ROS軟路由學習筆記————————————————————————————————作者:————————————————————————————————日期: ROS軟路由學習筆記基礎知識?安裝完成后什么都沒有設置的情況下登陸

用戶adｍiｎ?密碼空

1、查看已經安裝的網卡

＞/int

＞pri

２、確認安裝了2塊網卡之后,如果看到網卡其那面的英文為X，

則需要激活網卡，2.９系列的版本是自動激活網卡的！

＞enable０?＞ｅnaｂｌe1?３、激活之后網卡前面的英文為“R”然后更改網卡名字

>set0namｅ=laｎ?>set1nａme=waｎ?＞/注：“/”為退出的意思?４、設置內網卡的ＩＰ和子網掩碼

>set?>ａ

＞ａ?＞lan?回車后輸入你服務器內網卡的IP地址,如19２.1６８.1.1?下面IＰ后的"/24＂是代表子網掩碼255.25５.25５.０?比如：192.168.１.1/24

回車后按G設置網關?１９2.168.1.１?5、設置外網卡IP和子網掩碼

＞ｓet

>a

>a

>waｎ

回車后輸入網通/電信給你提供的IＰ。IP后的“/29”代表子網掩碼

“/２9”代表“2５5.２5５.2５5．24８”?如果你的子網掩碼不是"255．255.255.2４8"請自己算?或者用子網掩碼計算器來進行計算!?21０.137.174．1/2９?按回車后按G設置網關?219.13７.174.１93?６、查看IP設置情況

＞ipadd?>prｉ

假如網卡1設置錯誤，刪除設置錯誤的網卡?＞reｍｏｖe1

重新啟動一次，完成后在其他機器用WINBＯX登入?7、設置ＤNS

IＰ-－ｄns--settings?然后輸入您當?shù)氐腄NS如?202．102．２２４.６8?２02．102.2２7．68

8、最后一步,設置共享上網?２.9系列的版本選擇

登陸WINBＯXＩP-Fliｒeｗall－選擇"＋"號-Ａctｉon-masquerade

以下是我自己學習的!?＠@＠＠@@@＠@@@＠@＠@@@@@＠＠@＠＠@@＠@＠@＠@@@@@@＠＠@@@＠@@@@

@@@＠@@@@＠@@@@＠@@@@@@@@＠@@@@＠＠@@＠＠@＠＠＠＠@@@@@＠@@@

建議選擇所有組件a然后ｉ進行安裝遇到以下英文看下面?@＠＠＠@@＠@@@@@@@@@@@@@@@@@@@@@@@@@@@＠＠@＠＠＠@@@@@@@?Waｒｎｉnｇ:ａlldaｔａｏntｈeｄiskｗillbeerａsed!

警告:磁盤上的所有數(shù)據都將被刪除！選擇Y

＠@@＠@@＠@＠@@@＠＠＠@@@@@＠@＠@@@＠@@@＠@＠@@@＠@＠＠@＠@＠@＠＠

Ｄｏｙｏｕwanttokｅｅpoldcｏnfiguration？?你想保留舊的配置？

選擇N?@@@@@＠@@@@＠＠＠＠@@@@@@@@@＠@＠@@＠＠＠@@＠@@@＠@@＠@＠@@＠@

然后他就會自解壓所有的組件文件安裝后提示按回車啟動裝完ROS后輸入賬號admiｎ密碼空按回車

接著輸入setｕp?然后選擇a附解釋

r-ｒeseｔallrouteｒｃonfiｇurａt(yī)iｏn

重置所有路由器的配置?l-loａdｉnｔeｒｆａcedrivｅｒ

負載接口的驅動程序

ａ-ｃoｎｆiguｒeipaｄdressａndgatewaｙ配置ＩP地址和網關?ｄ-setupdhcpclient

設置DＨCP客戶端?s-seｔuｐdhｃpｓerｖer

設置DHCＰ服務器?p-sｅtｕppppoeｃlient

安裝PPＰoE客戶端?t-setuｐpｐtpclieｎｔ

安裝PPTP客戶端

ｘ－ｅxitmenu

退出菜單?＠@@@@@@@@＠@@＠@@@@@＠@＠@＠@@＠@＠@@@@@@＠@@@@＠@@@@@@@@@@

繼續(xù)ｉng..．.

ｙｏuｒchoice[pressEｎtertoconfigｕｒｅipaddrｅssaｎdyatewａｙ]:選擇ａ

選擇[按回車鍵配置IＰ地址和子網掩碼]：ａ

a-addipaｄｄrｅss

添加IP地址

g－setupdefaultｇateway

設置默認網關

x-exuｔmenu

退出菜單?＠@@＠@@@@＠@@@@＠＠@@＠@＠@@@@＠＠@@@＠@@@@@＠＠@＠@@@@@＠＠@＠＠@＠

繼續(xù)ing..．.

yourcｈoice[pressEntｅrtoａｄdｉｐａdｄress]：選擇a

選擇[按Enｔeｒ鍵，添加IP地址]:選擇a?＠＠@@＠@@@＠@@@@@@@@@@＠＠＠@＠＠@@@@@＠@@@＠＠＠@＠＠@＠@@@@＠@@@@?ｅｎaｂleinteｒface:ｅｔhｅr１

網卡的接口名稱：ｅtｈer1

ipaｄdress／neｔmask:192．1６8.０.1/24

ＩＰ地址/掩碼：192.１6８．0.1／24?@@@@@@＠@@@@＠@@@@@@＠@@＠@@@@@@@@@＠@@@@@@@@@@@@＠@@@@@@

到此結束啦!然后按兩個X

Ｘ退出菜單?現(xiàn)在應該能PINＧ通你剛才設置的IP如果不通

請檢測你網線插的接口的位置!

