洗秋杂语 - 网络

迅雷小动作不断两招教你禁用偷偷上传

洗秋杂语(洗秋) — Sat,29 Mar 2008 17:25:56 +0800

1.删除c:\windows\system32\cid_store.dat文件；

　　2.在c:\windows\system32\目录下，新建一个文件夹取名为：“cid_store.dat”，这样该文件就不可能再生成了，问题解决。

　　注：如果网友还担心的话，可以把该文件夹的属性的安全权限全部设为“拒绝”，想必再厉害的病毒也不可能修改此文件了。

　　另：利用迅雷上传免疫小工具专杀

　　该软件专杀迅雷的这种偷偷摸摸共享上传的行为，运行一次从此一劳永逸。

　　对于迅雷这种背后的可耻行为大家应该加强防范，消除隐患，免于迅雷偷偷摸摸占用我们并不大的带宽资源。

羡慕一下清江中学的机房

洗秋杂语(洗秋) — Sun,02 Mar 2008 16:52:09 +0800

2月28日到淮安学习，接待方是清江中学，四星级中学，首先看到的就是令人羡慕的机房。

首先看一下其中一个机房，人来的还不多，很整齐。

这两个机房是正对面的，两个机房中间的道路，墙壁全部是玻璃，互相可以看到对面，

主机:联想的品牌机，cpu是e2140，内存1g，硬盘80的。

机房内的音响，教师机上有有线话筒。

再来一张

好看吧

两张桌子中间的布线：

电源和网线都从地板下走，2台对面的机子共用，一个电源插口，两个网线模块。

这样弄很整齐，也便于维护检查。

试用QQ2009 Preview

洗秋杂语(洗秋) — Mon,21 Jan 2008 19:12:23 +0800

asp.net不能正常运行的一些解决办法!

洗秋杂语(洗秋) — Fri,21 Dec 2007 16:06:41 +0800

打开网页错误提示:

Server Application Unavailable

The web application you are attempting to access on this web server is currently unavailable. Please hit the "Refresh" button in your web browser to retry your request.

貌似只要是ASP错误都有这个出现.....查看服务器日志,出现错误信息如下

Failed to execute request because the App-Domain could not be created. Error: 0x80131902

在网站下添加了个虚拟目录试一下,又出错

0x80070005 拒绝访问

差不多就是按下面的方法解决的,也不知道有没有遗漏

1.点击允许输入cmd,转到目录 %SystemRoot%\Microsoft.Net\(%SystemRoot% 为 Windows 安装目录.一般是在 C:\Windows)

2.执行 "net stop w3svc" 终止w3svc服务
3.到下一个目录 v2.0.5.xxx
4.执行"aspnet_regiis.exe -ua" 解除 .Net 安裝
5.重新安裝 .Net 到 IIS 中 "aspnet_regiis.exe -i"
6.重新启动 w3svc "net start w3svc".

还有问题那就继续吧!

IIS 6.0，则将该层次结构中所有文件夹的必要权限授予“网络服务”帐户。为此，请按照下列步骤操作： 1. 在 Windows 资源管理器中，找到包含该内容的应用程序文件夹和虚拟目录（例如，D:\vhost\xwro\www）。
2. 右键单击该文件夹，然后单击“属性”。
3. 在“安全”选项卡上，单击“添加”。
4. 键入 ASPNET和ComputerName\NETWORK SERVICE（例如，在名为 xwrblog 的计算机上，键入 xwrblog\NETWORK SERVICE），然后单击“确定”。如果启用了模拟，您还必须添加模拟的帐户。
5. 允许以下“网络服务”帐户权限（如果启用模拟，则允许以下模拟帐户权限）： • 读取和执行
• 列出文件夹内容
• 读取

6. 单击“确定”以关闭“属性”对话框并保存更改。

7. 重新启动 IIS。

注意:还有"Web服务扩展" , 打开IIS,查看Asp.net (版本)的扩展没有启用.默认为不启用,要手动开启的!
这个也是Asp.net 配置出现错误
关于无法找到该页的解决方法
还值得注意的一个地方,如果系统中有.net1.1和.net2.0,就必须把不同版本.net的网站放在不同的应用池里面!

