可以在forward中设置,以便比较匹配决定通过路由所有连接界面到本地网路目的地址的数据包。
3、利用nat将本地的网络隐藏在一个公网的ip后面。
所有本地网络的连接被伪装成来自路由本身的公网地址。这项工作可以通过启用伪装行为来实现源地址转换规则。
4、强制本地网络连接到公网的访问原则。
必须监控那些来自本地网络地址的连接。这项工作可以通过forward中设置,或者通过伪装哪些被允许的连接来实现。数据的过滤会对router的性能造成一定的影响,为了把这个影响降到最低,这些过滤的规则必须放在各个chain的顶部。这个在传输控制协议选项non- syn -only中.

防火墙过滤实例
实现目标:
目标1、让路由只允许来自10.5.8.0/24网络地址的访问。
目标2、保护本地主机(192.168.0.0/24)远离未授权的访问。
目标3、让公网可以访问本地主机192.168.0.17的http 和smtp服务。
目标4、只允许本地网络中的主机进行icmp ping 操作。强制使用在192.168.0.17主机上的代理服务。

假设我的网络设置如下:
公网 ip :10.0.0.217/24 网关 ip :10.0.0.254
内网 ip :192.168.0.254/24 内网服务器地址:192.168.0.17/24
step1 
为了实现第一个目标,我们必须对所有通过路由的数据包进行过滤,只接受哪些我们允许的数据。因为所有通过路由的数据包都要经过input chain进行处理,所以,我们可以在ip->firewall-> rule input 中加入以下规则。
[admin@MikroTik] >ip firewall rule input
[admin@MikroTik] ip firewall rule input>add protocol=tcp [admin@MikroTik] ip firewall rule input>tcp-options=non-syn-only connection-state=established
[admin@MikroTik] ip firewall rule input>add protocol=udp 
[admin@MikroTik] ip firewall rule input>add protocol=icmp
[admin@MikroTik] ip firewall rule input>add src-addr=10.5.8.0/24
[admin@MikroTik] ip firewall rule input>add action=reject log=yes
通过上述设置,input chain就可以实现只接受10.5.8.0/24地址段的连接,而把其他连接都拒绝并且记录到日志。

Step 2 
为了保护本地网络,我们必须对通过路由访问本地网络也就是对192.168.0.0/24一段地址的访问的数据包进行比对筛选,这个功能可以在forward chain 中实现。在forward 中,我们可以依靠ip地址对数据包进行匹配,然后跳转到我们自己创建的chain中,比如这里我们创建一个 customer chain 并加入一些规则。
[admin@MikroTik] ip firewall> add name=customer
[admin@MikroTik] ip firewall> print
# NAME POLICY
0 input accept
1 forward accept
2 output accept
3 customer none
[admin@MikroTik] ip firewall> rule customer
[admin@MikroTik] ip firewall rule customer> protocol=tcp tcp-options=non-syn-only connection-state=established 
[admin@MikroTik] ip firewall rule customer> add protocol=udp 
[admin@MikroTik] ip firewall rule customer> add protocol=icmp 
[admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:80 [admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:25 
[admin@MikroTik] ip firewall rule customer> add action=reject log=yes
通过上述规则,我们在customer chain 中设定了对数据包的过滤规则,那么下面我要做的就是在forward chain 中做一个跳转,将所有进入到本地网的数据跳转到customer chain 中处理。
[admin@MikroTik] ip firewall rule forward> add out-interface=Local action=jump jump-target=customer
这样,所有通过路由进入到本地网络的数据包都将通过customer chain中的防火墙规则进行过滤。

Step 3
为了强制本地网络的主机通过192.168.0.17这台代理服务器访问internet ,
我们应该在forward 链中加入以下规则。(这个设置我觉得好像有点多余,是不是这里192.168.0.17起到了一层防火墙的作用,反正我是没有加这个规则)。
[admin@MikroTik] ip firewall rule forward> add protocol=icmp out-interface=Public 
[admin@MikroTik] ip firewall rule forward> add src-address = 192.168.0.17 / 32 out-interface=Public
[admin@MikroTik] ip firewall rule forward> add action=reject out-interface=Public

关于如何 限制速度

 


应许多朋友的要求,这里把如何限制局域网内机器的速度发一下(特指限制 外网连接速度)

winbox---queues----simple queues

点“+”,NAME里随便填,下面是IP地址的确定

①Target Address 不管,Dst. Address里填 你要限制的内网机器的IP,比如我这里有个 1号机器 IP为 192.168.1.101,那dst.address 里就填 192.168.1.101 然后是/32(这里的32不是指掩码了,个人理解为指定的意思)!

