<![CDATA[静怡家园]]>

<![CDATA[静怡家园]]> http://www.zhanghaijun.com/index.php zh-cn http://www.zhanghaijun.com/post// <![CDATA[routeros的安装心得——ros双线负载均衡]]> 碟舞飞扬 <webmaster@zhanghaijun.com> Thu, 02 Oct 2008 08:38:50 +0000 http://www.zhanghaijun.com/post//
先说一下我的网络环境
二根有限通是动态ip，要做负载均衡
内网ip段192.168.0.1-192.168.0.200
要完全开放192.168.0.168主机（就像路由中的dmz主机）

机器配置
赛扬1。1G 64M 3块3com网卡
1。用光盘版全选安装（软盘版要另外下插件）
注意注册码都用大写
先插上一块网卡以便定下他作为连接内网的网卡
2。使用 admin用户登陆，密码为空
3。配置第一块网卡的ip
输入setup，提示您配置ether1（第一块网卡连接内网），输入ip地址（192.168.0.1）子网掩码(255.255.255.0) gateway：192.168.0.254一路回车即可。
4。将剩下二块网卡插入电脑
5。在windows机器上，ip设成192.168.0.x ，在 ie 地址栏输上 192.168.0.1
出现 routeos 的欢迎画面。点击，提示下载 winbox ，保存
6。运行 winbox 输上 192.168.0.1 用户名 admin 密码为空，选连接。会出现路由的管理界面
7。激活新插入的二块网卡：点 interface ，点第二块卡，选勾，启用前面由x变为R
8。配置外网的二块网卡地址，在winbox选ip->dhcp-client 在窗口中勾上enabled interface选ether2（第二块网卡）勾上add default route 选hostname并添上wan1 表示第一块外网网卡，然后apply 这时假如拿到ip就会在ip->address里看到ip了
现在配置第三块网卡，现在有问题了routeros只能添加一个dhcp客户，所以假如再按上面的方法获得ip那么前面的到的ip就没有了，所以这里只能将就一下了，因为有限通ip一般只要连接就不会变ip所以就把更有一根线上的ip作为静态ip看，先记下ip然后在ip->address里按加号填入ip如219.233.23.23/24,在这里要注意：其实都是固定ip的话就在这配置即可，但假如您的二个ip在同一网段中如一个是219.233.23.23另一个是219.233.23.147的话就要在/后就是掩码这部分分一下

如219.233.23.23/25 219.233.23.147/24 这样在后面负载均衡时就不会出错了
9。现在您应该能ping通外网了，但是防火墙还没配置，在ip->firewall里选source nat 按加号添加规则，在规则里选action ->action里选masquerade
现在就能局域网里就能上网了。
10。现在来设负载均衡
在控制台里输入
ip route add gat=外网地址1,外网地址2
即可
是不是很简单啊
11。端口映射
端口映射很容易
在控制台里
ip firewall dst-nat> add action=nat protocol=tcp
^
这是协议能够选all
dst-address=外网地址/32:80 to-dst-address=内网ip地址
^
这里是您要映射的端口，假如全部就不要添 www.shumaziyuan.com

例子1：将外网任何80端口的请求都指向到168上
ip firewall dst-nat> add action=nat protocol=tcp
dst-address=319.23.23.23/32:80 to-dst-address=192.168.0.168
例子2：完全开放192.168.0.168
ip firewall dst-nat> add action=nat protocol=tcp
dst-address=319.23.23.23/32 to-dst-address=192.168.0.168

12.来看看routeros的防火墙吧，功能不错哦
比如现在流行的震荡波和冲击波的端口134－139
在winbox中
ip->firewall->filter rules 先设input(在右边可选的)
选加
general
protocl选udp或tcp（其实这二个都要设，只要重复作就好了）
src.port勾上填入134－139
dst.port勾上填入134－139
action
在action里选drop丢弃包或reject拒绝包
ok完成
再选forward和output照上面设完，这样不论是外网的机器或内网的机器中毒都不会影响其他用户了。
其实ip filter rules可设很多规则能够作一个很不错的防火墙但是要注意input，forward，output根据不同情况的配置

补充一下，其实在端口映射里这样作，环流（就是内网也可用外网的地址访问内网的主机）功能也自然实现了
Tags - routeros ]]> http://www.zhanghaijun.com/post//#blogcomment <![CDATA[[评论] routeros的安装心得——ros双线负载均衡]]> <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.zhanghaijun.com/post//#blogcomment