网络技术与RouterOS

考虑到有多个SOCKS代理服务节点，如何通过Socksify去同时连接不同的节点，并将内网不同主机重定向到指定的SOCKS代理，由于Socksify不涉及三层路由配置，只涉及dstnat操作所以。一些大型企业多地有服务，服务之间的内部Web服务考虑数据安装，需要使用加密隧道，还会涉及到隧道的搭建。 首先通过3个SOCKS代理节点作为示例，不考虑加密隧道，如下

Socksify的含义基本理解是使一个应用程序 SOCKS 化，即让它走 SOCKS 代理，通常是将某个应用使用SOCKS代理服务器，通过代理服务器转发。 即使应用程序本身不支持代理连接，也可以通过网关 拦截网络调用，并通过已配置的 SOCKS 代理进行重定向。 RouterOS从v7.20开始支持Socksify，即RouterOS作为一个SOCKS客户端

DHCP option code 3和6分别是用于指定路由网关和DNS分配，即需要为特定的客户主机分配指定的网关或DNS时，可以选择option Code 3或6。例如在局域网中，有2个网关，一个DHCP默认分配的路由器网关，另一个是旁路由网关，走默认网关的客户端主机使用默认的DNS分配，而走旁路由的主机使用旁路由的网关和另外一个DNS。 首先使用Winbo

IPv6的NAT设置与IPv4流程完全相同，配置内网IP地址到LAN接口，配置公网IP地址到WAN接口，然后设置默认路由，最后配置NAT规则，完成内网IP地址到公网IP地址的NAT转换，只是部分细节需要考虑， 基本IP和路由设置 首先在LAN网络接口上配置邻居发现ND，例如你的LAN网络接口是bridge，设置如下： /ipv6 nd set [ find

从v6.45beta6开始，RouterOS的DHCP Server支持对vendor class id进行配匹，可通过DHCP客户端的厂商ID选择指定的地址池。下面的实例，基于三星Android手机提供一个指定IP地址池。 首先，路由器已经有192.168.88.1/24的IP配置到bridge接口，需区分不同厂商设备class id，创建一个新的IP地址

RouterOS在配置nat规则时，大多管理员会不在意nat规则的接口（interface）参数，当然nat规则没配置interface接口参数的情况下也能正常工作，但它们也可能导致部分问题，例如，多内网IP的互访伪装，路由环路和资源消耗等等。 对于初学者来说配置一条能上网的nat规则，默认设置action= masquerade能用就好，但对于网络管理员来

从运营商分配到IPv6地址后，并通过路由器分配到内网主机IPv6地址，内网的主机将获取公网IPv6地址，这样带来一个安全问题，即全球互联网都可以访问到你的主机，而不是像IPv4通过路由器的nat转换后到互联网，nat可以隐藏私网IPv4地址，通过配置相应的防火墙保护路由器后的主机非常重要，大致配置方式如下： 接受established/related 数据包

早期阻止网站访问，通过content的文本内容过滤，例如过滤www.mikrotik.com的域名 /ip firewall filter add action=drop chain=forward content=www.mikrotik.com 但content内容过滤进对http内容有效，且非常简单粗暴的，因为报文中涵盖的明文内容也会过滤掉，也无法对h

最近在做接入4条拨号线路的PCC汇聚，需要将4条线路的TCP/UDP端口映射到内网，由于映射端口较多，dstnat的重复操作非常多，首先是动态获取的公网IP地址，需要设置dst-address写入公网IP，并用脚本判断IP是否变动，然后修改dstnat的dst-address的IP地址， 提示：PCC多线路映射确保mangle的input和output策略已

IPv6业务地址运营商通过三层互联，将前缀64的地址指定到用户的RouterOS，RouterOS通过无状态地址自动配置方式将业务IPv6地址分配给终端使用者，如事例中的一台CentOS 7服务器。 三层互联地址 ： 运营商：2001:d9:e800:101::1/127，本地：2001:d9:e800:101::/127 业务地址 ： 2001:d9:e8