ros手动流控，保证优质的网络连接如VoIP 和HTTP等为最优先级将P2P的优先级设置为最低 RouterOS QOS操作首先使用mangle标记不同类型的传输然后把它们放入的queues做不同的限制。下面的事例是强迫P2P的总的传输不能超过1Mbps其他的传输连接则扩大连接带宽和优先级  

[admin@NAT] > /ip firewall mangle add chain=forward  p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn

[admin@NAT] > /ip firewall mangle add chain=forward connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p

[admin@NAT] > /ip firewall mangle add chain=forward  packet-mark=!p2p_conn action=mark-packet new-packet-mark=other

[admin@NAT] > /queue tree add parent=Public packet-mark=p2p limit-at=1000000  max-limit=100000000 priority=8

[admin@NAT] > /queue tree add parent=Local packet-mark=p2p limit-at=1000000  max-limit=100000000 priority=8                                      

[admin@NAT] > /queue tree add parent=Public packet-mark=other  limit-at=1000000  max-limit=100000000 priority=1

[admin@NAT] > /queue tree add parent=Local packet-mark=other  limit-at=1000000  max-limit=100000000 priority=1

ros的防火墙非常灵活，如果配上正则表达式则更为强大，

防火Q过滤功能有三个默认的数据链chainsinput, forward和output 他们分别负责从哪里进入路由器的、通过路由器转发的与从路由器发出的数据。用户也可用自定义添加链当然这些链没有默认的传输配置需要在三条默认的链中对action=jump策略中相关的jump-target进行配置。

例：

建立新的跳转数据链chains

add chain=forward protocol=tcp action=jump jump-target=tcp(新数据链名)   

add chain=forward protocol=udp action=jump jump-target=udp   

add chain=forward protocol=icmp action=jump jump-target=icmp     

建立tcp-chain并拒绝一些tcp端口

add chain=tcp protocol=tcp dst-port=69 action=drop comment=”deny TFTP”  

add chain=tcp protocol=tcp dst-port=111 action=drop comment=”deny RPC portmapper”   add chain=tcp protocol=tcp dst-port=135 action=drop comment=”deny RPC portmapper”   add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”deny NBT”  

 add chain=tcp protocol=tcp dst-port=445 action=drop comment=”deny cifs”   

add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”deny NFS”   

add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”deny NetBus”   add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”deny NetBus”   

add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”deny BackOriffice”   add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”deny DHCP”      

在udp-chain中拒绝非法的udp端口Deny udp ports in udp chain:

add chain=udp protocol=udp dst-port=69 action=drop comment=”deny TFTP”   

add chain=udp protocol=udp dst-port=111 action=drop comment=”deny PRC portmapper”   add chain=udp protocol=udp dst-port=135 action=drop comment=”deny PRC portmapper”   add chain=udp protocol=udp dst-port=137-139 action=drop comment=”deny NBT”   

add chain=udp protocol=udp dst-port=2049 action=drop comment=”deny NFS”  

在防火墙Layer7-protocol目录下你可以添加正则表达式字符串协议定义他们的名称并在防火墙filter目录下丢弃他们的数据。针对一些应用程序如skype、QQ、MSN、魔兽世界……网络程序做限制和过滤

DMZ 配置事例

路由器一般需要3张网卡Public公网Local本地网络DMZ-Zone非军事区

给相应的Interface添加对应的IP地址如下

[admin@gateway] ip address> print

Flags: X – disabled, I – invalid, D – dynamic

#   ADDRESS            NETWORK         BROADCAST       INTERFACE

0   192.168.0.2/24     192.168.0.0     192.168.0.255   Public  

1   10.0.0.254/24      10.0.0.0        10.0.0.255         Local  

2   10.1.0.1/32        10.1.0.2        10.1.0.2            DMZ-zone  

3   192.168.0.3/24     192.168.0.0     192.168.0.255     Public

配置DMZ服务器的IP地址为IP地址10.1.0.2网络地址段10.1.0.1/24以及网关10.1.0.1  

配置能从因特网访问DMZ服务的dst-nat规则将地址192.168.0.3配置给DMZ服务器 [admin@gateway] ip firewall nat> add chain=dst-nat action=dst-nat \ \… dst-address=192.168.0.3 to-dst-address=10.1.0.2

