番茄固件/菜单参考

待办事项 重新格式化：减少对 TOC 条目的依赖，使用定义列表，并考虑使用表格以提高可读性。 也应该考虑更多地使用表格。-- Wrlee (讨论) 2009 年 7 月 31 日 (UTC) 07:41

• 简介、功能、许可和支持
• 支持的设备
• 安装和配置
• 菜单参考
• 发行版

维基百科 在 番茄（固件） 中包含相关信息

维基共享资源 包含与 番茄（固件） 相关的媒体

---

---

以下列出了番茄 GUI 中所有可用的菜单选项及其功能。

注意：在编辑页面上的设置后，必须在导航到另一个页面之前单击页面底部的“保存”按钮。否则，新输入的设置不会被保存。

提供有关路由器当前状态的信息。

概述 屏幕显示有关路由器当前状态的信息。它被组织成四个部分

系统

提供当前的整体系统状态。

名称

路由器名称

型号

路由器品牌和型号

时间

系统时间和日期

正常运行时间

路由器自上次重启以来已运行的总时间

CPU负载（1/5/15分钟）

1、5和15分钟间隔的CPU负载平均值

总内存/可用内存

设备总内存（MB），可用内存（未用 + 缓存）（KB），可用内存百分比 ${\displaystyle (FreeMemory(KB)/1024/TotalMemory(MB)*100)}$

WAN

WAN 屏幕提供有关广域网（互联网）连接的信息。

MAC地址

WAN（互联网）适配器 MAC 地址

连接类型

DHCP 或 静态

IP地址

WAN（互联网）IP地址

子网掩码

WAN（互联网）IP网络掩码

网关

互联网网关地址

DNS

列出 WAN（互联网）DNS 服务器

MTU

TCP最大传输单元，或 WAN 接口的最大数据包大小（字节）。请参阅 help.expedient.com/broadband/mtu_ping_test.shtml 了解最佳设置。

状态

WAN（互联网）链路是否已连接

连接正常运行时间

连接已建立的总时间

剩余租赁时间

ISP DHCP 租约的剩余时间

续约

按钮以续约 DHCP IP 地址

释放

按钮以释放 DHCP IP 地址

LAN

提供有关局域网的设置摘要以及网络有线部分的 MAC地址。

路由器MAC地址

路由器的内部 MAC 地址，仅用于 LAN

路由器IP地址

分配给路由器的静态 LAN IP 地址

子网掩码

分配给路由器的 LAN 网络掩码

DHCP

DHCP 服务器可以分配的地址范围

无线

提供有关局域网无线部分的信息。

MAC地址

802.11无线网络接口的MAC地址

无线模式

分配给无线接口的操作角色（例如 - 接入点）

B/G模式

802.11b 和 802.11g 协议限制（例如 - 仅 G）

无线电

显示无线网络接口的启用/禁用状态

SSID

显示无线 SSID 或服务集标识符，用于区分不同无线网络的字符串

安全性

显示当前用于无线通信的加密算法

频道

显示当前无线频道和相应的频率（GHz）

启用

按钮以启用无线电（如果已启用则变灰）

禁用

禁用无线电波的按钮（在已禁用时呈灰色）

设备列表提供了一个列表，其中包含当前由 DHCP 服务器分配了 IP 地址的设备。设备按接口列出，接口指示它们连接到路由器的哪个位置。

• br0 指的是有线以太网 (LAN) 设备：这些设备直接或通过集线器或交换机连接到路由器的四个以太网端口。不活动的无线设备也将移至 br0。
  
• eth1 指的是活动无线以太网 (WLAN) 设备：这些设备通过无线电波连接到路由器。
  
• vlan1 指的是您的 WAN（互联网）连接：到外部互联网（有线调制解调器、DSL 调制解调器或上游路由器）的连接。
  

日志页面允许您查看内部系统日志（假设启用了内部日志记录 - 请参阅 管理→日志记录）。

查看最后 25 行

查看内核日志中最新的 25 行

查看最后 50 行

查看内核日志中最新的 50 行

查看最后 100 行

查看内核日志中最新的 100 行

查看全部

查看整个内核日志

下载日志文件

将内核日志下载到本地主机

查找

在内核日志中搜索用户定义的文本字符串

日志记录配置

请参阅 管理→日志记录

显示接口的带宽。它们可以在 管理→带宽监控 中被排除。

实时和过去 24 小时的图表使用 可缩放矢量图形 (SVG) 呈现，需要支持 SVG 的 Web 浏览器。Mozilla Firefox、Google Chrome、Apple Safari 3 和 Opera 内置支持 SVG。Microsoft Internet Explorer 需要来自 Adobe SVG 查看器下载区域 的 SVG 插件。图表为每个可用的路由器接口显示一个接口选项卡。要保持接口选项卡选择的持久性，需要启用浏览器 Cookie。

图表共享以下控制

• 平均值：关闭、2 倍、4 倍、6 倍、8 倍 : 要平均的样本数，或不进行平均。
• 最大值：统一、每个接口 : 图表的缩放方式是 统一 到所有接口的最大流量值，或者 每个接口 单独缩放。
• 显示：实心、线条 : 选择实心填充的“山峰”显示或仅显示线条。
• 颜色：蓝色和橙色 »: 选择轨迹对配色方案
• [反转] : 切换轨迹颜色顺序
•  » 配置 : 到管理→带宽监控页面的快捷方式。
• 图表图例切换：单击垂直文本（图表的左边缘）以切换水平图表图例的显示。

在图表比例发生变化时自动校正。

• 光标跟踪读数（图表的右下角）：当鼠标光标在图表上移动时，显示

星期几、时间和该点的带宽使用情况。仅在鼠标移动时更新。

在 5 个时间间隔后消失：在 实时 中为 10 秒，在 过去 24 小时 中为 10 分钟，等等。

• 鼠标单击读数 : 在图表上的任何位置单击以放置一个静态读数。

注意：不会随着图表移动或缩放而更新。

实时

实时带宽部分显示一个图表，该图表每两秒更新一次，显示过去 10 分钟的带宽使用情况。顶部的选项卡允许选择各个接口，以了解该接口的带宽详细信息。

过去 24 小时

过去 24 小时部分显示一个图表，该图表每两分钟更新一次，显示过去 4/6/12/18/24 小时的带宽使用情况以及该期间的总数据量。顶部的选项卡允许选择各个接口，以了解该接口的带宽详细信息。

每日

每日部分显示一个表格，其中每行代表一天，显示下载、上传和总带宽使用量。默认单位是 GB（实际上是 吉比特字节 (GiB)），但可以更改为 MB (MiB) 或 KB (kib)。

每周

每周部分显示一个表格，其中每行代表一周，显示下载、上传和总带宽使用量。默认单位是 GB（千兆字节），但可以更改为 MB 或 KB。默认每周开始日期是星期日（星期天），但可以更改。可以选择显示摘要数据或完整数据。

每月

每月部分显示一个表格，其中每行代表一个月，显示总带宽使用量以及与上个月相比的带宽使用量变化。可以更改“管理→带宽监控→每月第一天”的月开始日期，以匹配任何特定互联网套餐的数据计数器的开始日期。

一些有用的网络工具，用于分析和排除连接到路由器的 LAN、WAN 和/或无线网络的故障。

Ping 工具允许向互联网上的计算机发送“ping”数据包以验证连接性。输入要 ping 的域名（例如 example.com）或 IPV4 地址（例如 192.0.32.10），根据需要调整 Ping 计数或数据包大小，然后单击 [Ping]。所有 ping 完成后将显示结果。默认超时时间为 2 秒，两次尝试之间延迟 1 秒。

地址

所需的 IP 地址或域名

Ping 计数

要尝试的 ping 总数

数据包大小

要发送的数据长度。56 是默认值。1500 是典型的最大值。

结果表

序号

ping 尝试的序号

地址

(域名) (IP 地址)

接收字节数

接收的字节数。通常比“数据包大小”多 8 个字节。

TTL

生存时间 - 该数据包在过期之前允许经过的跳数。

RTT (毫秒)

往返时间（以毫秒为单位）。

+/- (毫秒)

抖动：与先前测量值相比的 RTT 差异。

总数

往返时间

<最短时间> 最短、<平均时间> 平均、<最长时间> 最长（毫秒）

数据包

<Ping 计数> 已发送、<序号 - 1> 已接收、<百分比>% 丢失

跟踪工具允许您从路由器执行到任何互联网服务器的 TRACERT（跟踪路由）。输入要跟踪到的域名或 IP 地址，以及可选的最大跳数和/或等待时间，然后单击 [跟踪]。跟踪完成后将显示结果。这可能需要 hops*wait-times 才能显示。

地址

所需的 IP 地址或域名

最大跳数

要尝试的节点总数

最大等待时间（每个跳数）

等待每个跳数的秒数

结果表

跳数

此跳数的序号

地址

域名 (IP 地址)

最短 (毫秒)

为此跳数找到的最短 ping 时间

最长 (毫秒)

为此跳数找到的最长 ping 时间

平均值 (毫秒)

执行五次跟踪以生成显示的平均时间。

+/- (毫秒)

抖动：与先前测量值相比的 RTT 平均差异。

无线站点勘测 工具扫描 eth1 可访问的无线频率，并报告无线设备的表格。显示了最后一次看到的时间戳、SSID、BSSID（MAC 地址）、RSSI、噪声、质量等级（1-100）、信道、功能和速率。

表格内容

最后一次看到

最近一次网络检测的时间戳。

SSID

服务集标识符 - 远程分配的网络名称。

BSSID

远程网络设备的 MAC 地址。

RSSI

相对信号强度 (dBm)。

噪声

检测到的噪声底限 (dBm)。

质量

导出的信道信号质量估计（1-100，100=最佳）。

Ch

远程网络设备的操作信道。

功能

可用的协议修饰符列表。

速率

可用的比特率列表。

WOL 工具允许您向网络上的计算机发送 唤醒网络 (WOL) 数据包。显示了一个已知 MAC 地址的表格，以便可以快速选择单个 WOL 目标，或者可以在数据字段中输入用户定义的 MAC 地址。

表格内容

MAC地址

???