②interface里 记着要选你连接外网那个卡,我这里分了“local和public”,所以选public

③ 其他的不管,我们来看最重要的东西拉,Max limit ,这个东西是你限制的上限,注意的是 这里的数值是比特位,比如我要限制 下载的速度为 500K 那么就填入多少呢? 500 X 1000 X 8=400 0000=4M。

④ 另外,很多朋友都有个疑问,到底一般的用户会有多大流量呢?一般的网络游戏,如 梦幻西游 传奇 封神榜 等等,其下行在 20Kbps以内! 最耗网络资源的就是下载-----我们就是为了限制它拉,其次是VOD点播,一般DVD格式的大约要 2M多吧,所以你看情况限制拉 别搞的太绝!!!

 

如何限制PP POCO等^^软件


小弟是网吧的,知道PP等软件抢带宽是多么厉害,所以一直研究如何限制它们!除了我的另一篇文章说的通过限制速度来达到目的外,还可以通过以下方法来实现-----思想,限制他们的服务器的IP,除非他们更换服务器,否则还是绝对有效的!

准备工作:

1。 下载你要封闭的软件,这里为PP点点通,注册账号,然后填好账号密码,此时不登录

2。winbox----tools----torch

下面是如何设置参数

interface :内网网卡 protocol :any Src.address:192.168.1.206/32 (你要测试的机器的IP) Dst.address、port选勾。

3。关闭无关进程,和其他网络工具!调整好 PP登录框和 WINBOX的位置,在点登录以后,立即点 START按钮,再登录成功后,立即点STOP------这个时间很短的,别搞的太久。

4。分析端口,80的不管,认识的也不管,最后锁定3个左右的IP ,端口可能是随机的,我这里是9099和5034,

5。屏蔽IP,IP---firewall----右上角选forward,然后开始添加规则了。

点“+”-----其余默认,在dst,address里 填你刚才记下的网址,在action里 选drop,一次进行,把你认为的可疑IP都干掉,再试验PP ,如何登不上吧?

顺便提醒一下,最好小心点,别把良民给干了,要不会影响你正常使用地!

如何映射和回流

映射 
winbox----ip-----firewall-----Destination nat 
+---- ⑴General 页 
SRC。ADDRES |__ __ _ 默认 
SRC。PORT | 
INTEface all 
Dst.address 外网ip /32(此32是定值) 
Dst.port 映射端口(我这里是27015-27016) 
⑵ ACTION 页 
Action: nat 
To Dst. address 192.168.1.253-192.168.1.253(内网提供服务的机器IP) 
To Dst. Ports:27015-27016

回流

winbox----ip-----firewall-----Source NAT 
+----- ⑴GERENAL页 
Src.Address 192.168.1.253(内网提供服务器机器的IP) /32(此32是定值) 
src.port 
Dst.Address 192.168.1.0(你内网IP的前3位+0)/24(这里是你掩码的换算值) 
Protocol 你自己的协议 
⑵ Action页 
action: nat 
to Src.addresses 0.0.0.-0.0.0.0 
TO src.ports:27015-27016
新手必看:如何解决不能启动的问题
<!---->常常有朋友说使用ROS的GHOST版后出现了一串数字,或者IPCOP无法运行等问题,这些问题很多帖子里都反复的强调大多是因为IDE接的不对,大家一定要做到2点:

1。硬盘必须跳线为主盘------一般来说默认的就行。

2。必须把硬盘接在主板的第一个IDE通道上!

ROS之DHCP设置
<!---->winbox环境下:

 

1.添加ip pool地址池

ip->pool 
add name="dhcp_pool1" ranges=192.168.0.2-192.168.0.254

2.ip dhcp server设上网关和dns 
ip->dhcp-server

add name="DHCP_SERVER" interface=LAN lease-time=3d      address-pool=dhcp_pool1 add-arp=no authoritative=no disabled=no

ip->dhcp-server->network

add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24      dns-server=192.168.0.1 comment=""

3.end
ROS之透明代理设置

<!---->简单的说一下,就是先设置web proxy功埽 ST-nat选项里面,将内网所有的80端口请求都映射到web proxy的端口上。看。。。。

winbox环境下:

1.ip->web proxy->Access->settings

默认端口是3128,选上 Transparent Proxy.其他默认,选OK

2.ip ->firewall->Destination NAT

添加一条:

add src-address=192.168.0.0/24 in-interface=Lan dst-address=:80      protocol=tcp action=redirect to-dst-address=192.168.0.1 to-dst-port=3128      comment="" disabled=no

 

