Tutorial Mikrotik Komplet
Tutorial Mikrotik Komplet
MikroTik RouterOS™ adalah sistem operasi linux yang dapat digunakan untuk
menjadikan komputer menjadi router network yang handal, mencakup berbagai fitur
yang dibuat untuk ip network dan jaringan wireless, cocok digunakan oleh ISP dan
provider hostspot.
* Firewall and NAT - stateful packet filtering; Peer-to-Peer protocol filtering; source and
destination NAT; classification by source MAC, IP addresses (networks or a list of
networks) and address types, port range, IP protocols, protocol options (ICMP type,
TCP flags and MSS), interfaces, internal packet and connection marks, ToS (DSCP)
byte, content, matching sequence/frequency, packet size, time and more...
* Routing - Static routing; Equal cost multi-path routing; Policy based routing
(classification done in firewall); RIP v1 / v2, OSPF v2, BGP v4
* Data Rate Management - Hierarchical HTB QoS system with bursts; per IP / protocol /
subnet / port / firewall mark; PCQ, RED, SFQ, FIFO queue; CIR, MIR, contention ratios,
dynamic client rate equalizing (PCQ), bursts, Peer-to-Peer protocol limitation
* HotSpot - HotSpot Gateway with RADIUS authentication and accounting; true Plug-
and-Play access for network users; data rate limitation; differentiated firewall; traffic
quota; real-time status information; walled-garden; customized HTML login pages; iPass
support; SSL secure authentication; advertisement support
* IPsec - IP security AH and ESP protocols; MODP Diffie-Hellman groups 1,2,5; MD5
and SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption
algorithms; Perfect Forwarding Secrecy (PFS) MODP groups 1,2,5
* Proxy - FTP and HTTP caching proxy server; HTTPS proxy; transparent DNS and
HTTP proxying; SOCKS protocol support; DNS static entries; support for caching on a
separate drive; access control lists; caching lists; parent proxy support
* DHCP - DHCP server per interface; DHCP relay; DHCP client; multiple DHCP
networks; static and dynamic DHCP leases; RADIUS support
* M3P - MikroTik Packet Packer Protocol for Wireless links and Ethernet
* Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer;
Dynamic DNS update tool
Layer 2 connectivity
* Wireless - IEEE802.11a/b/g wireless client and access point (AP) modes; Nstreme
and Nstreme2 proprietary protocols; Wireless Distribution System (WDS) support;
virtual AP; 40 and 104 bit WEP; WPA pre-shared key authentication; access control list;
authentication with RADIUS server; roaming (for wireless client); AP bridging
* Bridge - spanning tree protocol; multiple bridge interfaces; bridge firewalling, MAC
* VLAN - IEEE802.1q Virtual LAN support on Ethernet and wireless links; multiple
VLANs; VLAN bridging
* Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3) media types; sync-PPP, Cisco
HDLC, Frame Relay line protocols; ANSI-617d (ANDI or annex D) and Q933a (CCITT
or annex A) Frame Relay LMI types
* Asynchronous - s*r*al PPP dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2
authentication protocols; RADIUS authentication and accounting; onboard s*r*al ports;
modem pool with up to 128 ports; dial on demand
* ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication
protocols; RADIUS authentication and accounting; 128K bundle support; Cisco HDLC,
x75i, x75ui, x75bui line protocols; dial on demand
* SDSL - Single-line DSL support; line termination and network termination modes
* CPU and motherboard - bisa pake P1 ampe P4, AMD, cyrix asal yang bukan multi-
prosesor
* RAM - minimum 32 MiB, maximum 1 GiB; 64 MiB atau lebih sangat dianjurkan, kalau
mau sekalian dibuat proxy , dianjurkan 1GB... perbandingannya, 15MB di memori ada
1GB di proxy..
* HDD minimal 128MB parallel ATA atau Compact Flash, tidak dianjurkan menggunakan
UFD, SCSI, apa lagi S-ATA
Untuk keperluan beban yang besar ( network yang kompleks, routing yang rumit dll)
disarankan untuk mempertimbangkan pemilihan resource PC yang memadai.
Meskipun demikian Mikrotik bukanlah free software, artinya kita harus membeli licensi
terhadap segala fasiltas yang disediakan. Free trial hanya untuk 24 jam saja.
Kita bisa membeli software mikrotik dalam bentuk CD yang diinstall pada Hard disk atau
disk on module (DOM). Jika kita membeli DOM tidak perlu install tetapi tinggal
menancapkan DOM pada slot IDE PC kita.
1. Langkah pertama adalah install Mikrotik RouterOS pada PC atau pasang DOM.
Sampai langkah ini kita sudah bisa masuk pada mesin Mikrotik. User default adalah
admin
dan tanpa password, tinggal ketik admin kemudian tekan tombol enter.
4. Mengganti nama Mikrotik Router, pada langkah ini nama server akan diganti menjadi
“Andre-Network” (nama ini sih bebas2 aja mo diganti)
[admin@Mikrotik] > system identity set name=Andre-Network
[admin@Andre-Network] >
6. Memberikan IP address pada interface Mikrotik. Misalkan ether1 akan kita gunakan
untuk koneksi ke Internet dengan IP 192.168.0.1 dan ether2 akan kita gunakan untuk
network local kita dengan IP 172.16.0.1
13. Tes untuk akses domain, misalnya dengan ping nama domain
[admin@Andre-Network] > ping yahoo.com
216.109.112.135 64 byte ping: ttl=48 time=250 ms
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 571/571.0/571 ms
[admin@Andre-Network] >
14. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server
maka agar client computer pada network dapat terkoneksi ke internet perlu kita
masquerading.
[admin@Andre-Network]> ip firewall nat add action=masquerade outinterface=
ether1 chain:srcnat
[admin@Andre-Network] >
Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan
jika berhasil berarti kita sudah berhasil melakukan instalasi Mikrotik Router sebagai
Gateway server. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage
menggunakan WinBox
yang bisa di download dari Mikrotik.com atau dari server mikrotik kita.
2. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client Pada
contoh ini networknya adalah 172.16.0.0/24 dan gatewaynya 172.16.0.1
/ip dhcp-server network add address=172.16.0.0/24 gateway=172.16.0.1
3. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface ether2 )
/ip dhcp-server add interface=ether2 address-pool=dhcp-pool
4. Lihat status DHCP server
[admin@Andre-Network]> ip dhcp-server print
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 X dhcp1 ether2
Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan
terlebih dahulu pada langkah 5.
kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak ada
berarti sudah aktif.
untuk bandwith controller, bisa dengan sistem simple queue ataupun bisa dengan
mangle
[admin@Andre-Network] queue simple> add name=Komputer01
interface=ether2 target-address=172.16.0.1/24 max-limit=65536/131072
[admin@Andre-Network] queue simple> add name=Komputer02
interface=ether2 target-address=172.16.0.2/24 max-limit=65536/131072
dan seterusnya...