服务器安全配置2

洗秋杂语(洗秋) — Fri,16 Mar 2007 21:52:03 +0800

1、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置，并标识缺少的修补程序和更新。
2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

　　4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。

　　5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

　　6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。

　　7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

二、网络服务安全管理

　　1、禁止C$、D$、ADMIN$一类的缺省共享

　　打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0

　　2、解除NetBios与TCP/IP协议的绑定

　　右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

　　3、关闭不需要的服务，以下为建议选项

　　Computer Browser:维护网络计算机更新，禁用

　　Distributed File System: 局域网管理共享文件，不需要禁用

　　Distributed linktracking client：用于局域网更新连接信息，不需要禁用

　　Error reporting service：禁止发送错误报告

　　Microsoft Serch：提供快速的单词搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

　　PrintSpooler：如果没有打印机可禁用

　　Remote Registry：禁止远程修改注册表

　　Remote Desktop Help Session Manager：禁止远程协助
五、其它安全相关设置

　　1、隐藏重要文件/目录

　　可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

　　2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

　　3、防止SYN洪水攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为SynAttackProtect，值为2

　　4. 禁止响应ICMP路由通告报文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface

　　新建DWORD值，名为PerformRouterDiscovery 值为0

　　5. 防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　将EnableICMPRedirects 值设为0

　　6. 不支持IGMP协议

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为IGMPLevel 值为0

　　7、禁用DCOM：

　　运行中输入 Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。

　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

　　清除“在这台计算机上启用分布式 COM”复选框。

　　注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。

六、配置 IIS 服务：

　　1、不使用默认的Web站点，如果使用也要将将IIS目录与系统磁盘分开。

　　2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、删除不必要的IIS扩展名映射。

　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

　　5、更改IIS日志的路径

　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

　　7、使用UrlScan

　　UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接

　　如果没有特殊的要求采用UrlScan默认配置就可以了。

　　但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan

　　文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。

　　如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。

　　如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1

　　在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset

　　如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

　　8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
八、如果只做服务器，不进行其它操作，使用IPSec

　　1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击

　　添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。

　　2、再在管理IP筛选器表选项下点击

　　添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。

　　3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口

　　4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成

　　5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定

　　6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.

格式化硬盘时候，必须格式化为NTFS的，绝对不要使用FAT32类型。

　　C盘为操作系统盘，D盘放常用软件，E盘网站，格式化完成后立刻设置磁盘权限，C盘默认，D盘的安全设置为Administrator和System完全控制，其他用户删除，E盘放网站，如果只有一个网站，就设置Administrator和System完全控制，Everyone读取，如果网站上某段代码必须完成写操作，这时再单独对那个文件所在的文件夹权限进行更改。

　以IIS为例，绝对不要使用IIS默认安装的WEB目录，而需要在E盘新建立一个目录。然后在IIS管理器中右击主机->属性->WWW服务编辑->主目录配置->应用程序映射，只保留asp和asa，其余全部删除。

服务器安全配置1

洗秋杂语(洗秋) — Fri,16 Mar 2007 21:04:13 +0800

删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车
Windows 2003 硬盘安全设置
c:\
administrators 全部
system 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限

c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 只读和运行
c:\windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
IIS_WPG 读取和运行，列出文件夹目录，读取
Users 读取和运行(此权限最后调整完成后可以取消)
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
Users 读取和运行，列出文件夹目录，读取
'www.knowsky.com
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
Users 读取和运行，列出文件夹目录，读取