为网络192.168.0.0/24的所有客户端添加一个限制下载流量为2Mb上传流量1Mb的简单队列规则。  

[admin@MikroTik] queue simple> add name=Limit-Local target-address=192.168.0.0/24 max-limit=1000000/2000000

这里不想让服务器192。168。0。1受到我们添加上面规则的任何流量限制我们可以通过添加一个没有任何限制的规则max-limit=0/0代表没有任何限制并把它移到列表的顶部 [admin@MikroTik] queue simple> add name=Server target-addresses=192.168.0.1/32

Queue tree HTB实

通过用new-connection-mark标记向外的连接并采取mark-connection动作。当这个完成时你可以使用new-packet-mark标记属于这个连接的所有数据包并采用mark-packet。 首先VIP数据标记我们通过ip firewall address-list定义VIP用户的地址列表定义完成后通过src-address-list调用

     chain=forward action=mark-connection new-connection-mark=vip       passthrough=yes src-address-list=vip   

     chain=forward action=mark-packet new-packet-mark=vip passthrough=no       connection-mark=vip

跟着定义web数据这里我们需要针对访问网页的tcp/80端口和域名解析的DNS端口tcp/53和udp/53端口标记

2   ;;; web      chain=forward action=mark-connection new-connection-mark=web       passthrough=yes protocol=tcp dst-port=80    

3   chain=forward action=mark-connection new-connection-mark=web       passthrough=yes protocol=tcp dst-port=53    

4   chain=forward action=mark-connection new-connection-mark=web       passthrough=yes protocol=udp dst-port=53    

5   chain=forward action=mark-packet new-packet-mark=web passthrough=no       connection-mark=web

标记数据完成后我们进入queue tree中对数据进行优先级的配置

我们进入forward链表添加一条跳转的规则将forward中所有数据首先进入dstgames的链表过滤一次将游戏分离出来 /ip firewall mangle add chain=forward action=jump jump-target=dstgam

连接标记用于区分网页视频的速率 chain=forward action=mark-connection new-connection-mark=web_video passthrough=yes protocol=tcp dst-port=80 connection-bytes=700000-0 connection-rate=70k-10

HTB令牌桶方式控制各个数据的优先级并通过PCQ动态分配带宽我们进入queue的tree设置HTB但我们首先还是要先设置PCQ参数 进入queue type添加PCQ规则我们添加一个down的PCQkind= pcqrate设置每台主机的带宽这里我们选择0即动态分配带宽你也可以设置一个固定值以k或者m为单位选择dst-address为下行的规则

masquerade – 以一个路由策略自动分配的IP地址取代IP包的源地

netmap – 创造一个IP地址从一端到另一端的静态11映像。通常用于分配公用IP地址到专用内网的主机上

passthrough – 忽略次条规则并转到下一个规则

redirect – 把IP包的目的地址替换成一个路由器的本地地址

对公用接口添加公用IP /ip address add address=10.5.8.200/24 interface=Public       添加允许外部网络访问本地服务器的规则 /ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \  to-addresses=192.168.0.109

如果你想从公用IP子网11.11.11.1/32访问本地的2.2.2.2/32你应该使用目的地址翻译以及源地址翻译特性设置action=netmap。

/ip firewall nat add chain=dstnat dst-address=11.11.11.1 \  action=netmap to-addresses=2.2.2.2  

/ip firewall nat add chain=srcnat src-address=2.2.2.2 \  action=netmap to-addresses=11.11.11.1

。Mangle标记仅存在于该路由器中他们无法传输到网络中去。 根据数据传输方式不同可以选择

? Prerouting路由前常用于标记策略和端口路由

? Input进入路由器的数据

? Foreward通过路由转发用于修改TTL、TCP-MSS和流量控制规则   

? Output数据输出

? Prostrouting路由后

标记IP数据流的三种类型这三种类型会在各种应用中多次出现特别是Queue的流量控制和ip route的路由

? Mark-connection标记所有IP流的连接

? Mark-packet标记IP流中数据包

? Mark-routing标记IP流中IP数据包的路由信息

三种类型的关系所有的在IP数据包传输前首先需要通过建立TCP/UDP连接进行传输。所以当数据通过IP流进入Mangle后建立相应的连接标记并从连接标记中提取数据包做处理