Mangle
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255
interface=Local comment="" \
disabled=no
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255
interface=wlan2 \
comment="" disabled=no
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255
interface=wlan1 \
comment="" disabled=no
/ ip firewall mangle
add chain=prerouting in-interface=Local connection-state=new nth=1,1,0 \
action=mark-connection new-connection-mark=odd passthrough=yes comment="" \
disabled=no
add chain=prerouting in-interface=Local connection-mark=odd action=mark-routing \
new-routing-mark=odd passthrough=no comment="" disabled=no
add chain=prerouting in-interface=Local connection-state=new nth=1,1,1 \
action=mark-connection new-connection-mark=even passthrough=yes comment="" \
disabled=no
add chain=prerouting in-interface=Local connection-mark=even action=mark-routing \
new-routing-mark=even passthrough=no comment="" disabled=no
NAT
/ ip firewall nat
add chain=srcnat connection-mark=odd action=src-nat to-addresses=10.111.0.2 \
to-ports=0-65535 comment="" disabled=no
add chain=srcnat connection-mark=even action=src-nat to-addresses=10.112.0.2 \
to-ports=0-65535 comment="" disabled=no
Routing
/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 scope=255 target-scope=10 routing-
mark=odd \
comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 routing-
mark=even \
comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10
comment="" \
disabled=no comment="gateway for the router itself
a. boot dg cd mikrotik
b. setelah bisa boot pake iso linux, pilih beberapa paket yang dibutuhkan. (kalo bingung
centang aja semua)
DASAR_______________
system identity set name=warnet.beenet
user set admin password=sukasukalu
ethernet____________________
interface ethernet enable ether1
interface ethernet enable ether2
interface Ethernet set ether1 name=intranet
interface Ethernet set ether2 name=internet
IP ADDRESS_______________
ip address add interface=internet address=XXXXX (dari ISP)
ip address add interface=intranet address=192.168.0.1/24
route_______________
ip route add gateway=XXXXX (dari ISP)
dns___________
ip dns set primary-dns=XXXXX (dari ISP) 2 secondary-dns=XXXXX (dari ISP)
nat & filter firewall standar_______________
ip firewall nat add action=masquerade chain=srcnat
ip firewall filter add chain=input connection-state=invalid action=drop
ip firewall filter add chain=input protocol=udp action=accept
ip firewall filter add chain=input protocol=icmp action=accept
ip firewall filter add chain=input in-interface=intranet action=accept
ip firewall filter add chain=input in-interface=internet action=accept
dhcp server______________________________________
ip dhcp-server setup
dhcp server interface: intranet
dhcp address space: 192.168.0.0/24
gateway for dhcp network: 192.168.0.1
addresses to give out: 192.168.0.2-192.168.0.254
dns servers: XXXXX (dari ISP),XXXXX (dari ISP)
lease time: 3d
web proxy_________________________
ip web-proxy
set enabled=yes
set src-address=0.0.0.0
set port=8080
set hostname=”proxy-apaaja”
set transparent-proxy=yes
set parent-proxy=0.0.0.0:0
set cache-administrator=”silahkan.pannggil.operator”
set max-object-size=4096KiB
set cache-drive=system
set max-cache-size=unlimited
set max-ram-cache-size=unlimited
PCQ ________________________
/ip firewall mangle add chain=forward src-address=192.168.169.0/28 action=mark-
connection new-connection-mark=client1-cm
/ip firewall mangle add connection-mark=client1-cm action=mark-packet new-packet-
mark=client1-pm chain=forward
/queue type add name=downsteam-pcq kind=pcq pcq-classifier=dst-address
/queue type add name=upstream-pcq kind=pcq pcq-classifier=src-address
/queue tree add parent=intranet queue=downsteam-pcq packet-mark=client1-pm
/queue tree add parent=internet queue=upstream-pcq packet-mark=client1-pm
simpel queue______________________________
queue simple add name=kbu-01 target-addresses=192.168.0.11
queue simple add name=kbu-02 target-addresses=192.168.0.12
queue simple add name=kbu-03 target-addresses=192.168.0.13
queue simple add name=kbu-04 target-addresses=192.168.0.14
queue simple add name=kbu-05 target-addresses=192.168.0.15
queue simple add name=kbu-06 target-addresses=192.168.0.16
queue simple add name=kbu-07 target-addresses=192.168.0.17
queue simple add name=kbu-08 target-addresses=192.168.0.18
queue simple add name=kbu-09 target-addresses=192.168.0.19
queue simple add name=kbu-10 target-addresses=192.168.0.20
queue simple add name=xbilling target-addresses=192.168.0.2
BLOX SPAM____________________________
/ip firewall filter add chain=forward dst-port=135-139 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=135-139 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=445 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=445 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=593 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=4444 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=5554 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=9996 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=995-999 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=53 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=55 protocol=tcp action=drop
chain=forward protocol=tcp
tcp-flags=syn,!fin,!rst,!psh,!ack,!urg,!ece,!cwr connection-limit=20,32
limit=25,10 src-address-list=!Safe-List action=add-src-to-address-list
address-list=tcp-syn-violators address-list-timeout=3h
Semoga bermanfaat, jika anda mengalami hal seperti saya diatas jangan
langsung salahkan ISP tempat anda berlangganan …..
1. bersihin dulu isi route nya , dari winbox pilih ip route, trus di delete deh tuh
gateway/route disitu, semuanya
2. bersihin juga manglenya, caranya ip firewal mangle print, kalo dari winbox pilih ip >
firewall >mangle, abis itu delete2 semuanya tuh
3. bersihin juga nat nya, dari winbox, ip > firewall > nat , trus delete tuh isinya
4. selanjutnya ikutin langkah2 berikut ini ya slow down aja jangan sampe salah ketik,
sebaiknya pake tab biar auto completing
penjelasan singkat
ada 3 interface
1.lokal=192.168.100.254/24
2.isp=202.182.54.74/30
3.fastnet=118.137.79.0/24 (nah nilai ini yang selalu di ubah2, hanya yg ini, yg lain kaga
usah, ubahnya pake winbox aja)
Versi 3
Penjelasan :
1. Mikrotik router dengan 2 network interface card (NIC) ether1 dan ether3, dimana
ether1 adalah ethernet yang terhubung langsugn ke ISP dan ether3 adalah
ethernet yang terhubung langsung dengan jaringan 192.168.2.0/24
2. Bandwith dari ISP misalnya 256 Kbps internasional dan 1024 Kbps lokal IIX.
3. Kompuer 192.168.2.4 akan diberi alokasi bandwith 128 Kbps internasional dan
256 Kbps lokal IIX.
Mulai Mikrotik RouterOs versi 2.9, dikenal dengan vitur yang disebut IP address list.
Fitur ini adalah pengelompokan IP address tertentu dan setiap IP address tersebut bisa
kita namai. Kelompok ini bisa digunakan sebagai parameter dalam mangle, firewall
filter, NAT, maupun queue.
Mikrotik Indonesia telah menyediakan daftar IP address yang diavertise di OpenIXP dan
IIX, yang bisa didownload dengan bebas di URL :
http://www.mikrotik.co.id/getfile.php?nf=nice.rsc
File nice.rsc ini dibuat secara otomatis di server Mikrotik Indonesia setiap pagi sekitar
pukul 05.30, dan meruapakan data yang telah dioptimasi untuk menghilangkan duplikat
entry dan tumpang tindih subnet. Saat ini jumlah pada baris pada script tersebut
berkisar 430 baris.
Contoh
Simpanlah file tersebut ke komputer anda dengan nama nice.rsc, lalu lakukan FTP ke
router Mikrotik, dan uploadlah file tersebut di router. Contoh di bawah ini adalah proses
upload MS DOS-Promt.
Directory of C:\
C:\>
Connected to 192.168.0.1.
220 R&D FTP server (MikroTik 2.9.39) ready
User (192.168.0.1:(none)):
331 Password required for admin
Password:
230 User admin logged in
ftp>
200 Type set to A
ftp>
200 PORT command successful
150 Opening ASCII mode data connection for '/nice.rsc'
226 ASCII transfer complete
ftp: 17523 bytes sent in 0.00Seconds 17523000.00Kbytes/sec.
ftp>
221 Closing
C:\>
Pastikan bahwa proses import telah berlangsung dengan sukses, dengan mengecek
Address-List pada menu IP – Firewall.
Pengaturan Mangle
Berikut adalah perintah untuk melakukan konfigurasi mangle yang bisa dilakukan lewat
tampilan text pada MikrotikOs atau terminal pada Winbox.
Langkah selanjutnya adalah mengatur bandwith melalui simple queue, untuk mengatur
bandwith internasional 128 Kbps dan bandwith lokal IIX 256 Kbps pada komputer
dengan IP 192.168.2.4 dapat dilakukan dengan perintah sebagai berikut.
queue simple
Script di atas berarti hanya komputer dengan IP 192.168.2.4 saja yang dibatasi
bandwithnya 128 Kbps internasional (overseas) dan 256 Kbps lokal IIX (Indonesia),
sedangkan yang lainnya tidak dibatasi.
