上一期ROS小白入门视频发布有段时间了，最近有群友小伙伴问进阶的ROS设置视频什么时候来啊？话说ROS实在是太稳，总不出毛病！所以想折腾也没得搞，陆陆续续记录了一下小白老高从ROS幼儿园小班步入中班过程中所见所闻，汇集成本期幼儿中班的视频和大家一起折腾下。有说到说不到，说错的地方还请多包涵~

感谢您的关注订阅🙏，三连投币转发 充电是对我最大的支持和鼓励！🙏我会继续努力做出更多的高质量视频！加爱折腾的群和讨论组：https://diyforfun.565856.xyz/ 爱折腾的老高欢迎您加入和有着共同折腾爱好的朋友们一起：折腾的开心！开心的折腾！

声明：爱折腾的老高视频及技术交流群仅供数码爱好者正规合法讨论技术交流。不涉及任何违法违规技术交流。请不要在评论或私聊中提及任何违法违规技术问题，一概不予回答谢谢合作。请各位朋友不在在群中讨论任何相关违法违规及风险问题，群规见群公告。所分享资源均来自互联网公开资源，均有其各自的作者和出处，尊重知识产权。相关设备和服务请购买正版。各厂商服务商请不要群内发广告、图片及二维码等。如有合作意向，敬请与老高联系。

前言：
上一期ROS小白入门视频发布有段时间了，最近有群友小伙伴问进阶的ROS设置视频什么时候来啊？话说ROS实在是太稳，总不出毛病！所以想折腾也没得搞，陆陆续续记录了一下小白老高从ROS幼儿园小班步入中班过程中所见所闻，汇集成本期幼儿中班的视频和大家一起折腾下。有说到说不到，说错的地方还请多包涵~

一、升级
System——Package
Check For Updates
stable稳定版/testing测试版/development开发版，通常选择stable稳定版，下载并安装

二、NTP
System——NTP Client
✔Enabled
Mode：unicast
NTP Server：
time.windows.com
time.apple.com
ntp.tuna.tsinghua.edu.cn

ROS开启NTP Server服务按需开启

三、DHCP静态设置IP，指定网关和DNS
关于DHCP租期：国内常见的家用路由器DHCP默认IP租期为120分钟，ROS默认DHCP的IP租期为10分钟更适合设备较多的企业。租期短对DHCP服务的压力相对小。对于不常在线的家用设备，待机后可能再次打开ip需要重新获取带来不方便。建议可以设置为家用常用的120分钟。
IP——DHCP Server中，双击建立好的DHCP服务，Lease Time改为02:00:00 即为2小时

1、DHCP静态设置IP
IP——DHCP Server——Leases
标签D为动态分配
选中想要静态设置的IP，点击Make Static，双击进入手动设置好IP，点OK即可
所有设置过静态IP的条目前面的标签D消失，表示为静态设置。
静态设置的条目可以点选后，点击黄色书签图标进行标注，自定义条目的名称，以便区分各种设备和服务。

2、指定网关和DNS
（1）为设备IP单独指定网关或者DNS
IP——DHCP Server——Option
点击+新建，建立自定义的DNS一个设置选项
Name：DNS
Code：6（代码见视频中详细介绍）
Value：'xxx.xxx.xxx.xxx'（注意英文字符，单引号不要忘记 'DNS的IP')

点击+新建，建立自定义的网关一个设置选项
Name：GW
Code：3（代码见视频中详细介绍）
Value：'xxx.xxx.xxx.xxx'（注意英文字符，单引号不要忘记 '网关的IP')

返回Leases选项卡，里面的静态IP条目双击，可以添加DHCP Option，选择以上建立的自定义DNS，或者自定义网关选项。来细化静态分配。但是这只能单选以上设置的自定义DNS或者网关其中一个，不能多选。要想组合设置网关+DNS见下（2）

（2）为设备IP组合指定网关+DNS
设置完（1）中的Option之后，点击IP——DHCP Server——Option Sets做精细化组合设置。
点击+新建，建立设置选项，名称随意
Name：DHCP-set1
Option：GW（点击向下箭头，可添加条目）
DNS
点击OK保存
返回Leases选项卡，里面的静态IP条目双击，可以添加DHCP Option Set（注意区分以上（1）中单独设置是不同的），选择以上建立的自定义网关+DNS组合设置：DHCP-set1 这样就完成了为静态IP组合指定网关+DNS

