让网维变得简单,快速,准确。拒绝浪费时间,解放出更多的时间陪陪家人。 注册 | 登陆
浏览模式: 标准 | 列表全部文章

ROS防御内网攻击

本策略适用于防范UDP流量攻击(比如阿拉丁UDP攻击器)。TCP连接数攻击限制下单机连接数就行了,我就不多说了。

首先要新建一个网桥,将自己内网卡加入到桥接。

ROS防火墙脚本
  1. /interface bridge settings set use-ip-firewall=yes
  2. /ip firewall filter add action=add-src-to-address-list address-list=att address-list-timeout=10m chain=input connection-rate=10M-4294967295 protocol=udp src-address=192.168.0.0/24
  3. /ip firewall mangle add action=add-src-to-address-list address-list=att address-list-timeout=10m chain=postrouting connection-rate=10M-4294967295 protocol=udp src-address=192.168.0.0/24

修改IP为自己的内网IP地址范围。

ROS计划任务脚本
  1. :global attip
  2. :global defint
  3. :global taa 0
  4. :global nowmonth
  5. :global allmonth jan,feb,mar,apr,may,jun,jul,aug,sep,oct,nov,dec
  6. :foreach lizi in=[$allmonth] do={
  7. :if ([:pick [/system clock get date] 0 3]=$lizi) do={
  8. :set nowmonth ($taa+1)}
  9. :set taa ($taa + 1)}
  10. :global atttime ([:pick [/system clock get date] 7 11].$nowmonth.[:pick [/system clock get date] 4 6]."-".[/system clock get time]);
  11. :foreach fatt in=[/ip firewall address-list find list=att] do={
  12. :set attip [/ip firewall address-list get $fatt address]
  13. :if ([/interface bridge nat find arp-dst-address=($attip."/32")]="") do={
  14. /interface bridge nat add action=src-nat arp-dst-address=($attip."/32") chain=srcnat mac-protocol=arp comment=("att-".$atttime)}}
  15. :foreach fattd in=[/interface bridge nat find] do={
  16. :if ([/ip firewall address-list find list=att address=[:pick [/interface bridge nat get $fattd arp-dst-address] 0 ([:len [/interface bridge nat get $fattd arp-dst-address]]-3)]]="") do={
  17. /interface bridge nat remove $fattd}}

设置为定时循环执行,建议间隔时间为3-5秒左右为宜。

本策略原理是将攻击者的IP记录下来,加入攻击者的IP到桥防火墙,攻击者的IP将在ARP缓存超时后(WIN7系统5次测试计算后得到平均值为20秒左右。)无法和ROS通讯,因为找不到ROS的MAC,包括流量攻击也打不上来,因为找不到目标。(进入桥防火墙后即使攻击者再手工绑定路由MAC也无法成功。)
缺点:若客户机在攻击前已绑定路由MAC,则防御无法生效。因为ARP缓存不会超时。

» 阅读全文

Tags: ros, 内网, 攻击, udp, 流量

本站对外提供NTP对时服务

方便自己,方便大家,附上一个ROS的NTP对时脚本。

ROS脚本
  1. /system ntp client set enabled=yes primary-ntp=123.57.72.35
  2. /system clock set time-zone-name=Asia/Shanghai

 

» 阅读全文

Tags: ntp, ros, 时间, 同步, 对时

全光小区开局环境

网络环境:8条光宽带
终端数量:无(要求设计为承载1K-2K在线)
环境种类:小区
配置介绍:双ROS做PPPOE SERVER热备,每台ROS接入4条宽带。对接本站封装的radius manager4.1.4精简版。2台ROS上的用户均可以互相借用另一台ROS上的剩余外网带宽,实现双机热备和总体流量负载平衡。2台ROS无论是外线断了还是内线断了(甚至同时断了),均会由另一台ROS自动接管,3秒内完成切换。内网口和外网口均为光纤口,仅和radius通讯口为电口。2个ROS之间的用户互访不占用外网带宽。(已配置OSPF动态自治路由,确保用户内网通讯速度如飞。)添加了集中监控方便管理者随时方便的查看整体状态,迅速查找故障节点。拨号状态变动自动短信通知本人,确保最短时间内发现问题并处理。

» 阅读全文

优秀插件整合版M0N01.81SC(最终版)

采用1.81官方原版进行修改,修改内容如下:
1.本人对原版进行逐词汉化
2.本人修正了官方原版某一个页面的BUG。
3.本人重新编译了内核,调整最大NAT表为140W,去掉了3G网卡及ISA网卡驱动。(反正我用不上这些,直接X掉。)
4.添加了wuxj开发的流量查看程序      (仅确保适用于单IP限速策略。)
5.添加了本人开发的单IP限速及集体限速   (已测试无问题。)
6.添加了A.I开发的查看连接数程序
7.添加了某大神开发的shellcmd(由于本人不知道shellcmd原作者是哪位大神,无法注明原作者名称。)
默认帐号:admin  密码:mono

» 阅读全文

Tags: m0n0, mono, 插件, 优化, 1.8.1

dnspod多线高级版V2(ROS更新DDNS)

ROS脚本
  1. #DDNS帐号  
  2. :global user "用户名"  
  3. #DDNS密码  
  4. :global pass "密码"  
  5. #DDNS域名  
  6. :global rhost "域名(例如www.cat-home.org)"  
  7. #以下不需要修改  
  8. :global host [:pick $rhost ([:find $rhost "."]+1) [:len $rhost]]  
  9. :global zhost [:pick $rhost 0 [:find $rhost "."]]  
  10. /tool fetch url=("http://www.cat-home.org/dnspod/index.php\?user=$user&passwd=$pass&ym=$host&zym=$zhost") mode=http keep-result=no  
  11. }  

懒得说明,不会用自己面壁去。

» 阅读全文

Tags: dnspod, ddns, 脚本, 多线, adsl