ROS软路由批量绑定ARP脚本

ros2.96秋风破解版安装教程（修正版）昨天晚上做的教程，因为半夜思路不清晰，做出了一个错误的垃圾教程~首先向下载过教程的朋友道歉~ 这次经过测试给大家重新做个教程~也是刚才到网盟看了一下~贴子还浮在上面~不能对不起大家，所以，不能误导大家，还是乖乖的重新做一个吧~废话少说了~先把需要的软件和部分策略说一下。

ROS2.96秋风破解版下载（网吧电信光纤，大家手下留情！）网通路由表、防火墙策略、自动切换脚本。

（绿字的教程附带，蓝字的请自己下载。

）接下来是说下具体步骤~这样思路会明确一些~1。

安装ROS系统，并选择所有服务。

硬盘接到IDE1，光驱接到IDE0。

BIOS里设置光驱引导系统,我拿虚拟机做演示，顺便虚拟机的使用大家也看下吧！需要安装的服务，全部选择即可。

全选输入A，同意选择输入I，回车，询问你：注意啦，所有数据（功能），都要被安装（选择的），是否继续，输入Y即可。

它又询问，是否保存旧配置，输入N。

接下来开始创建分区，格式化硬盘，安装服务。

提示软件安装完成，按回车重起。

这里多说一句，虚拟机如果安装完ROS后，会自动从硬盘启动，但是真实的计算机，就还是在光驱启动，所以这时候大家该把光盘拿出来了，BIOS里改为硬盘启动，ROS就会独立启动了。

启动后又问了，是否检测硬盘。

通常不必检测了，因为耽误时间。

默认他自动选N。

我们也可以直接输入N的。

他自动选了。

呵呵~2。

登陆ROS，修改网卡名字、填写另外两块网卡的IP信息。

ROS启动好后，在ROS主机上输入账号admin密码为空。

回车。

输入命令/int pri 查看系统检测到几块网卡~电信+网通双线切换路由，当然应该是3块网卡，如果少了，请自行检查问题所在！输入命令/ip address （设置IP命令）输入命令add address=192.168.0.1/24 interface=ether1 设置路由IP，也就是网关~（内网的网关地址）（内网网卡）通常是靠近CPU的为内网网卡，也就是ether1好了，网关设置好了，那我们登陆http://192.168.0.1来下载Winbox刚才我安装过一次，有遗留信息的。

ARP 绑定操作虽然主机在IP 网络中是通过IP 地址通话，但实际上硬件地址（MAC 地址）被用于主机到其他主机的数据传输。

地址解析协议Address resolution protocol (ARP) 是提供硬件地址与IP 地址之间的解析。

每个路由器都一个ARP 列表，记录ARP信息，由IP 地址和相符合的MAC 地址构成，一般ARP 提供动态的IP 与MAC 地址对于关系，自动在ARP 列表中产生。

路由器通过ARP 列表的记录来回应各个主机的数据。

我们也可通过静态的ARP 记录，要求路由器只对静态的ARP 做回应。

这样就可以避免出现如有用户擅自修改IP 地址或者通过ARP 病毒影响路由路由器工作。

如通过下面的设置：1. 在WinBox 中将动态ARP 设置为静态的ARP 记录。

2013-9-18 14:06 上传下载附件(20.98 KB)或者通过命令操作：[admin@MikroTik] ip arp> add address=10.200.15.10 interface=ether1-lanmac-address=00:21:00:56:00:12同样的我们可以使用：将所有的的ARP 记录修改为静态的。

2. 设置ether1 interface 仅回应静态ARP 的请求，arp=reply-only：命令操作如下：[admin@MikroTik] > interface ethernet set ether1 arp=reply-onlyARP 双向绑定事例首先将所有/ip arp 列表中的所有LAN 口的ARP 信息变为静态的，我们可以通过脚本做批处理的修改。

注意，可能通过脚本命令不一定能将所有的内网的ARP 参数修改完，可能需要手动添加。

:foreach i in [/ip arp find dynamic=yes interface=LAN] do={/ip arp add copy-from=$i}然后设置LAN 的网卡为：disabled如果ARP 功能在接口上被关闭，例如：使用arp=disabled，来至客户端的ARP 请求将不被路由器回应，因此必须添加静态的ARP 才行。