我用虛擬機設置一個網段，可以ＰIＮG通

現(xiàn)在您可以訪問hｔtp://192．１68.0.１來配置你的ROS?注:我也是個新手哦！這個只是我學習時候的筆記！?@@@@@＠＠@＠@@@@@@＠@＠@@@@@@＠＠@@@@@@@@@@@@@@@@@@＠@@＠@@@?@@@@＠@@@@@＠＠＠@@@@@@@@＠@@＠@@＠@＠@@@＠@@@@@@@＠@@@@@@@＠@?ｐppｏe撥號上網如下親自操作并記錄哦?點擊wｉｎbox上的Interfaes(接口）

在彈出的對話框里選擇+旁邊的三角形

選擇PPPOEClieｎｔ接口位置選擇wan

注：內網網卡名字修改LAN外網網卡名稱為WAＮ?在選擇第二個選項卡DｉａlOｕｔ?填寫

Ｕｓer為您的上網賬號?PASSWORD為您的上網密碼?點擊OK按鈕，搞定收工?現(xiàn)在需要添加ＮAＴ網絡地址轉換(ＩP偽裝）如下操作?注：本地方如果不操作,是不可能上網的?在IP選項卡內找到Ｆierwall點擊后會打開Fierwall

然后選擇Fierwaｌl中的NAＴ點擊下面的+號

在彈出的Actioｎ中選擇masquerade點擊OＫ搞定

到此PPPOE才可以正常使用！

沒想象中的那么難處理！對于節(jié)點超過500以上的網絡共享上網的話建議使用RＯS(做NAT)＋3層交換機的方式:下面就詳細講RＯS和3層交換機上如何配制假設５00臺機器劃分為5段,每段機100臺,分別的網段是192.168.１.X----192.168．５．X?ROS的內網地址就設置為192.1６8.0.1三層交換機的ＷAN口地址設置為１9２.16８．0.2ROＳ配置

ROS內網地址

1

1９2．168.0.１／24

１92.168.0．０

192.1６8．0．25５

ＬAＮ

ＲOS做地址隱藏要將全部節(jié)點的IP都要包括進去,所以就來來個

ｓrc-aｄdｒess=/16actiｏn=ｍaｓqｕerａｄe

給ROS指回頭路由到三成交換機

iprouteaddｄst-ａdｄress=１92.168.1．0/24gａｔewａy=192．1６8.0.2

ｉprｏｕtｅadddsｔ-ａｄｄｒｅss=192.１6８．２.0/２4ｇateway＝１9２.１68.0.2?iproｕtｅaddｄsｔ-ａddreｓs＝１9２.168．3.0／24ｇateｗaｙ=192.1６8.０.2?ｉproｕteadddｓt-ａddrｅss=192.１68．4.０/24gateｗaｙ＝19２．１6８.0.2

iprｏｕtｅａdddｓt-adｄreｓs=192．168.5．0/24ｇaｔeway=１?三層交換機配置由于三層交換機各廠家配制命令不一樣，下面只說大致配制步驟先給三層交換機配制WAN口地址１9２．１68.0．2?靜態(tài)網關0.0．0.00.0．0．0192.16８.０.1

然后新建立５個VＬAN,分別是VＬAN100

ＶLAＮ1０1VＬAN1０２VLAN1０3VLAＮ10４，其個VLAN的IP地址分別為192．１６8.1.１,19２.168.2.1,192．168.3.1，192.1６8.4．1,192.1６８．5．１?然后根據需要分配每個VLAN分配的端口如果是網吧,為了降低成本,可以用ROS直接添加多個網卡直接分段,效果也很不錯ＲＯS中清除tｃp-sｔａt(yī)eclｏse狀態(tài)的方法:ROS里TCP-SＴＡＴＥClosｅ狀態(tài)過多,會出現(xiàn)網頁打不開之類的現(xiàn)象，原因是ROS里ＴCP-STATE連接狀態(tài)默認時間是一天，這樣要等24小時候ROS才會關掉這個連接，這個可以在Tｒaｃｋing里把連接時間設置小一點,但是會有點副作用。最好的辦法是用腳本定時清除。?1、在ROS的SYSTEＭ下的Scriｐts里建一個腳本?2、在ROS的ＳYSTEM下的Ｓcheｄulｅr里建一個任務,時間設成一分鐘執(zhí)行一次腳本就差不多了。

?2.9x腳本如下:??/ｉpfirｃoｎreｍoｖe［／iｐfiｒcoｎfindtcp-state=close]

?3．ｘ腳本如下：??/ipfirconreｍove[/iｐｆirｃｏnfｉnｄtcｐ-stａt(yī)e="ｃloｓｅ＂]/sｙｓtｅｍｓcheduｌerａｄdｎａme="ｄeｌ_cｌose"on-ｅvent="／iｐfirewalｌｃｏｎnectionreｍovｅ\[/ｉｐfiｒeｗａllconnｅcｔiｏnfｉnｄtcp-state=clｏsｅ\]"starｔ-date=ｊan/01/1970＼staｒt-time=０0:０0:00inｔｅrval＝１mcomment＝""ｄiｓabｌed＝no:ｇｌobaｌRxＣurPａcket0

:globalRｘCurUsｅｒ0

＃設置用戶上傳超過此流量時，踢人?:globalRxCurMax150０0000?

：foｒeachiiｎ=［/interfacefｉndmtu=148０］dｏ＝｛

/ｉｎtｅrfａcｅmoniｔor＄ioncedo={

:sｅtRxCurPackｅt(＄sent-bits-per-seconｄ)?:setRxCurＵsｅｒ[／pｐpａctiveget$ｉname］}?：if(＄ＲｘＣurMａｘ<＄RｘCuｒPacｋet）do={

/pppactiｖeremovｅ［／pｐpactｉｖeｆinｄｎame=$RxＣurＵsｅr]

/tooluｓer-ｍanageｒｕｓerdiｓabｌｅ$ＲxＣｕｒUser?:loginｆo(＂已經把".$RｘCuｒＵser．"用戶踢下線".［／sysｃｌgetｔime]

．［／ｓysclgetdａt(yī)ｅ］)

}?}

?

ｐｐpoe攻擊踢人腳本最新版2．９．27:修改后的腳本：?：globaｌRxCurPacket０?:globalRｘＣuｒＵsｅｒ０?#設置的用戶上傳超過此流量時，踢人,這里150０００00大約就是15M了,自己看著設了

:gloｂalRxCｕｒＭax150００00０?：ｆoreａchiiｎ=［/ｉｎteｒｆaｃｅｆｉndｍｔu=１480]do={?/inｔｅｒｆacemoｎｉtｏr$iｏｎｃedo={?:ｓeｔRxCurPackｅｔ（$ｒeceｉveｄ-ｂｉtｓ-per-seｃｏｎd)

:ｓｅtRxＣurUser[/ppｐacｔｉｖegｅｔ＄iname]}

：ｉf($RxＣurMax＜$RｘCuｒPaｃｋeｔ)do={?/ｐppａcｔiｖｅｒeｍoｖe[/pppactｉvｅｆindnaｍe=$ＲxCurUser]

/tｏｏluser－manageruｓerｄiｓａbｌe$ＲxＣuｒUseｒ?:lｏgiｎfo("已經把".＄ＲxＣurＵser."用戶踢下線".[/sysｃｌgｅtｔiｍｅ]

.［／syｓclgeｔｄaｔe])?}

}?只改了一個單詞,大家看出來了沒有??原來這句是:

:ｓetRｘＣｕrPａckｅｔ（＄ｓent-biｔs－per－ｓecｏｎd)?改后:?:seｔRｘCurPacket($rｅcｅived-ｂiｔs－peｒ-ｓecond)?重點就是sent與receivｅd的區(qū)別，原來猛男兄的應該是客戶機的下載速度不能超過1５0０0０0０,?改后ｒｅｃeｉｖed才是客戶機的上傳速度,用阿拉丁一攻就踢了。。。

造福大眾,如有得罪一些兄弟的，請多多包涵!

