[研究所] MikroTik RouterOS 學習 (持續更新) (第328頁)

gfx

gfx
個人積分：1603分
文章編號：54809180

1603分

3271樓

2015-03-10 23:33

chingyu_ku wrote:
謝謝gfx大,匯入...(恕刪)

小弟不覺得是Router設定上的問題,建議您換個pptp-server試試.

deanma

deanma
個人積分：74分
文章編號：54823282

74分

3272樓

2015-03-11 19:36

不知道版友們有沒有遇過，
已經在RB450G上設定DHCP Server，
且指定DNS為router自己，
也在DNS中static中設定DDNS網址直接指向內部nas，
但是發現用iphone去ping DDNS的網址，
有時會解析到nas的外部ip，有時有可以解析到內部ip，
有什麼地方需要在注意的嗎？謝謝！

gfx

gfx
個人積分：1603分
文章編號：54824071

1603分

3273樓

2015-03-11 20:36

deanma wrote:
不知道版友們有沒有...(恕刪)

DNS設定有3個要點:
1.若是使用PPPoE撥號,PPPoE選項的Use Peer DNS不能勾,這樣才能依我們指定的DNS查詢.

2.DNS Setting裡的Allow Remote Requests千萬要勾,這樣Router才能提供DNS查詢.

3.因啟用Router DNS查詢,所以DHCP-Server裡的DNS要指向Router ,小弟的即192.168.88.1

deanma

deanma
個人積分：74分
文章編號：54824528

74分

3274樓

2015-03-11 21:07

gfx wrote:
DNS設定有3個要...(恕刪)

這三點確實也都有做到，
所以手機有時解析不到正確的ip才覺得奇怪，
昨天是老婆手機解析錯誤，今天換我的手機解析錯誤，
但同時另一支手機都解析正確...囧

gfx

gfx
個人積分：1603分
文章編號：54824675

1603分

3275樓

2015-03-11 21:16

deanma wrote:
這三點確實也都有做...(恕刪)

用Windows桌機,在DOS視窗輸入nslookup
看目前電腦的DNS是否是Router-ip

deanma

deanma
個人積分：74分
文章編號：54825841

74分

3276樓

2015-03-11 22:23

是RB450G的ip沒錯，
這中間一定有什麼誤會，怎麼會這樣...

家裡兩支android手機都解析些正確，
iphone一直解析到外部ip...

---------更新---------
一直記得入手RB450G後就把原本的WIFI AP的DHCP關掉了，
結果再檢查一輪，發現是iphone取得的ip不是RB450G派的...
想不到犯這種低級錯誤...
讓各位見笑了...

gfx wrote:
用Windows桌...(恕刪)

eavictor

eavictor
個人積分：6分
文章編號：54828105

6分

3277樓

2015-03-12 1:31

gfx wrote:
DNS設定有3個要點...(恕刪)

補充gfx大的DNS相關解說

開啟Allow Remote Request時請特別注意別把自己的上傳頻寬貢獻給DDoS攻擊者
一定要在firewall filter加上四條規則把由WAN來的查詢擋掉

/ip firewall filter
add chain=input connection-state=established
# 允許已建立連線通過防火牆
add chain=input connection-state=related
# 允許已建立連線的相關連線通過防火牆(通常用在FTP和P2P)
add action=drop chain=input dst-port=53 in-interface=WAN protocol=udp src-address=0.0.0.0/0
# 阻擋來自WAN的DNS查詢(udp)
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp src-address=0.0.0.0/0
# 阻擋來自WAN的DNS查詢(tcp)

EdiKeng

EdiKeng
個人積分：52分
文章編號：54860692

52分

3278樓

2015-03-13 23:47

請問各位使用 firewall filter 時, 是否會使頻寬衰減或類似狀況?

個人使用環境;
(1) Routerboard RB951UI-2HnD
(2) RouterOS 版本: v6.27
(3) ISP: 上海中國電信 50M/4M

設定部分 Firewall Filter Rules;
/ip firewall filter
add action=drop chain=forward comment="Block sohu.com" content=sohu.com port=\
80,443 protocol=tcp
add action=drop chain=forward comment="Block doubleclick.net" content=\
doubleclick.net port=80,443 protocol=tcp
add action=drop chain=forward comment="Block quantserve.com" content=\
quantserve.com port=80,443 protocol=tcp
add action=drop chain=forward comment="Block advertising.com" content=\
advertising.com port=80,443 protocol=tcp
add action=drop chain=forward comment="Block adtech.de" content=adtech.de \
port=80,443 protocol=tcp
add action=drop chain=forward comment="Block statcounter.com" content=\
statcounter.com port=80,443 protocol=tcp
add action=drop chain=forward comment="Block imrworldwide.com" content=\
imrworldwide.com port=80,443 protocol=tcp
add action=drop chain=forward comment="Block serving-sys.com" content=\
serving-sys.com port=80,443 protocol=tcp
add action=drop chain=forward comment="Block turn.com" content=turn.com port=\
80,443 protocol=tcp
add action=drop chain=forward comment="Block allyes.com" content=allyes.com \
port=80,443 protocol=tcp

當啟用(Enable)上述任三項時尚正常, 第四項啟用, 頻寬測試下載開始衰減(上傳似乎無影響), 全啟用約衰減 50% 頻寬(剩少於 20M)

有大大們遇過類似狀況嗎? 不然得等返台在中華電信的環境下試試了.

eavictor

eavictor
個人積分：6分
文章編號：54861655

6分

3279樓

2015-03-14 1:32

EdiKeng wrote:
請問各位使用 fir...(恕刪)

同時間開啟 /system resource 觀察CPU、RAM是否有衝到接近100%的狀況出現

EdiKeng

EdiKeng
個人積分：52分
文章編號：54863956

52分

3280樓

2015-03-14 10:54

eavictor wrote:
同時間開啟 /system...(恕刪)

謝謝 eavictor 的提醒;

先前由 resource graph 看不出差異, 但現改由 system resource 瞬間數據觀擦有明顯差異, 不啟用 rules 跑測試時 cpu 約 40~60% loading, 啟用 rules 時, 跑測試 cpu 約 70~100%.

看來 Routeros firewall filter 直接攔阻網頁, 解析 content 還是耗很大的資源.

今天 google 找到了下列網頁;

http://siejelex.net/mikrotik-blocking-website-using-content-filter/

文中提及;
Note : if you using content filter it will consume much CPU process of Routerboard. If you using PC it will no much impacted with cpu.