ROS软路由PPPoE设置2008-10-22 22:04在局域网内部架设PPPoE服务器，对于传统的局域网，似乎是多此一举。

大家对PPPoE协议并不会陌生，家庭用户目前用的ADSL多采用此协议，的确在以前作局域网时没有人会考虑用PPPoE协议来上网，但现在情况不一样了，因为ARP病毒来了，当双绑无效，使用各种补丁后仍掉线严重时，我们可以考虑用PPPoE这个点对点的协议来换掉广播式的ARP了。

大家知道局域网站设置好IP地址、网关和DNS后即可路由上网，通过ARP协议建立MAC与IP的对应关系，也就是ARP地址映射表，当有工作站打开了带有ARP攻击的网页或游戏外挂时，此工作站便会生成一个伪ARP地址映射表，并向局域网中所有机器发出ARP欺骗包，导致网吧、办公网等局域网用户频繁掉线，目前防范ARP攻击的方法也是五花八门，软的硬的都有，但总是跟不上ARP变种的速度，ARP欺骗已成为局域网的一个顽疾，如何从根本上解决ARP欺骗问题，最根本的解决方法就是不用ARP协议上Internt，工作站通过PPPoE象家用的ADSL一样上网。

本文假定您掌握了ROS软路由器的基本知识，若您从没有接触过，可以参看方舟系统站中有关专题文件，网址为：/view-232.html，以下通过ROS软路由PPPoE设置和工作站端设置等方面介绍。

若制作过程有什么问题，可以发到方舟论坛/arkbbs/forum-5-1.htmlrasdial 宽带连接jz87665857@wy 87665857一、ROS软路由PPPoE设置１、设置IP地址池进入winbox,单击IP→Pool如图1所示。

图1出现“IP Pool”界面，单击菜单下方的“+”号，如图2所示。

图2出现“New IP Pool”界面，单击“Addresses”后方的向下前头，如图3所示。

图3输入地址池范围，本例为192.168.6.11-192.168.6.252，如图4所示，完成后，单击“OK”退出。

ARP绑定网关及批处理ARP绑定网关及批处理一.WINDOWS下绑定ARP绑定网关步骤一：在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MAC地址，并将其记录下来。

注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。

一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。

步骤二：步骤二：如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。

要想手工绑定，可在MS-DOS窗口下运行以下命令：arp －s 网关IP 网关MAC例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下：Cocuments and Settings>arp -aInterface:192.168.1.5 --- 0x2Internet Address Physical Address Type192.168.1.1 00-01-02-03-04-05 dynamic其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。

如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。

手工绑定的命令为：arp －s 192.168.1.1 00-01-02-03-04-05绑定完，可再用arp －a查看arp缓存：Cocuments and Settings>arp -aInterface: 192.168.1.5 --- 0x2Internet Address Physical Address Type192.168.1.1 00-01-02-03-04-05 static这时，类型变为静态（static），就不会再受攻击影响了。

我们一般遇到攻击都会登陆winbox再利用winbox自带的工具torch来查看局域网内哪个IP发的数据比较大或包比较多来判断。

这个我就不多说了。

论坛里有N多这方面的教程。

我这里只发一个图。

ROS IP+MAC绑定,流量控制终极设置!用winbox登进去，ip-arp ，这时你会看到很多ip和mac地址，每一行前面还有一个D字的，你双击一个然后在它弹出框框里按tools会有一个copy 按了以后又出一个框框，然后按OK就行啦，这时你会发现这个ip前面的D 字不见的啦，绑定完毕MAC地址+IP绑定...防止内网用户乱改IP....打开WINBOX...点击IP---ARP:弹出ARP LIST的菜单,......这菜单显示当前内网在线主机的MAC IP信息....双击其中一个用户点击COPY....再点击OK...建立该用户的ARP记录.再点击INTERFACE .....双击内网网卡LAN......在ARP选项中选择REPL Y-ONLY...意思是:绑定了的用户才能上网在路由器上对所有工作站进入MAC绑定（以ros2.96为例）。