IP地址

???

状态

???

名称

???

刷新

???

MAC 地址列表

在此框中输入所需的任何 MAC 地址，然后单击唤醒以尝试唤醒该机器。

唤醒

唤醒您在以上框中输入的 MAC 地址对应的计算机。

或者，您可以为 ff:ff:ff:ff:ff:ff 和 192.168.1.254 添加一个静态 DHCP 条目（ip 可以是您想要的任何值）。并将 udp 端口 9（端口也可以是您想要的任何值）转发到 192.168.1.254。在这种情况下，确保 .254 不在您的 DHCP 范围内。（注意，此技巧将适用于任何可以通过 arp -s 192.168.1.254 ff:ff:ff:ff:ff:ff 获取 shell 访问权限的路由器。）

通过ssh/telnet界面，您也可以发出ether-wake命令。远程SSH可以通过以下方式唤醒：
ssh root@yourwrt 'ether-wake mac-address'
因为通过NAT发送WOL数据包可能很困难。

控制路由器的最基本设置。

“网络”部分允许您设置路由器使用的互联网 / 广域网 (WAN) 连接，局域网 (LAN) 的基本参数，以及无线电的基本参数。

指定路由器如何连接到互联网。通常，这是通过一根从 WAN/互联网端口连接到有线或 DSL 调制解调器的以太网线来完成的。

类型

指定所使用的连接类型。本部分中的其他参数取决于此连接类型。

WAN 连接类型

通用名称	描述
DHCP	从 DHCP 服务器获取 WAN IP 地址分配。大多数有线调制解调器的默认值为“DHCP”，这意味着路由器只需与有线调制解调器通信即可自动分配 IP 地址和其他连接数据。 MTU
PPPoE	DSL 连接通常使用 PPPoE，这通常需要用户名和密码（由您的 DSL 提供商提供）。除非您的提供商要求使用，否则请将“服务名称”保留为空白，否则您将无法连接。
静态	手动设置静态 IP 地址。
PPTP	通过 PPTP 连接到 VPN 服务器。
L2TP	通过 L2TP 连接 VPN 服务器（例如，Cisco）。
禁用	不处理任何互联网流连接。

控制局域网 (LAN) 的设置，包括连接到路由器的有线和无线客户端的设置。

路由器IP地址

分配给路由器在 LAN 上的 IP 地址。默认值为 192.168.1.1。

子网掩码

默认值为 255.255.255.0，表示任何以与路由器相同的前三个数字开头的地址（默认值为 192.168.1.x）都被认为是在局域网上的。如果将此范围设置得太宽，可能会导致一些互联网服务器无法访问。

静态 DNS

允许您手动列出一系列 DNS 服务器（而不是从您的互联网服务提供商处获取它们）。如果您的 ISP 的 DNS 服务器速度慢或不可靠，或者您偏好使用其他 DNS 服务器，这将很有用。

动态主机配置协议 (DHCP) 是联网计算机（客户端）用于获取 IP 地址的协议。使用此功能来控制路由器分配给连接到有线或无线局域网的计算机的 IP 地址。如果选中此选项，路由器将在指定的范围内分配地址。您还可以自定义 LAN 上的计算机更新其 IP 地址之前的时间（租约时间）并指定Windows Internet 名称服务 (WINS) 服务器（如果您使用 WINS）。

控制无线局域网上的连接。

启用无线

如果选中，将允许无线访问。

MAC地址

显示分配给路由器上无线电的 MAC 地址。

无线模式

无线模式选择

选择	描述
接入点	正常设置，允许客户端无线连接到此路由器。
接入点 + WDS	将路由器设置为“中继模式”，允许客户端无线连接，同时充当无线分布系统 (WDS) 基站。
无线客户端
无线以太网桥	这允许它连接到另一个网关路由器，同时仍然将连接到两个路由器的所有计算机保持在同一个子网中。注意：从 1.19 版本开始，无线桥接必须设置为 WPA。
WDS	仅充当无线分布系统 (WDS) 基站。

注意：如果路由器用作无线客户端或无线以太网桥，则它不能同时用作接入点。

B/G模式

这可能是混合（B+G）、仅 B（限制为 802.11b）或仅 G（限制为 802.11g）。如果您将其设置为仅 B 或仅 G，则来自其他协议的连接尝试可能会被视为干扰。建议将其保留为“混合”。

SSID

无线路由器标识符。允许您唯一标识您的路由器，并将其与范围内的其他路由器区分开来。

广播

如果选中，SSID 将被广播，允许更容易地找到路由器。禁用此功能是一种非常有限的安全措施。随意扫描将无法找到路由器，但任何运行嗅探软件的人都可以轻松地找到它。

频道

路由器使用的 2.4xxGhz 范围内的频道，从频道 1-14（2.412 – 2.484 GHz）。有趣的是，大多数路由器的默认值为 6 或 11，而且令人惊讶的是，很少有人更改它们。需要注意的是，频道 14 在大多数国家/地区是被禁止的。频道 11 以上在北美不受许可使用。有关详细信息，请参阅维基百科上的 WLAN 频道列表。

该页面上的“扫描”按钮（简单结果）或工具 -> 无线调查（详细结果）将检测范围内的所有其他接入点，大约 10 秒内完成。选择与使用中的任何其他频率距离最远的频率。

“扫描”按钮将填充一个表格，如此示例，格式为 (n AP / 最强的“xxx” -n dBm)。n = 数字。xxx = SSID。

• n AP 表示在您周围发现了多少个其他无线网络。
• 最强的“xxx” -n dBm 表示周围信号最强的无线网络（dBm 越低，信号越弱。请注意，dBm 表示为负值）。通常，-80dBm 及以下被认为是“不可接受”的信号级别，对于大多数无线电设备来说太弱。

安全性

允许您保护无线连接的安全。

• 禁用表示所有连接均未加密，任何人都可以读取流量。
• WEP（有线等效隐私）是最古老的 Wi-Fi 安全框架，一些旧设备仅支持它。虽然它比没有好，但它很容易被破解（破解只需几分钟）。
  • 提示：如果您必须使用WEP，因为某个设备不支持 WPA/WPA2，请转到基本 -> 无线过滤器。单击“仅允许以下客户端” - 只有与 MAC 地址匹配的客户端才能访问您的无线网络。这并不真正安全，但总比没有好。
• WPA 个人/企业（WPA = Wi-Fi Protected Access）比 WEP 更安全，但只有较新的设备支持它。如果您是家庭用户，请选择个人。为加密算法选择AES。TKIP 有漏洞，并且可以破解。使用非常长（20-63 个字符）且不可猜测的随机密码。不要担心忘记密码，因为您只需要在每个设备上输入一次。
• WPA2 个人/企业在 WPA 的基础上进行了改进，是目前最安全的加密协议，但只有较新的设备支持它。有关其他详细信息，请参阅 WPA。
• Radius 远程身份验证拨入用户服务

注意：通过限制可以连接到路由器的无线客户端数量，可以稍微提高安全性。它位于高级 -> 无线 -> “最大客户端”选项。

路由器名称

允许更改路由器名称。这将显示在登录和管理屏幕上。

主机名

如果您的 ISP 或连接需要，请使用此功能。

域名

如果您的 ISP 或连接需要，请使用此功能。

路由器时间

显示当前路由器时间。

时区

告诉路由器您所在的时区，以便它可以调整到当地时间。如果您将其设置为自定义，则可以输入一个字符串，允许您自定义时区。

• 自动夏令时：如果选中，路由器将补偿夏令时。如果未选中，它将始终使用标准时间。

自动更新时间

路由器连接到网络时间协议 (NTP) 服务器以更新其内部时钟的频率。如果路由器时间没有自动更新，请确保您在“基本：网络”中拥有有效的 DNS，否则路由器将无法解析 NTP 地址。

• 触发按需连接：如果选中，路由器将在需要时强制连接以更新时间。如果未选中，路由器仅在已建立互联网连接时才会检查时间。
• NTP 时间服务器：要用来更新时间的NTP 服务器 列表。