在此多謝WＧＨBOY猛男兄,多謝他拋的玉，?我砸的是磚頭Cisco路由器交換機配置命令詳解

１.交換機支持的命令：?交換機基本狀態(tài)：

switcｈ：;ROM狀態(tài)，路由器是ｒommｏn>?hostname>;用戶模式

hoｓtnaｍe#；特權模式

ｈostnamｅ（ｃｏnfig)#；全局配置模式?hostｎamｅ(confiｇ-if)#；接口狀態(tài)

交換機口令設置：

swiｔch>eｎabｌe；進入特權模式

switch＃coｎfiｇtermｉnal；進入全局配置模式

swｉｔch（ｃｏnｆiｇ）#hoｓtname；設置交換機的主機名?switch（ｃｏnｆig)#enaｂlesｅcretxｘx；設置特權加密口令

switｃh（ｃｏnfｉg)＃enａbｌepasｓwordxｘa；設置特權非密口令?sｗｉtch(config)#ｌiｎeｃｏnｓolｅ0；進入控制臺口

sｗｉtch(coｎfig－liｎｅ)#liｎevｔy04；進入虛擬終端

switch(ｃoｎfｉg-ｌine)#ｌogiｎ；允許登錄

swｉtch(confｉg-linｅ）＃passwordｘx;設置登錄口令ｘx?swiｔch＃exｉt；返回命令?

交換機VLAN設置:

switch＃ｖlandatabasｅ;進入ＶLAN設置?switcｈ(ｖlａn)#vlａn２;建VＬAN2?ｓｗｉtcｈ(vｌan)#novlan2;刪vlan2?switｃh（config)＃intf０/1;進入端口1?switcｈ(cｏnｆig-if）#sｗitｃhporｔaccessvlan２;當前端口加入vｌan2

swiｔch(ｃonfig-if)#switcｈpｏrtmoｄeｔｒunk；設置為干線

ｓwitch(ｃonfiｇ-ｉｆ)#swｉtchportｔrunkalloｗeｄvｌａn1，２；設置允許的ｖlaｎ

ｓwitch（cｏnfｉｇ－iｆ)#swiｔcｈporttrｕnkencapdｏt1q;設置ｖlan中繼

ｓｗitch(coｎfig)#vｔpdｏmain;設置發(fā)vtp域名

switcｈ(cｏnｆiｇ）#vtppasswoｒｄ;設置發(fā)ｖtp密碼?sｗitch(cｏnfig)#vｔpmodeserｖｅr；設置發(fā)vtp模式?switcｈ（conｆig）#vｔpｍｏｄeclient;設置發(fā)vｔp模式

?交換機設置IＰ地址:

?sｗｉtch(config)＃inteｒfａcevｌａn1；進入vlan1

ｓwitch(coｎｆｉg-if)#ipaddress

；設置ＩP地址?swiｔch（ｃonfig）＃iｐｄｅfaｕlt－gａt(yī)ｅway;設置默認網關?swｉtcｈ＃dｉｒｆｌash:；查看閃存

交換機顯示命令:?

switch#wｒitｅ;保存配置信息?ｓwitch＃sｈoｗvtp;查看ｖtｐ配置信息?switｃh＃showｒun;查看當前配置信息

swｉtｃh#shoｗｖlａn;查看vｌaｎ配置信息

ｓwitch#shｏwｉｎterface;查看端口信息

swｉｔch#shoｗｉntｆ0／0；查看指定端口信息

?

2.路由器支持的命令：

路由器顯示命令：?

routｅr#ｓｈowrun;顯示配置信息?ｒouｔｅr#shoｗiｎterface;顯示接口信息

routeｒ#showiｐrｏutｅ；顯示路由信息

rouｔer＃showcｄｐnei；顯示鄰居信息

routｅr#reloaｄ；重新起動

?路由器口令設置:

roｕter＞enａble；進入特權模式?ｒouｔeｒ#cｏnfigtｅｒminal；進入全局配置模式

routｅr(config)#hｏｓｔｎａme；設置交換機的主機名

routｅr(cｏnfiｇ)＃ｅｎaｂleseｃrｅtxｘx;設置特權加密口令

roｕｔer(config)＃eｎableｐassｗoｒdxxb;設置特權非密口令?roｕter（coｎfig)#lｉneｃonsole0;進入控制臺口?ｒｏuｔer（conｆig－ｌinｅ)#ｌｉｎevty04;進入虛擬終端

ｒoutｅr(cｏnfig-ｌiｎe）#ｌogin;要求口令驗證

routｅr(config-line)#paｓｓwordxx;設置登錄口令ｘx?roｕter(ｃonfig）#(Cｔrl+z);返回特權模式?rouｔｅr#exit；返回命令

?路由器配置:

rｏutｅr(ｃｏnfiｇ）＃ints0/0;進入Serail接口?routｅｒ（ｃonfig－if)#ｎｏshutdoｗｎ;激活當前接口

ｒｏuｔer(coｎｆig－if）＃clockrａt(yī)e64000；設置同步時鐘

routｅｒ(cｏnfｉg-iｆ）#iｐａｄｄresｓ

；設置IP地址

ｒｏｕｔer（conｆig－if）#ｉpaddrｅsssｅconｄ;設置第二個ＩP?roｕter（cｏｎfig－iｆ)＃intf０/0．１；進入子接口?router(conｆig－subif.1)#iｐaｄdreｓs;設置子接口IP

ｒoｕｔer(config－ｓubｉf.1)#encapsｕｌationdot1q；綁定vlａn中繼協(xié)議

router(config)＃conｆｉg-ｒｅgiｓteｒ0x２１42；跳過配置文件?ｒoｕtｅｒ（ｃoｎfig)#cｏｎfｉg-rｅｇｉｓter0x2１０2;正常使用配置文件?rｏuｔer#ｒｅlｏad;重新引導

?路由器文件操作:?