C:\WINDOWS\Microsoft.Net\temporary ASP.NET Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
Users 全部

c:\Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限

c:\windows\temp
Administrator 全部权限
System全部权限
users 全部权限
c:\Program Files\Common Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改，读取和运行，列出文件夹目录，读取，写入
Users 读取和运行，列出文件夹目录，读取
c:\Program Files\Dimac(如果有这个目录)
Everyone 读取和运行，列出文件夹目录，读取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
TERMINAL SERVER Users
修改，读取和运行，列出文件夹目录，读取，写入
Users 读取和运行，列出文件夹目录，读取
Everyone 读取和运行，列出文件夹目录，读取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
c:\Program Files\Microsoft SQL(如果SQL安装在这个目录)
administrators 全部
Service 全部
system 全部
d:\ (如果用户网站内容放置在这个分区中)
administrators 全部权限
d:\FreeHost (如果此目录用来放置用户网站内容)
administrators 全部权限
SERVICE 读取与运行

从安全角度，我们建议WebEasyMail(WinWebMail)安装在独立的盘中，例如E:
E:\(如果webeasymail安装在这个盘中)
administrators 全部权限
system 全部权限
IUSR_*，默认的Internet来宾帐户(或专用的运行用户)
读取与运行
E:\WebEasyMail (如果webeasymail安装在这个目录中)
administrators 全部
system 全部权限
SERVICE全部
IUSR_*，默认的Internet来宾帐户 (或专用的运行用户)
全部权限

C:\php\uploadtemp
C:\php\sessiondata
everyone
全部
C:\php\
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行

c:\windows\php.ini
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行
防止海洋木马列出WIN服务器的用户和进程
禁用服务里面倒数第二个 workstation 服务，可以防止列出用户和服务

ROS绑定MAC IP,防ARP以及IP冲突

洗秋杂语(洗秋) — Thu,01 Mar 2007 15:01:38 +0800

ROS和其他代理服务器一样，有个弱点，如果内网有人把客户机IP改成和网关相同的IP（如 192.168.0.1这样的），那么过了一会，ROS的就失去了代理作用，整个网吧就会吊线。
用超级管理员账号登录，IP-----ARP（图2），这样可以看到一行行的 IP和MAC地址，这些就是内网有网络活动的计算机。选中一个，双击，点右下角的TOOLS----在出来的菜单里，选COPY----点OK，依次进行，全部绑定后，来到WINBOX的INTERFACE选项，双击内网网卡，在ARP选项里，选择“replay-only”至此，通过ROS绑定IP完毕，这样下面客户机只要一改IP，那么它就无法和网关进行通讯了，当然也无法使主机吊线了。

如何裁切要冲印的数码照片

洗秋杂语(洗秋) — Sun,18 Feb 2007 23:11:16 +0800

　  现将各照片尺寸以厘米（cm）标示，对照片裁切有特殊要求的，可以按照以下尺寸进行裁切，然后再上传冲印。

  1寸：2.6*3.8  （cm）               2寸：3.5*4.7   (cm)
  5寸：12.7*8.9  (cm)                        6寸：15.2*10.2 (cm)
  7寸：17.8*12.7 (cm)                       8寸：15.2*20.3 (cm)
10寸：20.3*25.4 (cm)                     12寸：20.3*30.5 (cm)