这里的192.168.0.0/24表示内网里的所有机器,192.168.0.1是RO服务器的地址。

这样,客户机既有网页代理缓冲的功能,也有NAT的功能
outeOs做双机冗余


Configuring Master VRRP router
First of all we should create a VRRP instance on this router. We will use the priority of 255 for this
router as it should be preferred router.
[admin@MikroTik] ip vrrp> add interface=local priority=255
[admin@MikroTik] ip vrrp> print
Flags: X - disabled, I - invalid, M - master, B - backup
0 M name="vr1" interface=local vrid=1 priority=255 interval=1
preemption-mode=yes authentication=none password="" on-backup=""
on-master=""
[admin@MikroTik] ip vrrp>
Next the virtual IP address should be added to this VRRP instance
[admin@MikroTik] ip vrrp> address add address=192.168.1.1/24 \... virtual-router=vr1
[admin@MikroTik] ip vrrp> address print
Flags: X - disabled, A - active
# ADDRESS NETWORK BROADCAST VIRTUAL-ROUTER
0 192.168.1.1/24 192.168.1.0 192.168.1.255 vr1
[admin@MikroTik] ip vrrp>
Now this address should appear in /ip address list:
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.1/24 10.0.0.0 10.0.0.255 public
1 192.168.1.2/24 192.168.1.0 192.168.1.255 local
2 D 192.168.1.1/24 192.168.1.0 192.168.1.255 local
[admin@MikroTik] ip address>


Configuring Backup VRRP router
Now we will create VRRP instance with lower priority (we can use the default value of 100), so this
router will back up the preferred one:
[admin@MikroTik] ip vrrp> add interface=local
[admin@MikroTik] ip vrrp> print
Flags: X - disabled, I - invalid, M - master, B - backup
0 B name="vr1" interface=local vrid=1 priority=100 interval=1
preemption-mode=yes authentication=none password="" on-backup=""
on-master=""
[admin@MikroTik] ip vrrp>
Now we should add the same virtual address as was added to the master node:
Page 283 of 564
[admin@MikroTik] ip vrrp> address add address=192.168.1.1/24 \... virtual-router=vr1
[admin@MikroTik] ip vrrp> address print
Flags: X - disabled, A - active
# ADDRESS NETWORK BROADCAST VIRTUAL-ROUTER
0 192.168.1.1/24 192.168.1.0 192.168.1.255 vr1
[admin@MikroTik] ip vrrp>
Note that this address will not appear in /ip address list:
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.1.0.1/24 10.0.0.0 10.0.0.255 public
1 192.168.1.3/24 192.168.1.0 192.168.1.255 local
[admin@MikroTik] ip address>


Testing fail over
Now, when we will disconnect the master router, the backup one will switch to the master state:
[admin@MikroTik] ip vrrp> print
Flags: X - disabled, I - invalid, M - master, B - backup
0 M name="vr1" interface=local vrid=1 priority=100 interval=1
preemption-mode=yes authentication=none password="" on-backup=""
on-master=""
[admin@MikroTik] ip vrrp> /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.1.0.1/24 10.0.0.0 10.0.0.255 public
1 192.168.1.3/24 192.168.1.0 192.168.1.255 local
2 D 192.168.1.1/24 192.168.1.0 192.168.1.255 local
[admin@MikroTik] ip vrrp>


routeros 的安装心得--ros***禁用词语***

研究了一段时间ROUTEROS发现他的确是一个不错的软路由下面说一下我的安装设置心得 <!--emo&:P--><!--endemo-->

先说一下我的网络环境 
二根有限通是动态ip,要做负载均衡 
内网ip段192.168.0.1-192.168.0.200 
要完全开放192.168.0.168主机(就像路由中的dmz主机)