Pengecekan akhir
1. Aktifkan webproxynya
[gungun@smanelaeuy] > ip web-proxy [enter]
[gungun@smanelaeuy] ip web-proxy> set enabled=yes max-ram-cache-size=none
max-cache-size=1GB transparent-proxy=yes [enter]
* sesuaikan dengan Hardware Anda!
Dan berikut ini adalah IP Address yang digunakan. Subnet 192.168.0.0/24 adalah
subnet gateway untuk mesin ini.
[admin@instaler] > ip ad pr
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.217/24 192.168.0.0 192.168.0.255 public
1 172.21.1.1/24 172.21.1.0 172.21.1.255 lan
Berikut ini adalah langkah terpenting dalam proses ini, yaitu pembuatan MANGLE. Kita
akan membutuhkan 2 buah PACKET-MARK. Satu untuk paket data upstream, yang
pada contoh ini kita sebut test-up. Dan satu lagi untuk paket data downstream, yang
pada contoh ini kita sebut test-down.
Untuk paket data upstream, proses pembuatan manglenya cukup sederhana. Kita bisa
langsung melakukannya dengan 1 buah rule, cukup dengan menggunakan parameter
SRC-ADDRESS dan IN-INTERFACE. Di sini kita menggunakan chain prerouting. Paket
data untuk upstream ini kita namai test-up.
Namun, untuk paket data downstream, kita membutuhkan beberapa buah rule. Karena
kita menggunakan translasi IP/masquerade, kita membutuhkan Connection Mark. Pada
contoh ini, kita namai test-conn.
Kemudian, kita harus membuat juga 2 buah rule. Rule yang pertama, untuk paket data
downstream non HTTP yang langsung dari internet (tidak melewati proxy). Kita
menggunakan chain forward, karena data mengalir melalui router.
Rule yang kedua, untuk paket data yang berasal dari WEB-PROXY. Kita menggunakan
chain output, karena arus data berasal dari aplikasi internal di dalam router ke mesin di
luar router.
Paket data untuk downstream pada kedua rule ini kita namai test-down.
Jangan lupa, parameter passthrough hanya diaktifkan untuk connection mark saja.
[admin@instaler] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; UP TRAFFIC
chain=prerouting in-interface=lan
src-address=172.21.1.0/24 action=mark-packet
new-packet-mark=test-up passthrough=no
1 ;;; CONN-MARK
chain=forward src-address=172.21.1.0/24
action=mark-connection
new-connection-mark=test-conn passthrough=yes
Untuk tahap terakhir, tinggal mengkonfigurasi queue. Di sini kita menggunakan queue
tree. Satu buah rule untuk data dowstream, dan satu lagi untuk upstream. Yang penting
di sini, adalah pemilihan parent. Untuk downstream, kita menggunakan parent lan,
sesuai dengan interface yang mengarah ke jaringan lokal, dan untuk upstream, kita
menggunakan parent global-in.
[admin@instaler] > queue tree pr
Flags: X - disabled, I - invalid
0 name=”downstream” parent=lan packet-mark=test-down
limit-at=32000 queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s
1 name=”upstream” parent=global-in
packet-mark=test-up limit-at=32000
queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s
/ ip firewall filter
chain=forward protocol=tcp dst-port=25 src-address-list=spammer
action=drop
/ip firewall nat chain=srcnat out-interface=”your interface which provides internet” src-
address=”network 1? action=masquerade
you need to add chains for each subnet you have ,for the head office subnet you need
to add this
/ ip firewall mangle
add chain=prerouting dst-address=202.168.47.17 protocol=udp dst-port=5060-5080 \
action=mark-connection new-connection-mark=voip-con passthrough=yes \
comment=”” disabled=no
add chain=prerouting dst-address=202.168.47.17 protocol=udp \
dst-port=19000-20000 action=mark-connection new-connection-mark=voip-con \
passthrough=yes comment=”” disabled=no
add chain=prerouting connection-mark=voip-con action=mark-packet \
new-packet-mark=voip passthrough=no comment=”” disabled=no
add chain=prerouting protocol=tcp dst-port=22-23 action=mark-connection \
new-connection-mark=sshtelnet-con passthrough=yes comment=”” disabled=no
add chain=prerouting connection-mark=sshtelnet-con action=mark-packet \
new-packet-mark=sshtelnet passthrough=no comment=”” disabled=no
add chain=prerouting p2p=all-p2p action=mark-connection \
new-connection-mark=p2p-con passthrough=yes comment=”” disabled=no
add chain=prerouting connection-mark=p2p-con action=mark-packet \
new-packet-mark=p2p passthrough=no comment=”” disabled=no
add chain=prerouting action=mark-connection new-connection-mark=everything-con \
passthrough=yes comment=”” disabled=no
add chain=prerouting connection-mark=everything-con action=mark-packet \
new-packet-mark=everything passthrough=yes comment=”” disabled=no
Langkah pertama
sebelum langkah kedua kita jalankan alangkah baiknya langkah pertama kita lakuin
dulu, khan gak mungkin langkah ketiga dulu baru ke dua :D. untuk modem ADSL yang
saya gunakan JK Network, dan mikrotiknya saya gunakan versi 2.9.xx (belakangnya
diumpetin).
diasumsikan client dapat berkomunikasi dengan radio tanpa halangan atau settingan IP
address dan Nat nya sudah jalan..!
pertama - tama kita fungsikan modem sebagai bridge bukan sebagai router sebab
fungsi router akan di handle oleh mikrotik. pilih menu WAN kemudian klik tombol add
reboot modem maka modem saat ini sudah berfungsi sebagai bridge.
Langkah kedua
Langkah yang kedua baru kita konfigurasi / setting mikrotiknya sebagai modemnya .
setelah itu pilih tab Dial Out isikan username yang diberikan telkom beseta
passwordnya, biarkan field yang lainnya bernilai default
lalu tahap akhir klik tombol OK maka secara otomatis mikrotik akan DIAL ke telkom.
– END SETTING —-
keunggulannya menggunakan mikrotik sebagai modem ketimbang modem ADSL biasa
:
• Proses dial nya lebih cepat dibandingkan dengan menggunakan modem adsl
biasa, biasanya mikrotik mendapatkan status connected dalam waktu kurang
dari 15 detik, jika modem biasanya membutuhkan waktu relatif lama sekitar 2 - 4
menit.
• Modem akan lebih stabil karena yang bertindak sebagai modem adalah PC yang
mempunyai resource cukup tinggi dan kemampuan yang handal untuk bekerja
24 jam sehari.
• Administrator dapat meremote mikrotiknya dan mengkonfigurasi firewal, simple
queque, load balancing, dll dari jaringan external tanpa harus melakukan port
forwarding.
• Modem akan lebih awet karena tidak bekerja terlalu berat, ditandainya tidak
terlalu panas nya modem ketika jaringan internet dalam keadaan UP.
Caranya : kita ubah terlebih dahulu IP modem pada Advance Setup > LAN IP Address
contoh 192.168.100.1 lakukan save/reboot. Kemudian lakukan pengubahan selanjutnya
di IP client PC ke 192.168.100.2 selesai. Silahkan anda coba ketik di web browser anda
IP modem (192.168.100.1). Berhasil?
Tentukan IP Address masing-masing LAN card anda, misal LAN connector dari modem
202.202.202.202 (public), dan 192.168.100.1 ke jaringan lokal anda (lokal). Lakukan
perintah ini terlebih dahulu jika anda ingin menspesifikasikan nama ethernet card anda.
Pastikan kembali dalam menentukan nama dan alur kabel tersebut, kemudian kita lanjut
ke setting IP Address.
Pastikan LAN card anda tidak dalam posisi disabled. Selanjutnya anda bisa
memasukkan entry PPPoE Client.
IP gateway diatas belum tentu sama, lihat terlebih dahulu ip PPPoE client anda. Jika
anda belum yakin 100% ip client anda dan gateway nya, lakukan login dan dialing
melalui modem anda terlebih dahulu bukan pada mode bridging seperti diatas. Pada
menu Device Info akan tampil informasi Default Gateway dan IP client pppoe anda. Ok?