使用Ros2.9.6以上的版本做路由，2.90以下的不能绑定。

绑定方法：1、用winbox进入ROS管理界面。

2、单击System→Script，出现“Script List”窗口。

3、单击“+”如图1所示处。

捆定MAC地址是为了防ARP攻击.进ROS后,system-scripts增加个(new script)在source中增上下列语句(红色部分)-OK-Run Script即可自动扫描加入ip-arp:foreach i in [/ip arp find dynamic yes ] do={/ip arp add copy-from $i}取消绑定:foreach i in [/ip arp find] do={/ip arp remove $i}网卡)IP:192.168.1.5将无法上网(无法连通网关). 但MAC:AA-AA-AA-AA上的IP变成192.168.1.10时(即网卡没换,只是将网卡上的IP地址改了)IP:192.168.1.10仍可上网(连通网关).除非将内网(Lan)网卡(Interface)设置成reply-only而不是enabled, 那么将会完全绑定..4、出现“New Scripts”界面在Source框中输入以下脚本：:foreach i in=[/ip arp find dynamic=yes ] do=[/ip arp add copy-from=$i]这个命令是用于检测当前的动态IP，若有则将它们转为静态的。

通过脚本自动绑定ARP
通过脚本自动绑定ARP
首先我们需要编写脚本内如如下：
:foreach arp in=[/ip arp find dynamic=yes && interface=ether1-lan] do={/ip arp add copy-from=$arp}
使用到foreach指令，定义“arp”变量循环查找每一个规则，如果找到即是动态又是内网接口的规则，就执行绑定
这个脚本里的ether1-lan是当前脚本里的内网口，如果你的内网口名称不是ether1-lan，你需要修改为对应的内网口名称
具体配置，我们进入system scheduler（计划任务），定义脚本运行
Name：我们取名为arp，区别其他计划任务规则
Interval：间隔执行时间，我们定义每间隔1分钟执行一次，你也可以根据情况自行调整，建议不要太频繁。