NTP 时间服务器可能会要求 Tomato 将其从将来使用中阻止。如果发生这种情况，Tomato 将显示以下消息：“以下 NTP 服务器已根据服务器的请求自动阻止：XXX.XXX.XXX.XXX。”

动态DNS，一种特殊的DNS注册表/服务器，可以在频繁的IP地址更改时进行更新。无需每次更改IP地址时都手动输入IP地址，网络中的计算机可以运行一个特殊的网络程序来提交更新后的IP地址，然后可以通过DDNS提供商提供的标准URL来访问。大多数DDNS提供商提供免费的个人账户供您使用。

除了在您的电脑上运行应用程序，Tomato还内置了DDNS客户端，它直接支持固件中的许多DDNS提供商。从主菜单中选择“基本”，然后选择“DDNS”。

对于大多数DDNS提供商，您只需从下拉列表中选择提供商，并输入您的用户名、密码和主机名。有关每个DDNS提供商帐户操作的详细说明，请访问他们的网站。

DDNS可用于允许从外部网络访问路由器进行系统管理。

IP地址

IP地址选择

选择	描述
使用WAN IP地址 xxx.xxx.xxx.xxx（推荐）	正常设置，从WAN登录/连接过程中获取WAN地址。如果此设置不可靠，请尝试使用使用外部IP地址检查器选项。
使用外部IP地址检查器（每10分钟）	从远程DDNS提供商获取WAN地址。
离线 (0.0.0.0)	将路由器报告为离线状态，IP地址为0。
离线 (1.1.1.1)	将路由器报告为离线状态，IP地址为1.1.1.1。
离线 (10.1.1.1)	将路由器报告为离线状态，IP地址为10.1.1.1。
自定义IP地址（在开放字段中输入地址）	将路由器WAN地址报告为输入的地址。

自动刷新每（数字）天（0 = 禁用）

默认情况下，每隔指定天数发送一次WAN IP更新报告。如果您的WAN IP地址很少更改，这将作为某些动态DNS服务的“保持活动状态”，以避免因不使用而导致服务暂停。值为0表示禁用自动刷新。

服务

可用的动态DNS提供商列表，或自定义URL。每个提供商都需要建立帐户，并遵守其使用条款，才能访问其服务。

URL

所选DDNS提供商的URL，用于管理目的。

用户名

您在所选DDNS提供商的登录ID。

密码

您在所选DDNS提供商的密码。

强制下次更新 [ ]

复选框，强制将下一个WAN IP更新到所选的DDNS提供商。过于频繁的强制更新可能会导致服务暂停。

上次IP地址

上传到DDNS提供商的最新IP地址。

上次结果

上次DDNS更新的状态。

见上文。

注意：对于每个动态DNS提供商，刷新或触摸IP地址选择以填写表单。

这是一种简单的方法，可以确保连接到Tomato路由器的每个客户端硬件设备在每次连接时都获得相同的IP地址和主机名。只需输入设备的MAC地址（您可以在“设备列表”中找到），并输入您喜欢的IP地址。

通常，最好使用位于Tomato路由器子网范围内的IP地址，但位于正常的DHCP分配范围之外。换句话说，使用以与路由器相同的三个数字（默认情况下为192.168.1.x）开头的地址，但第四个数字不太可能被正常的DHCP设置分配给任何客户端。

对于同一IP地址的多个主机名（例如，服务器192.168.1.12应该被称为“galaxy”和“mail”），在主机名字段中用空格将它们分开。对于单个的多词主机名，例如“My-PC”，使用连字符。

如果一台计算机具有多个网络设备（例如，有线和Wi-Fi），并且具有不同的MAC地址，则无法将相同的主机名分配给这两个设备，就像Tomato尊重计算机自己的主机名一样。您将收到“重复名称”错误。

例如，如果您将DHCP服务器设置为在192.168.1.100到192.168.1.150的范围内分配IP地址，那么静态DHCP分配的良好选择是在192.168.1.2到192.168.1.99的范围内，或者在192.168.1.151到192.168.1.254的范围内。

将IP地址添加到静态DHCP列表中的一种简单方法是，转到“设备列表”，然后单击要设置为静态的设备的IP地址。这将带您到静态DHCP功能，您只需编辑设备名称（可选）并单击“添加”。（不要忘记单击“保存”以提交）。

Tomato最初支持50个条目，现在已增加到100个。

无线过滤器允许您配置哪些配备无线功能的计算机可以或不能与路由器通信，具体取决于它们的MAC地址。如果它被设置为AP，请记住所有AP都需要相同的设置。这可能不方便。您可能想要在主路由器上使用“访问限制”，这将适用于所有AP上的所有用户。

目前支持100条规则。

虽然这是一项不错的基本安全措施，但请了解所有MAC地址都是以明文形式传输的，可能会被拦截。不应将此作为主要安全手段。

此页面或部分是一个尚未开发的草稿或提纲。 您可以帮助开发工作，或者您可以在项目室中寻求帮助。

调整网络地址转换 (NAT) 表中每个连接的连接数和持久性。

连接

最大连接数

路由器可以容纳的最大连接数。在teddy_bear 的mod中，默认值为4096。

TCP超时

控制TCP超时的不同方面。阅读TCP/IP指南 - TCP连接终止以了解更多信息。

已建立

已建立连接在忘记连接并将其从NAT表中删除之前的等待时间。在teddy_bear 的mod中，默认值为1200。

已发送SYN

可以在这里找到已发送SYN的含义及其影响。在官方Tomato和teddy_bear的mod中，默认值为120。

已接收SYN

???。在官方Tomato和teddy_bear的mod中，默认值为60。

FIN等待

???。在官方Tomato和teddy_bear的mod中，默认值为120。

时间等待

???。在官方Tomato和teddy_bear的mod中，默认值为120。如果您似乎在时间等待中拥有过多连接，请阅读大量的时间等待连接。

将TCP时间等待间隔从默认值减少的优点包括

• 更快地恢复与套接字关联的系统资源
• 可以处理更多连接
• 更少的内存消耗

将TCP时间等待间隔减少的缺点包括

• 更多用于恢复连接的CPU时间
• 如果设置过低，则可能会发生数据丢失而没有通知
• 如果存在旧的重复SYN段，则可能会拒绝连接
• 连接无法重用（新的SYN）

关闭

???。在官方Tomato和teddy_bear的mod中，默认值为10。

关闭等待

???。在官方Tomato和teddy_bear的mod中，默认值为60。

最后一个ACK

???。在官方Tomato和teddy_bear的mod中，默认值为30。

UDP超时

未回复

???。在官方Tomato和teddy_bear的mod中，默认值为30。

保证

???。在官方Tomato和teddy_bear的mod中，默认值为180。

其他超时

通用

???。在teddy_bear的mod中，默认值为600。

ICMP

???。在teddy_bear的mod中，默认值为30。

跟踪 / NAT 助手

FTP

文件传输协议。已有40年的历史，现在仍然很常见。默认值为已选中。

GRE / PPTP

点到点隧道协议。用于虚拟专用网络 (VPN) 连接。默认值为未选中。

H.323

主要用于语音通话（VOIP）和视频会议的协议。默认值为已选中。

RTSP

实时流协议。用于流媒体控制流。默认值为已选中。

杂项

TTL 调整

???。默认值为无。

入站第 7 层

此 L7 匹配入站流量，缓存结果，然后 L7 出站应该读取缓存结果并设置相应的标记^[1]。默认值为已选中。

这主要与那些在他们的互联网连接上使用 P2P 或其他连接密集型应用程序的人相关。连接表具有有限数量的条目，如果所有条目都被使用，路由器将无法建立新连接。释放条目的唯一方法是优雅地终止连接（正常），或者让它超时。由于 P2P 应用程序很少优雅地断开连接，因此它们需要依赖路由器为其超时连接。

最重要的设置是

• 最大连接数
  • 增加此值可能会稍微减慢路由器速度。4,096 可能是良好的最大值。
  • 保持此值过低最终会导致条目不足。默认值 2,048 可能是良好的最小值。
  • 单击输入字段旁边的当前计数将告诉您当前正在使用多少条目。
  • 在增加此字段之前，请考虑使用 TCP 超时（如下）更快地回收现有连接，而不是增加连接数量。

• TCP 超时：已建立
  • 这是在连接最后一次活动后，已建立的连接将保持的时间。
  • 将此值设置得太低会导致活动 TELNET/FTP 连接被断开，除非您有保持活动状态以保持数据在连接上传输。
  • 将此值设置得太高会导致旧连接被保留，浪费 NAT 表中的条目。
  • 四个小时（14,400 秒）是一个不错的折衷方案，但是您必须选择一个值来平衡保留有效连接和杀死旧连接。在非 P2P 环境中，您可以将其设置为几天而不会有任何问题（Linksys 的默认值为五天，这就是为什么许多 Linksys 路由器在 P2P 中表现不佳的原因）。