Selesai.. tahap routing sudah terlaksanakan. Coba lakukan ping ke mikrotik dan
gateway nya. Jika anda ingin sharing ke komputer client jangan lupa masukkan ip
gateway pada settingan Network Connection (windows) sesuai dengan IP lokal pada
mikrotik anda.
Banyak sekali settingan mikrotik yang dapat anda pelajari dari berbagai sumber. Jika
terkesan terlalu rumit dengan sistem pengetikan anda bisa melakukannya dengan
winbox mode, setiap tutorial yang anda butuhkan pun dapat anda copy dan paste ke
winbox nya mikrotik.
Input DNS dan web-proxy pun terasa lebih mudah di winbox mode, masukkan primary,
secondary dan allow remote request nya, atau dengan perintah di terminal winbox.
Untuk LAN, kita pake kelas C, dengan network 192.168.0.0/24. Untuk Mikrotik
RouterOS, kita perlu dua ethernet card. Satu (ether1 – 192.168.1.2/24) untuk
sambungan ke Modem ADSL dan satu lagi (ether2 – 192.168.0.1/24) untuk sambungan
ke LAN. Untuk Modem ADSL, IP kita set 192.168.1.1/24.
Sebelum mengetikkan apapun, pastikan Anda telah berada pada root menu dengan
mengetikkan “/”
ip address print
ping 192.168.1.1
ping 192.168.0.10
Menambahkan Routing
Setting DNS
Karena koneksi ini menggunakan Speedy dari Telkom, maka DNS yg aq pake ya punya
Telkom. Silahkan sesuaikan dengan DNS provider Anda.
ping yahoo.com
Sekarang coba lakukan ping ke yahoo.com dari komputer yang ada di LAN
ping yahoo.com
Karena alasan supaya praktis, temenku pengin pake DHCP Server. Biar klo tiap ada
klien yang konek, dia ga perlu setting IP secara manual. Tinggal obtain aja dari DHCP
Server, beres dah. Untungnya Mikrotik ini juga ada fitur DHCP Servernya. Jadi ya ga
ada masalah..
Sekarang coba lakukan testing dari komputer klien, untuk me-request IP Address dari
Server DHCP. Jika sukses, maka sekali lagi, settingannya udah bener
Bandwidth Control
Agar semua komputer klien pada LAN tidak saling berebut bandwidth, maka perlu
dilakukan yg namanya bandwidth management atau bandwidth control
Model yg saya gunakan adalah queue trees. Untuk lebih jelas apa itu, silahkan merujuk
ke situsnya Mikrotik
Koneksi Speedy kan katanya speednya sampe 384/64 Kbps (Download/Upload), nah
kondisi itu sangat jarang tercapai. Jadi kita harus cari estimasi rata²nya. Maka saya
ambil minimalnya untuk download bisa dapet sekitar 300 Kbps dan untuk upload aq
alokasikan 50 Kbps. Sedangkan untuk yg maksimumnya, untuk download kira² 380
Kbps dan upload 60 Kbps.
Lalu, jumlah komputer klien yang ada saat ini adalah 10 buah. Jadi harus disiapkan
bandwidth itu untuk dibagikan kepada 10 klien tersebut.
Sekarang coba lakukan test download dari beberapa klien, mestinya sekarang tiap2
klien akan berbagi bandwidthnya. Jika jumlah klien yg online tidak sampai 10, maka
sisa bandwidth yang nganggur itu akan dibagikan kepada klien yg online.
Graphing
Mikrotik ini juga dilengkapi dengan fungsi monitoring traffic layaknya MRTG biasa. Jadi
kita bisa melihat berapa banyak paket yg dilewatkan pada PC Mikrotik kita.
Berikutnya yang akan kita monitor adalah paket² yg lewat semua interface yg ada di PC
Mikrotik kita, klo di komputerku ada ether1 dan ether2.
http://192.168.0.1/graphs/
Nanti akan ada pilihan interface apa aja yg ada di router Anda. Coba klik salah satu,
maka Anda akan bisa melihat grafik dari paket2 yg lewat pada interface tersebut.
Dari tutorial diatas saya cuma sampai mengambil langkah pada setting penambahan
NAT ( masquerade ) saja. Karena menurut saya DHCP yang sifatnya berubah ubah jadi
nanti saat mau limit BW nya terkadang ip tidak sama. CMIIW. dan untuk setting limit
saya melakukannya pada remote winbox yang lebih mudah, nah pertanyaan untuk saya
sendiri. Kapan graph tool nya kamu install nak ? hehehhee… ok semoga berguna
semuanya.
Lanjut ah, sharing cara membatasi inetan dikantor....lagi-lagi dengan mikrotik. Kantor
saya gak terlalu gede sih, denga jumlah PC dalam jaringan LAN ada sekitar 65 buah.
Saya memakai ip range 192.168.0.1/24, dengan gateway saya taruh di 192.168.0.1 ya
itu mikrotik sebagai gatewayya. Dari range IP tersebut ternyata sama boss tidak
diijinkan semuanya dapat mengakses inet....hehe...hehe...dan agak parahnya IP yang
boleh inetan itu acak alias tidak berurutan, sebagai tambahan saya memakai DHCP
untuk pengaturan IP (biar gak pusing nyatetin IP klo ada perubahan cpu atau ada
tambahan cpu). Kayaknya cukup untuk alasan pembatasan inetnya, kita lanjut ke
settingnya...
Oh....ya semua setting dilakukan menggunakan winbox.exe soalnya bisa-nya itu je...
Mungkin anda pernah mengalami, ada client nakal yang coba-coba memakai ip
komputer admin untuk mendapatkan akses inet tanpa batas........wuih
suuuuuebelnya....bukan apa-apa sich, tapi yang kena marah oleh atasan tentu yang
mengatur akses inetnya (baca: saya).
4.
5. Isikan nama sesuai keinginan anda asal mudah diingat, kemudian IP client.
Prosedur ini dilakukan untuk semua client dengan nama address-list yang sama.
Jika semua client sudah dimasukan ke dalam address-list selanjutnya menuju
tab: NAT
6.
7. Gambar diatas adalah merubah rule/script dari nat-masquerade yang sudah ada,
dimana biasanya di bagian general untuk src-address diisikan range ip client.
Untuk kali ini dirubah, sehingga hanya client yang ada di address-list saja yang
akan dimasquerade.
8. Langkah selanjutnya adalah merekam mac-address dari client kita, untuk itu kita
menggunakan tools ip-scan. menuju menu tools dan pilih ip-scan
9.
10. Interface dipilih interface yang ada dimikrotik yang mengarah ke LAN, untuk
address range silahkan disesuaikan dengan ip-range client anda. Setelah itu
silahkan klik start, dan tunggu beberapa saat. Setelah semua ip berhasil
ditampilkan, biarkan tool ip-scan (tidak usah di close), kemudian menuju menu
IP-->ARP
11.
12. Maka didalam ARP list akan muncul ip dan mac-address dari client. Selanjutnya
adalah membuat agar arp-list menjadi static dengan cara meng-klik kanan setiap
pasangan ip dan mac-address tersebut dan pilih option make statik. Ini dilakukan
untuk semua ip yang muncul. Setelah semua menjadi statik selanjutnya menuju
menu INTERFACES
13.
14. Pilih interface yang menuju klien, klik kiri dua kali sehingga muncul gambar
seperti diatas. Kemudian pada option ARP dipilih reply-only
15. Selesai
Pengantar..
Sebenernya agak males untuk menulis masalah setting VPN ini, dikarenakan banyak
yang sudah mengulasnya secara mendalam. Kemudian atas permintaan seorang
teman dan adanya ketersediaan waktu akhirnya saya tulis juga. Namun VPN yang akan
saya setting hanya menggunakan satu jenis yaitu PPtP (Point to Point tuneling protocol)
Asumsi..
Action...