On-Event：为脚本编写框，填写执行的脚本
Policy：执行脚本的权限，默认是没有设置的，需要定义。

ROS 配置脚本1口的IP 地址为192.168.0.2 2口的IP 地址为192.168.0.693口的IP 地址为192.168.3.1 4口的IP 地址为192.168.3.2PC1-PC2的IP 地址处于192.168.3.0/24的网段Pc3-pc4的IP 地址处于192.168.4.0/24的网段ROS1是PPPOE 服务器 ROS2是PPPOE 客户端 ROS3是通过ROS2拨号使得与其连接的客户机能正常上网负载均衡：三线ADSL 叠加实现负载均衡NTH--匹配特定的第N 次收到的数据包的规则Every--匹配每every 个数据包Packet---匹配给定的数据数ROS2的配置如下：/interface ethernetset 0 arp=enabled auto-negotiation=yes cable-settings=default comment="" \disable-running-check=yes disabled=no full-duplex=yes mac-address=\00:0C:29:71:AE:6E mtu=1500 name=lan1 speed=100Mbpsset 1 arp=enabled auto-negotiation=yes cable-settings=default comment="" \disable-running-check=yes disabled=no full-duplex=yes mac-address=\00:0C:29:71:AE:78 mtu=1500 name=wan1 speed=100Mbpsset 2 arp=enabled auto-negotiation=yes cable-settings=default comment="" \disable-running-check=yes disabled=no full-duplex=yes mac-address=\00:0C:29:71:AE:82 mtu=1500 name=wan2 speed=100Mbpsset 3 arp=enabled auto-negotiation=yes cable-settings=default comment="" \disable-running-check=yes disabled=no full-duplex=yes mac-address=\00:0C:29:71:AE:8C mtu=1500 name=wan3 speed=100Mbps 1 ROS1ROS2 ROS3 32 4 PC1 PC4 PC3 PC21、建立PPPOE拨号/interface pppoe-clientadd ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=\ "" dial-on-demand=no disabled=no interface=wan1 max-mru=1480 max-mtu=1480 \mrru=disabled name=pppoe-out1 password=adsl1 profile=default \service-name="" use-peer-dns=yes user=adsl1add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=\ "" dial-on-demand=no disabled=no interface=wan2 max-mru=1480 max-mtu=1480 \mrru=disabled name=pppoe-out2 password=adsl2 profile=default \service-name="" use-peer-dns=yes user=adsl2add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=\ "" dial-on-demand=no disabled=no interface=wan3 max-mru=1480 max-mtu=1480 \mrru=disabled name=pppoe-out3 password=test profile=default service-name=\"" use-peer-dns=yes user=test2、Mangle标记/ip firewall mangleadd action=change-mss chain=forward comment="chage mss" disabled=no new-mss=\ 1440 protocol=tcp tcp-flags=synadd action=mark-connection chain=prerouting comment=nth-1 connection-state=\ new disabled=no new-connection-mark=adsl-nth-1 nth=3,1 passthrough=yes \src-address=192.168.3.0/24add action=mark-routing chain=prerouting comment="" connection-mark=\adsl-nth-1 disabled=no new-routing-mark=rout-1 passthrough=yes \src-address=192.168.3.0/24add action=mark-connection chain=prerouting comment=nth-2 connection-state=\ new disabled=no new-connection-mark=adsl-nth-2 nth=3,2 passthrough=yes \src-address=192.168.3.0/24add action=mark-routing chain=prerouting comment="" connection-mark=\adsl-nth-2 disabled=no new-routing-mark=rout-2 nth=3,2 passthrough=yes \src-address=192.168.3.0/24add action=mark-connection chain=prerouting comment=nth-3 connection-state=\ new disabled=no new-connection-mark=adsl-nth-3 nth=3,3 passthrough=yes \src-address=192.168.3.0/24add action=mark-routing chain=prerouting comment="" connection-mark=\adsl-nth-3 disabled=no new-routing-mark=rout-3 passthrough=yes \src-address=192.168.3.0/243、NAT伪装，同时做路由标记/ip firewall natadd action=masquerade chain=srcnat comment="" disabled=no out-interface=\ pppoe-out1 routing-mark=rout-1add action=masquerade chain=srcnat comment="" disabled=no out-interface=\pppoe-out2 routing-mark=rout-2add action=masquerade chain=srcnat comment="" disabled=no out-interface=\ pppoe-out3 routing-mark=rout-3add action=masquerade chain=srcnat comment="" disabled=yes out-interface=\ pppoe-out1 src-address=192.168.40.0/24add action=masquerade chain=srcnat comment="" disabled=yes out-interface=\ pppoe-out2 src-address=192.168.40.0/24add action=masquerade chain=srcnat comment="" disabled=yes out-interface=\ pppoe-out3 src-address=192.168.40.0/244、设置路由/ip routeadd check-gateway=ping comment="" disabled=no distance=1 dst-address=\0.0.0.0/0 gateway=pppoe-out1 routing-mark=rout-1 scope=30 target-scope=10 add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\ pppoe-out2 routing-mark=rout-2 scope=30 target-scope=10add check-gateway=ping comment="" disabled=no distance=1 dst-address=\0.0.0.0/0 gateway=pppoe-out3 routing-mark=rout-3 scope=30 target-scope=10 add comment="" disabled=no distance=10 dst-address=0.0.0.0/0 gateway=\ pppoe-out1 scope=30 target-scope=10add comment="" disabled=no distance=10 dst-address=0.0.0.0/0 gateway=\ pppoe-out3 scope=30 target-scope=10add comment="" disabled=no distance=10 dst-address=0.0.0.0/0 gateway=\ pppoe-out2 scope=30 target-scope=10add comment="" disabled=no distance=1 dst-address=192.168.40.0/24 gateway=\ lan1 scope=30 target-scope=10简单队列限速/queue simpleadd burst-limit=0/1M burst-threshold=0/800k burst-time=0s/10s comment="" \ direction=both disabled=no dst-address=0.0.0.0/0 interface=all limit-at=\0/256k max-limit=0/512k name=queue1 parent=none priority=8 queue=\default-small/default-small target-addresses=192.168.3.30/32 time=\0s-1d,sun,mon,tue,wed,thu,fri,sat total-queue=default-small add burst-limit=0/1M burst-threshold=0/900k burst-time=0s/10s comment="" \ direction=both disabled=yes dst-address=0.0.0.0/0 interface=all limit-at=\0/0 max-limit=256k/512k name=ROS parent=none priority=8 queue=\default-small/default-small target-addresses=192.168.40.0/24 total-queue=\default-smallPCQ限速限制上传512K，下载800K/ip firewall mangleadd chain=prerouting src-address=192.168.3.0/24 action=mark-packet new-packet-mark=/ upload passthrough=noadd chain=prerouting dst-address=192.168.3.0/24 action=mark-packet new-packet-mark=/ download passthrough=no/queue typeadd name="download" kind=pcq pcq-rate=800000 pcq-classifier=dst-addressadd name="upload" kind=pcq pcq-rate=512000 pcq-classifier=src-address/queue treeadd parent=global-out queue=download packet-mark=downloadadd parent=global-in queue=upload packet-mark=upload接入控制，添加防火墙规则，封杀PPS/ip firewall filteradd action=drop chain=forward comment="\B7\E2PPS" disabled=no dst-port=17788 \ protocol=udp src-address=192.168.3.30add action=drop chain=forward comment="" disabled=no dst-port=8400 protocol=\ udp src-address=192.168.3.8ROS3脚本配置配置Ip地址/ ip addressadd address=192.168.3.20/24 network=192.168.3.0 broadcast=192.168.3.255 \ interface=wan comment="" disabled=noadd address=192.168.40.1/24 network=192.168.40.0 broadcast=192.168.40.255 \ interface=lan comment="" disabled=noadd address=11.11.11.2/24 network=11.11.11.0 broadcast=11.11.11.255 \interface=vlan11 comment="" disabled=no设置路由及防火墙规则/ ip routeadd dst-address=192.168.0.0/16 gateway=192.168.3.1 check-gateway=ping \ scope=255 target-scope=10 comment="" disabled=yesadd dst-address=0.0.0.0/0 gateway=192.168.3.1 scope=255 target-scope=10 \ comment="" disabled=no/ ip firewall natadd chain=srcnat out-interface=wan action=masquerade comment="" disabled=no对其连接的电脑进行限速/queue simpleadd burst-limit=0/1M burst-threshold=0/800k burst-time=0s/10s comment="" \ direction=both disabled=no dst-address=0.0.0.0/0 interface=all limit-at=\0/256k max-limit=0/512k name=queue1 parent=none priority=8 queue=\default-small/default-small target-addresses=192.168.4.30/32 time=\0s-1d,sun,mon,tue,wed,thu,fri,sat total-queue=default-small接入控制，添加防火墙规则，封杀PPS/ip firewall filteradd action=drop chain=forward comment="\B7\E2PPS" disabled=no dst-port=17788 \ protocol=udp src-address=192.168.40.30add action=drop chain=forward comment="" disabled=no dst-port=8400 protocol=\ udp src-address=192.168.40.30。