使用ROUTEROS建立PPPOE服务器

洗秋杂语(洗秋) — Tue,06 Feb 2007 14:02:49 +0800

使用ROUTEROS建立PPPOE服务器
今天闲来无事,刚刚好把原来装的ROUTEROS拿来试试。本来一直想做一台PPPOE-SERVER的。看电信那么牛。而且我有询问过报价。可以用天价来形容呀。不过等大家看完这段段的安装设置以后。我想PPPOE-SERVER在你的眼里将变成如此简单。好了不说肺话了。
首先要有一台机器。安装好ROUTEROS。具体要使用的功能我没有去试。因为我原来已经装好了。而且是全部安装。所以这块就请大家自己试了。谁要是试出来请支持一下。
对了先说一下我实验机器的配置。C466、128MB内存、20G星钻、82559网卡、905TX网卡。主板红狐BX板。显卡就不说了。我拔了。放其他地方用了。（我穷能省就省掉了）说完这些该开始设置了。要不肯定一堆鸡蛋过来了。声明:如果是高手的话前面就不要看了.直接看最后吧.
我装的版本是2.8.11的。为了实验我把原来的配置给还原掉了（/system reset）从新开始配置。登陆系统后运行setup设置IP地址，我设置的IP地址是内网点172.16.1.1/16（172.16.1.1是IP地址，/16是掩盖码。16代表16位。具体怎么算我就不说了自己查资料吧。）我这儿使用的是固定IP地址。设置完的IP地址如下，ether1 172.16.1.1/16 ether2 211.XXX.XXX.XXX。gateway:211。XXX。XXX。XXX。（使用XXX是为了内部安全切勿见怪呀。就算要见怪我也没有办法呀。我还不希望被人攻击。各位请谅解）IP设置完了。下面就是使用WINBOX登陆了。
在客户机设置IP地址和服务器是同一个网段。是客户机的IE中输入http://172.16.1.1就可以在ROUTEROS的登陆页中下载WINBOX了。运行WINBOX。WINBOX将从服务器中下载可以执行的程序。下完以后就登陆ROUTEROS了。这里有很多选项。我们使用ROUTER的主要功能是做什么呢？当然是上网了。所以我们首先要做的事就是让客户机可以上网了。那下面我们就开始吧。首先在左边的菜单里面找到IP这个选项。在IP这个选项里面有一个叫firewall。学过初中英语的都知道他叫什么了。别告诉我那个就叫火墙呀。这可不是DIABLO呀。玩魔法的话去游戏里面玩。不过也要靠firewall这个功能才能实现NAT转换。（NAT翻译成中文叫网络地址解释。）我们能用一个IP地址上网全靠这个呀。开始设置咯。说了这么多废话真是不好意思。如果使用固定IP地址的话。这儿只要设置一项就可以上网了。大家别丢臭鸡蛋哦。要丢往酱肉头上丢我不会介意的。找到source NAT这个选项。点左上角的加号，在弹出的菜单中选择ACTION这页。在ACTION这项中选择masquerade这项。这样能正常使用的机器就可以上网了。可以试试看你的机能上网了吗。啊！不能。那没有办法了。看看是不是有东西没有设置好。如果你是用ADSL的话请查看其它文章吧。我这儿没有ADSL。苦呀。下面进入最关键的一步了。哈哈。把刚刚的firewall窗口关了吧。（其实不关也可以呀。我想多骗点稿费。）回到刚刚登陆的样子吧。左边的菜单里有一个叫interface的。点击进入。这儿能看到最少一块网卡。到这儿我给大家一个建议。把内网的网卡改成内网。把外网的网卡改成网卡。啊！怎么改呀。这么简单的问题。不要我说了吧。改完了。就注意看网卡列表的上方有一个选项settings。点击这个。有一个下拉菜单。看到PPPOE-SERVER了没？别告诉我没有哦。没有就没有办法了。我是有的。点这个吧。点完以后就会出现PPPOE-SERVER的配置菜单了。是不是有点兴奋呀。下面我们继续吧。先说一下上面的功能吧。第一行是服务名（自己还叫什么就叫什么，没有关系）。第二行是选择网卡。（这个不用想了。选择内网的网卡）下面的不用改了。直接用默认的就可以。当然如果你希望一个帐号只能一次只能一台机器使用的话可以把one session per host这个选项钩上。这样一个帐号只能一台机器登陆了。当然共享上网不在这个范围呀。设置完了点OK吧。之后。。。。。先别急呀还不能使用PPPOE呢。在IP菜单里面的POOL这还要设置地址池呢。这个就看大家自己的了。一般小型网络是用192.168.1.2-192.168.1.254这样的话就可以支持200多台机器了。如果机器多的话可以使用172.16.1.2-172.16.254.254这样就多了！我没具体算过。据说是6W多台了。如果这还不满足的话只有使用10.0.0.2-10.254.254.254这样够了吧。这个已经可以算是天文数字了。大家比忘了给这个地址池设置一个名字呀。大家自己看了。设置完这个后在IP菜单的dhcp-server里面还要进行IP地址分配的设置哦。打开DHCP-SERVER以后在DHCP选项里面设置刚刚设置完的地址池了。不明白吗？点加号新建一个服务。里面有好几个选项。第一个随便填可以。看自己高兴了。第二个也就是interface这个一定要选择内网的网卡哦。要不分配不到下面的机器别找我要IP呀。我可没有的给。这后面的就自己看了。关键的就是address pool这个地方拉。这个地方要选择刚刚建立好的地址池的名字。选完OK就好了。其他的无所谓了。下面，进入最后的步骤了。在主菜单，也就是最开始的那个菜单里面选择PPP这个选项。这个选项里面有三个页面。Secrets这个是建立用户的。建立一个用户。我想不用我说大家应该知道怎么建立了吧？在建立用户的对话框里有一排的选项。第一行是用户名。第二行是密码（一定要设置密码。要不不一定能登陆。）第三行是登陆方式。