7. Untuk nama silahkan cari yang unik, kemudian local address diisikan dengan ip
mikrotik yang mengarah ke LAN dan DNS server diberi ip yang sama (dengan
catatan pada setting DNS di mikrotik pada option allow remote request di ceklist)
lalu klik OK
8. Selanjutnya kita pindah ke tab secrets masih pada modul PPP, kemudian diklik
tanda plus-nya
9.
10. Pada bagian ini untuk memberikan akses/username untuk menggunakan atau
login ke VPN kita, silahkan berikan username dan password yang unik. Untuk
service silahkan klik pptp dan profile diisi dengan profile yang sudah dibuat
tadi..lalu diklik OK
11. Setelah bagian ini selesai kemudian kita masuk ke TAB interface dan klik pada
bagian PPTP Server
12.
13. Silahkan diikuti semua option diatas kemudian klik OK, maka telah selesai
setting VPN kita
1.
2.
3.
4.
5.
6.
7.
8.
Selesai....
Selamat mencoba
Pengantar...
Kenapa yang digunakan adalah Linksys AG241 tidak yang lain? jawabnya simpel,
dikantor saya pakenya ini. Kenapa harus ada mikrotik juga, pake linksys AG 241 juga
sudah cukup klo cuma mau share internet? jawabnya simpel juga, karena pengaturan
yang "agak" ruwet untuk kebutuhan share internet dikantor dan hal ini tidak dapat
dipenuhi oleh sebuah linksys AG241.
Untuk kali ini linksys AG241 difungsikan sebagai bridge, sedangkan dial dilakukan oleh
mikrotik. Beberapa hal yang menguntungkan jika dial dengan mikrotik :
1. Kita dapat memanage mikrotiknya secara langsung. Jika yang dial modem maka
kita harus mengeset modem agar memforward ip dari speedy ke ip mikrotik.
2. Kerja modem tidak terlalu berat sehingga akan berdampak pada penurunan suhu
modem (pernah mengalami modem panas ??) dan secara tidak langsung akan
berdampak pada umur pemakaian dari modem itu sendiri.
3. konfigurasi filter yang lebih banyak jika menggunakan mikrotik
Kebutuhan....
Asumsi..
Topologi jaringan :
|Inet|----|Modem|----|Mikrotik|----|switch|----|Client|
action..
modem AG241.
6.
7.
8. Setting gambar diatas untuk daerah jakarta tepatnya daerah bekasi, untuk
daerah lainnya tinggal menyesuaikan VPI dan VCI saja
Mikrotik
4. Pada tab general ini yang diisi hanya bagian interface, dipilih WAN
5. pindah ke tab dial out
6. Pada tab dial out, yang diisi hanyalah username dan password saja. isikan
username dan password dari account speedy anda.
7. Dial on demand, jika anda menginginkan mikrotik untuk dial ke speedy jika ada
permintaan dari client untuk akses ke internet (cocok untuk account non
unlimited) silahkan untuk diceklist. jika menginginkan agar mikrotik selalul
terhubung dengan internet silahkan jangan diceklist bagian ini.
8. add default route, pada mikrotik akan ditambahkan default route yang telah
disetting oleh speedy
9. Untuk Use peer DNS saya tidak begitu mengetahui jadi biarkan tidak diceklist
10. untuk bagian allow silahkan di checklist semuanya lalu klik OK
11. Klik menu IP-->firewall pilih tab NAT
Pengantar...
Bagi anda sekalian pengguna ISP Tel**m aka Speeda, yang berlangganan paket opis
atau paket lainnya yang diberikan IP dinamis dan menggunakan Mikrotik sebagai
routernya ( jadi modem ADSL diconfigure sebagai "Bridge Mode only" dan dial
dilakukan oleh mikrotik) dan berhasrat untuk meremote mikrotiknya dari jaringan
internet, tentunya akan kesulitan. Dikarenakan IP yang berubah jika modem/mikrotiknya
direstart.
Dengan bantuan sebuah website (disini websitenya) kita dapat meremote mikrotik kita
tanpa perlu memikirkan berapa ip account speda kita.....
Action...
Sebelum action dilakukan diasumsikan bahwa tidak ada masalah dalam hal koneksi
internetnya dimana yang dial adalah mikrotik..
Selanjutnya silahkan buat account di website tadi, buat sebuah subdomain yang
ditawarkan diwebsite tersebut dan aktifkan service dns-nya.
Untuk mengetesnya silahkan ping subdomain yang baru anda buat tadi...klo berhasil
akan ada reply dari ip account speda anda
Setelah account dibuat (berarti anda telah memiliki username dan password untuk
website tersebut) kita beralih ke mikrotik....
Mikrotik...
Login ke Mikrotik anda melalui winbox...
Masuk kemenu /System/Scripts...
Klik add....dan masukan script ini :
Untuk mikrotik v2.9.xx
:log info "DDNS: Begin"
:global ddns-user "YOURUSERID"
:global ddns-pass "YOURPASSWORD"
:global ddns-host "*1"
:global ddns-interface "EXACTINTERFACENAME"
:global ddns-ip [ /ip address get [/ip address find interface=$ddns-interface] address ]
:log info ("DDNS: No ip address present on " . $ddns-interface . ", please check.")
} else={
} else={
:global ddnsinterface
:global ddnssystem ("mt-" . [/system package get system version] )
} else={
:log info "DDNS: No update required."
}
# End of script
Kemudian beri nama script sesuai dengan keinginan anda, lalu klik OK
Setelah script dibuat selanjutnya kita membuat scheduller, agar secara periodik mikrotik kita mengupdate
subdomain yang dibuat di website "tersebut".
Masih di winbox, masuk ke menu /system/scheduler :
Klik add...
beri nama schedulernya....
atur tanggal dimulainya scheduler....
atur jamnya....
atur periodenya...mau setiap menit..setiap jam atau setiap hari....
Pada bagian On Event, tuliskan nama script yang anda buat tadi.
Selesai,
selamat mencoba.
Menggabungkan Smoothwall dgn Mikrotik
Pengantar
Tidak bisa dipungkiri jika keberadaan webproxy (jika diconfigure dengan baik, dan ini
bagi beberapa orang merupakan keasikan tersendiri atau juga merupakan beban
tersendiri dikarenakan banyaknya parameter yang terdapat didalam squid webproxy
yang dapat diconfigure. Perbedaan configure ini akan memberikan efek yang berbeda
pula.)
Untuk rekan-rekan yang tidak ingin ambil pusing dengan configure-configure tersebut,
kecuali anda ingin "bermain-main" dengan parameter yang ada disquid, anda dapat
menggunakan smoothwall atau ipcop. Memang Smoothwall atau IPCOP sesungguhnya
merupakan operating sistem berbasis linux yang dikhususkan sebagai Gateway
internet. Gateway ini menjembatani antara LAN dengan Internet. Namun kali ini saya
akan menggabungkan kemampuan dari Mikrotik dengan kemampuan webproxy dari
smoothwall. Smoothwall yang saya gunakan merupakan versi freeware atau versi
community.
Satu hal kenapa saya lebih memilih Smoothwall dibandingkan IPCOP adalah
Dikarenakan hardware ditempat saya rata-rata sudah pakai P4, maka kernel 2.6
menjadi pilihan saya. Hal ini hanya dipenuhi oleh smoothwall sedangkan IPCOP masih
berkutat pada kernel 2.4.
Mikrotik digunakan sebagai gateway dan bandwidth management dikarenakan dihal
tersebut mikrotik mempunyai nilai lebihnya.
Skema Jaringan
| Inet Cloud |-------| Modem |-----| Mikrotik |------| Switch |-------| LAN |
-----------------------------------------|
-----------------------------------------|
-----------------------------------------|
-----------------------------------| Smoothwall |
Asumsi
Peralatan Tempur
Action
Tekan OK, lalu tekan enter dua kali sehingga akan muncul...
Jika anda sebelumnya pernah menginstall smoothwall dan menyimpan backup config-
nya kedalam floopydisk, maka ketika tampilan dibawah ini muncul masukan floopy disk
backup dan tekan yes.
Jika untuk pertama kali menginstall smoothwall maka cukup tekan tombol No.
kemudian pilih keyboard mapping dan isikan nama dari smoothwall anda (hostname).