/wangba/a/2009-09-12/a09116513.shtml?首页│新闻│文章│系统│设计│淘宝│网管│网赚│图文│专杀│杀毒│防火墙│更新编程│站长│热门│社区│ Delphi 源码│ VB 源码│ C 源码│ QQ │搜索│ Server 2008 │ Linux │专题安全中国首页 > 新闻中心 > 网吧管理技术ROS软路由详细最完整教程(图)安全中国 更新时间:2009-09-12 00:05:25责任编辑:池天ROS软路由基本设置非常简单，如果只做路由转发，以下几步数分钟即可高定：硬件准备：1、首先下载软路由的ghost硬盘版，如果没有，从/download/ros297.rar下载2、释放后，ghost至一个小硬盘（20G以下），注意，是整盘GHOST而不是分区。

3、将该硬盘挂在要做路由电脑上，注意必须接在第一个IDE并且是主硬盘接口。

插上一张网卡，这是接内网的LAN。

开机。

软件设置：1、开机，出现登陆提示。

用户:admin 密码：空2、输入setup再按两次A??3、在ether1后面输入你的内网IP，如：192.168.0.254/24 （这里/24是24位掩码与255.255.255.0一样）4、输入完ip后，按两次x退出，现在可以可以ping通192.168.0.254了，也可用winbox 在图形界面下访问路由了。

5、关机，插上另一张网卡，这个是接外网的，即WAN，现在可以去掉软路由电脑的显示器和键盘了。

6、开机，运行winbox以admin身份登陆7、添加外网网卡。

在ip---address里按+，address输入你的外网ip和掩码位，比如218.56.37.11/29。

network和BROADCAST不填，INTERFACE里选择ethr28、增加外网网关。

ip-routes按+，Destination用默认的0.0.0.0/0 ，Gateway输入外网网关，比如218.56.37.109、实现NAT转发：IP-FIREWALL在NAT里点+，在ACTION里选masquerade10、现在该路由已经做好雏形，可以正常上网了。