作者： 222.134.135.*  2006-6-28 19:29 　回复此发言

--------------------------------------------------------------------------------

2 使用ROUTEROS建立PPPOE服务器
选择PPPOE哦。下面的CALLER ID是输入MAC地址的地方。可以进行MAC地址绑定。大家自己看需要了。下面的几个选项是给需要设置固定IP地址的人用的。最后面的两项是限制流量的。但是我们可以不在这儿设置。为什么。等等就知道了。
选择profiles页面。这个是设置组的。里面默认就有一个组了。双击可以进行设置。当然也可以自己建立几个。好了我们进行设置吧。在generl这个页面里面主要是设置客户机的IP地址和DNS的。IP地址在local address和remote address这两个地方设置。这两个就看你在POOL里面是怎么设置了。如果只有设置一个的话就都选择一样的咯。有多设置的话最好是多选拉。安全一点。剩下的就是DNS地址了。知道多少就打多少吧。多多亦善呀。最后就是limits也就是限制的意思了。这儿可以限制使用时间，流量（一般叫速度），还有就是ONLYONE了。意思就是只能一台机使用了。不能多人同时登陆同一个用户。（不知道为什么会有两个这种选项。怀疑是不是我理解错误。如果大家知道一定要告诉我哦。）第一一行还会话时间。也就是上网的时间。第二行是空闲时间。我想应该是点心那个包月的设置吧。我没试。第三行是上行的流量，这儿的流量是以位（bit）为单位的。和我们平时用的字节是不一样的。要除以8才是字节。比如你要设置512K的话就设置512000也就是电信所说的512Kbps了。如果是1024000的也也就是1Mbps要多少自己算了。第四行是上行的流量设置是一样的。我就不多说了。终于把肺话都说完了。大家试试可以用PPPOE拨号了没。
最后说一下注意的。在设置POOL的时候最好不要和服务器的IP设置在同一个网段。以防不测。
我再简单的说一下步骤,在客户机能上网的前提下。
Interface setting pppoe-server(建立PPPOE服务)
Ip pool 建立IP地址池，可以多建立几个。后面用的时候会发现很搞笑的事。
IP DHCP-SERVER建立DHCP服务器。这儿选择一个刚刚建立的服务地址池
IP UNIVERSAL 建立通用地址池。（这个好象不用可以。）
PPP generl 建立用户。（可以设置流量使用时间）
PPP profiles 设置用户群，设置群的流量/速度，使用时间等。
说了那么多废话其实就这么一点东西。大家不要拿鸡蛋砸我呀。