大多数剩余的设置通常很少使用，并且可能存在于需要调整网络设置的高级用户进行调整。

许多网站建议使用以下脚本调整这些值

echo 4096 > /proc/sys/net/ipv4/ip_conntrack_max
echo 2048 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
echo "600 1800 120 60 120 120 10 60 30 120" > /proc/sys/net/ipv4/ip_conntrack_tcp_timeouts


但是，GUI 中列出的两个设置将完成上述脚本声称要做的所有事情，并且工作量更少。具体来说，已建立的 TCP 超时设置替换了脚本最后一行中的“1800”，而 ip_conntrack_max 数量由最大连接设置控制。gc_thresh 设置实际上没有用，最好让 Tomato 使用其默认的阈值。

• 使用内部 DNS（默认：开启）：允许Dnsmasq 成为您在路由器 IP 地址（通常为 192.168.1.1）处的 DNS 服务器。DNS 缓存在 Tomato 固件中。DHCP 客户端将收到路由器 IP 地址作为 DNS 服务器。

• 使用接收到的 DNS 与静态 DNS（默认：关闭）：如果未选中，则如果已在“基本”>“网络”页面上输入了静态 DNS，则来自 ISP 服务器的 DNS 将被忽略。如果选中，如果您的 WAN 从 ISP 获取 DHCP 地址，它也将从 ISP 获取 DNS。此选项允许路由器一起使用 ISP 分配的 DNS 和“基本”>“网络”页面上指定的静态 DNS 服务器。

  如果您有静态 DNS 条目，则“”将添加从您的服务提供商接收到的任何名称服务器。

  您也可以考虑在“Dnsmasq 自定义配置”框中添加“strict-order”（不带引号）。这迫使 Dnsmasq 严格按照它们在解析文件中出现的顺序将 DNS 查询发送到服务器。如果您使用的是 OpenDNS 等服务，但仍想使用您的 ISP 服务器作为备份，这将很有用。没有此设置，您的 ISP DNS 服务器往往会被优先考虑。

  您可以在“/etc/resolv.dnsmasq”中的解析文件中查看这些更改。

• 拦截 DNS 端口（UDP 53）（默认：关闭）：启用后，任何发送到 UDP 端口 53 的内容都会被重定向到 Dnsmasq。这将防止绕过家长控制。当与 OpenDNS 一起用于家长控制时，它可能会有所帮助。

  拦截的另一个用途是与 VPN 客户端软件结合使用“使用内部 DNS。通常，VPN 客户端软件会“隧道”不可路由的 IP 地址，例如 192.168.1.1，这将绕过路由器并导致 DNS 失败。相反，您可以将客户端的 DNS 地址更改为任何虚假的可路由 IP 地址，以防止 VPN 客户端对 DNS 请求进行隧道连接，并让路由器拦截它们。无论 VPN 客户端软件是否处于活动状态，这都有效。

• 如果 WAN 被禁用，则使用用户输入的网关（默认：关闭）：如果您使用的是 Tomato 设备的 DHCP 和/或 DNS 服务器，但没有将其用作通往 WAN（即互联网）的网关，此设置很有用。如果另一个设备正在执行该功能（通常使用 NAT 或类似的功能），您希望 Tomato 的 DHCP 服务器指示客户端他们应该在路由表中使用该其他设备作为其默认网关。如果是这样，请启用此复选框，并确保在网络/基本下设置了默认网关。

• 最大活动 DHCP 租用（默认：255）： ???
• 静态租用时间（默认：与正常租用时间相同）： ???

• Dnsmasq 自定义配置（默认：空白）： ???

  Dnsmasq 是一款轻量级、易于配置的 DNS 转发器和 DHCP 服务器。在“Dnsmasq 自定义配置”框中添加“stop-dns-rebind”（不带引号）可以防止 DNS 重绑定攻击。但是，这并不意味着您不需要强密码。

• 减小数据包大小（默认：关闭）： ???

设置一些基本的路由器防火墙方面。

• 响应入站 Ping：如果选中，路由器将响应来自 WAN 接口的 Ping 请求。如果未选中，路由器将不会响应来自 WAN 的 Ping。
• 允许组播：如果选中，路由器将允许组播数据包到达 LAN。否则，它将阻止组播数据包到达 LAN。
• 启用 NAT 回环：如果选中，路由器允许 LAN 设备通过路由器的 WAN IP 地址和正确配置的端口转发来访问其他 LAN 设备。如果未选中，LAN 设备只能通过其本地 IP 地址访问其他 LAN 设备。
• SYN Cookies：激活 SYN Cookies。

这将设置 ISP 所看到的硬件地址。一些 ISP 被设置为只接受您首次开始服务时使用的原始网卡。其他 ISP 只是将调制解调器设置为每次启动只允许一个硬件地址，因此尝试更改此设置后重置调制解调器。对于一些有线互联网服务提供商来说，更改有线调制解调器看到的 MAC 地址是请求新 IP 地址（如果需要）的好方法。

• 启动等待时间指定路由器在启动期间暂停的时间长度，然后尝试加载固件。此暂停代表一个周期，如果闪存芯片上的固件已损坏，可以通过 TFTP 将新固件刷入路由器。
• WAN 端口速度指定 WAN 接口端口的速度和双工设置。

• 当前路由表：显示您当前的路由表。
• 静态路由表：如果您在网络上有多个路由器，则允许您添加静态路由条目。
• 杂项
  • 模式：可用的选项是网关和路由器。

    网关= 不允许 WAN 流量访问 LAN，除非通过端口转发或 DMZ。（通过 WAN 端口连接到桥接 ADSL 调制解调器的 PPPoE 连接所需的模式）。

    路由器（默认）= 关闭这些功能和 NAT。（关于细节可能不正确，但这就是想法）。

  • RIP v1 & v2：见RIP v1 和RIP v2（不清楚这是用于发送、接收还是两者都有）。
  • 高效组播转发：默认情况下未选中。
  • DHCP 路由：默认情况下选中。
  • 生成树协议：如果选中，将启用 IEEE 802.1d 生成树协议，用于检测和解决内部网络中的环路。（交换机 A 连接到交换机 B，连接到交换机 C，连接到交换机 A）。默认值为 *未选中*。