Tahap selanjutnya adalah memilih "security policy" dikarenakan smoothwall kita
nantinya berada didalam "zona aman" mikrotik maka kita biarkan security policy berada
di open
kemudian masuk ke pemilihan topologi smoothwall
klik OK, lakukan probe untuk mendeteksi secara otomatis kartu jaringan anda
Kemudian ....
Isikan DNS dan default gatewaynya, untuk default gateway isikan ip mikrotik yang
mengarah ke smoothwall (dalam kasus saya adalah 192.168.10.1). Untuk DNS bisa
memakai IP mikrotik dengan catatan option "allow remote request"-nya di
checklist/dipilih atau bisa memakai DNS yang diberikan oleh ISP.
Untuk selanjutnya akan muncul screen...
Dikarenakan akan menggunakan addons advproxy dkk, maka untuk section ini
langsung saja klik finished.
Isikan password yang anda inginkan untuk mengakses smoothwall melalui web browser
(user: admin)
Isikan password yang anda inginkan untuk mengakses smoothwall melalui terminal
(user: root).
Configuring Smoothwall.....
Untuk selanjutnya kita dapat mengconfigure smoothwall melalui web browser, dengan
mengetik
ip_smoothwall:81 di browser, sehingga akan muncul dibrowser anda seperti ini.
Jika koneksi keinternet anda tidak bermasalah maka akan terdapat updates-updates
yang berasal dari websitenya smoothwall. Yang perlu diingat adalah setiap kali
melakukan updates maka Mods-mods atau addons yang telah kita pasang wajib di
uninstall dan install lagi, jika tidak dilakukan maka addons tidak dapat berjalan
sebagaimana mestinya. Setelah semua updates didonlot kemudian diinstall dan
kemudian smoothwall akan meminta reboot..
untuk mengetahui apakah updates-updates tadi telah terinstall dapat dilihat di tab yang
sama, maka akan muncul selain updates terbaru dari website smootwall (jika ada yang
baru dan kita belum menginstallnya..) juga updates-updates yang telah terinstall oleh
kita.
Installing Addons...
untuk menginstall addons (setelah kita donlot semua addons yang diperlukan) kita
memerlukan peralatan tempur putty untuk menjalankan terminal smoothwall secara
remote dari komputer lainnya dan juga winscp untuk memindahkan file-file addons dari
komputer remote ke komputer smoothwall.
Install advproxy
Gunakan winscp untuk memindahkan file advproxy ke smoothwall (biasanya ditaruh
difolder /tmp).
login melalui ssh dengan user root, untuk windows bisa menggunakan putty dengan
port ssh 222
uncompress advproxy
tar –xzf swe3-nn-advproxy-version.tar.gz
masuk ke direktory hasil uncompress tadi dan jalankan:
./install
setelah selesai install, melalui browser masuk ke smoothwall dan di tab service sudah
web-proxy.
untuk option yang diceklist silahkan melihat gambar diatas, untuk proxyport bisa
memakai 8080 atau 3128 (port standar untuk webproxy, walaupun memakai yang
lainnya juga gpp. Akan tetapi demi kelancaran dan keamanan lebih baik memakai satu
diantara dua port tadi)
memory cache size (MB) = 8
Minimal object size (KB) = 0
Hardisk cache size (MB) = 10000 ( hardisk yang saya pake 80 GB SATA)
Maximum object size (KB) = 128000
memory replacement policy = heap GDSF
cache replacement policy = heap LFUDA
untuk option yang lain dibiarkan standard bawaan smoothwall aja
buat file di /var/smoothwall/proxy/store_url_rewrite.pl
dan isikan dengan :
#!/usr/bin/perl
$|=1;
while (<>) {
@X = split;
$url = $X[0];
$url
=~s@^http://(.*?)/get_video\?(.*)video_id=(.*?)&.*@squid://videos.youtube.INTERNAL/I
D=$3@;
$url
=~s@^http://(.*?)/get_video\?(.*)video_id=(.*?)$@squid://videos.youtube.INTERNAL/ID
=$3@;
$url
=~s@^http://(.*?)/videodownload\?(.*)docid=(.*?)$@squid://videos.google.INTERNAL/I
D=$3@;
$url
=~s@^http://(.*?)/videodownload\?(.*)docid=(.*?)&.*@squid://videos.google.INTERNAL/
ID=$3@;
$url =~s@^http://(.*?)/albums\?&.*@squid://images.photobucket.INTERNAL/ID=$3@;
#print "$url\n"; }
$url =~s@^http://(.*?)/albums\?$@squid://images.photobucket.INTERNAL/ID=$3@;
$url =~s@^http://(.*?)/albums\?&.*@squid://videos.photobucket.INTERNAL/ID=$3@;
$url =~s@^http://(.*?)/albums\?$@squid://videos.photobucket.INTERNAL/ID=$3@;
print "$url\n"; }
ubah kepemilikan file ke 755
# The keyword for all youtube video files are "get_video?", "videodownload?" and
"videoplaybeck?id"
# The "\.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)\?" is only for pictures and other videos
#acl store_rewrite_list urlpath_regex \/(get_video\?|videodownload\?|videoplayback\?id)
\.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)\? \/ads\?
#acl store_rewrite_list_web url_regex ^http:\/\/([A-Za-z-]+[0-9]+)*\.[A-Za-z]*\.[A-Za-z]*
#acl store_rewrite_list_path urlpath_regex \.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)$
#acl store_rewrite_list_web_CDN url_regex ^http:\/\/[a-z]+[0-9]\.google\.com
doubleclick\.net
#opsi yg lain
quick_abort_min 0
quick_abort_max 0
quick_abort_pct 100
ie_refresh off
client_lifetime 2 hours
#ipcache_size 4096
#ipcache_low 90
#ipcache_high 95
maximum_object_size_in_memory 64 KB
dari browser masuk ke tab web proxy lalu klik save and restart
Install Urlfilter
Dengan cara yang sama, pindahkan file urlfilter hasil donlot ke folder /tmp dengan
menggunakan winscp, lalu uncompress
login melalui ssh dengan user root, untuk windows bisa menggunakan putty dengan
port ssh 222
uncompress urlfilter
tar -xzf sw3-nn-urlfilter-version.tar.gz
masuk kedirektory hasil uncompress dan jalankan
./install
setelah selesai install, melalui browser masuk ke smoothwall dan di tab service
dibagian service sudah terdapat option url filter.
Untuk update blacklist-nya bisa disini
setelah semua option yang diinginkan untuk difilter kemudian di save.
untuk menggabungkan dengan advproxy (dibagian paling bawah tab web-proxy
terdapat option url filter) silahkan diceklist dan klik save and restart web-proxy nya.
sedikit tuning......
edit file /etc/rc.d/rc.firewall.up dengan...
# set network tweaks
echo 49152 > /proc/sys/fs/file-max
echo 262144 > /proc/sys/net/core/rmem_default
echo 262144 > /proc/sys/net/core/rmem_max
echo 262144 > /proc/sys/net/core/wmem_default
echo 262144 > /proc/sys/net/core/wmem_max
echo 4096 87380 8388608 > /proc/sys/net/ipv4/tcp_rmem
echo 4096 65536 8388608 > /proc/sys/net/ipv4/tcp_wmem
echo 4096 4096 4096 > /proc/sys/net/ipv4/tcp_mem
echo 1 > /proc/sys/net/ipv4/tcp_low_latency
echo 4000 > /proc/sys/net/core/netdev_max_backlog
echo 1024 65000 > /proc/sys/net/ipv4/ip_local_port_range
echo 16384 > /proc/sys/net/ipv4/tcp_max_syn_backlog
lalu reboot smoothwall-nya..
Untuk mengetest silahkan di browser client di isikan proxy secara manual dan dicoba
untuk browsing..
Transparent proxy....
