13 March 2012

Penggunaan Squid Sebagai Proxy Server Di Ubuntu Server 10.10

Penggunaan Squid Sebagai Proxy Server Di Ubuntu Server 10.10

Squid adalah program proxy server yang tersedia secara opensource yang sangat banyak kegunaannya, salah satunya adalah melakukan cache terhadap konten dari sebuah website. Jadi apabila sebuah situs pernah dibuka oleh salah satu anggota jaringan, maka Squid akan menyimpan konten situs tersebut kedalam hard disk atau memori dari komputer, sehingga jika salah satu anggota jaringan membuka situs yang sama, anggota jaringan tersebut tidak perlu mengakses ke internet, dia hanya perlu mengkases cache yang sudah disimpan oleh Squid tadi, yang berakibat proses dalam membuka situs akan menjadi lebih cepat dan tentunya akan menghemat bandwidth.
Program Squid adalah program yang saat ini paling banyak digunakan oleh administrator jaringan sebagai program proxy server. Squid hanya bisa dijalankan di sistem operasi Linux seperti fedora, RedHat, Mandriva, OpenSUSE, dan lain-lain termasuk Ubuntu. Perlu diinformasikan bahwa tulisan ini adalah lanjutan dari tulisan saya yang berjudul, Instalasi Ubuuntu Server 10.10 dan Konfigurasi IP Address Ubuntu Server 10.10.
.
Instalasi dan Konfigurasi Squid Di Ubuntu Server 10.10
Untuk bisa menggunakan Squid langkah pertama yang dilakukan adalah menginstal paket Squid kedalam Ubuntu Server, karena Ubuntu Server belum menyertakan Squid di dalamnya. Caranya adalah dengan masuk ke Ubuntu Server sebagai root dan ketikkan apt-get install squid, maka proses unduh dan instalasi Squid akan berlangsung sekaligus. Proses ini tidak akan memakan waktu yang lama, karena ukuran Squid yang tidak terlalu besar. Pada tutorial ini saya menggunakan Squid versi 2.7 STABLE9.

Setelah selesai, langkah berikutnya adalah melakukan konfigurasi Squid. Langkah-langkahnya adalah sebagai berikut.
  1. Buat sebuah direktori tempat cache akan disimpan. Pada tutorial ini saya akan menyimpan cache di direktori / (root), ketikkan perintah mkdir /cache. Lalu ubah hak aksesnya menjadi proxy agar bisa diakses oleh Squid dengan perintah: chown proxy:proxy /cache.
  1. Selanjutnya lakukan konfigurasi pada berkas Squid. Berkas konfigurasi Squid berada di bawah direktori /etc/squid dengan nama squid.conf. Namun terlebih dahulu ubah hak aksesnya menjadi proxy, dengan mengetikkan perintah chown proxy:proxy /etc/squid/squid.conf. Selanjutnya lakukan konfigurasi pada berkas squid.conf dengan mengetikkan nano /etc/squdi.squid.conf.
  1. Carilah baris http_port 3128 dengan menekan tombol Ctrl + W (fasilitas search pada nano), lalu ketikkan http_port 3128, setelah ditemukan tambahkan kata transparent pada akhir baris, sehingga menjadi http_port 3128 transparent. Ini dibuat untuk membuat proxy menjadi transparan, sehingga web browser yang digunakan pengguna tidak perlu mengatur proxy secara manual menggunakan port 3128 yang merupakan port default dari proxy. Port ini bisa diganti sesuka hati, namun seluruhnya harus sama. Pengaturan ini juga harus dikolaborasikan dengan iptables yang akan dipaparkan selanjutnya.
  1. Kemudian cari baris cache_effective_user proxy, setelah ditemukan, pada awal baris ada tanda pagar (#), hilangkan tanda pagar tersebut agar bisa dieksekusi oleh Squid, jika tidak, maka Squid akan menganggap baris tersebut hanya komentar. Tepat dibawah baris cache_effective_user proxy tambahkan cache_effective_group proxy. Ini digunakan untuk mendefenisikan bahwa proxy adalah user dan group yang memiliki hak akses untuk Squid.

  1. Cari baris cache_mgr webmaster, setelah ditemukan, hilangkan tanda pagar yang ada di awal baris, kemudian ganti kata webmaster menjadi alamat email administrator yang bisa dihubungi oleh klien. Contohnya seperti ini cache_mgr adamkurniawan02@yahoo.co.id. Ini digunakan, apabila pada saat terjadi kesalahan pada proxy, maka browser akan menampilkan halaman error yang mencantumkan alamat email administrator.
  1. Cari lagi baris cache_dir ufs /var/spool/squid 100 16 256, hilangkan tanda pagar yang ada di awal baris, kemudian ubah baris ini menjadi cache_dir ufs /cache 1024 16 256. Baris ini menyatakan dimana cache akan disimpan, pada awal konfigurasi saya telah membuat folder yang digunakan untuk menyimpan cache. Kemudian jenis sistem storage yang digunakan (ufs). Kapasitas hard disk yang digunakan untuk cache adalah sebesar 1024 MB, jumlah subdirektori tingkat pertama dalam direktori cache adalah 16 dan jumlah subdirektori tingkat kedua yang dibuat dalam direktori cache tingkat pertama adalah 256.

  1. Cari baris cache_mem 8 MB. Ini adalah baris untuk mengatur jumlah RAM (Random Access Memory) yang digunakan untuk cache. Kecepatan baca RAM lebih tinggi dari pada hard disk namun karena kapasitasnya yang tidak terlalu besar menyebabkan penggunan RAM untuk cache menjadi sangat terbatas. Pada tutorial ini saya menggunakan 16 MB. Maka barisnya ini menjadi cache_mem 16 MB, dan jangan lupa untuk menghilangkan tanda pagarnya.
  1. Masih dengan menekan tombol Ctrl + W, cari lagi baris acl to_localhost dst 120.0.0.0/8 0.0.0.0/32. Tepat dibawah baris tersebut ketikkan:
    acl laboratorium src 10.10.1.0/24
    http_access allow laboratorium
    Dua baris diatas digunakan untuk memberikan akses kontrol kepada jaringan dengan network id 10.10.1.0, yaitu jaringan yang saya miliki. Dengan dua baris diatas juga, maka selain jaringan dengan network id 10.10.1.0 tidak akan bisa terkoneksi ke jaringan luar, karena Squid tidak mengizinkannya.