控制无线局域网连接的高级设置。请注意，传统 Tomato 版本 1.28 及更早版本中不存在某些设置。

• Afterburner：博通 Afterburner 是一种 802.11g 标准增强功能，可为家庭无线网络提供更高的速度，同时保持与所有 Wi-Fi CERTIFIED™ 802.11b/g 产品的兼容性。启用后，它允许使用 125 Mbps 模式。
• AP 隔离：一个主要示例是热点（例如星巴克等咖啡店、酒店），其中许多计算机随机连接到网络。由于所有计算机都连接到一个单一网络，因此它们有可能互相访问，这可能会导致不必要的黑客攻击。AP 隔离将通过使每台计算机在各自的网络上成为一个独立实体来帮助防止这种情况。启用后，路由器会阻止无线设备相互通信。如果禁用，设备将在无线客户端之间切换流量。
• 身份验证类型：控制客户端是否必须使用共享密钥进行身份验证。此设置在某些安全模式下被禁用（即强制）。
• 基本速率：设置接入点发送的强制速率列表，该列表必须得到支持才能连接。一些旧的 802.11b 客户端只能在设置为 1-2 Mbps 时才能连接。
• 信标间隔：设置信标传输之间的时间间隔，以毫秒为单位。较长的间隔可以节省休眠客户端的电量，而较短的间隔可以改善信号接收不良情况下的连接性。
• CTS 保护模式：设置为自动时，将启用一种模式，确保 802.11b 设备能够在存在许多 802.11g 设备的情况下连接。
• 监管模式：启用检测与 Wi-Fi 共享无线频段但具有优先使用权的服务（例如飞机雷达）。启用此功能可能会导致与 Wi-Fi 客户端的兼容性问题，因此通常将其关闭。
• 国家/地区：选择接入点所在的当前国家/地区。这将确保遵守有关信道使用和最大输出功率的当地法规。
• 蓝牙共存：路由器将尝试与蓝牙设备共享空中时间，以提高两者的性能。如果蓝牙设备较旧且不支持“合作”，则可能无效。
• 距离/ACK 定时：设置客户端可以连接的最大距离（以米为单位）。这可能有助于防止远处的“cantenna 吸血鬼”连接。但是，它不会阻止窃听。设置为 0 将禁用此功能。
• DTIM 间隔：设置交付流量指示消息之间的时间间隔（以毫秒为单位），该消息会告诉处于省电模式的客户端何时可以期待下一个广播消息。
• 碎片阈值：设置将数据包分割成多个数据包之前的最大数据包大小（以字节为单位）。增加此值可能有助于解决数据包错误率高的情况。如果此值过小，会降低网络性能。
• 帧突发：启用帧突发模式，可提高吞吐量，但仅推荐用于 1-3 个无线客户端。在连接了多个客户端的情况下启用可能会导致性能下降。
• 最大客户端数：设置可以同时连接的无线客户端的最大数量。
• 组播速率：设置用于组播的信令速率。
• 前导码：为 802.11b 选择长前导码或短前导码。短前导码将提高吞吐量，但一些旧的 802.11b 设备需要长前导码。
• 802.11n 前导码：默认情况下，802.11n 以“混合”模式运行，它会传输无线前导码和信号字段，这些字段可以由 802.11a 和 802.11g 无线电解码。802.11n Wi-Fi 网络有一个可选的“绿地”模式，它通过消除对 802.11a/b/g 设备的支持来提高效率。但是，启用此模式可能会导致某些与 802.11n 标准不完全兼容的 802.11n 网络设备的吞吐量问题。
• RTS 阈值：设置触发请求发送/清除发送信令的最小数据包大小（以字节为单位）。大于碎片阈值的数字实际上会禁用此功能。它通常不需要，但在不利条件下可能有用。
• 接收天线：选择用于接收的天线。这些设置主要用于外部天线。单天线设备应设置为自动。
• 发射天线：选择用于发射的天线。
• 发射功率：设置发射功率，以毫瓦为单位。
  • Tomato 默认值为 42 毫瓦。
  • 高设置可能会导致发射机非线性，从而导致数据丢失、对其他用户和信道的干扰以及较高的“噪声底噪”。
  • 高设置可能会导致过热并缩短发射机的寿命。
  • 根据 dd-wrt.com 论坛上报告的测试结果[1]，在 Tomato（或 DD-WRT）中，最大实际广播功率是在约 64 毫瓦的设置下实现的。
  • 据报道，高达 84 毫瓦的设置已被使用，并且没有对硬件造成任何损害。
• 干扰缓解：设置无线干扰缓解模式。似乎在大多数情况下，“WLAN 自动”选择效果更好，但如果遇到无线稳定性问题，可以尝试禁用缓解。这个“功能”一直是造成许多不稳定和吞吐量低的原因。
  • 如果周围没有可能造成干扰的其他电子设备，请选择“无”。
  • 如果主要干扰源是无线 LAN 以外的电子设备（例如无线电话、微波炉等），请选择“非 WLAN”。
  • “WLAN 手动”会激活针对其他无线 LAN AP 的干扰缓解。
  • “WLAN 自动”类似于“WLAN 手动”，但它仅在实际看到其他无线 AP 在此时传输时才会激活缓解。
• WMM：Wi-Fi 多媒体 (WMM) 是一种基于 IEEE 802.11e 标准的 Wi-Fi 联盟互操作性认证。它为 IEEE 802.11 网络提供基本的质量服务 (QoS) 功能。WMM 根据四个接入类别 (AC) 对无线流量进行优先级排序 - 语音、视频、最佳努力和后台。但是，它不提供保证的吞吐量。它适用于需要 QoS 的简单应用程序，例如 Wi-Fi 电话上的语音 over IP (VoIP)。操作仅限于本地网络，Internet 上没有隐含的 QoS。 要使 iPhone 和 iPad 在 802.11n 模式下连接，必须启用此功能.
• 无 ACK：控制 WMM 数据包是否需要确认。启用将设置无确认，这可以在某些数据包丢失可接受的情况下（例如 VoIP）实现更高的吞吐量和更低的延迟。
• APSD 模式：自动省电交付是一种比传统 802.11 省电轮询更有效的电源管理方法。大多数更新的 802.11 站点已经支持类似于 APSD 的电源管理机制。APSD 对 VoIP 电话非常有用，因为数据速率在两个方向上大致相同。每当向接入点发送语音数据时，都会触发接入点发送另一个方向上的缓冲语音数据。之后，语音 over IP 电话进入休眠状态，直到下一个语音数据必须发送到接入点。

允许创建和修改 VLAN 及其关联的端口。

修改 VLAN 时，某些 VLAN 端口关联可能会在重启时重置。如果是这种情况，请在“工具”>“系统命令”下运行以下命令，方法是在“命令”字段中粘贴它并点击“执行”。

nvram set manual_boot_nv=1
nvram commit

设置好路由器后，您将拥有由路由器管理的自己的局域网 (LAN)。您不可避免地会将许多设备连接到您的 LAN，这些设备都使用相同的互联网连接。这会导致问题，因为您 LAN 上的不同设备需要来自互联网（或发送到互联网）的特定数据。

端口转发允许您的路由器控制进出互联网的数据流，并确保路由器知道连接到您 LAN 的哪个设备（例如计算机、网络摄像头、VoIP 电话等）发送/请求/需要每个数据包。通常，来自互联网的数据包将是对您 LAN 上的设备所做的某个请求的响应（例如 VoIP 电话发出连接电话呼叫的请求）。在这些情况下，路由器会跟踪哪个设备发出了请求，并将响应转发回同一个设备。

但是，有时，就像“服务器”应用程序的情况一样（例如，您在 LAN 中的 PC 上托管自己的网站），来自互联网随机位置的请求会进来，您需要告诉路由器哪台计算机正在运行“服务器”，以便这些随机请求可以被路由到正确的计算机。这通常通过告诉路由器将特定端口或端口列表上的任何“未经请求的数据包”（不是对本地计算机的请求的响应）转发到网络上的特定计算机来完成。

最后，还有来自互联网随机角落的“小偷晃动把手”连接。锁定这些连接也是路由器的一项工作。

有几种方法可以设置它。

允许您指定简单的端口转发，其中接收到的所有数据包都将路由到指定的 *内部地址* 上的指定 *外部端口*。例如，您可以将所有在端口 5060 和 5061（用于 SIP 协议发起 VoIP 电话呼叫）上接收到的传入数据转发到您的 VoIP 电话。

或者，您可以通过指定 *内部端口* 来更改本地端口。这也被称为 *端口重定向*。例如，如果您有两个 Web 服务器，这种技术会很方便。两者都可以在默认端口 (80) 上监听，但路由器可以设置为将接收到的数据包从 Internet 端口 80 转发到第一个 Web 服务器的端口 80，并将接收到的数据包从 Internet 端口 81 转发到第二个 Web 服务器的端口 80。

“外部端口”框可以包含单个端口（例如 8080）或端口范围（5060:5061）。“内部端口”可以留空。“内部地址”是您局域网中设备的 IP 地址（例如 192.168.1.2）。

Tomato 固件 GUI 可以最多包含 50 个基本端口转发条目。

DMZ 或非军事区，允许您指定网络中的一台设备，该设备将接收来自互联网的所有未经请求的数据包。这对于需要大量不受限制地访问互联网的设备或 Web/电子邮件服务器来说非常有用。但是，这将绕过路由器对此设备的所有防火墙功能，因此请确保设备的安全措施非常完善。当前的固件版本实现了基于 IP 地址的源限制。

如果您想从内部网络透明地访问 DMZ 计算机，则需要在“防火墙”页面下的“高级”中选中“启用 NAT 回环”并将其设置为“全部”。如果没有设置，那么您将无法使用外部 IP 地址从内部网络访问 DMZ 计算机。在这种情况下，DMZ 计算机只能从内部网络访问其内部 IP 地址，这意味着外部 IP 地址将指向内部网络的路由器。

端口触发是一种按需端口转发。路由器将查找指定端口上的出站连接，并将所有请求的端口转发到发起出站连接的任何计算机。

在“触发端口”下，您将输入计算机将用于启动转发的端口列表。然后，您在“转发端口”下指定要转发到该计算机的端口。任何在“触发端口”中列出的任何端口上发送出站数据包的计算机都将收到来自互联网上“转发端口”上的所有未经请求的数据包。

通用即插即用 (UPnP) 允许网络上的设备设置自己的端口转发。例如，运行 Web 服务器的计算机可以告诉路由器将端口 80 和/或 443 上的所有通信转发到它。UPnP 允许您的本地设备随意添加、删除和更新端口转发。通常，这是客户端机器上的应用程序获得与远程服务器连接的唯一方式。

目前仅支持 25 个 UPnP 连接。

UPnP 存在一些安全缺点，例如木马或其他“恶意”软件包能够将端口转发到给定的机器，以便恶意软件可以使用您的计算机作为 Internet 服务器。但是，UPnP 也有一些安全优势，因为任何行为良好的 UPnP 应用程序都将在关闭或不再需要端口转发时请求取消其端口转发。这将减少不必要的转发端口的数量。目前，Tomato 不会自动关闭应用程序关闭后未终止的转发端口。

QoS 或服务质量，允许您对数据进行优先级排序，降低不太重要的数据的速度，以允许更重要的数据优先通过。

这主要对出站数据（从您的计算机到互联网的数据）有用。入站数据无法有效地进行优先级排序，因为路由器有机会评估它时，数据已经通过瓶颈（您的互联网连接）。

Tomato 中的 QoS 有十个优先级级别。最高将始终获得最高优先级（谨慎使用），而 CLASS-E（标记为 E）是最低优先级类别。如果上行带宽变得过饱和（想要发送的数据包多于连接能够发送的数据包），则将延迟（并可能最终丢弃）较低优先级的数据包，以腾出空间用于更高优先级的数据包。