ｒoutｅr＃copｙｒunniｎg-configstａrtup-ｃonｆｉg；保存配置

routｅr#copyｒunning-coｎｆigtftp;保存配置到ｔｆtp?routｅr＃copyｓtaｒtup-cｏnfigtftp;開機配置存到tftp

rｏuter#copyｔｆｔpflasｈ:；下傳文件到flａsh?rｏuｔeｒ#copyｔftｐstａｒｔup-ｃｏnｆig;下載配置文件??ROM狀態(tài)：

Cｔrｌ+Brｅak；進入RＯM監(jiān)控狀態(tài)?roｍmon>confreｇ0ｘ2142;跳過配置文件

rommon>cｏnｆreｇ0x210２；恢復配置文件?rommoｎ>ｒｅset;重新引導?roｍmoｎ>copyxmｏdem:fｌash:;從coｎsole傳輸文件??rommｏｎ>IＰ_ADDRESＳ=10．65.1.2;設置路由器ＩP?rommoｎ>IP_SＵＢNET_MＡSＫ=255.25５．０．0;設置路由器掩碼

rｏmmoｎ>TFTP_SEＲVER=１０.65.1.1;指定TFTＰ服務器IP

roｍmon＞TＦTP_FILE=c２600.bｉn;指定下載的文件

rommoｎ>ｔftpdｎld;從ｔftp下載

rommon>dｉｒflash:；查看閃存內容

ｒｏmmon>ｂoot；引導IOS

靜態(tài)路由：??ipｒoｕｔｅ

;命令格式

ｒouter(config)＃iproutｅ２.０．０.０２55．0.０.０1．１.1.2;靜態(tài)路由舉例

ｒouteｒ(coｎfig)#iproｕtｅ０.0.0.0０．0.0．0１．1．1.2；默認路由舉例??動態(tài)路由：?

roｕtｅr（coｎｆｉｇ)＃iｐrouting;啟動路由轉發(fā)?ｒｏｕteｒ（config）#routerrip;啟動RＩP路由協(xié)議。?ｒｏuter(cｏnfｉg-ｒouteｒ)#neｔｗoｒk;設置發(fā)布路由

ｒｏuｔｅr(ｃｏnｆig-rｏutｅｒ)＃neｇihbor;點對點幀中繼用。??幀中繼命令:?

roｕｔｅｒ(cｏnfｉg）#ｆraｍe-relayswｉｔcｈinｇ;使能幀中繼交換?rｏuter（config-s0)#eｎcapsuｌａt(yī)ionfｒaｍe-rｅlay；使能幀中繼

router(ｃoｎfig-s0）#fram-relayｌmi－typecisco;設置管理類型

routｅr(config－ｓ0）#ｆramｅ-rｅlayintｆ－tyｐeDCＥ；設置為ＤCE?rouｔｅr(cｏｎfig-s0)#frame-ｒelayｄlｃi16;

router(config-s０)#frａme-relaylocaｌ-ｄlcｉ20;設置虛電路號?ｒoｕｔer（cｏｎfiｇ-s0）#frａｍe-ｒelayinteｒfaｃｅ－ｄlci１６;?ｒoutｅr（ｃonfig）＃log-aｄjａceｎcy-changes;記錄鄰接變化?rouｔer(confｉg)#intｓ0/０.1ｐｏinｔ－tｏ-ｐoint;設置子接口點對點?ｒouter#shoｗｆrａmepvc;顯示永久虛電路?routｅｒ#shｏwｆｒａmemap;顯示映射

?基本訪問控制列表：??rｏuter(ｃoｎfｉg)#accesｓ-ｌｉstｐermiｔ｜ｄeｎｙ

rｏuｔeｒ(cｏnfig）#ｉnterfａce；ｄｅfault：dｅnyany

routeｒ(ｃonfig-if）#ｉpaｃcess－grouｐin|out;defａｕｌt：out?

例1:?router(ｃonfig)#ａccess－lｉsｔ4ｐerｍｉt１0.8.1．1?ｒouteｒ（config）＃ａｃceｓs-list4ｄenｙ1０.8.1．0０.0.0.25５?ｒoutｅr(confｉg）＃accｅss-ｌｉsｔ4permit１０．8.0.00.0．２5５.25５?routeｒ(ｃoｎfｉg)#acceｓs-lisｔ４deny1０.0．0．00.2５５.２55.255?rｏuter(coｎfｉg)＃ａccess-ｌist4peｒmitany?rｏutｅr(config）#intf0/0

roｕteｒ(cｏnｆｉg-if)#ipaｃcesｓ-gｒｏｕｐ４in?擴展訪問控制列表：?

acceｓs-listpｅrmit|denyicｍp?wild>[type]

access－listperｍit|deｎｙtcp

ｗild＞[poｒt]?例3：?ｒoutｅｒ(conｆiｇ)#ａcｃess-lｉｓt101ｄenyｉcmpany10．64.０.2０.０.0.0echo?router(confｉｇ）#acｃess－ｌist101permiｔipanyａｎy?roｕｔer（confｉg）＃ints0/０

roｕtｅr（conｆｉg-if）#ipａｃcｅss－gｒouｐ101iｎ

例3：?ｒoｕtｅr(config)#accesｓ－list１02ｄeｎｙｔcpanｙ10.６５．0.２０.0.０．0eq80?rｏuteｒ(config)#acｃess-lisｔ102pｅrmiｔipanｙaｎy?routｅr(ｃｏｎfiｇ)#inｔｅrfａｃes0／1?router(config-if)＃ipaccess-grｏup１02ouｔ??刪除訪問控制例表:?

roｕter（coｎfiｇ)＃ｎoaｃcｅsｓ－lisｔ1０２?rｏｕｔer(coｎｆig-if)#ｎoipａcceｓs-ｇrouｐ101in

路由器的ｎat配置??Routｅr(cｏnfig-if)#iｐｎatinside;當前接口指定為內部接口

Ｒoutｅr(ｃｏnｆiｇ-if)#ｉpｎatｏuｔside;當前接口指定為外部接口?Ｒoｕter(cｏｎfig）＃ipnaｔinsｉｄesouｒcestatic[ｐ]<私有IP>＜公網IＰ>[porｔ]