Setelah semua langkah diatas dilakukan, tekan Ctrl + O untuk menyimpan konfigurasi, kemudian tekan tombol Enter. Sampai disini Squid telah selesai dikonfigurasi.
Langkah terakhir yang dilakukan adalah menyempurnakan tranparan proxy dengan iptables yang sebelumnya sudah diatur. Ketikkan skrip berikut ini: iptables –t nat –A PREROUTING –p tcp –s 10.10.1.0/24 – -dport 80 –j REDIRECT – -to-port 3128, kemudian tekan Enter. Dengan skrip iptables diatas, maka semua paket yang berasal dari port 80 akan dibelokkan ke port 3128 (port Squid). Sehingga paket akan dipaksa melewati Squid, sehingga bisa tersaring.
Skrip iptables diatas harus dkietikkan ulang jika komputer server melakukan restart, karena bersifat sementara. Untuk itu, agar skrip iptables diatas berjalan pada saat komputer dinyalakan, maka bukalah berkas /etc/rc.local dan letakkan skrip tersebut sebelum bari exit 0, jika sudah simpan dengan Ctrl + O.

Setelah seluruh pengaturan selesai dilakukan, baik dari alamat IP, DNS, WebHTB, dan juga proxy, lakukan restart terhadap Ubuntu Server dengan mengetikkan sudo init 6 atau sudo reboot. Setelah restart dan jika tidak ada kesalahan dalam pengaturan, maka Ubuntu Server 10.10 siap untuk digunakan sebagai gateway dan proxy server.

Konfigurasi IP Address, DNS, dan NAT Pada Ubuntu Server 10.10

Konfigurasi IP Address, DNS, dan NAT Pada Ubuntu Server 10.10

Antar muka dari Ubuntu Server 10.10 adalah text mode, tidak ada jendela, tidak ada klik, drag and drop, dan sebagainya yang biasa dilakukan pada mode GUI (Graphic User Interface), semua operasi pada Ubuntu Server dilakukan dengan mengetikkan secara manual perintah melalui papan ketik (keyboard). Sebenarnya Ubuntu Server 10.10 juga bisa dibuat dengan mode GUI, namun itu akan sangat memberatkan bagi server, karena harus melakukan instalasi mode GUI yang memakan banyak sumber daya, terutama Memory dan Hard Disk, selain itu juga, pada dasarnya tingkat keamanan dengan menggunakan mode CLI akan lebih baik ketimbang menggunakan mode GUI.
Artikel ini adalah lanjutan dari artikel saya yang berjudul Instalasi Ubuntu Server 10.10. Agar Ubuntu Server 10.10 bisa melakukan koneksi ke jaringan, baik itu jaringan lokal maupun internet, maka langkah awal yang dilakukan adalah melakukan konfigrasi alamat IP. Untuk mengkonfigurasi alamat IP langkah-langkahnya adalah sebagai berikut:
  • Masuklah menggunakan username dan password yang telah diatur pada langkah sebelumnya. Pada artikel ini userame yang saya gunakan adalah adamkurniawan dan password saya juga adamkurniawan. Untuk password tidak akan terlihat pada saat diketikkan karena alasan keamanan. Tekan tombol Enter jika sudah yakin memasukkan username dan password dengan benar.
  • Setelah berhasil masuk akan diperlihatkan kapan pengguna adamkurniawan terakhir login. Pada baris paling bawah terlihat tulisan adamkurniawan@server01:~$, ini berarti pengguna dengan id adamkurniawan masih berstatus sebagai pengguna biasa dan belum bisa melakukan pengaturan. Agar bisa melakukan pengaturan, pengguna harus masuk sebagai mode root atau mode tertinggi dalam sistem (administrator) dengan mengetikkan perintah sudo su, maka akan akan muncul tulisan [sudo] password for adamkurniawan: itu berarti sistem meminta password agar pengguna dengan id adamkurniawan bisa masuk sebagai mode root. Password yang digunakan untuk mode root ini adalah password yang sama yang digunakan untuk login pada awal tadi. Masukkan password-nya dan tekan Enter. Jika password yang dimasukkan benar, maka akan muncul tulisan root@server01:/home/adamkurniawan#, ini berarti pengguna dengan id adamkurniawan sudah masuk sebagai mode root dan sudah bisa melakukan konfigurasi.
  • Sebelum melakukan konfigurasi  pada  alamat IP, cek terlebih dahulu apa nama kartu jaringan (ethernet) yang tersedia yang bisa digunakan dengan mengetikkan: # ifconfig –a | more. Penamaan kartu jaringan pada sistem Linux diawali dengan eth lalu diikuti dengan nomor kartu jaringannya yang dimulai dengan 0, misal eth0, eth1, eth2, dan seterusnya. Karena pada artikel ini saya menggunakan dua buah kartu jaringan maka setelah diketikkan # ifonfig –a | more, didapati bahwa nama kartu jaringan yang saya miliki pada sistem linux dikenal dengan nama eth0 dan eth1.
  • ketikkan perintah # nano /etc/network/interfacesuntuk mulai melakukan konfigurasi alamat IP Ubuntu Server 10.10. Pada baris paling akhir ketikkan skrip berikut: auto eth0 iface eth0 inet static
    address 192.168.6.200
    netmask 255.255.255.0
    gateway 192.168.6.254
    Skrip diatas adalah skrip yang digunakan untuk melakukan pengaturan kartu jaringan pertama (eth0) yang akan dihubungkan ke internet. Alamat IP yang saya berikan harus satu segmen dengan jaringan yang ada di atas Ubuntu Server 10.10 yang saya gunakan dan gateway dari kartu jaringan pertama juga harus merupakan alamat IP dari perangkat yang bertindak sebagai gerbang dari Ubuntu Server 10.10 yang saya gunakan ke internet. Sedangkan untuk pengaturan kartu jaringan kedua yang akan digunakan sebagai interface ke jaringan lokal adalah sebagai berikut:
    auto eth1
    iface eth1 inet static
    address 10.10.1.254
    netmask 255.255.255.0
    Jika telah selesai tekan tombol Ctrl + O untuk menyimpan konfigurasi yang telah dilakukan, berikan nama berkas konfigurasi yang baru saja dibuat, pada artikel ini saya tidak memberikan nama baru, jadi saya langsung saja menekan tombol Enter. Kemudia tekan tombol Ctrl + X untuk keluar. Restart kartu jaringan menggunakan perintah # /etc/init.d/networking restart agar konfigurasi yang baru saja dilakukan bisa terbaca oleh sistem.
  • Pada umumnya, jika kartu jaringan belum pernah dikonfigurasi menggunakan Ubuntu Server 10.10 atau Ubuntu Server 10.10 yang digunakan masih baru diinstal (fresh install), kartu jaringan yang tertanam di komputer sudah terbaca namun belum aktif. Untuk melihat apakah kartu jaringan sudah aktif atau belum, ketikkan perintah # ifconfig. Pada artikel ini, kartu jaringan yang saya gunakan belum aktif.
  • Untuk mengaktifkannya ketikkan perintah # ifconfig eth0 up (mengaktifkan kartu jaringan pertama) dan # ifconfig eth1 up (mengaktifkan kartu jaringan kedua). Setelah itu restart kembali kartu jaringan menggunaka # /etc/init.d/networking restart. Jika dilakukan pengecekan kembali menggunakan perintah # ifconfig, maka akan bisa dilihat bahwa kartu jaringan sudah aktif dan sudah memiliki alamat IP sesuai dengan yang sudah di konfigurasi.
  • Langkah selanjutnya adalah memberikan DNS (Domain Name System). DNS digunakan sebagai penerjemah dari nama domain ke alamat IP, dan sebaliknya, yaitu dari alamat IP ke nama domain. Jadi apabila pengguna mengetikkan google.com di web browser, maka itu berarti pengguna memanggil alamat IP dari google.com yaitu 74.125.71.103. Untuk mengatur DNS di Ubuntu Server 10.10 pengguna harus membuat sebuah berkas baru bernama resolv.conf yang diletakkan di direktori /etc dengan mengetikkan # touch /etc/resolv.conf, namun sebelumnya pengguna harus masuk ke dalam mode root. Setelah berhasil membuatnya, selanjutnya adalah mengisi berkas resolve.conf tersebut dengan alamat IP yang bisa menerjemahkan nama domain ke alamat IP dan sebaliknya, dengan cara mengetikkan perintah # nano /etc/resolv.conf. Kemudian ketikkan nameserver dan diikuti dengan alamat IPyang bisa digunakan sebagai DNS, pada artikel ini saya menggunakan 2 buah DNS, yaitu 192.168.4.254 yang merupakan alamat IP gateway Ubuntu Server 10.10 dan 8.8.8.8 yang merupakan alamat penyedia DNS yang dibuat oleh Google. Jadi penulisannya adalah sebagai berikut: nameserver 192.168.4.254
    nameserver 8.8.8.8
    Simpan dengan menekan Ctrl + O, tekan tombol Enter untuk replace nama yang lama dan tekan Ctrl + X untuk keluar. Lakukan kembali restart jaringan dengan mengetikkan # /etc/init.d/networking.
  • Tahap berikutnya adalah melakukan pengecekan apakah Ubuntu Server 10.10 sudah bisa melakukan koneksi ke internet dan apakah DNS sudah bekerja dengan baik. Cara melakukannya adalah dengan melakukan ping ke sebuah alamat domain. Pada artikel ini, saya melakukan pengecekan dengan melakukan ping ke domain yahoo.com. Perintah yang diketikkan adalah # ping yahoo.com. disini saya sudah mendapatkan balasan dari yahoo.com dan berarti Ubuntu Server 10.10 yang digunakan sebagai server sudah terkoneksi ke internet dengan baik, begitu juga dengan DNS-nya.
  • Selanjutnya, lakukan konfigurasi agar semua klien yang berada pada jaringan lokal bisa mengakses ke jaringan yang berada di jaringan luar (internet) atau melakukan NAT. Jika tidak dikonfigurasi maka paket-paket yang berasal dari kartu jaringan lokal (eth1) tidak akan bisa diteruskan ke kartu jaringan yang mengarah ke internet (eth0). Caranya adalah dengan mengetikkan perintah berikut ini: iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE, lalu tekan Enter. Jika ingin rule ini dijalankan pada saat komputer dinyalakan, maka ketikkanlah rule diatas pada file /etc/rc.local sebelum baris exit 0.
sumber: http://kurniawanadam.wordpress.com/2011/05/09/konfigurasi-ip-address-dns-dan-nat-pada-ubuntu-server-10-10/