如果您想更深入地了解流量整形，请尝试 WRT54 脚本生成器 作为当前 QoS 实现的扩展（有关详细信息，请参阅 工具）。

注意：QoS 通过设置固定的最大入站和出站带宽，然后根据数据包优先级分配带宽来工作。这意味着固件永远不会允许超过配置的带宽。即使您的服务提供商允许更多带宽（作为“速度提升”功能暂时允许，或者作为服务升级永久允许），您仍然会被限制在配置的带宽内。如果您始终需要最高带宽，则可能希望禁用 QoS。

启用 QoS

如果选中，将启用 QoS。如果未选中，则将禁用 QoS。

优先级排序 ACK

优先级排序 ACK（确认）数据包的发送。推荐：选中（打开）。

优先级排序 ICMP

优先级排序互联网控制消息协议数据包（PING 回复等）。

更改时重置分类

如果选中，则在对 QoS 规则进行更改时，将重新评估所有连接。如果未选中，您可能需要重新启动 PC 上的每个应用程序，以便在将规则应用于该连接之前重新建立每个连接。

默认类别

这只是在未找到连接规则时的“万能”分类。

如果连接不符合任何 QoS 条件，它将默认为指定的类别。如果您有高优先级服务（例如 VoIP）和低优先级服务（例如 P2P），最佳做法是将其设置为中等或低，然后尝试将所有高优先级内容分类在此分类之上，并将低优先级内容分类在此分类之下。

QoS 不易于与 P2P 一起使用，因为即使 L7 过滤器也不能很好地工作。通常与 P2P 一起使用的有效方法是将默认类别设置为“最低”，然后在该类别之上的类别中解决所有其他所需规则。P2P 将“通过”所有过滤器并最终进入默认的“最低”类别。这样，您就不必使用多个不同的过滤器来尝试捕获所有可能的 P2P 流量。

最大带宽

大多数 Linksys 路由器中 QoS 的主要限制之一是它们无法确定互联网连接的上行速度。许多路由器型号都是如此。调整 QoS 最有效的方法是在关闭 QoS 的情况下进行互联网速度测试。然后在“最大带宽”字段中输入测试过的上行（上传）带宽的约 90%。这将允许路由器正确确定可用的带宽并相应地对数据包进行优先级排序。有关此问题的更详细说明（针对 Vonage VoIP 用户）可以在 http://vonage.nmhoy.net/qos.html 找到。

^{[可疑 – 讨论]}

最高 - 类别 E（出站速率/限制下的百分比）

这指定了每个分类允许消耗的连接的最小和最大百分比。这是分配而不是优先级排序，对于您想要指定某些类别连接永远不应接收超过给定百分比的上传带宽的情况很有用。将每个类别设置为 1%-100% 以允许每个类别无限访问带宽（更高优先级类别仅接收更高优先级，而不是“保留”量）。

入站限制

这允许您限制进入路由器的数据总量，并为每个 QoS 服务分配最大百分比的带宽。请注意，超出您限制的数据包会被直接丢弃，而不是像上传/出站 QoS 那样被延迟。在某些情况下，此设置很有用，但它是一种控制入站数据的非常低效的方式。入站流量无法通过 QOS 直接控制，因为所有规则仅对出站流量起作用。

TCP Vegas

内置于 Linux 内核的拥塞避免算法，在 Tomato 1.23 中引入。

对于某些用户来说，这可能比 QoS 产生更好的结果。例如，连接速度变化很大的用户（使用“速度提升”的电缆用户，或者当附近所有人都在线时速度在晚上变慢）需要保守地设置 QoS“最大带宽”，设置为遇到的最低最大速度。他们永远不会在可用时利用更高的速度。在这种情况下，TCP Vegas 可能会有效地动态调整速度，同时避免数据包丢失，而数据包丢失会在 QoS“最大带宽”设置为激进（设置为日常使用中遇到的最高最大速度）时发生。

一些用户报告说，TCP Vegas 和 QoS（使用激进的“最大带宽”）的组合效果很好。（本节需要更多反馈）。

TCP Vegas 仅对出站流量起作用。但是，一些用户报告说，更改其参数会影响入站流量。（本节需要扩展）。

有关 TCP Vegas 的更多信息，请参阅

• 维基百科条目
• TCP Vegas 主页
• 历史和调整参数信息

允许您指定哪些连接将获得什么级别的优先级。这将覆盖“基本设置”页面中设置的默认优先级。可以按 MAC 地址、TCP/IP 端口或使用更高级的过滤器（如 IPP2P 或第 7 层 (L7) 过滤）进行分类。

所有 QoS 规则都是“从您的局域网角度看”，因此源始终意味着您的计算机，目标始终意味着互联网。

QoS 可以通过多种方式进行分类

• 地址（“匹配规则”列中的第一行）：根据发出请求的 IP 或 MAC 地址或正在联系的 IP 地址识别数据包。示例：如果您的网络上有一台需要非常高优先级的 VoIP 设备，您将把“地址”设置为“源 MAC”（源 MAC 地址）并键入设备的 MAC 地址，然后将优先级设置为高或最高。
• 协议/端口（第二行）：根据协议（TCP、UDP 等）和/或端口号（或端口号列表）识别数据包，这些数据包用于建立连接。
• IPP2P（第三行）：尝试识别 P2P 应用程序。容易被 P2P 加密欺骗，但这仍然有助于识别一些 P2P 应用程序。
• L7（第七层，第三行）：一个复杂的过滤器，可以对许多应用程序进行分类。同样，对于 P2P，容易被加密欺骗，但仍然有用。

勘误：特定于 1.23 版：L7 过滤器 "rtp-2" 是在 Tomato 1.23 中添加的临时解决方案。官方的 "rtp" 过滤器无法捕获某些 VOIP 流量。这个新过滤器似乎效果更好。如果 "rtp" 过滤器对你不起作用，请尝试 "rtp-2"。最终 "rtp2" 可能会取代 "rtp"，或者被提供它的 L7 项目 重命名。

注意：地址和协议/端口是匹配速度最快、效率最高的方式。IPP2P 很慢，L7 更慢。如果可能，请在使用 IPP2P 或 L7 之前使用地址和协议/端口。太多的 L7 或 IPP2P 规则会导致路由器崩溃或重启。如果您在负载过重的情况下遇到频繁的崩溃和重启，这可能是原因。

要提高 IPP2P 和 L7 的性能，请尽可能提供额外的限定条件。例如，如果您知道流量是 UDP，或者涉及端口范围，那么请在规则中指定这些内容。这些限定条件将首先被检查，从而避免对所有数据包进行不必要的包检查。

同样，规则的顺序会影响性能。例如，如果一个 L7 规则被限定为 UDP，这将有助于提高性能。但是，如果它被移动到 DNS 规则（分类为 "最高"）下面，它将阻止对所有也是 UDP 的 DNS 连接的包检查。

在匹配规则栏下

• 第一行 = "任何地址"，其右侧字段为空这意味着此规则适用于任何连接到互联网上的任何服务器的连接
• 第二行 = "TCP"，"Dst Port"，"80,443"这意味着此规则适用于所有尝试连接到互联网服务器上的端口 80（HTTP）或 443（HTTPS）的 TCP 连接
• 第三行 = "IPP2P（已禁用）"，"Layer7（已禁用）"这意味着我们不想应用任何 IPP2P 或 L7 规则
• 第四行 = "" ""（传输的 KB）这意味着我们不想通过传输量来匹配

在类别栏下

• "高"这意味着任何匹配此规则的内容都将在上游被分配 HIGH 优先级

在描述栏下

• 分配任何合理的描述。 "WWW" 或 "Web 浏览" 在这里会很好。这除了在这个屏幕上之外没有使用，用于识别您将来参考的连接。

Tomato 最强大的功能之一，它允许您查看（近乎实时）当前的出站连接以及 QoS 引擎如何对其进行分类。这使您能够查看 QoS 设置的有效性，以及它们是否捕获了您希望它们捕获的连接。只需单击任何类别即可查看该类别下特定连接的列表。

列出最近通过路由器建立的每个连接，以及分配给该连接的 QoS 类别。单击任何条目将尝试对目标 TCP/IP 地址进行反向查找，或者您可以单击列表底部的 "自动解析地址" 复选框来解析列表中的所有地址（这可能需要一段时间）。

设置基于时间、计算机、站点和协议的互联网访问禁令。

此功能适用于所有连接到路由器的连接，因此可以用来控制网络所有用户的访问权限。

目前支持 50 个条目。

每个条目支持 2048 个字符用于整个条目，实际限制约为 1900 个字符。

此菜单项仅在 Teddy Bear 修改后的版本中可用。它允许 USB 配置。

• 核心 USB 支持：为配备 USB 端口的硬件（例如，ASuS WL-5xx 系列路由器）启用 USB 驱动程序/服务。启用此项将使以下设置可用。
• USB 1.1 支持 (OHCI)： ？？？
• USB 1.1 支持 (UHCI)'： ？？？
• USB 2.0 支持： ？？？