Rouｔer(conｆig)#ｉpnatiｎsiｄesouｒcestatic10.6５.1.260.１.1．1

Router(ｃonfig)#ipｎatinsiｄeｓourｃｅstatｉctｃｐ1０.65.1.380６０．1.1.1８０?Rｏuｔeｒ(cｏnｆig）#ipnatpｏolp１60.１.１.160.１.１．２02５５．２55.２5５．0?Ｒｏutｅr(config)#iｐnatinｓideｓoｕｒcｅｌist1poｏlp1

Router(ｃonfig)#ipnatinsidｅｄeｓtinationlｉｓt２poolｐ2

Rｏutｅｒ(cｏnｆig)#ipnatiｎｓidesourcelｉst2inｔeｒfａceｓ０/0ｏverｌoad

Ｒouteｒ(ｃoｎfig)#ipnaｔpoｏlp21０.65.１.210．６5．1.４2５5.25５.２55.0tｙpｅrｏｔａrｙ?Ｒoutｅr#showipnaｔtrａnslatiｏn

ｒotary參數(shù)是輪流的意思，地址池中的IP輪流與NAT分配的地址匹配。

oveｒloａｄ參數(shù)用于PAＴ將內部ＩＰ映射到一個公網ＩP不同的端口上。

?外部網關協(xié)議配置：

?routｅrＡ(coｎfig)#rouｔeｒbｇp10０?routerA(coｎfig－router）＃neｔwｏrk19.0．0.０

rｏｕterA(ｃonfig-roｕteｒ)#neigｈbor8.1．1.２remｏte-aｓ２０0

?配置PPＰ驗證：

RouterＡ(config)#uｓerｎameｐaｓｓwoｒd?RoutｅrA(config)#inｔｓ0

RouteｒＡ(ｃｏnｆig-if)＃pppaｕthentｉcaｔioｎ｛chap｜pap}

3．ＰＩX防火墻命令??Ｐix５2５(confｉg)#nａmｅiｆetheｒｎｅt０ｏuｔｓidｅseｃuｒity0;命名接口和級別?Pix525(coｎfｉg)#iｎtｅrｆａｃeethernｅｔ0autｏ；設置接口方式?Piｘ５25(ｃoｎfig）#interfａcｅetherneｔ1１00ｆull；設置接口方式

Piｘ5２5(conｆiｇ)#inｔerfaceethｅrneｔ１100fullｓhｕｔdowｎ

Pｉｘ525（ｃonfig)#iｐaｄdｒessiｎside192．168.０.１25５.2５５.25５.０

Pix52５(conｆig）#iｐaｄdｒｅssouｔｓidｅ１33．０.０.１2５５．25５.2５5．252

?Ｐix５2５(cｏnｆig)#globａl(ｉf_name）naｔidiｐ-ip;定義公網IＰ區(qū)間

Ｐｉx525(ｃonｆiｇ)＃ｇlobal（ｏuｔside）17．0.0.1-7.０.0.１５；例句?Pix525(ｃｏnfig）#globａl(outside）1133．０.0.１;例句?Pix525（ｃonｆiｇ)#nogｌobal(ouｔsidｅ）1133．0.0．1;去掉設置??Pix525(confｉg)＃naｔ(if_nａｍe）nat_idｌocal＿ip［ｎetmark]?Ｐｉx５25（ｃｏnfiｇ)＃nat(ｉnｓide)10０?內網所有主機（0代表0.0.０．0)可以訪問glｏbal1指定的外網。

Ｐix525(coｎfig)#ｎaｔ(insｉdｅ)125５.255.0.0?內網１72.16．5.0／１6網段的主機可以訪問global1指定的外網。??Pix5２5(conｆig)#ｒoｕteiｆ_ｎame00gateway_ip[mｅtriｃ］;命令格式?Ｐix5２5(confiｇ)＃routｅｏutsｉｄe0０1３3.0．0.１1；例句?Pix525（ｃonfig)＃roｕtｅｉnsiｄe1０.１.０．０２55.２55.0.010．8.0.１1;例句??Pix525(coｎｆiｇ)＃static(iｎsidｅ,oｕtsｉｄe)1３3.0.0．１192.１68．0．8

表示內部ｉp地址1９2.1６8.０．8，訪問外部時被翻譯成133.0.0.１全局地址。??Pix525（confiｇ)#ｓtatｉc(ｄmz,ｏutsｉde)1３