12 March 2012

Cara Downgrade Mikrotik Routerboard (Menukar Os Mikrotik Routerboard dari yang baru ke yang lama)

Cara Downgrade Mikrotik Routerboard (Menukar Os Mikrotik Routerboard dari yang baru ke yang lama)

:
--Jika ada masalah pada Routerboard Mikrotik atau Wireless Mikrotik anda,dan anda ingin menukar versi yang baru tersebut ke versi yang lama,berikut ini langkahnya:

--Download winbox ((DI SINI))
--Download Os Mikrotik 4.0 ((DI SINI))

Perhatian!!

-- Jangan gunakan Os versi 4 Kebawah untuk Downgrade mikrotik anda,karena mengakibatkan lisensinya hilang,saya menyediakan Os versi 4.0 silahkan anda download di atas

--Os di atas hanya berlaku untuk Routerborad mikrotik RB750,RB750G,RB450,RB450G,RB411,RB411R,RB411AH,

RB411AR,RB411R,RB411UAHR,RB433,RB433AH

--“Copy” Os Mikrotik yang telah anda download di atas,seperti gambar di bawah ini:


--Remote Mikrotik routerboard atau Wireless Mikrotik anda menggunakan Winbox
--Dihalaman utama winbox pilih “File” seperti gambar di bawah ini:


--Kemudian klik gambar tas warna cokelat yang di menu file tersebut (Paste), seperti gambar di bawah ini:


--Di halaman utama winbox pilih “System” kemudian “Packages” seperti gambar di bawah ini:


--Tahan “Ctrl + A” pada keyboard laptop atau computer anda,seperti gambar di bawah ini:

--Kemudian klik “Downgrade” dan klik “yes” untuk reboot mikrotik,seperti gambar di bawah ini:

--Tunggu sekitar 3 Menit,kemudian remote kembali Routerboard Mikrotik anda atau Wireless Mikrotik anda,Kemudian klik “New terminal” dan ketik perintah system resource print

--Dan lihat hasilnya

--Selamat Mencoba--

11 March 2012

Melindungi Costumer dari Worm & Virus dengan Mikrotik

Melindungi Costumer dari Worm & Virus dengan Mikrotik

Untuk melindungi costumer’s network kita harus senantiasa mengecek semua traffic yang melewati router dan memblock traffic-traffic yang tidak diinginkan. Untuk traffic icmp, tcp, udp kita akan membuat chains, dimana semua paket traffic yang tidak diinginkan akan didrop. Sebagai langkah awal, kita dapat copy and paste command berikut pada RouterOS terminal console:
/ip firewall filter
add chain=forward connection-state=established comment=”allow established connections”
add chain=forward connection-state=related comment=”allow related connections”
add chain=forward connection-state=invalid action=drop comment=”drop invalid connections”
Disini pada 2 baris rule pertama mengatur bahwa router akan membolehkan koneksi yang telah terbuka (established connections) dan koneksi yang saling berhubungan (related connections), Kita membuat asumsi bahwa koneksi-koneksi tersebut adalah baik. Sedangkan koneksi yang mengandung invalid paket akan didrop, pada baris rule yang ke-3.