RouterOs建立PPPoE虚拟拨号服务器

洗秋杂语(洗秋) — Tue,06 Feb 2007 09:33:51 +0800

    作为一个网络管理员，近期被“网络执法官”弄的焦头烂额。虽然我们可以查找出非法攻击者，但是却没有更好的办法进行治理。常常是我们前脚处理，他们马上就重新攻击。
    我们知道，利用时下流行的PPPoE的方法，是最好的避免基于以太网的arp攻击的方法。（其具体原理请读者自行查阅资料，本人不再累述）。但是专业的硬件解决方案价格太高了。
    选择出了一款软路由软件——RouterOs，由MikroTik公司出品，号称是ISP级的路由软件。看过它的说明书后，发现它的功能还真是够多！最关键就是——它支持PPPoE Server。好，就选择它了！下面就开始我的RouterOs之旅：
  一：RouterOs简介
RouterOs是一款基于Linux的路由器操作系统，功能强大，拥有几乎所有硬件路由具有的功能。当然，这里我们只选用了它的PPPOE Server功能。RouterOs要求相当简单：一台具有奔腾以上的CPU,64M内存的X86计算机就足够了（既然号称ISP级的路由器，对内存的要求是大了点）。关键是对网卡的支持：Intel的8255X系列、3com的3c905系列、RealTek的8139系列，常见的网卡全可以。（建议大家选用Intel82559网卡，速度和稳定性都很好。RealTek8139对CPU资源消耗较大，不适合大数据流量工作。3com就不要考虑了，官方文件说它不支持MTU1500,在特殊应用上可能有问题。具体的资料请大家到到www.mikrotik.com查询）。笔者使用的系统是Intel的奔腾Ⅲ450，64M内存，Intel82559 100M 网卡，可以轻松的承担大约200用户的PPPOE拨号以及NAT（网络地址转换）。唯一的缺点是该软件是收费的，试用时间只有24小时。不过还好，发挥我们的“能动性”，可以解决这个问题。
二：RouterOs的安装
  这一点很简单――RouterOs已经和Linux结合在一起了。大家可以到http://www.mikrotik.com/download.html#v2 去下载。大约有20M。软盘镜像版可能需要7－9张软盘，建议下载光盘镜像版。将下载的.iso文件用刻录软件刻录为光盘，可以利用这张光盘启动并安装RouterOs。安装是自动的，基本不需人工干预。为了以后方便使用，可以一起下载RouterOs的图形配置界面Winbox。
三：RouterOs的基本配置
  重新启动计算机后，可以看到下图的界面：