• data recovery
• Dating
• Laura Ashley
• HP Compaq RAM Memory Upgrade
• Psychic
1. Unicast
Protokol dalam trafik internet yang terbanyak adalah TCP, sebuah komunikasi antar
host di internet (praktiknya adalah client-server, misal browser anda adalah client maka
google adalah server). Trafik ini bersifat dua arah, client melakukan inisiasi koneksi dan
server akan membalas inisiasi koneksi tersebut, dan terjadilah TCP session (SYN dan
ACK).
2. Destination-address
Dalam jaringan IP kita mengenal router, sebuah persimpangan antara network address
dengan network address yang lainnya. Makin menjauh dari pengguna persimpangan itu
sangat banyak, router-lah yang mengatur semua trafik tersebut. Jika dianalogikan
dengan persimpangan di jalan, maka rambu penunjuk jalan adalah routing table.
Penunjuk jalan atau routing table mengabaikan “anda datang dari mana”, cukup dengan
“anda mau ke mana” dan anda akan diarahkan ke jalan tepat. Karena konsep inilah
saat kita memasang table routing cukup dengan dua parameter, yaitu network address
dan gateway saja.
3. Source-address
Source-address adalah alamat IP kita saat melakukan koneksi, saat paket menuju ke
internet paket akan melewati router-router ISP, upstream provider, backbone internet
dst hingga sampai ke tujuan (SYN). Selanjutnya server akan membalas koneksi (ACK)
sebaliknya hingga kembali ke komputer kita. Saat server membalas koneksi namun ada
gangguan saat menuju network kita (atau ISPnya) maka komputer kita sama sekali
tidak akan mendeteksi adanya koneksi. Seolah-olah putus total, walaupun
kemungkinan besar putusnya koneksi hanya satu arah.
4. Default gateway
Saat sebuah router mempunyai beberapa interface (seperti persimpangan, ada
simpang tiga, simpang empat dan simpang lima) maka tabel routing otomatis akan
bertambah, namun default router atau default gateway hanya bisa satu. Fungsinya
adalah mengarahkan paket ke network address yang tidak ada dalam tabel routing
(network address 0.0.0.0/0).
5. Dua koneksi
Permasalahan umumnya muncul di sini, saat sebuah router mempunyai dua koneksi ke
internet (sama atau berbeda ISP-nya). Default gateway di router tetap hanya bisa satu,
ditambah pun yang bekerja tetap hanya satu. Jadi misal router NAT anda terhubung ke
ISP A melalui interface A dan gateway A dan ke ISP B melalui interface B dan gateway
B, dan default gateway ke ISP A, maka trafik downlink hanya akan datang dari ISP A
saja. Begitu juga sebaliknya jika dipasang default gateway ke ISP B.
Pada router NAT (atau router pada umumnya), source-address secara default tidak
dibaca, tidak dipertimbangkan. Jadi pada kasus di atas karena default gateway ke ISP A
maka NAT akan meneruskan paket sebagai paket yang pergi dari IP address interface A
(yang otomatis akan mendapat downlink dari ISP A ke interface A dan diteruskan ke
jaringan dalam).
Dalam jaringan yang lebih besar (bukan NAT), source-address yang melewati network
lain disebut sebagai transit (di-handle dengan protokol BGP oleh ISP). Contoh praktis
misalnya anda membeli bandwidth yang turun dari satelit melalui DVB, namun koneksi
uplink menggunakan jalur terestrial (dial-up, leased-line atau fixed-wireless). Dalam
kasus ini paket inisiasi koneksi harus menjadi source-address network downlink DVB,
agar bandwidth downlink dari internet mengarah DVB receiver, bukan ke jalur terestrial.
Di lingkungan Linux, pengaturan source-address bisa dilakukan oleh iproute2. Iproute2
akan bekerja sebelum diteruskan ke table routing. Misal kita mengatur dua segmen
LAN internal agar satu segmen menjadi source-address A dan satu segmen lainnya
menjadi source-address B, agar kedua koneksi ke ISP terutilisasi bersamaan.
Penerapan utilisasi dua koneksi tersebut bisa mengambil tiga konsep, yaitu round-robin,
loadbalance atau failover.
6. Round-robin
Misalkan anda mempunyai tiga koneksi internet di satu router NAT, koneksi pertama di
sebut Batman, koneksi kedua disebut Baskin dan koneksi ketiga disebut Williams, maka
konsep round-robin adalah sang Robin akan selalu berpindah-pindah secara berurutan
mengambil source-address (bukan random). Misal ada satu TCP session dari komputer
di jaringan internal, maka koneksi TCP tersebut tetap di source-address pertama hingga
sesi TCP selesai (menjadi Batman & Robin). Saat TCP session Batman & Robin
tersebut belum selesai, ada ada request koneksi baru dari jaringan, maka sang Robin
akan mengambil source-address koneksi berikutnya, menjadi Baskin & Robin. Dan
seterusnya sang Robin akan me-round-round setiap koneksi tanpa memperhatikan
penuh atau tidaknya salah satu koneksi.
Pasti anda sedang pusing membaca kalimat di atas, atau sedang tertawa terbahak-
bahak.
7. Loadbalance
Konsep loadbalance mirip dengan konsep round-robin di atas, hanya saja sang Robin
dipaksa melihat utilisasi ketiga koneksi tersebut di atas. Misalkan koneksi Batman &
Robin serta Baskin & Robin sudah penuh, maka koneksi yang dipilih yang lebih kosong,
dan koneksi yang diambil menjadi Robin Williams. Request koneksi berikutnya kembali
sang Robin harus melihat dulu utilisasi koneksi yang ada, apakah ia harus menjadi
Batman & Robin, Baskin & Robin atau Robin Williams, agar semua utilisasi koneksi
seimbang, balance.
8. Failover
Konsep fail-over bisa disebut sebagai backup otomatis. Misalkan kapasitas link terbesar
adalah link Batman, dan link Baskin lebih kecil. Kedua koneksi tersebut terpasang
online, namun koneksi tetap di satu link Batman & Robin, sehingga pada saat link
Batman jatuh koneksi akan berpindah otomatis ke link Baskin, menjadi Baskin & Robin
hingga link Batman up kembali.
Tools NAT yang mempunyai ketiga fitur di atas adalah Packet Firewall (PF) di
lingkungan BSD, disebut dengan nat pool. Saya belum menemukan implementasi yang
bagus (dan cukup mudah) di Linux dengan iproute2.
Berikut contoh implementasi load balance dua koneksi sesuai judul di atas. Dijalankan
di mesin OpenBSD sebagai NAT router dengan dua koneksi DSL Telkom, interface
ethernet sk0 dan sk1.
1. Aktifkan forwarding di /etc/sysctl.conf
net.inet.ip.forwarding=1
2. Pastikan konfigurasi interface dan default routing kosong, hanya filename saja
# /etc/hosts.sk0
# /etc/hosts.sk1
# /etc/hostname.sk0
# /etc/hostname.sk1
# /etc/mygate
Script koneksi DSL Speedy, pppoe0 untuk koneksi pertama dan pppoe1 untuk koneksi
kedua. Sesuaikan interface, username dan passwordnya. Jangan lupa, gunakan indent
tab.
# /etc/ppp/ppp.conf
default:
set log Phase Chat LCP IPCP CCP tun command
set redial 15 0
set reconnect 15 10000
pppoe0:
set device "!/usr/sbin/pppoe -i sk0"
disable acfcomp protocomp
deny acfcomp
set mtu max 1492
set mru max 1492
set crtscts off
set speed sync
enable lqr
set lqrperiod 5
set cd 5
set dial
set login
set timeout 0
set authname [email protected]
set authkey asaljangandejek
add! default HISADDR
enable dns
enable mssfixup
pppoe1:
set device "!/usr/sbin/pppoe -i sk1"
disable acfcomp protocomp
deny acfcomp
set mtu max 1492
set mru max 1492
set crtscts off
set speed sync
enable lqr
set lqrperiod 5
set cd 5
set dial
set login
set timeout 0
set authname [email protected]
set authkey vikingboneksamasaja
add! default HISADDR
enable dns
enable mssfixup
3. Aktifkan interface sk0 dan sk1
# ifconfig sk0 up
# ifconfig sk1 up
5. Jika koneksi Speedy berhasil, IP address dari Speedy akan di-binding di interface
tunneling tun0 dan tun1
# ifconfig
tun0: flags=8051 mtu 1492
groups: tun egress
inet 125.xxx.xxx.113 --> 125.163.72.1 netmask 0xffffffff
tun1: flags=8051 mtu 1492
groups: tun
inet 125.xxx.xxx.114 --> 125.163.72.1 netmask 0xffffffff
# cat /etc/resolv.conf
lookup file bind
nameserver 202.134.2.5
nameserver 203.130.196.5
# /etc/rc.conf
pf=”YES”
9. Script Packet Firewall NAT dan balancing dengan round-robin (ganti round-robin
dengan loadbalance jika lebih sesuai dengan kebutuhan anda). Baris yang di-indent
masih termasuk baris di atasnya. Entah kenapa tag <pre> malah menghilangkan
karakter backslash (\).