在虚拟机上安装宝塔面板，因为不能直接复制代码，于是手工输入：

    yum install -y wget && wget -o install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh

报错如下：
loaded plugins:fastestmirror
loading mirror speeds from cached hostfile
base:mirrors.cn99.com
extras:mirrors.aliyun.com
updates:mirrors.aliyun.com
package wget-1.14-18.e17_6.1.x86_64 already installed and latest version
nothing to do
install.sh:line 1:–2020-02-29:command not found
install.sh:line 2:syntax error near unexpected token “(“
install.sh:line 2:resolving download.bt.cn

折腾好长时间都没解决，突然想到Linux对大小写敏感（我是个刚入Linux门的菜鸟），而这代码里有个“o”，一般是看不出来大小写
3sfTzQ.jpg

于是把o改成大写

yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh

OK！
醉了。

2020版本较之前有个较大的不同的地方就是它不再是默认root用户登录，这算是它的一个革新，然而我们在终端操作命令的时候还是需要root用户，2020的安装过程中，系统提示我们创建一个用户，非root，这并不方便，切换方法学习UBUNTU系统的配置如下：

sudo passwd root 如果是第一次进则设置root的密码

su root 以后就可以用此命令使用root权限了。

这个安装教程为玩客云（网心）202008月提供，为该公司CDN所用生产环境。

一、系统及分区要求

1. 系统版本centos7.6，系统盘使用大于200G的SSD硬盘;
2. 不要使用LVM分区，硬盘不要做RAID；
3. 带RAID卡的机器可以用直通方式，或者每个盘做1个raid0组；
4. 系统分区要求：

/boot分区10G，

/boot/efi分区1G(非必须，uefi启动方式所需分区 )

/swap分区20G,

/根分区使用剩余所有空间；

二、优化机器性能的设置

1. 关闭cpu节能模式

设置方法：https://www.cnblogs.com/larrypeng/p/11880631.html

2. 打开CPU超线程的功能(需要CPU支持)

开机进入BIOS，然后选择ADVANCE→CPU Configuration→Hyper Treading Technology，选择Enabled

3. 带阵列卡的机器打开磁盘cache

设置方法： https://www.cnblogs.com/larrypeng/p/11880693.html

三、制作安装U盘

安装系统时删除服务器中的文件，请确认文件已有离线备份。默认安装选项选择第一块硬盘自动分区安装系统，因系统识别到的顺序和槽位序号可能不一致，安装时只将系统盘安装至服务器上，其它磁盘暂时不要安装在服务器，以免系统安装在错误的磁盘上面。

1. 下载系统安装ISO文件

http://180.97.87.29:9090/iso/CentOS7.6_auto_install_20200506.iso

MD5: d4bd41f24ef540bbd767ca0c56dbd09c

SHA1: f32e7ad0fd3bc363037633a8ec4c2d62d520587b

下载文件校验工具，检验光盘完整性：:

http://180.97.87.29:9090/iso/hash.zip

1. 制作U盘系统安装盘，推荐使用软件rufus，可以官网下载(http://rufus.akeo.ie/)

Rufus3.8下载链接：https://github.com/pbatard/rufus/releases/download/v3.8/rufus-3.8.exe

电脑插上U盘，运行rufus, 选择U盘，选择系统镜像文件，点“开始”, 写入方式有ISO镜像模式和DD镜像模式两种，其中ISO镜像模式写入的U盘还可以写入其他文件，和一般U盘无区别，但兼容性较差，推荐DD镜像模式，但该模式写入后，windows下将不识别，仅可用于系统安装(参考下图)。

四、安装系统

服务器插上制作好的U盘，设置为U盘引导启动，进入如下图安装界面，使用默认第1项进行自动安装，安装完成后，拨下U盘, 重新启动服务器。

方法1： 推荐使用第1项自动安装，

默认在sda自动分区安装系统，为避免系统安装到其它数据磁盘上面，其它磁盘暂时不要安装在服务器。

安装完成，点“重启”系统后。系统默认登录账号：root 密码：china123 登录系统后，请立即修改一个复杂密码，以防被黑客攻击。建议执行如下两条命令设置防火墙。

wget http://180.97.87.29:9090/tool/sshd_set.sh -O /tmp/sshd_set.sh

sh /tmp/sshd_set.sh

参考此文档下面第五部分配置网络.