Kemudian, kita harus memfilter dan mendrop semua paket yang tidak diinginkan yang datang dari host yang dicurigai telah terinfeksi virus. Jadi setelah menambahkan rule-rule di atas ke forward chain, kita membuat sebuah chain baru untuk semua traffic netbios dan traffic serupa yang tidak diinginkan. Kita dapat memberikan sebuah deskriptif name (misalnya: “virus”) pada chain tersebut, saat menambahkan rule-rule berikut ini pada ip firewall filter (anda bisa mengcopy paste rule-rule ini kedalam RouterOS terminal console:
add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop Blaster Worm”
add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop Messenger Worm”
add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster Worm”
add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster Worm”
add chain=virus protocol=tcp dst-port=593 action=drop comment=”________”
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________”
add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom”
add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________”
add chain=virus protocol=tcp dst-port=1363 action=drop comment=”ndm requester”
add chain=virus protocol=tcp dst-port=1364 action=drop comment=”ndm server”
add chain=virus protocol=tcp dst-port=1368 action=drop comment=”screen cast”
add chain=virus protocol=tcp dst-port=1373 action=drop comment=”hromgrafx”
add chain=virus protocol=tcp dst-port=1377 action=drop comment=”cichlid”
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=”Worm”
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus”
add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y”
add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle”
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop Beagle.C-K”
add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment=”Drop MyDoom”
add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor OptixPro”
add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm”
add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm”
add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser”
add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B”
add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop Dabber.A-B”
add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop Dumaru.Y”
add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop MyDoom.B”
add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus”
add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2″
add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop SubSeven”
add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, Agobot, Gaobot”
Disini, kita melist semua yang kita ketahui sebagai “bad” protocol and port, yang digunakan oleh beragam trojans dan virus. List ini masih belum lengkap; kita masih harus terus menambahkan rule-rule ke dalamnya. Kita dapat melompat ke list ini dari forward chain dengan menambahkan rule dengan action=jump:
add chain=forward action=jump jump-target=virus comment=”jump to the virus chain”
Forward chain akan nampak seperti berikut ini

Sehingga nampak bisa dilihat pada gambar, apabila paket atau koneksi yang berjalan tidak sesuai dengan rule chain=virus maka segera diproses kembali ke chain=forward;
Selamat mencoba…
Memperkecil delay ping dan DNS resolve

Memperkecil delay ping dan DNS resolve

Tujuan :
  • Memperkecil delay ping dari sisi klien ke arah Internet.
  • Mempercepat resolving hostname ke ip address.
Asumsi : Klien-klien berada pada subnet 10.10.10.0/28
  1. Memanipulasi Type of Service untuk ICMP Packet :
    > ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 protocol=icmp action=mark-connection new-connection-mark=ICMP-CM passthrough=yes
    > ip firewall mangle add chain=prerouting connection-mark=ICMP-CM action=mark-packet new-packet-mark=ICMP-PM passthrough=yes
    > ip firewall mangle add chain=prerouting packet-mark=ICMP-PM action=change-tos new-tos=min-delay
  2. Memanipulasi Type of Service untuk DNS Resolving :
    > ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 protocol=tcp dst-port=53 action=mark-connection new-connection-mark=DNS-CM passthrough=yes
    > ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 protocol=udp dst-port=53 action=mark-connection new-connection-mark=DNS-CM passthrough=yes
    > ip firewall mangle add chain=prerouting connection-mark=DNS-CM action=mark-packet new-packet-mark=DNS-PM passthrough=yes
    > ip firewall mangle add chain=prerouting packet-mark=DNS-PM action=change-tos new-tos=min-delay
  3. Menambahkan Queue Type :
    > queue type add name=”PFIFO-64″ kind=pfifo pfifo-limit=64
  4. Mengalokasikan Bandwidth untuk ICMP Packet :
    > queue tree add name=ICMP parent=INTERNET packet-mark=ICMP-PM priority=1 limit-at=8000 max-limit=16000 queue=PFIFO-64
  5. Mengalokasikan Bandwidth untuk DNS Resolving :
    > queue tree add name=DNS parent=INTERNET packet-mark=DNS-PM priority=1 limit-at=8000 max-limit=16000 queue=PFIFO-64
  6. Good Luck!!
Perintah Dasar Mikrotik OS

Perintah Dasar Mikrotik OS

Perintah mikrotik sebenarnya hampir sama dengan perintah yang ada dilinux, sebab pada dasarnya mikrotik ini merupakan kernel Linux, hasil pengolahan kembali Linux dari Distribusi Debian. Pemakaian perintah shellnya sama, seperti penghematan perintah, cukup menggunakan tombol TAB di keyboard maka perintah yang panjang, tidak perlu lagi diketikkan, hanya ketikkan awal nama perintahnya, nanti secara otomatis Shell akan menampilkan sendiri perintah yang berkenaan. Misalnya perintah IP ADDRESS di mikrotik. Cukup hanya mengetikkan IP ADD spasi tekan tombol TAB, maka otomatis shell akan mengenali dan menterjemahkan sebagai perintah IP ADDRESS.
Baiklah kita lanjutkan pengenalan perintah ini.