中間區(qū)域ｉp地址172.16.０.8，訪問外部時被翻譯成133.0．0.1全局地址．?(收藏于51CTO)ＣIＣSＯ交換機+ROSVＬAＮ設置前面有不少人問起過ＶLAN的用法，在這里先拋磚引玉吧以下是RＯＳＶＬAN的設置通用法則，其他交換機可以采用類似的思路是一樣的，并且在華為和SSＲ等名牌設備上都做通了1、設置交換機:1、1添加相應VLANｓetvlan111nameｏｆficｅtypｅetheｒnetmtu15０0sａid100111ｓtaｔeaｃtiｖesｅtvlan112naｍｅfａｃtorytypeｅtherｎｅｔmtｕ1500said１00112sｔateactiｖｅseｔｖｌan113ｎamｅscｈoolｔypeethernetｍtu1500said1０011３staｔｅａctiveseｔvlaｎ114namｅcnｃｔypeethernetmtu１500said10０1１4staｔeacｔｉve//以上是設置了1１1-11４VLＡN的名字等參數(shù)。1、2將11１-１14的VLAＮ分配各個相應端口setｖｌａn1１１２/7sｅtvｌan１１２2/9sｅtｖlａn1132／１1seｔvlaｎ１14２/13/／接網線:１11(2/７）接辦公樓;11２（2/9）接集團工廠車間;113(2/１１）接集團子弟學校；１1４(2/13)接網通出口/／好象沒有ROS什么事呀?先別急,等一會再說1、3配置VＬAN干線cｌeartrunｋ2/52-１１0，1１5-1005//以上也許可以省略，目的是將其他與ＲＯS無關的VＬAN拋開settruｎk２／5oｎdot１q1，1１１-１14//將2/5設置為ＴＲUNＫ口,vlａn的封裝類型一定要用ｄｏt１ｑ，因為ROＳ僅支持標準802．1q的vlan，因此采購其他的交換機也要支持８02.1q的交換機，有些市面交換機只支持私有的ＶLAN協(xié)議／／同樣,如果選CISＣO的交換機，也要注意不能配置成ISL的VLAN,如果ＭIKＲＯTＩK購買CISＣＯ的協(xié)議，ＲOＳ就不會那么便宜了!／／這個口子就插ROS的etheｒ1//etheｒ1是外口還是內口?都是！//暈了？繼續(xù)向下看--->2、設置ＲOS其實很簡單:2、１創(chuàng)建VLAN并加入到ether1/interｆaｃevlanaddｍtu=15０0aｒp＝enａbledvlan-ｉd=１１1inteｒface=eｔher1ａｄｄmｔu=15００arp=enabｌedｖｌan－iｄ=１12interｆacｅ=ethｅｒ1addmtｕ=150０arｐ=ｅnaｂledvｌａn-id=11３interfａｃｅ＝ｅthｅr1addｍｔu=1500ａrｐ＝enａbleｄvlan-id＝１１4iｎterfacｅ=ether１//雖然語法和CISCＯ不一樣，但道理是一樣的//注意要點，這里的VLANＩD與前面交換機的要一一對應,ＶLAN名稱有些交換機可以不對應，但有些交換機要求較嚴格,不對應不通2、2使用ＶLAN，ＶLAN的使用非常簡單,把它們象普通網卡那樣對待就可以了/ipaｄdressadｄadｄress=192.１6８.0．1/24ｎetwoｒk=192.168．0．０broadcａst=19２.168.0.25５inｔerfａce＝ｏfficｅcomｍent=＂"addａddresｓ=192．168.1．1/3０networｋ=１92.168.1.０ｂrｏａdcａｓｔ=1９2.１68.1.255intｅrfacｅ=factorycoｍmｅnt=""addaｄｄress=192.１68．２.1/24netwｏrk＝１9２.1６8.2.0broadcast=192.1６8.2.２55iｎｔｅrface=schoolｃoｍment＝"＂aｄdadｄress=2２1．３8.15６.42/30nｅtwoｒk=221.38．１56.40bｒoadcａst＝221.３8.156．43ｉnｔｅrfaｃｅ=ｃｎccomment=＂＂/／以上是給各個ｖlan設置地址2、3做其他必要設置/iprouｔeadddsｔ-addｒesｓ＝0.0.0．0／０ｐrｅｆerreｄ-ｓoｕrｃe=0．０．0.０gaｔeway＝２２1.38．１56.４1ｄｉｓtａnce=1commｅnt="addeｄbysｅtuｐ"／/添加缺省路由/ipfirｅwallsｒc－nataddsrｃ-ａdｄｒｅss＝19２.168.0．０/16ouｔ-inｔerface=cnｃａctiｏｎ=ｍasqueｒaｄｅcomｍent＝""／/配置NＡＴ轉發(fā)//好了,現(xiàn)在可以上網了,ROS只用了單網卡，并且各個VLAN間可以互訪了３、一句話總結：創(chuàng)建設置VLAＮ并一一對應====>將端口分配VLＡN＝=＝==＞建立VＬAＮ干線=====>象普通網卡那樣使用VＬAN4、相關話題：TＲUＮK不也是要求一一對應的嗎？沒錯，不過RＯS自動識別,不需要特別建立，但需要注意硬件兼容性：8139和ＩＮTＥL網卡是支持VＬAN的,但其他網卡未經測試,不敢保證能通。網吧RＯS解決外網的ＤＤOS的好辦法:ROＳ是大家公認的性能比較優(yōu)越的路由器，綜合比較起來,其性能的卓越性，功能之多是其他路由器無法比擬的，和其他路由器一樣,針對ＲOS系統(tǒng)的安全性和穩(wěn)定性也有一定問題。【原因】做好的ROＳ很多人都不進行禁ｐｉng設置,這樣也就給了外網判斷此IＰ在線的方法。論壇上看到了有個朋友說自己遭受ＤDOＳ攻擊，路由器直接DOWN掉,其實這個問題的發(fā)生起因是內網中馬，在老黑利用此馬對其他的ＩＰ用戶進行攻擊的時候，你的網吧成為了一個IP攻擊源,引起大量數(shù)據傳輸，導致ＲOS掉線。其他的朋友說“你家被別人攻擊了”,其實合理的解釋應該是，你家的機器有機器中馬，別人在利用你家攻擊別人，你的帶寬被吃滿,ＲOS承載能力不足而產生這個現(xiàn)象。。。。除非你和誰有深仇大恨才可能引起別人對你的攻擊?！痉治觥酷槍@個問題的解決辦法,首要的問題是找出問題源，也就是中毒的機器,再者就是將RＯＳ的IP隱藏,讓自己的ＩP保持安全性,同時將內網可以查詢IP的一切網站進行屏蔽,讓別人從內網和外網都對你的ＩＰ搞不到頭腦,這樣他也無從下手?！窘鉀Q】具體做法如下：既然要隱藏IP,但必須要保持ＲＯS的訪問正常,則需要做幾項改動1.更改ROＳ的ｗeb訪問端口，進入ｗinｂox->IＰ->seｒviｃes-＞圖一【注意】這樣更改后，登陸RＯS的時候需要在ＩP后面加上您的端口才可以正常進入，如上圖中的登陸的話就應該更改為：打開winbox－＞在ＩP地址處添加您的IP:51８8->輸入用戶密碼就可以進行登陸了。2.添加外網禁ｐinｇ防火墻進入wiｎbｏx-＞ＩP->firewall－>filｔer->添加這里如果是單線的話,就可以單獨屏蔽掉一個外網網卡的ｐinｇ數(shù)據，如果是雙線網吧的話，就要再做一條filter，把另一條線路添加到禁pｉng設置中。方法與單線一樣，只在ＩnInterｆace中更改為另一條線路的硬件，如果內網也想禁Ｐinｇ的話就再加一條，InInｔerfacｅ中添加為內網網卡。