管理员用户名是：admin 默认口令为空。Ok，现在忘掉你学过的cisco或者华为命令吧。让我们来看看RouterOs的配置命令：如果大家用过Linux，就会感觉很熟悉。RouterOs的配置按分操作目录分类的（官方文件叫Home menu level，我暂且这么翻译），也就是说在不同的目录提示符下所能进行的工作是不同的。所以，在下文中还请大家注意当前工作目录。
常用命令如下（该命令基本通用）：
输入？来显示当前目录下可执行的命令。
使用print来显示当前目录下的配置。
使用add 来添加配置。
使用remove 来删除指定配置。
输入．．回到上曾目录。
RuterOs有?号命令补全功能，在没有歧义的情况下也可以使用命令缩写。
为了安全，请大家在根目录先使用password命令来修改admin用户的口令。
接下来，开始进入我们的RouterOs之PPPoE Server之旅吧！
⒈ 配置我们的网卡：
RouterOs中，网卡默认以ether1、ether2、ether3的形式进行命名。
网卡配置是在[admin@MikroTik] interface>目录，使用print命令来看看：
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running
#   NAME               TYPE       RX-RATE   TX-RATE   MTU
0 X ether1               ether         0       0       1500
1 X ether2               ether         0       0       1500
X表示网卡还没有启动，使用enable命令启动：
[admin@MikroTik] interface> en 0
[admin@MikroTik] interface> en 1
再用print命令看看：
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running
#   NAME               TYPE       RX-RATE   TX-RATE   MTU
0 R ether1               ether         0       0       1500
1 R ether2               ether         0       0       1500
状态变成R,说明网卡启动成功。
查看网卡ether1数据流量：
[admin@MikroTik] interface> monitor-traffic ether1
  received-packets-per-second: 3
    received-bits-per-second: 24.4kbps
    sent-packets-per-second: 0
      sent-bits-per-second: 0bps
[Q uit|D dump|C-z pause]
Q键退出。D键记录数据包。C键暂停。
查看网卡ether1工作状态：
[admin@MikroTik] interface ethernet> monitor ether1
            status: link-ok
      auto-negotiation: done
            rate: 100Mbps
          full-duplex: yes
    default-cable-setting: standard
[Q quit|D dump|C-z pause]
可以看出，网卡已经连接，以100M全双工的方式运作。
⒉ 为网卡配置IP地址。
  我的网络外网连接IP是219.218.188.12（教育网的）。连接到网卡ether1。
  为网卡ether1设置IP地址：
  [admin@MikroTik] ip address> add address=219.218.188.12/24 interface=ether1
  内网网卡用于PPPoE Server，为了减少麻烦，所以不设置IP地址。
  查看一下IP设置情况：
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS         NETWORK       BROADCAST     INTERFACE
0   219.218.188.12/24     219.218.188.0     219.218.188.255     ether1
⒊ 配置PPPoE-Server
这里有点麻烦，还请大家特别注意当前工作目录。
RouterOs的PPPoE Server 配置大致可分4个步骤
·为PPPoE虚拟拨号用户设置一个IP地址池，用于给客户动态分配IP地址。
·添加一个PPP profile ，设置一个路由器IP地址，以使客户可以从IP POOL中获取IP地址。
·添加PPPoE拨号用户，用户可以使用用户名和口令进行拨号。
·添加一个PPPoE Server。
工作完成，用户才可以进行虚拟拨号。再强调一下，请大家注意工作目录。
我们来具体操作一下：
① 添加一个名称为mypool的地址池
[admin@MikroTik] ip pool> add name=mypool ranges=192.168.0.3－192.168.0.254
可以使用print命令看一下：
[admin@MikroTik] ip pool> print
#   NAME                           RANGES
0   mypool                         192.168.0.3-192.168.0.254
② 添加一个名称为myserver的PPP Profile
[admin@MikroTik] ppp profile> add name=myserver local-address=192.168.0.1 remote-address=mypool
可以使用print命令看一下：
[admin@MikroTik] ppp profile> print
Flags: * - default
1   name="myserver" local-address=192.168.0.1 remote-address=mypool session-timeout=0s idle-timeout=0s
  use-compression=no use-vj-compression=no use-encryption=no require-encryption=no only-one=no
  change-tcp-mss=yes tx-bit-rate=0 rx-bit-rate=0 incoming-filter="" outgoing-filter="" dns-server=""
wins-server=""
③ 为PPPoE Server添加用户名为yourland,口令为10057,该用户只能使用PPPoE服务。
[admin@MikroTik] ppp secret> add name=yourland password=10057 service=pppoe profile=myserver
使用命令print看一下：
[admin@MikroTik] ppp secret> print
Flags: X - disabled
#   NAME     SERVICE CALLER-ID         PASSWORD         PROFILE   REMOTE-ADDRESS
0   yourland   pppoe                 10057           myserver   0.0.0.0

④ 添加一个PPPoE 服务，名为mypppoe,端口设置为内网接口ether2
[admin@MikroTik]interface pppoe-server server>add service-name=mypppoe interface=ether2 default-profile=myserver
也可以使用命令print看一下。

四．配置NAT（网络地址转换）
由于我们内网使用的是私有IP地址，为了学生可以正常上网，还要配置NAT进行地址转换才可以。
我们要使用的是RouterOs称为“Source NAT”的方式。
[admin@MikroTik] ip firewall src-nat>add action=masquerade out-interface=ether1
使用命令激活NAT
[admin@MikroTik] ip firewall src-nat> enable 0
五.为路由器配置默认路由，IP地址219.218.188.1是我们下一跳的地址。
  [admin@MikroTik] ip route> add dst-address=0.0.0.0/0 gateway=219.218.188.1
六．配置客户机
  客户机上只需要安装一款PPPoE虚拟拨号软件就可以了。只是要注意，客户机和PPPoE服务器要通过交换机正确连接才可以。
七．使用Winbox进行方便配置
  在一台可以和RouterOs服务器正确连接的PC上安装Winbox。

这样，配置就方便多了，终于可以忘记刚才的命令了。

总之，RouterOs功能的确很是强大，我这里只用到了一小部分功能。更多的功能还待大家来共同发掘！另：如果您如果觉的用硬盘不够安全的话，可以去购买一块“电子硬盘”或者CF卡转IDE口的转接器，把您的RouterOs配置成一台真正的路由。