Setelah login, cek kondisi interface atau ethernet card.
–[1]– Melihat kondisi interface pada Mikrotik Router
[admin@Mikrotik] > interface print
Flags: X – disabled, D – dynamic, R – running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500
[admin@Mikrotik]>
Jika interfacenya ada tanda X (disabled) setelah nomor (0,1), maka periksa lagi
etherned cardnya, seharusnya R (running).
a. Mengganti nama interface
[admin@Mikrotik] > interface(enter)
b. Untuk mengganti nama Interface ether1 menjadi Public (atau terserah namanya), maka
[admin@Mikrotik] interface> set 0 name=Public
c. Begitu juga untuk ether2, misalkan namanya diganti menjadi Local, maka
[admin@Mikrotik] interface> set 1 name=Local
d. atau langsung saja dari posisi root direktori, memakai tanda “/”, tanpa tanda kutip
[admin@Mikrotik] > /interface set 0 name=Public
e. Cek lagi apakah nama interface sudah diganti.
[admin@Mikrotik] > /interface print
Flags: X – disabled, D – dynamic, R – running
# NAME TYPE RX-RATE TX-RATE MTU
0 R Local ether 0 0 1500
1 R Public ether 0 0 1500
–[2]– Mengganti password default
Untuk keamanan ganti password default
[admin@Mikrotik] > password
old password: *****
new password: *****
retype new password: *****
[admin@ Mikrotik]]>
–[3]– Mengganti nama hostname
Mengganti nama Mikrotik Router untuk memudahkan konfigurasi, pada langkah ini
nama server akan diganti menjadi “routerku”
[admin@Mikrotik] > system identity set name=routerku
[admin@routerku]>
–[4]– Setting IP Address, Gateway, Masqureade dan Name Server
–[4.1]– IP Address
Bentuk Perintah konfigurasi
ip address add address ={ip address/netmask} interface={nama interface}
a. Memberikan IP address pada interface Mikrotik. Misalkan Public akan kita gunakan untuk
koneksi ke Internet dengan IP 192.168.1.2 dan Local akan kita gunakan untuk network LAN
kita dengan IP 192.168.0.30 (Lihat topologi)
[admin@routerku] > ip address add address=192.168.1.2 \
netmask=255.255.255.0 interface=Public comment=”IP ke Internet”
[admin@routerku] > ip address add address=192.168.0.30 \
netmask=255.255.255.224 interface=Local comment = “IP ke LAN”
b. Melihat konfigurasi IP address yang sudah kita berikan
[admin@routerku] >ip address print
Flags: X – disabled, I – invalid, D – dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 ;;; IP Address ke Internet
192.168.0.30/27 192.168.0.0 192.168.0.31 Local
1 ;;; IP Address ke LAN
192.168.1.2/24 192.168.0.0 192.168.1.255 Public
[admin@routerku]>
–[4.2]– Gateway
Bentuk Perintah Konfigurasi
ip route add gateway={ip gateway}
a. Memberikan default Gateway, diasumsikan gateway untuk koneksi internet adalah
192.168.1.1
[admin@routerku] > /ip route add gateway=192.168.1.1
b. Melihat Tabel routing pada Mikrotik Routers
[admin@routerku] > ip route print
Flags: X – disabled, A – active, D – dynamic,
C – connect, S – static, r – rip, b – bgp, o – ospf
# DST-ADDRESS PREFSRC G GATEWAY DISTANCE INTERFACE
0 ADC 192.168.0.0/24 192.168.0.30 Local
1 ADC 192.168.0.0/27 192.168.1.2 Public
2 A S 0.0.0.0/0 r 192.168.1.1 Public
[admin@routerku]>
c. Tes Ping ke Gateway untuk memastikan konfigurasi sudah benar
[admin@routerku] > ping 192.168.1.1
192.168.1.1 64 byte ping: ttl=64 time<1 ms
192.168.1.1 64 byte ping: ttl=64 time<1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0/0.0/0 ms
[admin@routerku]>
–[4.3]– NAT (Network Address Translation)
Bentuk Perintah Konfigurasi
ip firewall nat add chain=srcnat action=masquerade out-inteface={ethernet
yang langsung terhubung ke Internet atau Public}
a. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server maka agar
client computer pada network dapat terkoneksi ke internet perlu kita masquerading.
[admin@routerku] > ip firewall nat add chain=scrnat out-interface=Public action=masquerade
[admin@routerku]>
b. Melihat konfigurasi Masquerading
[admin@routerku] ip firewall nat print
Flags: X – disabled, I – invalid, D – dynamic
0 chain=srcnat out-interface=Public action=masquerade
[admin@routerku]>
–[4.4] Name server
Bentuk Perintah Konfigurasi
ip dns set primary-dns={dns utama} secondary-dns={dns ke dua}
a. Setup DNS pada Mikrotik Routers, misalkan DNS dengan Ip Addressnya
Primary = 202.134.0.155, Secondary = 202.134.2.5
[admin@routerku] > ip dns set primary-dns=202.134.0.155 allow-remoterequests=yes
[admin@routerku] > ip dns set secondary-dns=202.134.2.5 allow-remoterequests=yes
b. Melihat konfigurasi DNS
[admin@routerku] > ip dns print
primary-dns: 202.134.0.155
secondary-dns: 202.134.2.5
allow-remote-requests: no
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 16KiB
[admin@routerku]>
c. Tes untuk akses domain, misalnya dengan ping nama domain
[admin@routerku] > ping yahoo.com
216.109.112.135 64 byte ping: ttl=48 time=250 ms
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 571/571.0/571 ms
[admin@routerku]>
Jika sudah berhasil reply berarti seting DNS sudah benar.
Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan jika
berhasil berarti kita sudah berhasil melakukan instalasi Mikrotik Router sebagai Gateway
server. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage menggunakan WinBox yang
bisa di download dari Mikrotik.com atau dari server mikrotik kita. Misal Ip address server
mikrotik kita 192.168.0.30, via browser buka http://192.168.0.30. Di Browser akan ditampilkan
dalam bentuk web dengan beberapa menu, cari tulisan Download dan download WinBox dari situ.
Simpan di local harddisk. Jalankan Winbox, masukkan Ip address, username dan password.
–[5]– DHCP Server
DHCP merupakan singkatan dari Dynamic Host Configuration Protocol, yaitu suatu program yang
memungkinkan pengaturan IP Address di dalam sebuah jaringan dilakukan terpusat di server,
sehingga PC Client tidak perlu melakukan konfigurasi IP Addres. DHCP memudahkan administrator
untuk melakukan pengalamatan ip address untuk client.
Bentuk perintah konfigurasi
ip dhcp-server setup
dhcp server interface = { interface yang digunakan }
dhcp server space = { network yang akan di dhcp }
gateway for dhcp network = { ip gateway }
address to give out = { range ip address }
dns servers = { name server }
lease time = { waktu sewa yang diberikan }
Jika kita menginginkan client mendapatkan IP address secara otomatis maka perlu kita setup
dhcp server pada Mikrotik. Berikut langkah-langkahnya :
a. Tambahkan IP address pool
/ip pool add name=dhcp-pool ranges=192.168.0.1-192.168.0.30
b. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client.
Pada contoh ini networknya adalah 192.168.0.0/27 dan gatewaynya 122.168.0.30
/ip dhcp-server network add address=192.168.0.0/27 gateway=192.168.0.30 dns-server=192.168.0.30 \
comment=””
c. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface Local )
/ip dhcp-server add interface=local address-pool=dhcp-pool
d. Lihat status DHCP server
[admin@routerku] > ip dhcp-server print
Flags: X – disabled, I – invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0dhcp1 Local
Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan terlebih
dahulu pada langkah e.
e. Jangan Lupa dibuat enable dulu dhcp servernya
/ip dhcp-server enable 0
kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak ada berarti
sudah aktif
f. Tes Dari client
Misalnya :
D:\>ping www.yahoo.com
–[6]– Transparent Proxy Server
Proxy server merupakan program yang dapat mempercepat akses ke suatu web
yang sudah diakses oleh komputer lain, karena sudah di simpan didalam