圖二

圖三圖四這里如果是單線的話,就可以單獨屏蔽掉一個外網網卡的ping數(shù)據，如果是雙線網吧的話，就要再做一條filtｅｒ,把另一條線路添加到禁pｉnｇ設置中。方法與單線一樣，只在ＩnＩｎｔerｆace中更改為另一條線路的硬件，如果內網也想禁Ping的話就再加一條，InInterfaｃe中添加為內網網卡。這樣你可以實驗一下，外網已經無法Piｎg通您了，但是您的登陸仍然正常。3.好了,外網已經無法PIＮG通了,那么該考慮考慮內網的問題了,有些想對您惡搞的人需要知道您的外網ＩP,這可怎么辦，網絡上能查詢IP地址的網站層出不窮，但是具體的站點就只有幾個,所以我們只要將這些站點的訪問直接屏蔽掉,那么就可以增加您IP的隱藏性,不至于被有什么想法的人利用，恩恩,就這么辦針對這個我寫了幾條Filteｒ,大家直接用這個導入ROS的話就可以屏蔽掉這些網站。策略如下：/iｐｆｉｒeｗallfilterＡddchaiｎ=fｏrwarｄcontent＝wｗｗ.ip1３8．comactioｎ=ｒeｊecｔAddchａin=fｏｒwardcontent=wwｗ.ip．ｃnacｔion=ｒｅjectAddｃｈaｉｎ＝ｆorwardｃｏntｅnt=www.ａpnic．nｅtaｃｔion=rejectAdｄchａin=ｆorwardconｔｅnt=ipseeker．ｃnaction=ｒejectAdｄchａin＝forwarｄcontｅnt=www.１23chａ.ｃomacｔion=ｒeｊeｃtＡｄdcｈaｉn＝foｒwardcｏnteｎｔ=aｃtion=rejｅcｔAddchain=ｆorｗaｒdcontent=ip.ｗisa．cｏaｃtioｎ=rejｅｃt。。。。。。。如果再發(fā)現(xiàn)那個網站可以查詢ＩＰ的話直接就可以自己加上一條，然后將網址處的網址更改為您找到的網站域名,就可以了。通過以上幾種方法,我們就可以基本將外網的和內網的部分威脅去掉一部分,讓我們能夠安穩(wěn)的睡一覺了?！揪C述】網絡安全并不是簡單的幾條策略，簡單的幾句話可以講清楚的，保證完全安全的防護，誰也不可能弄出來,微軟那么大的公司一樣讓病毒，漏洞搞的焦頭爛額,何況我們呢。我們現(xiàn)在所能夠做的,就是增加自己的實戰(zhàn)經歷，時刻保持著警惕性,防范住每一個能夠侵害我們的網絡的危險。今天給大家推薦一款不錯的ｒos路由器密碼破解工具：具體介紹：本地ROＳ路由器密碼破解器發(fā)布了,你是不是本地網管?你是不是正在為健忘了ｒos登錄密碼在發(fā)愁？有了本工具，這一操縱將變的非常輕松。首先使用光盤版PE或者U盤版PE。然后進入PＥ后。用這個工具將裝Routeros的那個硬盤的／ｎova/store/ｕser．dat文件刪除，然后你就可以用登陸器使用默認aｄmｉn無密碼進入RＯＳ了,配置不變,僅僅清除了保留密碼的文件!htｔp://www．ｒaｙfｉle.ｃom／fiｌes/1０c97e0２－９c７2-１１de-add4－0014２21b798a/部分工具有可能被殺毒軟件誤報如不放心可以去虛擬機中測試RＯS腳本大全（通用）一：限速腳本

:forｗbｓzfroｍ１to254ｄo＝{/queuesimplｅaddnaｍe=(wbｓz．＄wbsｚ)dｓt-address=(192.16８.0..$wbsz)lｉｍit-aｔ=1024K/1０24Ｋｍaｘ-lｉmiｔ=1０24K/１024K｝?

二：限制每臺機最大線程數(shù)?:forｗbsｚfroｍ1tｏ254ｄo＝｛/ｉpfirewａｌlfｉｌtｅraｄdchａｉn＝fｏｒwarｄsrｃ-addｒｅss＝（192．16８.0..＄wbsｚ)prｏtocoｌ=tcpcoｎneｃｔion-limｉt＝50,3２actiｏｎ=drop}

?三：端口映射?ipfirewaｌｌnaｔaddchain=dｓtnatdst-addreｓs=(20２．96.134.１３４)protocol=tcpdsｔ-ｐoｒｔ=8０to-adｄresses=(１92.１６8.0.1）tｏ-pｏrｔs=８0acｔioｎ=ｄst-nat??四：封端口號?

/ｉｐfiｒｅwａllfilter

ａdchｆoｒwardprtｃpdsｔ－pｏ80００ａcｔdrｏpcoｍｍent＝"BlockadeＱＱ"

?五：更變telneｔ服務端口?／iｐservｉceｓｅｔtelnetｐorｔ=23

?六：更變SＳＨ管理服務端口?/iｐｓerｖｉcｅｓeｔsshpｏrt=２２?

七：更變www服務端口號?/ipｓerviｃｅｓｅｔwwwｐorｔ=８0?

八:更變ＦTP服務端口號?/iｐservｉcesｅtftppｏrt=21

九：增加本ROS管理用戶?/usｅraｄｄnａme=wbsｚpassword＝admingroｕp=ｆulｌ

?十:刪除限速腳本

:forwbszfrom1to254do={／quｅuesｉmpleremoｖe(wbsz.＄wｂsz)}?

十一:封IＰ腳步本

/ipfirｅwallｆiｌter?adｄchaiｎ=ｆorwarddｓt-ａddrｅss=５8/32aｃｔion=ｄropcommeｎt="BlocｋadeQＱ"

十二：禁P2P腳本

/ｉｐfirｅｗａllｆiltｅr

ａddchaiｎ=forwardsrｃ-aｄdrｅsｓ=192.１６８.0．0／２4p2p=all-p2p

action=dropｃｏｍment=＂ＮoP2P"?

十三：限制每臺機最大的TCP線程數(shù)（線程數(shù)=６0)

/ipfiｒeｗaｌlfｉlｔeｒ

addchain=forwaｒdpｒｏtoｃol=tcｐcoｎnection-limit=６0,32actｉoｎ＝drop\?dｉsａｂleｄ=no

?十四：一次性綁定所有在線機器ＭＡC

:fｏrｅachwｂsziｎ=［/iｐａrpｆｉｎddyｎaｍiｃ=ｙｅs]dｏ=［／ipaｒpａｄｄcopy－from＝$wbsz]??十五：解除所以綁定的MAＣ?:ｆoreaｃhwbszin[/ｉparｐfiｎd]do=｛/ipaｒpremove＄ｗbsz}??十六:禁Ping?/iｐfiｒewａlｌfilteｒ?ａｄdｃhain＝outputｐrｏｔocol＝icmｐaｃtｉon＝ｄropcｏmment="ＮoPiｎg＂??十七：禁電驢?／ipfｉrｅwａｌlfiｌter?ａddchaiｎ＝ｆｏｒwardｐｒoｔｏcｏl=tcpdst-ｐort=4661-4６62actｉｏn=dropcommｅｎt＝"NoＥｍulｅ"?addchain=forwardｐrotocoｌ=tcpdst－poｒt=4242aｃtｉon=dｒｏp

addcｈain=forwarddst-addreｓs＝62.241.５３.1５aｃtｉon=drop?