• USB 打印机支持：加载驱动程序以支持打印机。
  • 双向复制： ？？？

• USB 存储支持 : 如果启用，以下设置将可用
  • Ext2 / Ext3 文件系统支持：加载文件系统驱动程序以访问（主要是）Linux 格式的媒体。
  • FAT 文件系统支持：加载文件系统驱动程序以与 Windows 设备兼容。此文件系统在拇指驱动器中占主导地位，但也可以用于硬盘驱动器。
  • 自动挂载：将所有分区自动挂载到 /mnt 中的子目录。
  • 挂载后运行：输入在连接 USB 存储设备时要执行的命令行语句。
  • 卸载前运行：输入在移除 USB 存储设备时要执行的命令行语句。
• 热插拔脚本：输入在连接 USB 设备时要执行的命令行语句 *它们在连接或移除任何 USB 设备时运行）

控制用于管理目的访问路由器的各种方法。

所有服务使用相同的密码，该密码在此页面的底部更改。

控制通过 Web 浏览器访问路由器。Web 用户名可以是 "admin" 或 "root"。

• 本地访问：确定是否以及如何从本地计算机（连接到路由器的计算机，或连接到连接到路由器的交换机或集线器）的 Web 浏览器访问路由器。访问可以是通过 HTTP（普通 Web），HTTPS（SSL 加密的 Web），两者，或者禁用。

• HTTP 端口：默认 80

• 远程访问：确定是否以及如何从路由器的 WAN（互联网）侧的 Web 浏览器访问路由器。不建议启用此功能，如果必须启用，请考虑使用 HTTPS 方法，这至少会加密您的会话数据。

• 允许无线访问：如果选中，本地网络上的无线客户端可以使用与有线客户端相同的方法访问路由器的管理屏幕。这对远程访问没有影响。

• 颜色方案：选择颜色方案皮肤

• 显示浏览器图标：在地址栏上显示番茄图标

控制安装在路由器上的 Secure SHell（SSH）服务器，该服务器允许对路由器进行安全的（加密的）命令行访问。SSH 用户名始终为 "root"。

• 启动时启用：指定路由器启动时是否启动 SSH 守护进程。

• 远程访问：如果选中，您将能够通过互联网和本地网络通过 SSH 访问路由器。如果未选中，则只有本地网络上的客户端可以访问。

• 远程转发：如果选中，SSH 服务器将监听要进行隧道传输的新连接。在服务器端启动的隧道将通过客户端机器返回。 使用示例.

• 端口：指定 SSH 守护进程使用的 TCP 端口（默认 = 端口 22）。建议更改端口为非默认端口，因为端口 22 不断被互联网上的黑客扫描。

• 允许密码登录：如果选中，您可以使用路由器用户名和密码启用到命令行的连接。如果未选中，则需要密钥身份验证。

• 授权密钥：输入用于密钥身份验证的授权密钥（比基于密码的登录更安全）。每个密钥必须从新行开始。Dropbear SSH 守护进程支持authorized_keys 选项的子集，如sshd(8) 中所述：command, no-agent-forwarding, no-pty, no-port-forwarding。目前无法限制连接的源地址或转发端口的端口号和目标。使用类似command="cat /dev/null" 的命令来阻止命令执行。

• [立即启动] / [立即停止] 启动或停止 SSH 守护进程。

控制内置于路由器中的 Telnet 命令行服务器。Telnet 访问仅限于本地网络。Telnet 用户名始终为“root”。

• 启动时启用：指定路由器启动时是否启用 Telnet 守护进程。

• 端口：指定 Telnet 使用的以太网端口（默认 = 端口 23）。

• [立即启动] / [立即停止] 启动或停止 Telnet 守护进程。

• 允许的 IP 地址：如果您想通过 IP 地址限制从 WAN 访问路由器的远程配置，请输入相应的 IP 地址字符串。

允许您指定您的密码。强烈建议您在安装后立即更改密码。在两个字段中输入相同的密码，然后单击“保存”。更改密码后，您需要重新验证您的会话（您可能需要关闭并重新启动浏览器以清除当前身份验证）。

带宽监控历史记录只是可以在 Tomato UI 的带宽页面查看的带宽数据，即 WAN 端口月度历史记录、本月的 WAN 端口每日历史记录以及过去 24 小时的日内历史记录（对于 vlan1、eth1、br0、eth0 和 vlan0）。因此，备份文件在达到约 133 字节后不会继续增大。

• 启用：选中以启用 / 取消选中以禁用

• 保存历史记录位置：保存到 RAM 不是永久性的。保存到NVRAM 或JFFS2 是永久性的，但会比路由器设计预期更频繁地刷新内部闪存（可重写）内存。这可能会导致路由器的使用寿命缩短。更好的永久存储替代方案是CIFS1 和CIFS2。请记住，如果您的CIFS1 或CIFS2 指向的共享脱机，则下次共享联机时将保存带宽历史记录。有关更多详细信息，请参阅CIFS 客户端部分。
  • 如果您使用CIFS，您将需要等待第一组数据保存才能查看 24 小时、每周和每月统计信息。您可能会看到关于“rstat”未响应的消息。解决此问题的方法是，如果您不想等待第一组数据保存（从一小时到几天），请选中“创建新文件”。

• 保存频率：选择一个间隔来定期保存带宽使用历史记录。如果您的路由器偶尔出现电源故障，则此功能很有用。保存间隔发生的准确时间取决于您保存设置的时间。因此，如果您在上午 10:35 设置为“每 2 天”，它将从那时起保存 48 小时，然后每 48 小时保存一次。

• 关机时保存：在任何重启或关机事件之前进行保存，但显然不是在断电之前！

• 创建新文件 / 重置数据：在设置新的保存历史记录位置时选中此选项。选中此选项后，将在保存位置创建新文件。如果该文件已存在于保存位置，所有当前数据将被覆盖！

• 每月第一天：用于将每月数据与 ISP 使用的相同记账周期对齐。

• 排除的接口：要从 Tomato UI 的24 小时和实时带宽页面中排除的接口的逗号分隔列表。（示例vlan0,vlan1,eth0将使焦点集中在无线 LAN 接口上）。这不会对保存的历史记录备份文件的大小产生明显影响。

尽管五个接口的作用取决于配置（示例：WRT54G v2 和 WRT54G v4 确认：voidmain 和 WL-500gP 和 网络配置 确认。OpenWRT ）明显的约定是

• vlan1：有线 WAN 端口
  
• vlan0：有线 LAN 端口
  
• eth1：无线 LAN
  
• br0：用于有线 LAN 和无线 LAN 的内部 LAN 桥接（可配置）
  
• eth0：CPU 和 6 口交换机之间的内部接口
  

可以使用 UI 工具查看保存的历史记录

• http: //192.168.1.1/bwm-24.asp
  
• http: //192.168.1.1/bwm-daily.asp
  
• http: //192.168.1.1/bwm-weekly.asp
  
• http: //192.168.1.1/bwm-monthly.asp

允许将当前带宽历史记录的全部内容保存到客户端计算机上的 GZIP 压缩文件中。此功能可用于存档带宽问题的证据，以便以后轻松查看。

允许从客户端计算机恢复以前保存的带宽历史记录文件（GZIP 压缩）。此功能可用于查看以前保存的历史记录文件的内容。

更改按钮执行的操作。可以为按钮按下不同的时间长度设置不同的操作（计算 DMZ 闪烁次数）。默认操作是（1）轻触以切换无线，（2）按住 20 秒以在端口 233 上启动 telnet。

LED 灯有一些小的复选框设置。为了获得更好的效果，您可以在其他地方的脚本中使用“led”命令。

对于不支持的路由器硬件，将显示以下文本：此功能不支持此路由器。

• 琥珀色 SES：？？？
• 白色 SES：？？？

Tomato 中的 CIFS 客户端允许您挂载 Windows 共享或 Samba 共享，您可以将其用作带宽监控的历史记录位置。

在配置中，UNC（通用命名约定）指向该共享，必须如下所示
\\192.168.1.99\share-name

其中 192.168.1.99 是共享所在计算机的 IP 地址，“share-name” 是共享的文件夹名称。其余设置（用户名、密码）不言自明。

仔细考虑指定 Windows 共享的共享权限。此处指定的用户名/密码对必须是具有写入共享文件夹权限的帐户，尤其是在您计划使用此网络共享文件夹保存带宽监控历史记录的情况下。另外，请确保允许在共享计算机和路由器之间的任何中间防火墙上使用端口 445。

建议在使用 Samba 时使用“security = user”，以避免出现以下错误
smb signing is incompatible with share level security !