caching server.Transparent proxy menguntungkan dalam management client,
karena system administrator tidak perlu lagi melakukan setup proxy di
setiap browser komputer client karena redirection dilakukan otomatis di sisi
server.
Bentuk perintah konfigurasi :
a. Setting web proxy :
- ip proxy set enable=yes
port={ port yang mau digunakan }
maximal-client-connections=1000
maximal-server-connections=1000
- ip proxy direct add src-address={ network yang akan di
NAT} action=allow
- ip web-proxy set parent-proxy={proxy parent/optional}
hostname={ nama host untuk proxy/optional}
port={port yang mau digunakan}
src-address={ address yang akan digunakan untuk koneksi
ke parent proxy/default 0.0.0.0}
transparent-proxy=yes
max-object-size={ ukuran maximal file yang akan disimpan
sebagai cache/default 4096 in Kilobytes}
max-cache-size= { ukuran maximal hardisk yang akan
dipakai sebagai penyimpan file cache/unlimited
| none | 12 in megabytes}
cache-administrator={ email administrator yang akan digunakan
apabila proxy error, status akan dikirim
ke email tersebut}
enable==yes
Contoh konfigurasi
——————-
a. Web proxy setting
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=8080 \
hostname=”proxy.routerku.co.id” transparent-proxy=yes \
parent-proxy=0.0.0.0:0 cache-administrator=” support@routerku.co.idThis e-mail address is being protected from spam bots, you need JavaScript enabled to view it ” \
max-object-size=131072KiB cache-drive=system max-cache-size=unlimited \
max-ram-cache-size=unlimited
Nat Redirect, perlu ditambahkan yaitu rule REDIRECTING untuk membelokkan
traffic HTTP menuju ke WEB-PROXY.
b. Setting firewall untuk Transparant Proxy
Bentuk perintah konfigurasi :
ip firewall nat add chain=dstnat
protocol=tcp
dst-port=80
action=redirect
to-ports={ port proxy }
Perintahnya:
——————————————————————————–
/ ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 \
comment=”” disabled=no
add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080 \
comment=”” disabled=no
add chain=dstnat protocol=tcp dst-port=8000 action=redirect to-ports=8080 \
——————————————————————————–
perintah diatas dimaksudkan, agar semua trafik yang menuju Port 80,3128,8000
dibelokkan menuju port 8080 yaitu portnya Web-Proxy.
CATATAN:
Perintah
/ip web-proxy print { untuk melihat hasil konfigurasi web-proxy}
/ip web-proxy monitor { untuk monitoring kerja web-proxy}
–[7]– Bandwidth Management
QoS memegang peranan sangat penting dalam hal memberikan pelayanan
yang baik pada client. Untuk itu kita memerlukan bandwidth management
untuk mengatur tiap data yang lewat, sehingga pembagian bandwidth menjadi
adil. Dalam hal ini Mikrotik RouterOs juga menyertakan packet software
untuk memanagement bandwidth.
Bentuk perintah konfigurasi:
queue simple add name={ nama }
target-addresses={ ip address yang dituju }
interface={ interface yang digunakan untuk melewati data }
max-limit={ out/in }
Dibawah ini terdapat konfigurasi Trafik shaping atau bandwidth management
dengan metode Simple Queue, sesuai namanya, Jenis Queue ini memang
sederhana, namun memiliki kelemahan, kadangkala terjadi kebocoran bandwidth
atau bandwidthnya tidak secara real di monitor. Pemakaian untuk 10 Client,
Queue jenis ini tidak masalah.
Diasumsikan Client ada sebanyak 15 client, dan masing-masing client diberi
jatah bandwidth minimum sebanyak 8kbps, dan maksimum 48kbps. Sedangkan
Bandwidth totalnya sebanyak 192kbps. Untuk upstream tidak diberi rule,
berarti masing-masing client dapat menggunakan bandwidth uptream secara
maksimum. Perhatikan perintah priority, range priority di Mikrotik sebanyak
delapan. Berarti dari 1 sampai 8, priority 1 adalah priority tertinggi,
sedangkan priority 8 merupakan priority terendah.
Berikut Contoh kongirufasinya.
——————————————————————————–
/ queue simple
add name=”trafikshaping” target-addresses=192.168.0.0/27 dst-address=0.0.0.0/0 \
interface=all parent=none priority=1 queue=default/default \
limit-at=0/64000 max-limit=0/192000 total-queue=default disabled=no
add name=”01″ target-addresses=192.168.0.1/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”02″ target-addresses=192.168.0.2/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”03″ target-addresses=192.168.0.3/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”04″ target-addresses=192.168.0.4/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”10″ target-addresses=192.168.0.25/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”05″ target-addresses=192.168.0.5/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”06″ target-addresses=192.168.0.6/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”07″ target-addresses=192.168.0.7/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”08″ target-addresses=192.168.0.8/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”09″ target-addresses=192.168.0.9/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”10″ target-addresses=192.168.0.10/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”11″ target-addresses=192.168.0.11/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”12″ target-addresses=192.168.0.12/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”13″ target-addresses=192.168.0.13/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”14″ target-addresses=192.168.0.14/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=”15″ target-addresses=192.168.0.15/32 dst-address=0.0.0.0/0 \
interface=all parent=trafikshaping priority=1 queue=default/default \
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
Perintah diatas karena dalam bentuk command line, bisa juga di copy
paste, selanjutnya di paste saja ke consol mikrotiknya. ingat lihat
dulu path atau direktory aktif. Silahkan dipaste saja, kalau posisi
direktorynya di Root.
——————————————————————-
Terminal vt102 detected, using multiline input mode
[admin@mikrotik] >
——————————————————————
Pilihan lain metode bandwidth manajemen ini, kalau seandainya ingin
bandwidth tersebut dibagi sama rata oleh Mikrotik, seperti bandwidth
256kbps downstream dan 256kbps upstream. Sedangkan client yang akan
mengakses sebanyak 10 client, maka otomatis masing-masing client
mendapat jatah bandwidth upstream dan downstream sebanyak 256kbps
dibagi 10. Jadi masing-masing dapat 25,6kbps. Andaikata hanya 2 Client
yang mengakses maka masing-masing dapat 128kbps.
Untuk itu dipakai type PCQ (Per Connection Queue), yang bisa secara
otomatis membagi trafik per client. Tentang jenis queue di mikrotik
ini dapat dibaca pada manualnya di http://www.mikrotik.com/testdocs/
ros/2.9/root/queue.php.
Sebelumnya perlu dibuat aturan di bagian MANGLE. Seperti :
——————————————————————–
/ip firewall mangle add chain=forward src-address=192.168.0.0/27 \
action=mark-connection new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=mark-packet \
new-packet-mark=users chain=forward
———————————————————————-
Karena type PCQ belum ada, maka perlu ditambah, ada 2 type PCQ ini.
Pertama diberi nama pcq-download, yang akan mengatur semua trafik
melalui alamat tujuan/destination address. Trafik ini melewati
interface Local. Sehingga semua traffik download/downstream yang
datang dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Tipe PCQ kedua, dinamakan pcq-upload, untuk mengatur semua trafik upstream
yang berasal dari alamat asal/source address. Trafik ini melewati
interface public. Sehingga semua traffik upload/upstream yang berasal
dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Perintah:
————————————————————————-
/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address
————————————————————————-
Setelah aturan untuk PCQ dan Mangle ditambahkan, sekarang untuk aturan
pembagian trafiknya. Queue yang dipakai adalah Queue Tree, Yaitu:
————————————————————————-
/queue tree add parent=Local queue=pcq-download packet-mark=users
/queue tree add parent=Public queue=pcq-upload packet-mark=users
————————————————————————-
Perintah diatas mengasumsikan, kalau bandwidth yang diterima dari provider
Internet berflukstuasi atau berubah-rubah. Jika kita yakin bahwa bandwidth
yang diterima, misalkan dapat 256kbs downstream, dan 256kbps upstream, maka
ada lagi aturannya, seperti :
Untuk trafik downstreamnya :
————————————————————————
/queue tree add name=Download parent=Local max-limit=256k
/queue tree add parent=Download queue=pcq-download packet-mark=users
————————————————————————-
Dan trafik upstreamnya :
—————————————————————————
/queue tree add name=Upload parent=Public max-limit=256k
/queue tree add parent=Upload queue=pcq-upload packet-mark=users
—————————————————————————
–[8]– Monitor MRTG via Web
Fasilitas ini diperlukan untuk monitoring trafik dalam bentuk grafik, dapat
dilihat dengan menggunakan browser. MRTG (The Multi Router Traffic Grapher)
telah dibuild sedemikian rupa, sehingga memudahkan kita memakainya. Telah
tersedia dipaket dasarnya.
Contoh konfigurasinya
————————————————————————-
/ tool graphing
set store-every=5min
/ tool graphing interface
add interface=all allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
—————————————————————————
Perintah diatas akan menampilkan grafik dari trafik yang melewati interface
jaringan baik berupa Interface Public dan Interface Local, yang dirender
setiap 5 menit sekali. Juga dapat diatur Alamat apa saja yang dapat mengakses
MRTG ini, pada parameter allow-address.
–[9]– Keamanan di Mikrotik
Setelah beberapa Konfigurasi diatas telah disiapkan, tentu tidak lupa kita
perhatikan keamanan dari Mesin gateway Mikrotik ini, ada beberapa fasilitas
yang dipergunakan. Dalam hal ini akan dibahas tentang Firewallnya. Fasilitas
Firewall ini secara pringsip serupa dengan IP TABLES di Gnu/Linux hanya saja
beberapa perintah telah di sederhanakan namun berdaya guna.
Di Mikrotik perintah firewall ini terdapat dalam modus IP, yaitu
[admin@routerku] > /ip firewall
Terdapat beberapa packet filter seperti mangle, nat, dan filter.
————————————————————————-
[admin@routerku] ip firewall> ?
Firewall allows IP packet filtering on per packet basis.
.. — go up to ip
mangle/ — The packet marking management
nat/ — Network Address Translation
connection/ — Active connections
filter/ — Firewall filters
address-list/ –
service-port/ — Service port management
export –
————————————————————————–
Untuk kali ini kita akan lihat konfigurasi pada ip firewall filternya.
Karena Luasnya parameter dari firewall filter ini untuk pembahasan Firewall
Filter selengkapnya dapat dilihat pada manual mikrotik, di
http://www.mikrotik.com/testdocs/ros/2.9/ip/filter.php
Konfigurasi dibawah ini dapat memblokir beberapa Trojan, Virus, Backdoor
yang telah dikenali sebelumnya baik Nomor Port yang dipakai serta Protokolnya.
Juga telah di konfigurasikan untuk menahan Flooding dari Jaringan Publik dan
jaringan Lokal. Serta pemberian rule untuk Access control agar, Rentang
jaringan tertentu saja yang bisa melakukan Remote atau mengakses service
tertentu terhadap Mesin Mikrotik kita.
Contoh Aplikasi Filternya
—————————————————————————–
/ ip firewall filter
add chain=input connection-state=invalid action=drop comment=”Drop Invalid \
connections” disabled=no
add chain=input src-address=!192.168.0.0/27 protocol=tcp src-port=1024-65535 \
dst-port=8080 action=drop comment=”Block to Proxy” disabled=no
add chain=input protocol=udp dst-port=12667 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=udp dst-port=27665 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=udp dst-port=31335 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=udp dst-port=27444 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=udp dst-port=34555 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=udp dst-port=35555 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=tcp dst-port=27444 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=tcp dst-port=27665 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=tcp dst-port=31335 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=tcp dst-port=31846 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=tcp dst-port=34555 action=drop comment=”Trinoo” \
disabled=no
add chain=input protocol=tcp dst-port=35555 action=drop comment=”Trinoo” \
disabled=no
add chain=input connection-state=established action=accept comment=”Allow \
Established connections” disabled=no
add chain=input protocol=udp action=accept comment=”Allow UDP” disabled=no
add chain=input protocol=icmp action=accept comment=”Allow ICMP” disabled=no
add chain=input src-address=192.168.0.0/27 action=accept comment=”Allow access \
to router from known network” disabled=no
add chain=input action=drop comment=”Drop anything else” disabled=no
add chain=forward protocol=tcp connection-state=invalid action=drop \
comment=”drop invalid connections” disabled=no
add chain=forward connection-state=established action=accept comment=”allow \
already established connections” disabled=no
add chain=forward connection-state=related action=accept comment=”allow \
related connections” disabled=no
add chain=forward src-address=0.0.0.0/8 action=drop comment=”” disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment=”” disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment=”” disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment=”” disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment=”” disabled=no
add chain=forward dst-address=224.0.0.0/3 action=drop comment=”” disabled=no
add chain=forward protocol=tcp action=jump jump-target=tcp comment=”” \
disabled=no
add chain=forward protocol=udp action=jump jump-target=udp comment=”” \
disabled=no
add chain=forward protocol=icmp action=jump jump-target=icmp comment=”” \
disabled=no
add chain=tcp protocol=tcp dst-port=69 action=drop comment=”deny TFTP” \
disabled=no
add chain=tcp protocol=tcp dst-port=111 action=drop comment=”deny RPC \
portmapper” disabled=no
add chain=tcp protocol=tcp dst-port=135 action=drop comment=”deny RPC \
portmapper” disabled=no
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”deny NBT” \
disabled=no
add chain=tcp protocol=tcp dst-port=445 action=drop comment=”deny cifs” \
disabled=no
add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”deny NFS” \
disabled=no
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”deny \
NetBus” disabled=no
add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”deny NetBus” \
disabled=no
add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”deny \
BackOriffice” disabled=no
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”deny DHCP” \
disabled=no
add chain=udp protocol=udp dst-port=69 action=drop comment=”deny TFTP” \
disabled=no
add chain=udp protocol=udp dst-port=111 action=drop comment=”deny PRC \
portmapper” disabled=no
add chain=udp protocol=udp dst-port=135 action=drop comment=”deny PRC \
portmapper” disabled=no
add chain=udp protocol=udp dst-port=137-139 action=drop comment=”deny

