有老哥用ROS吗,求教ROS的问题!

angelfish

如题: 前些日子看了老哥的帖子,然后就虚拟机虚拟了一个!!

论坛搜索了下,有好多ROS的资料,但是我看不了,变旧的,要密码!

所以发个帖子问问,求教下.

1、ROS里的那个IP- CLOUD,我用不了,UPDATE不了,时间时区都是对的

2、端口转发怎么发？

3、为什么我的PT上传没有速度，才几百KB/S

4、LOG里面有好多错误，感觉是别人在登陆，用ROS的老哥，你们有这种情况吗？



5、有人知道变旧档的密码是多少吗？




谢谢！！

525165

首先要保证ROS能正常上网，也就是有出口路由、DNS、NAT转换的配置。在保证上网正常后，重点看一下防火墙的设置，在input chain的相关端口是否放已行

shadow404

疯狂被telnet。。。是不是防火墙没配？？你这是家宽吗？一般家宽地址不会有人这样无脑telnet进来吧

Ryo_

不用的服务可以关掉,或者限制只允许特定网段访问

1. /ip service
   
2. set telnet disabled=yes
   
3. set ftp disabled=yes
   
4. set www disabled=yes
   
5. set ssh disabled=yes
   
6. set api disabled=yes
   
7. set winbox address=192.168.1.0/24
   
8. set api-ssl disabled=yes

复制代码

然后是防止扫描,可以加上这些规则,对僵尸网络的扫描有一定的抵抗力

1. /ip firewall raw
   
2. add action=drop chain=prerouting comment=ANTI-BOT src-address-list=BOT
   
3. add action=add-src-to-address-list address-list=BOT address-list-timeout=1w chain=prerouting comment=ANTI-SCAN dst-port=\
   
4.     20-23,53,80,135,139,443,445,1433,2049,3389,5900,8080,8089 log=yes log-prefix=ANTI-SCAN protocol=tcp src-address-list=SCAN_S2
   
5. add action=add-src-to-address-list address-list=SCAN_S2 address-list-timeout=1m chain=prerouting comment=ANTI-SCAN dst-port=\
   
6.     20-23,53,80,135,139,443,445,1433,2049,3389,5900,8080,8089 protocol=tcp src-address-list=SCAN_S1
   
7. add action=add-src-to-address-list address-list=SCAN_S1 address-list-timeout=1m chain=prerouting comment=ANTI-SCAN dst-port=\
   
8.     20-23,53,80,135,139,443,445,1433,2049,3389,5900,8080,8089 in-interface-list=WAN protocol=tcp src-address-list=!whitelist

复制代码

PS: 外网需要白名单的可以加到名为whitelist的地址表里

我这边大概一周会拉黑200个左右的ip,实际尝试扫描的ip会更多,不过一般扫几个常见端口不成功就放弃了,这部分也就不管了

liangxy

感觉是你路由器被暴露公网了

Ryo_

哦对了 除了上面的那个指定端口的, 还可以用PSD计分拉黑,可以看下我博客这篇文章 RouterOS 端口扫描防御

老饭

不要的服务禁止掉，需要的服务限制内网访问。还有基本防火墙

wenzon

我第一次用ros也是这样，打开日志全是这个记录，然后把除了winbox登录的全关了，还限制了只能内网登录，然后就清净了！

smallfount

....服务关掉，防火墙把外部进来的能灭的都灭掉..

皛羽控

用Ros的不建议在没有关掉允许外部连接前连接互联网，winbox有mac地址就能连接十分危险。

blanksign

大惊小怪。任何带public地址的设备都一样被telnet，ssh，各种登录。限制就好。多大点事儿。

aitkots

正好我在用 RouterOS，也写了个简单的文档，在我的Gitee上有分享。
https://gitee.com/callmer/routeros_toss_notes
根据这个里面的配置，应该可以解决楼主3/4/5这几个问题，
RouterOS的cloud貌似在国内使用很不稳定，还是用国内的ddns吧，或者使用Wireguard来替代。
2.端口转发是用防火墙来设置的。可以参考一下这个https://forum.mikrotik.com/viewtopic.php?p=884754

ishadow

1.关闭telnet等服务并修改用户名，这样基本不会出现被机器扫描的情况。
2.在ip upnp启用
3.端口转发度娘搜教程，按图设置很简单

jop

1.可能是因为GFW或者国际网络不稳定导致，建议你用第三方DDNS。
2.端口转发在百度教程很多，这个不多解释。
3.PT通常需要映射端口，如果映射不成功，速率是上不去的，甚至没有速率。
4.你只要有公网IP就难免被别人扫描，你可以考虑加上防火墙拦截。https://ros6.com/?action=show&id=250 或者关闭WINBOX以外的所有服务。

cigiti

不是必须开放的服务一概关掉，/ip service 下面

不要开upnp (默认不开），可以拿ShieldsUp扫描看看 （https://www.grc.com/shieldsup）

PT要在防火墙里开放端口（比如transmission 假设51413）
/ip firewall nat add chain=dstnat action=dst-nat to-address=下载机ip to-ports=51413 protocol=tcp dst-port=51413
/ip firewall nat add chain=dstnat action=dst-nat to-address=下载机ip to-ports=51413 protocol=udp dst-port=51413
(UDP不是必须）