方法2：使用第2项手动分区安装系统

分区要求：

/boot 分区10G，

/boot/efi 分区1G(非必须，uefi启动方式所需分区 )

/swap 分区20G,

/ 根分区使用剩余所有空间；

1）安装系统时选择第二项手动分区项，如下图;

2) 会提示需要指定安装位置，如下图，点击”安装位置”

3) 选择要安装的系统盘（只保持系统盘选中即可），并选中“我要配置分区” 项; 点“完成”

4）使用标准分区，点 “+” 添加分区;

5) 添加boot分区10G;

6) 如果使用uefi的方式启动，需要为/boot/efi创建单独的分区，并且文件系统为EFI System Partition(默认是此类型，不需要修改)

7) 添加swap分区20G

8) 添加“ / ”根分区，期望容量为空，表示使用所有剩余空间;

9) 配置完之后点击“完成”，在弹出的对话框中点击“接受更改” 如下图;

10）点击“开始安装”

11）完成之后重启

系统默认登录账号：root 密码：china123 登录系统后，请立即修改一个复杂密码，以防被黑客攻击。

参考此下面章节第五部分配置网络

五、网络配置。

1）输入命令ip addr 查看网卡设备名称:

2）例如网卡设备名称为eth0, 用vi命令编辑网卡配置文件, 设置IP，掩码，网关，DNS。其中NAME和DEVICE 后面的名字按实际的网卡名字填写。

# cd /etc/sysconfig/network-scripts

# vi ifcfg-eth0

打开文件后按“i”键切换至编辑模式，修改以下相关内容，标颜色的部分按实际情况修改。编辑完成后，按”Esc”退出编辑模式，输入“: wq” 保存退出。

TYPE=Ethernet

DEVICE=eth0

NAME=eth0

BOOTPROTO=static

ONBOOT=yes

IPADDR=192.168.1.200

NETMASK=255.255.255.0

GATEWAY=192.168.1.1

DNS1=114.114.114.114

修改完成后重启网络服务

# systemctl restart network

4）ping测试能通外网，可以通过ssh连接服务器。

ping fs.xyz00.top 能通

六、安全加固

建议执行如下命令设置防火墙

执行 yum install -y wget && wget http://fs.xyz00.top:3195/sshd_set.sh && sh sshd_set.sh

内容如下：

!/bin/bash

sshd_conf_file=’/etc/ssh/sshd_config’
sshd_port=60001

modify port of sshd

sed ‘s/Port .*$/Port ‘${sshd_port}’/g’ $sshd_conf_file

set iptables

iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport ${sshd_port} -j ACCEPT

restart sshd service

systemctl restart sshd

sshd white list

cat <<-EOF > /etc/hosts.allow
sshd:121.10.120.171 112.90.17.2 42.51.169.10 111.7.132.211
sshd:123.150.173.82 125.39.70.82
sshd:123.150.173.130 125.39.70.130 61.155.184.3 112.87.43.3
sshd:192.168.0.0/255.255.0.0
sshd:172.16.0.0/255.224.0.0
sshd:10.0.0.0/255.0.0.0
EOF

安装，做好启动U盘再选 自定义ISO安装，如老毛桃可新建一个MYEXT文件夹，把爱快的ISO文件放里面，再进WINPE时选 自定义ISO

一个Lan下不同的Vlan可拔号的同时也可dhcp,但dhcp的在定义Vlan时要写网关，拔号时可不填网关

不用看了，其实在Elementor中的

Unlimited Elements for Elementor 中有很多小工具，其中就有这个特效，

Tabby Responsive Tabs使用方式很簡單,在 控制台/已安裝外掛 啟用 Tabby Responsive Tabs 之後,在文章使用下面的 wordpress shortcode 即可.

[tabby title=”First Tab”]
Tabby ipsum dolor sit amet, kitty sunbathe dolor, feed me.
[tabby title=”Second Tab”]
Lay down in your way catnip stuck in a tree, sunbathe kittens.
[tabby title=”Third Tab”]
sleep in the sink climb the curtains attack, give me fish.
[tabbyending]