十八：禁ＰPLＩVＥ?/ｉｐｆｉreｗallfｉｌteｒ?ａddcｈaiｎ=ｆｏｒwardprotｏcol=tcpｄst-port=800８acｔｉon=dropcｏmmenｔ=＂NｏPＰl(wèi)ｉｖｅTV＂?addchaiｎ=forwarｄpｒoｔｏｃｏl＝udpdｓt-ｐort=4004ａction=drop

addcｈain=fｏrwardｄｓt-ａddress=218．１０８.237.１1actioｎ＝drｏp?

十九：禁QQ直播?/ｉpfｉｒewallfｉlｔer

adｄｃhain=forｗardpｒｏtｏcｏl＝udpdst-porｔ=13000-140０0actioｎ=droｐcｏmment="ＮoQQLive"?

二十：禁比特精靈

/ipfirewaｌlｆilter

addｃhａiｎ=forｗardprotoｃol=tcpdst-poｒt=1６8８1actiｏn=drｏpcoｍment=＂ＮoＢiｔSpirit"

二十一：禁QＱ聊天（一般公司才需要）?／ｉpfiｒeｗallfｉlter?addcｈａiｎ=ｆｏrwａrdsｒc-aｄｄｒeｓs=1０.５.6.7/32actiｏn=accｅptcomment="NoTencｅｎｔQQ"?ａdchforｗａrｄprｔｃpdsｔ－po８００0actdrop?adｃhｆｏｒwardｐrudｐｄｓｔ－po8００0actｄrop

adｃhｆorｗardｐｒｕdｐdｓt-pｏ8000actdrop

ａｄｄchain＝forwａrdｄｓt-ａddress=61.1４4.238.0/２４action＝drｏp

addchain=ｆorwarｄdｓt-ａddｒess＝61.152.１0０．0/24actiｏｎ=dｒｏｐ?addchａin=ｆorｗardｄsｔ-address=61．141．１94．0/２4action=droｐ

ａddｃhain=forｗarｄdst－aｄｄreｓs=2０2．96．17０.163/３2aｃtｉon=ｄrop

adｄｃhain=fｏrwaｒｄdst-adｄress＝202.104.１2９.0／24ａctioｎ=dｒop?ａddchain＝forwarｄdst－address=2０0/3２acｔion=drop

addchain=forwａrdｄｓt-ａddｒesｓ=202．10４.１９3.11／32action=dｒｏp

aｄdｃhａiｎ＝ｆｏrwardｄst－aｄdrｅｓs=２02.104.19３.12/3２action=dｒｏｐ

adｄchaｉn＝forwaｒｄdｓt-ａddｒｅss=２１８.１7.２09．23/3２actiｏｎ=dｒop

addchａin=foｒwarｄdst-aｄｄreｓs=２18．１8.９５.１53/32actioｎ=ｄrop?adｄchain=fｏrwarｄdst－ａddｒess=21８.18.95.1６5/３2acｔion=ｄrop

aｄdｃhain＝fｏrwardｄsｔ-adｄrｅsｓ=2１８.１8.９5.220/32actiｏｎ＝ｄrｏp

adｄchain＝forｗａrｄdｓt-addreｓs=２１8.8５．138.70/3２ａctiｏn＝dｒop

adｄcｈａiｎ=ｆorwardｄsｔ-adｄｒesｓ=21９.133．３8.0／2４aｃtioｎ＝drop?addｃhain=foｒwaｒｄdｓt-ａddress＝219．133.49．０／2４action＝droｐ

addchaｉn=ｆｏrｗarddst-aｄdrｅss=２２0.13３.40.0/24acｔｉon=ｄrｏｐ

adｄcｈain＝ｆorwarｄconteｎt=sz．tｅncｅｎtaｃtion＝reject?adｄchaｉn=ｆorwardcontenｔ=sz2.tencｅnｔacｔiｏｎ=ｒｅjeｃt

addｃｈain=foｒwardcontent=ｓz3.ｔenｃｅntacｔiｏn=ｒeject

addcｈain=fｏrwａｒdcoｎteｎt=sz4.tｅｎceｎｔａction＝ｒeject

aｄdｃhaiｎ=forwａrdcontenｔ=sz５．tencentaction＝ｒeｊecｔ?addchａin=forｗardｃonｔent＝ｓｚ６.tencentactioｎ＝rｅject?adｄcｈaｉn=ｆorwardcｏntｅnt=sz７.tencentａctiｏn=reｊeｃt

adｄｃhａin=forwaｒdcontenｔ=sz8．tenceｎｔａctiｏn=rejec?addcｈａin=forｗarｄcｏnｔent=ｓz9.ｔeｎｃentactioｎ=rｅｊeｃ?ａｄdchａin=ｆoｒwaｒdcontｅnt=ｔcpconn．teｎｃenｔａctｉｏｎ=rejｅct

addcｈain=fｏｒｗardcoｎtent=tcｐcoｎn２.tencenｔaction=reｊect?aｄdcｈａiｎ＝ｆorwａrｄcoｎtent＝tcpconn3.tｅncentａctiｏn=ｒeject?addchain=forwaｒdｃoｎtｅnt=tcpcｏｎｎ4.ｔｅnｃeｎｔacｔion=rejeｃｔ

adｄｃｈaｉn=forｗardｃｏntenｔ＝ｔｃpconn5.tencｅntacｔion=reｊect?adｄchain＝forwａrdcｏntｅnt=tcpｃoｎn6.tenｃenｔａcｔiｏn＝reｊect?addｃｈａin=ｆoｒwａrdｃoｎtent＝tcpconn7.tencentaｃtioｎ＝ｒｅｊect

addｃhain=forwardconｔent=tcpconｎ８.tｅncｅntａctiｏn=reｊecｔ?ａddｃhaiｎ=foｒｗａrdcｏnteｎｔ＝qｑａctｉｏn=reject?ａddｃｈain=fｏrwarｄconｔent＝www．ｑqaｃｔioｎ=rejｅｃt?

二十二：防止灰鴿子入浸?/ｉpfirewallｆiltｅr?adｄcｈaｉn=forｗａrdｐｒｏｔocol＝ｔcpdst-port=199９aｃtion=dｒopcoｍｍｅnｔ＝"Backdoor.GrａｙBｉrd．aｄ"

adｄchain=foｒｗarｄdsｔ-adｄrｅss=80.190．2４0.1２5action＝dｒop

addchain＝fｏｒwarｄdst-aｄdreｓs＝203．20９.245.168action=ｄroｐ?addchａin=ｆorwardｄst