允许您将所有设置备份到您的 PC、恢复设置或将路由器重置为出厂默认设置。

在从一个固件更改为另一个固件时，重要的是对路由器进行完全出厂重置。在 Tomato 中，您需要转到此屏幕，选择擦除 NVRAM 中的所有数据（彻底），然后单击确定。路由器重启后，您需要手动重新输入所有配置设置。如果您不擦除 NVRAM，可能会出现不稳定和不可预测的行为。

• 避免执行 NVRAM 提交：如果选中，则尽可能不将更改提交到 NVRAM。这意味着更改是临时的，并且不会在路由器下次重启后保留。
• 不要擦除一些中间文件： ???
• 启用 cprintf 输出到控制台： ???
• 启用 cprintf 输出到 /tmp/cprintf： ???
• 将缓存内存计入可用内存： ???
• 避免显示 LAN 到路由器连接：如果选中，则不会在 QOS 页面上显示 LAN 到路由器的连接。如果未选中，则 LAN 到路由器的连接将在 QOS 页面上显示为“未分类”连接。

• 下载 CFE：下载 CFE 二进制数据。（默认名称：cfe.bin）

请注意：这不是来自 CBOE 期货交易所 (“CFE”) 的信息。此下载是通用固件环境 (CFE) 数据，这是博通为 32 位和 64 位片上系统开发的固件接口和引导加载程序。

• 下载 Iptables 转储：下载 'tcpdump -L -v' 的系统输出（默认名称：iptables.txt）
• 下载日志：下载系统的 /var/log/massages 文件（默认名称：syslog.txt）
• 下载 NVRAM 转储：将系统的 NVRAM 作为文本文件下载。（默认名称：nvram.txt）

警告：NVRAM 转储文本文件可能包含无线加密密钥以及路由器、ISP 和 DDNS 的用户名/密码等信息。请在与任何人分享此文件之前，查看并编辑此文件。

• 控制台日志级别:

 0 (KERN_EMERG)		system is unusable
 1 (KERN_ALERT)		action must be taken immediately
 2 (KERN_CRIT)		critical conditions
 3 (KERN_ERR)		error conditions
 4 (KERN_WARNING)	warning conditions
 5 (KERN_NOTICE)	normal but significant condition
 6 (KERN_INFO)		informational
 7 (KERN_DEBUG)		debug-level messages

• 清除 Cookie：清除本地 Web Cookie：（包含但不限于）

   tomato_menu_tools=ping.asp
   tomato_menu_basic=wfilter.asp
   tomato_menu_advanced=wireless.asp
   tomato_menu_forward=dmz.asp
   tomato_qos_graphs=3
   tomato_menu_qos=view.asp
   tomato_qos_detailed=0
   tomato_qos-resolve=0
   tomato_menu_admin=debug.asp

• NVRAM 提交：将所有当前设置提交到 NVRAM，以便在重启后保留。

在具有 4MB 闪存的路由器中，固件之后仍然有一些剩余空间。JFFS2 是用于剩余空间的压缩可写文件系统，/jffs 文件夹在压缩之前但包括开销后，提供了 700KB 的空间。启用此选项，并编写一些从这里运行的附加可执行文件脚本。

日志记录可以在内部或外部进行。内部日志将信息保存到路由器的本地内存中。外部日志将日志信息发送到远程计算机。

• 内部日志 : 将连接日志保存到路由器的内部内存中，在那里可以提取或直接在“状态”下的“日志”页面上查看它们。这些日志将占用路由器内存，但可以在路由器本身直接查看。
• 日志到远程系统 : 将日志发送到您 LAN 上的计算机。该计算机必须运行日志捕获程序，例如 WallWatcher。然后，该计算机可以向您显示连接日志并分析数据。
  • IP 地址/端口 : 远程 syslog 服务器的 IP 地址和端口。
• 生成标记 : 在指定的时间间隔内，在日志中插入一行文本“------MARK-----”，以方便阅读。可用选项：禁用、每 30 分钟、每 1 小时、每 2 小时。
• 记录的事件：允许您指定要记录的事件类型。
  • 访问限制：访问限制活动。
  • Cron：Cron 作业信息。
  • DHCP 客户端：DHCP 操作。
  • NTP：NTP 时间同步活动。
  • PPPoE：以太网上的点对点协议活动。
  • 调度程序：由 Tomato 的调度程序生成的活动。（菜单：管理 -> 调度程序）
• 连接日志记录：允许您指定要记录的连接类型，并设置每分钟记录的条目数限制。除非在外部记录，否则建议对两者都禁用。除非您需要检测所有尝试的连接，否则请选择仅记录防火墙允许的连接。请注意，大多数连接将是出站连接，因为连接是由 LAN 内的设备发起的。唯一的入站连接（这些连接被防火墙允许）是远程管理、FTP、SSH 或转发端口等。
  • 入站（连接）：如上所述
  • 出站（连接）：如上所述
  • 限制：系统每分钟最多可以记录多少条消息。输入“0”表示无限制。

显示 5 个对话框，允许启用计划的操作，并选择其执行的日期和时间。重启执行路由器冷启动，如同电源已循环一样。重新连接执行 WAN 释放和更新序列。自定义 1、2、3 允许在 Tomato 中执行任意命令，这些命令存在于 Tomato 中。这些对话框略有不同。

• 启用：允许执行和编辑。默认：禁用。
• 时间：下拉菜单，用于选择执行时间（24 小时制），以 15 分钟为增量，或重复每 1、12 或 24 小时，或每隔用户可选择的时间间隔重复。
• 日期：操作的星期几，逐个选择。默认：每天。

• 启用：允许执行和编辑。默认：禁用。
• 时间：下拉菜单，用于选择执行时间（24 小时制），以 15 分钟为增量，或重复每 1、3、5、15、30 分钟、1、12 或 24 小时，或每隔用户可选择的时间间隔重复。
• 日期：操作的星期几，逐个选择。默认：每天。
• 命令：用户定义命令的文本字段。请参阅 BusyBox 命令。

• 保存：保存设置。必须为启用的项目执行此操作，才能进行调度。
• 取消：中止任何编辑操作，退出而不保存。

注意：在初始编辑期间，GUI（截至 1.27 版本）会阻止在启用重启或重新连接后启用自定义对话框。在启用重启或重新连接之前，请先启用任何所需的自定义对话框。

调度程序实际上是crond守护进程。调度程序 GUI 有一些限制，无法生成任意 crontab。您可以使用cru命令来操作 crontab。请记住将它们添加到 init 脚本中，使用cru命令添加的 crontab 不会在重启后保留。

提供四个文本输入选项卡Init、Shutdown、Firewall和WAN Up。您可以在这些选项卡中输入命令，以便在路由器Init（启动）、Shutdown、Firewall启动或WAN Up（每当 Internet 连接启动时）运行这些命令。

示例脚本 1

访问连接到路由器 WAN 端口的调制解调器的 Web 界面。在本示例中，调制解调器的 IP 地址为 10.0.0.138。脚本中使用的两个 IP 地址都以 10.0.0 开头。第一个地址可以以任何其他数字结尾（除了 138），但第二个地址必须以 0 结尾。调制解调器的 IP 必须来自与本地 LAN 不同的网络。

在WAN Up中

ip addr add 10.0.0.10/24 dev eth1 brd +
/usr/sbin/iptables -I POSTROUTING -t nat -o eth1 -d 10.0.0.0/24 -j MASQUERADE

示例脚本 2

为每个用户建立 125 个 TCP 连接的限制。

在Firewall中

iptables -I FORWARD -p tcp --syn -m iprange --src-range 192.168.22.10-192.168.22.250 -m connlimit --connlimit-above 125 -j DROP

注意 : 192.168.22.10 - 192.168.22.250 是要控制的 LAN 地址范围。

示例脚本 3

在 WAN 侧打开 SSH 服务器，同时提供更好的防范暴力破解密码攻击的保护措施。在 90 秒内尝试连接 3 次后，源地址将被锁定 90 秒。这似乎足以说服脚本小子寻找新的目标。需要 v1.21（或更高版本）才能工作，因为它现在内置了 ipt_recent 模块。

在Init中

insmod `find /lib/modules/ -name ipt_recent.o`

在Firewall中

WANIP=$(nvram get wan_ipaddr)
iptables -t nat -A PREROUTING -p tcp -d $WANIP --dport 22 -j DNAT --to 192.168.1.1:22
iptables -A INPUT -d 192.168.1.1 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH_LIMIT --rsource
iptables -A INPUT -d 192.168.1.1 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 4 --name SSH_LIMIT --rsource -j DROP
iptables -A INPUT -d 192.168.1.1 -p tcp --dport 22 -j ACCEPT

注意：不要通过菜单启用远程 SSH，此脚本将完成此操作并应用正确的规则

允许您将新的固件映像加载到路由器（无论是更新版本的 Tomato 还是完全不同的固件）。

注意：从任何固件更改为任何其他固件（例如，从原厂 Linksys 更改为 Tomato）时，务必清除 NVRAM 并恢复出厂默认设置。执行此操作的说明因固件而异，但通常有一个出厂重置选项（在 Tomato 中，此选项位于管理/配置/恢复默认配置下）

此页面显示有关

• 番茄固件的名称和版本号
• 版权声明
• 指向番茄主页的直接 http 链接
• 番茄固件的构建日期
• 项目的捐赠按钮
• 对所有人的感谢信息

重启路由器（不会擦除任何设置）。

关闭路由器（受控关机）

登出网页会话（清除用户会话），并返回到初始登录屏幕，要求您再次提供登录凭据。这有时会导致混淆，有些人报告说他们“需要登录才能登出”。看到密码提示后，您就已登出。只需点击取消，您就会进入“未授权”页面。此选项在 MS Internet Explorer (V7) 上不支持，并且“注销”项不会显示在菜单中。您需要完全关闭浏览器才能登出。