3、防火墙的精细化
如果入门是幼儿园小班，那么下面咱们升入中班，开始：
入门为的是能顺利上网，并没有过多的追求nat的效率和合理化，看了很多大佬的解说，存在过度NAT的情况，会导致转发效率降低以及浪费系统资源的情况，并不合理的。大佬们的建议是：防火墙规则尽可能的精确，且详尽。
（1）首先上一期入门教程中的（7:20）：IP——Firewall——NAT
srcnat masquerade，其中Out Interface不仅是要去掉all，而且更合理的是要设置为pppoe-out1，指定出线接口可以有效的减少过度的NAT。

（2）设置端口映射/转发时，同样是要指定精确的进线接口。
如In. Interface，设置为 pppoe-out1 即精确进线从拨号的外网线路进来的流量，访问TCP/IP协议的某个端口，映射/转发到内外某个IP的某个端口。见下4（2）一

4、回流（此方法适合有公网IP的朋友）
我们发现虽然按照上期视频中设置了端口映射/转发，可以在外网成功访问。但是我们在局域网本地，同样打开如DDNS+端口时，确实拒绝访问无法打开，只能使用局域网IP+端口访问，带来不便。这就需要设置回流。

（1）进入
IP——Firewall——Address Lists
点击+新建
Name：MyDDNS随意
Address：设置为你的DDNS域名地址
点击OK保存后，系统自动解析为你的动态公网IP

（2）
IP——Firewall——NAT中，
（一）添加外网访问DDNS+端口时QB的WebUI端口映射
General：Chain：dsnat
Protocol：6（tcp）
Dst. Port：8083（如QB的WebUI端口）
In. Interface：pppoe-out1（进线为拨号的外网）
Action：dst-nat
To Addresses：xxx.xxx.xxx.xxx（QB的局域网IP）
To Ports：8083（QB的WebUI端口号）
此条规则表示：外网访问DDNS+8083端口来的的流量，转发到局域网IP+端口上去。
此条运行之后：流量来源标记为外网，因此外网访问不存在回流问题。但是内网是打不开DDNS+端口的。还需要添加以下二

（二）添加内网访问DDNS+端口时QB的WebUI端口映射
在相应的端口映射/转发条目下，点击+新建
General：Chain：dsnat
Dst. Address List：MyDDNS（以上添加的DDNS域名，也就是解析出来的动态公网IP）
Protocol：6（tcp）
Dst. Port：8083（如QB的WebUI端口）
In. Interface：LAN（本地局域网的接口）
Action：dst-nat
To Addresses：xxx.xxx.xxx.xxx（QB的局域网IP）
To Ports：8083（QB的WebUI端口号）
此条规则表示：内外访问DDNS+8083端口的流量，转到局域网QB的IP+端口上去。
此条运行之后：流量来源地址为DDNS解析的公网IP，所以内网也是打不开DDNS+端口的。

（三）添加以上内网访问时的回流
General：Chain：srcnat
Src. Address：192.168.8.0/24（你的本地局域网IP段和子网掩码）
Protocol：6（tcp）
Dst. Port：8083（如QB的WebUI端口）
Out. Interface：LAN（本地局域网的接口）
Action：masquerade
此条规则表示：把内网访问QB的流量来源地址标记为局域网的IP段。

至此以上属于幼儿园中班的内容：包含升级，NTP设置，DHCP静态设置IP，指定网关和DNS，防火墙的精细化，端口映射/转发后局域网访问的回流等。做为ROS小白老高的一点个人总结，水平有限，能力一般。还请各位小伙伴多多海涵！

附送常见基础ROS命令备用：

1、查看网卡接口： /interface print

2、给网口添加IP地址： /ip address add address=10.0.0.1/24 interface=ether1

3、移除接口IP地址：　 /ip address remove 0

4、重启系统：　　/system reboot

5、关闭系统：　　/system shutdown

6、恢复原始状态：　/system reset-configuration no-defaults=yes skip-backup=yes

7、查看IP配置：　 /ip address print

8、查看授权：　　/system license print

官方帮助文档页面https://help.mikrotik.com/docs/display/ROS/

感谢您的关注订阅🙏，三连投币转发 充电是对我最大的支持和鼓励！🙏我会继续努力做出更多的高质量视频！加爱折腾的群和讨论组：https://diyforfun.565856.xyz/ 爱折腾的老高欢迎您加入和有着共同折腾爱好的朋友们一起：折腾的开心！开心的折腾！