机器配置 
赛扬1。1G 64M 3块3com网卡

1。用光盘版全选安装 (软盘版要另外下插件) 
注意注册码都用大写 
先插上一块网卡以便定下他作为连接内网的网卡 
2。使用 admin用户登陆, 密码为空 
3。设置第一块网卡的ip 
输入setup,提示你设置ether1(第一块网卡连接内网),输入ip地址(192.168.0.1)子网掩码(255.255.255.0) gateway:192.168.0.254一路回车即可。 
4。将剩下二块网卡插入电脑 
5。在windows机器上,ip设成192.168.0.x ,在 ie 地址栏输上 192.168.0.1 
出现 routeos 的欢迎画面。点击,提示下载 winbox ,保存 
6。运行 winbox 输上 192.168.0.1 用户名 admin 密码为空,选连接。会出现路由的管理界面
7。激活新插入的二块网卡:点 interface ,点第二块卡,选勾,启用前面由x变为R 
8。设置外网的二块网卡地址,在winbox选ip->dhcp-client 在窗口中勾上enabled interface选ether2(第二块网卡)勾上add default route 选hostname并添上wan1 表示第一块外网网卡,然后apply 这时如果拿到ip就会在ip->address里看到ip了 
现在设置第三块网卡,现在有问题了routeros只能添加一个dhcp客户,所以如果再按上面的方法获得ip那么前面的到的ip就没有了,所以这里只能将就一下了,因为有限通ip一般只要连接就不会变ip所以就把还有一根线上的ip作为静态ip看,先记下ip然后在ip->address里按加号填入ip如219.233.23.23/24,在这里要注意:其实都是固定ip的话就在这设置即可,但如果你的二个ip在同一网段中如一个是219.233.23.23另一个是219.233.23.147的话就要在/后就是掩码这部分分一下 
如219.233.23.23/25 219.233.23.147/24 这样在后面负载均衡时就不会出错了 
9。现在你应该能ping通外网了,不过防火墙还没设置,在ip->firewall里选source nat 按加号添加规则,在规则里选action ->action里选masquerade 
现在就能局域网里就能上网了。 
10。现在来设负载均衡 
在控制台里输入 
ip route add gat=外网地址1,外网地址2 
即可 
是不是很简单啊 
11。端口映射 
端口映射很容易 
在控制台里 
ip firewall dst-nat> add action=nat protocol=tcp 

这是协议可以选all 
dst-address=外网地址/32:80 to-dst-address=内网ip地址 

这里是你要映射的端口,如果全部就不要添

例子1:将外网所有80端口的请求都指向到168上 
ip firewall dst-nat> add action=nat protocol=tcp 
dst-address=319.23.23.23/32:80 to-dst-address=192.168.0.168 
例子2:完全开放192.168.0.168 
ip firewall dst-nat> add action=nat protocol=tcp 
dst-address=319.23.23.23/32 to-dst-address=192.168.0.168


12.来看看routeros的防火墙吧,功能不错哦 
比如现在流行的震荡波和冲击波的端口134-139 
在winbox中 
ip->firewall->filter rules 先设input(在右边可选的) 
选加 
general 
protocl选udp或tcp(其实这二个都要设,只要重复作就好了) 
src.port勾上填入134-139 
dst.port勾上填入134-139 
action 
在action里选drop丢弃包或reject拒绝包 
ok完成 
再选forward和output照上面设完,这样不论是外网的机器或内网的机器中毒都不会影响其他用户了。 
其实ip filter rules可设很多规则可以作一个非常不错的防火墙不过要注意input,forward,output根据不同情况的设置

补充一下,其实在端口映射里这样作,环流(就是内网也可用外网的地址访问内网的主机)功能也自然实现了

 

RouterOS的Hotspot设置说明

<!---->CCF:zhanghui 
参照routeros的手册,针对我的情况作了部分修改。已经在2.7.14和2.8.11上测试通过。

我的routeros是2块网卡,ether1连接adsl,做pppoe client,ether2连接局域网。 
首先按照论坛上置顶的说明正确安装并配置routeros,实现客户机能够正常上网。 
然后terminal routeros

改变www服务端口为8081: 
/ip service set www port=8081

改变hotspot服务端口为80,为用户登录页面做准备: 
/ip service set hotspot port=80


Setup hotspot profile to mark authenticated users with flow name "hs-auth": 
/ip hotspot profile set default mark-flow="hs-auth" login-method=enabled-address

增加一个用户: 
/ip hotspot user add name=user1 password=1


重定向所有未授权用户的tcp请求到hotspot服务 
/ip firewall dst-nat add in-interface="ether2" flow="!hs-auth" protocol=tcp action=redirect 
to-dst-port=80 comment="redirect unauthorized clients to hotspot service"


允许dns请求、icmp ping ;拒绝其他未经认证的所有请求: 
/ip firewall add name=hotspot-temp comment="limit unauthorized hotspot clients"

/ip firewall rule forward add in-interface=ether2 action=jump 
jump-target=hotspot-temp comment="limit access for unauthorized hotspot clients"

/ip firewall rule input add in-interface=ether2 dst-port=80 protocol=tcp 
action=accept comment="accept requests for hotspot servlet"

/ip firewall rule input add in-interface=ether2 dst-port=67 protocol=udp 
action=accept comment="accept requests for local DHCP server"

/ip firewall rule input add in-interface=ether2 action=jump 
jump-target=hotspot-temp comment="limit access for unauthorized hotspot clients"

