RouterOS策略路由是维护两个或两个以上的路由表，因此创建源地址策略路由也是要新建路由表，在RouterOS里配置源地址策略路由方法有两种：基于ip route rule直接配置源地址策略，配置简单，可选参数少基于ip firewall mangle标记路由策略，有更多的参数可以选择，配置更加灵活两种方法都会新建一张路由表，操作方法各有不同，通过下面的简单事例讲解下：根据上图的一个双线网络结构，配置主机192.168.88.9走线路2，其余主机走线路1接口情况如下：Ether1：10.10.

路由器是连接两个或两个以上IP网段的三层设备，只要两个网段的IP配置到路由器上，且该网段下的网络设备默认网关指向路由器，他们之间是可以互通的。如果路由器上有192.168.99.0/24和192.168.88.0/24的网段，当192.168.88.0/24走线路2，因为策略路由原因会导致无法访问到192.168.99.0/24的网段，如果要解决这个问题，需要在mangle标记时排除内网段IP地址现在假设192.168.88.0/24源地址走线路2出去，会导致192.168.88.0/24能通过

Miktotik Router 设置首先设置打开mikrotik DNS的缓存功能:1/ip dns set allow-remote-requests=yes将所有的TCP和UDP的53端口的请求重定向到路由器53端口:(如果你有多个路由可以进行重定向设置-一般可以跳过这一步)12/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53 comment="DNS TCP

前因由于今年开始移动主推了和家庭套餐，相当于免费送了100M光宽带+魔百盒电视盒，本着浪费可耻的心态打算办套餐~  （139元每个月，比我现在158元月消费的4G流量还多，通话时间更多，还送宽带、电视……）但是！ 家里还办了联通的宽带，配合我的联通手机卡月消费不到80，流量有10G…… 有点舍不得（昨天更换了联通无限流量套餐^_^ 每个月86元，省内无限流量+100M宽带）。怎么办！ 双WAN口的路由器是不是要摆上议程了~ 咔咔于是，上网淘了一台二手的Mikrotik RB450G 路

RouterOS提供了各种功能包的安装和管理，功能包可以从http://www.mikrotik.com/download.html页面下载，提供了http和bt方式下载，管理员可以根据需要安装功能包，对于RouterOS而言正确的安装使用功能包有助于系统维护和减小系统开销。 RouterOS安装和管理时每个功能包的组成： 功能包包含功能advanced-tools (mipsle, mipsbe, ppc, x86, tile)包含各种工具ping、netwatc

从运营商分配到IPv6地址后，并通过路由器分配到内网主机IPv6地址，内网的主机将获取公网IPv6地址，这样带来一个安全问题，即全球互联网都可以访问到你的主机，而不是像IPv4通过路由器的nat转换后到互联网，nat可以隐藏私网IPv4地址，通过配置相应的防火墙保护路由器后的主机非常重要，大致配置方式如下：接受established/related 数据包;丢弃非法数据包，并记录到日志中;接受除了WAN（外网接口）ICMPv6数据包；接受从客户端到互联网的连接;丢弃其他所有数据。 首先

当RouterOS作为网关，并在RouterOS的内口配置多个IP地址段（通常用于VLAN区分不同的办公段、核心设备或区域划分）连接多个IP子网段，当我们需要控制多个IP网段之间的访问时，需通过防火墙filter来完成。通过下面一个简单实例介绍：RouterOS内网有192.168.10.0/24和192.168.90.0/24两个网段，网关都配置在RouterOS内口ether2和ether3，IP地址配置：/ip addressadd address=192.168.10.1/24 inte

最近在做接入4条拨号线路的PCC汇聚，需要将4条线路的TCP/UDP端口映射到内网，由于映射端口较多，dstnat的重复操作非常多，首先是动态获取的公网IP地址，需要设置dst-address写入公网IP，并用脚本判断IP是否变动，然后修改dstnat的dst-address的IP地址，提示：PCC多线路映射确保mangle的input和output策略已经正确配置，这里省略不在说明。然后改用in-interface=pppoe-out的方式，来实现端口映射，无需配置脚本定期检查，具体配置如下：

早期阻止网站访问，通过content的文本内容过滤，例如过滤www.mikrotik.com的域名/ip firewall filteradd action=drop chain=forward content=www.mikrotik.com但content内容过滤进对http内容有效，且非常简单粗暴的，因为报文中涵盖的明文内容也会过滤掉，也无法对https域名进行过滤。如果要过滤https网站域名，需要使用tls-host的过滤功能，配置如下：/ip firewall filteradd a

返程路由问题，对于RouterOS多线接入情况下，遇到的问题最多，而且在不同的环境下，解决方案也有不同，这篇文章探讨遇到问题最多的一种多线端口映射（不涉及PCC负载均衡情况，PCC的情况在配置了input和output策略后，大部分多线映射是可以解决的）网络结构情况是，默认路由还是在WAN1上，我们需要映射TCP/3389到内网服务器192.168.1.8，配置情况如下：首先要配置默认的src-nat的伪装规则隐藏内网地址/ip firewall natadd chain=srcnat acti