BW Management sebuah GameNet dan Warnet

Pertama siapkan 3 buah NIC masing-masing:
ether1=119.67.xx.xx (IP Public)
ether2=192.168.123.254/24 (IP Lan)
ether3=192.168.10.5/24 (IP ke proxy external)
Asumsi router sudah jalan,baik remote dns maupun masquerade nya
Kedua bikin BW management menggunakan queue tree supaya pembagian bw merata tidak saling rebutan jika salah satu klien sedang rakus membuka tab browser,tentu masih ada jaminan bw buat semua klien untuk bermain game.
A. Bikin mangle terlebih dahulu untuk menandai packet-packet yang akan di manage
menandai packet ICMP
/ip firewall mangle
add action=mark-connection chain=prerouting comment=ICMP disabled=no new-connection-mark=ICMP-CM \
passthrough=yes protocol=icmp
add action=mark-connection chain=forward comment="" disabled=no new-connection-mark=ICMP-CM passthrough=\
yes protocol=icmp
add action=change-dscp chain=prerouting comment="" connection-mark=ICMP-CM disabled=no new-dscp=5 \
protocol=icmp
add action=change-dscp chain=forward comment="" connection-mark=ICMP-CM disabled=no new-dscp=5 protocol=\
icmp
add action=mark-packet chain=prerouting comment="" connection-mark=ICMP-CM disabled=no new-packet-mark=\
PRE-ICMP-PM passthrough=no protocol=icmp
add action=mark-packet chain=forward comment="" connection-mark=ICMP-CM disabled=no new-packet-mark=\
POST-ICMP-PM passthrough=no protocol=icmp


menandai Call All Connection dan bypass ICMP


/ip firewall mangle
add action=mark-connection chain=prerouting comment=C.ALL-CN disabled=no new-connection-mark=ALL-CN-PRE \
passthrough=yes protocol=!icmp src-address=192.168.123.0/24
add action=mark-connection chain=forward comment="" disabled=no dst-address=192.168.123.0/24 \
new-connection-mark=ALL-CN-POST passthrough=yes protocol=!icmp

add action=mark-packet chain=prerouting comment=C.ALL-P connection-mark=ALL-CN-PRE disabled=no \
new-packet-mark=C.ALL-PRE passthrough=yes src-address=192.168.123.0/24
add action=mark-packet chain=forward comment="" connection-mark=ALL-CN-POST disabled=no dst-address=\
192.168.123.0/24 new-packet-mark=C.ALL-POST passthrough=yes


setelah packet All Connection (ALL-CN) tertandai seharusnya MikroTik sudah mengcounter traffic


lihat pada gambar :

image


B. Selanjutnya tinggal bikin mangle per klien ini saya buat sampel 2 IP saja

selanjutnya tinggal menyesuaikan dan mengurutkan ke masing-masing network anda


menandai klien IP 192.168.123.245


/ip firewall mangle
add action=mark-packet chain=prerouting comment=WS245 connection-mark=ALL-CN-PRE disabled=no \
new-packet-mark=WS245-PRE passthrough=no src-address=192.168.123.245
add action=mark-packet chain=forward comment="" connection-mark=ALL-CN-POST disabled=no dst-address=\
192.168.123.245 new-packet-mark=WS245-POST passthrough=no


menandai klien IP 192.168.123.246


/ip firewall mangle
add action=mark-packet chain=prerouting comment=WS246 connection-mark=ALL-CN-PRE disabled=no \
new-packet-mark=WS246-PRE passthrough=no src-address=192.168.123.246
add action=mark-packet chain=forward comment="" connection-mark=ALL-CN-POST disabled=no dst-address=\
192.168.123.246 new-packet-mark=WS246-POST passthrough=no


selesai sudah kita bikin manglenya :)





C. Ok di lanjutgan dengan membuat queue tree ,value disini jangan di jadikan petokan

silahkan rubah valuenya sesuai bw yang tersedia di network anda.


ini saya ambil contoh dengan bw dari isp 3M di bagi rata ke klien max masing-masing mendapat 384k download 256k upload dengan jaminan bw 128k untuk menjaga biar yang main game tidak terganggu


/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=3M name=ALL-DN \
packet-mark=C.ALL-POST parent=global-out priority=8
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=1M name=ALL-UP \
packet-mark=C.ALL-PRE parent=global-in priority=8

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=128k max-limit=384k name=WS245-DN \
packet-mark=WS245-POST parent=ALL-DN priority=8 queue=default

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=128k max-limit=384k name=WS246-DN \
packet-mark=WS246-POST parent=ALL-DN priority=8 queue=default

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=128k max-limit=256k name=WS245-UP \
packet-mark=WS245-PRE parent=ALL-UP priority=8 queue=default

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=128k max-limit=256k name=WS246-UP \
packet-mark=WS246-PRE parent=ALL-UP priority=8 queue=default


hasilnya screenshootnya :




Sudah selesai silahkan anda test di salah satu klien


jika traffic lagi sepi klien bisa mendapat bw lebih dari 384k dengan begitu pelanggan akan merasa puas karena browsing lebih lancar





sampai ketemu lagi di firewall filter untuk menyaring packet downloader dan redirect to proxy external.

Redirect Mikrotik ke Squidbox linux





Banyak persoalan yg sering dialami pada web proxy di mikrotik, yaitu diantaranya tidak bisa di opreknya squid di mikrotik ini.
Disini saya akan mencoba berbagi ilmu, dan mohon koreksi bila ada yang salah. Ok..

Mikrotik
Public = 202.134.1.100
LAN = 192.168.0.1

di asumsikan bahwa sebelum adanya squidbox terpisah ini, mikrotik server anda telah berjalan dengan sempurna..

dan squidbox linux sudah terinstall


tambahkan pada box mikrotik seperti berikut :
1.
Code:
/ip firewall nat chain=dstnat in-interface=LAN src-address=!192.168.0.254 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.254 to-ports=3121

dari input diatas bahwa src-address atau sumbernya dari ip address mana saja kecuali ip squuidbox itu sendiri. dengan tujuan port 80 atau browsing. akan dialihkan ke ip squidbox dengan port squidbox adalah 3121 (port di squid linux).
Tambahkan juga di mikrotik

2.
Code:
/ip firewall nat chain=dstnat in-interface=LAN src-address=!192.168.0.254 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.254 to-ports=3121

3.
Code:
/ip firewall nat chain=srcnat out-interface=LAN src-address=192.168.0.0/24 action=src-nat to-addresses=192.168.0.1 to-ports=0-65535

nb: aslinya pakai konfigurasi no 1 dan 3 aja juga bisa kok.