/ip firewall rule hotspot-temp add flow="hs-auth" action=return 
comment="return if connection is authorized"

/ip firewall rule hotspot-temp add protocol=icmp action=return 
comment="allow ping requests"

/ip firewall rule hotspot-temp add protocol=udp dst-port=53 action=return 
comment="allow dns requests"

/ip firewall rule hotspot-temp add action=reject 
comment="reject access for unauthorized clients"

创建hotspot通道给认证后的hotspot用户 
Create hotspot chain for authorized hotspot clients: 
/ip firewall add name=hotspot comment="account authorized hotspot clients"

Pass all through going traffic to hotspot chain: 
/ip firewall rule forward add action=jump jump-target=hotspot 
comment="account traffic for authorized hotspot clients"


客户机输入任何网址,都自动跳转到登陆页面,输入账号密码,继续浏览。 
如果使用ftp、pop3等,也必须先通过网页登录,才可以使用,当然使用winbox的时候也必须先登录。

 


routerOS防火墙规则


ip firewall rule input !!防火墙!!!!
add protocol=tcp tcp-options=no-sys-only connection-state=established action=accept comment="Established TCP connections" disabled=no
add connection-state=related action=accept comment="Related connections" disabled=no
add dst-address=:69 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:69 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:134-139 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:134-139 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:161-162 protocol=tcp action=drop comment="drop SNMP Trap" disabled=no
add dst-address=:161-162 protocol=udp action=drop comment="drop SNMP Trap" disabled=no
add dst-address=:445 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:445 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:554 protocol=tcp action=drop comment="drop blaster wrom" disabled=no
add dst-address=:554 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:593 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:593 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:1025 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:1025 protocol=udp action=drop comment="drop blaster worm" disabled=no
add det-address=:1068 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:1068 protocol=udp action=drop comment-"drop blaster worm" disabled=no
add dst-address=:2000 protocol=tcp action=drop comment="drop Millenium" disabled=no
add dst-address=:2000 protocol=udp action=drop comment="drop millenium" disabled=no
add dst-address=:3127-3198 protocol=tcp action=drop comment="drop proxy worm" disabled=no
add dst-address=:3127-3198 protocol=udp action=drop comment="drop proxy worm" disabled=no
add dst-address=:3389 protocol=tcp action=drop comment="drop windows supper clinet link" disabled=no
add dst-address=:3389 protocpl=udp action=drop comment="drop windows supper clinet link" disabled=no
add dst-address=:4444 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:4444 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:5554 protocol=tcp action=drop comment="drop blaster worm\' disabled=no
add dst-address=:5554 protocol=udp action=drop comment="drop Bt download" disabled=no
add dst-address=:6881-6889 protocol=tcp action=drop comment="drop drop Bt download" disabled=no
add dst-address=:6881-6889 protocol=udp action=drop comment="drop drop Bt download" disabled=no
add dst-address=:8881-8889 protocol=tcp action=drop comment="drop drop Bt download" disabled=no
add dst-address=:8881-8889 protocol=udp action=drop comment="drop drop Bt download" disabled=no
add dst-address=:39213 protocol=tcp action=drop comment="drop worm" disabled=no
add dst-address=:39213 protocol=tcp action=drop comment="drop worm" disabled=no
add protocol=udp action=accept comment="udp" disabled=no
add dst-address=XXX.XXX.XXX.XXX/32 protocol=icmp action=drop
add protocol=icmp limit-count=50 limit-burst=2 limit-time=5s action=accept comment="allow limited pings" disabled=0
comment="dont ping me" disabled=no
add dst-address=!192.168.0.0/24:3987 protocol=tcp action=drop comment="dont link me" disabled=no
add src-address=192.168.0.0/24 dst-address=192.168.0.125/32 action=accept comment="from lan admin" disabled=no
add action=drop log=yes comment="Log and drop everything else" disabled=no

ip firewall rule forward (禁止某些网站IP)
add dst-address=:134-139 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:134-139 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=61.240.246.41/32 action=DROP comment="DROP WWW. CY07.COM" disabled=no

ip service 禁止外网控制路由
set telent port=23 address=192.168.0.0/24 disabled=yes
set ftp port=21 address=192.168.0.0/24 disabled=no (把21端口改了)
set www port=80 address=192.168.0.0/24 disabled=no (把80端口改了)
set ssh port=22 address=192.168.0.0/24 disabled=yes

user 管理员只能在内网登陆
set 0 address=192.168.0.0/24

将规则另存为*.rsc文件,进入控制台,或者在路由器本机上,输入 import *.rsc
该规则导入完成