# /etc/pf.conf
lan_net = "10.0.0.0/8"
int_if = "vr0"
ext_if1 = "tun0"
ext_if2 = "tun1"
ext_gw1 = "125.163.72.1"
ext_gw2 = "125.163.72.1"
# scrub all
scrub in all
# nat outgoing connections on each internet interface
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)
# pass all outgoing packets on internal interface
pass out on $int_if from any to $lan_net
# pass in quick any packets destined for the gateway itself
pass in quick on $int_if from $lan_net to $int_if
# load balance outgoing tcp traffic from internal network.
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto tcp from $lan_net to any flags S/SA modulate state
# load balance outgoing udp and icmp traffic from internal network
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from $lan_net to any keep state
# general "pass out" rules for external interfaces
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state
10. Aktifkan script yang diperlukan di /etc/rc.local agar setiap reboot langsung bekerja.
ifconfig sk0 up
ifconfig sk1 up
# aktifkan speedy
ppp -ddial pppoe0
ppp -ddial pppoe1
# pkill ppp
Jika tidak, maka ppp akan membuat tunneling baru menjadi tun2, tun3 dan seterusnya.
11. Untuk memantau fungsi nat pool round-robin di atas bekerja atau tidak, bisa
menggunakan tools pftop yang bisa diambil di
http://www.eee.metu.edu.tr/~canacar/pftop/
Untuk memisahkan traffic lokal dengan traffic internasional tersebut RT/RW-net dapat
dengan mudah menggunakan PC Router + Sistem Operasi Mikrotik, Mikrotik
sebenarnya adalah linux yang sudah di buat sedemikian rupa oleh pengembangnya
sehingga sangat mudah diinstall dan di konfigur dengan banyak sekali fitur dan fungsi.
Untuk lebih lanjut mengenai mikrotik dapat dilihat pada situs webnya
http://www.mikrotik.com atau http://www.mikrotik.co.id
Penjelasan:
1. Mikrotik Router dengan 2 Network Interface Card (NIC) Ether1 dan Ether3,
dimana Ether1 adalah Ethernet yang terhubung langsung ke ISP dan Ether3
adalah Ethernet yang terhubung langsung dengan jaringan 192.168.2.0/24
2. Bandwidth dari ISP misalnya 256Kbps internasional dan 1024Kbps lokal IIX
3. Komputer 192.168.2.4 akan diberi alokasi bandwidth 128Kbps internasional dan
256Kbps lokal IIX
Untuk memisahkan antara traffic lokal IIX dengan traffic internasional caranya adalah
dengan menandai paket data yang menuju atau berasal dari jaringan lokal IIX
menggunakan mangle. Pertanyaannya bagaimana caranya Mikrotik bisa mengetahui
paket tersebut menuju atau berasal dari jairngan lokal IIX?
karena http://lg.mohonmaaf.com sudah tidak aktif maka data dapat diambil dari:
http://203.89.24.3/cgi-bin/lg.cgi
Dari hasil query tersebut selanjutnya simpan sebagai text files untuk selanjutnya dapat
diolah dengan menggunakan spreadsheet contohnya Ms. Excel untuk mendapatkan
semua alamat Network yang diadvertise oleh router-router BGP ISP lokal Indonesia
pada BGP router IDC atau National Inter Connection Exchange (NICE).
Pada penjelasan versi-2 dokumen ini saya menggunakan teknik langsung memasukkan
daftar ip blok ke /ip firewall mangle, dengan teknik ini saya harus memasukkan dua kali
daftar ip yang didapat dari router NICE ke /ip firewall mangle.
Cara lain yang lebih baik adalah dengan memasukkan daftar ip blok dari router NICE ke
/ip firewall address-list dengan demikian maka pada /ip firewall mangle hanya terdapat
beberapa baris saja dan pemisahan traffic Indonesia dan overseas dapat lebih akurat
karena mangle dapat dilakukan berdasarkan address-list saja.
Selanjutnya buat script berikut untuk dapat diimport oleh router Mikrotik
/ ip firewall address-list
add list=nice address=58.65.240.0/23 comment="" disabled=no
add list=nice address=58.65.242.0/23 comment="" disabled=no
add list=nice address=58.65.244.0/23 comment="" disabled=no
add list=nice address=58.65.246.0/23 comment="" disabled=no
add list=nice address=58.145.174.0/24 comment="" disabled=no
add list=nice address=58.147.184.0/24 comment="" disabled=no
add list=nice address=58.147.185.0/24 comment="" disabled=no
dst…
http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
URL diatas secara online akan melakukan query ke router NICE dari
http://lg.mohonmaaf.com
CATATAN:
Karena lg.mohonmaaf.com tidak dapat diakses maka utk daftar ip local dapat di ambil
dari
http://ixp.mikrotik.co.id/download/nice.rsc
atau dari
http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
dari hasil URL diatas copy lalu paste ke mikrotik dengan menggunakan aplikasi
putty.exe ssh ke ipmikrotik tersebut, caranya setelah di copy teks hasil proses URL
diatas lalu klik kanan mouse pada jendela ssh putty yang sedang meremote mikrotik
tersebut. Cara ini agak kurang praktis tetapi karena jika script diatas dijadikan .rsc
ternyata akan bermasalah karena ada beberapa baris ip blok yang saling overlap
sebagai contoh:
dimana 222.124.64.0/21 adalah supernet dari 222.124.64.0/23 artinya diantara dua blok
ip tersebut saling overlap, sehingga pada saat proses import menggunakan file .rsc
akan selalu berhenti pada saat menemui situasi seperti ini.
Sampai saat ini saya belum menemukan cara yang praktis utk mengatasi hal tersebut
diatas. Kalau saja kita bisa membuat address-list dari table prefix BGP yang dijalankan
di mikrotik maka kita bisa mendapatkan address-list dengan lebih sempurna.
/ ip firewall mangle
add chain=forward src-address-list=nice action=mark-connection \
new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \
indonesia source connection traffic" disabled=no
add chain=forward dst-address-list=nice action=mark-connection \
new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \
indonesia destination connection traffic" disabled=no
add chain=forward src-address-list=!nice action=mark-connection \
new-connection-mark=mark-con-overseas passthrough=yes comment="mark all \
overseas source connection traffic" disabled=no
add chain=forward dst-address-list=!nice action=mark-connection \
new-connection-mark=mark-con-overseas passthrough=yes comment="mark all \
overseas destination connection traffic" disabled=no
add chain=prerouting connection-mark=mark-con-indonesia action=mark-packet \
new-packet-mark=indonesia passthrough=yes comment="mark all indonesia \
traffic" disabled=no
add chain=prerouting connection-mark=mark-con-overseas action=mark-packet \
new-packet-mark=overseas passthrough=yes comment="mark all overseas \
traffic" disabled=no
Langkah selanjutnya adalah mengatur bandwidth melalui queue simple, untuk mengatur
bandwidth internasional 128Kbps dan bandwidth lokal IIX 256Kbps pada komputer
dengan IP 192.168.2.4 dapat dilakukan dengan contoh script sbb:
/ queue simple
add name="harijant-indonesia" target-addresses=192.168.2.4/32 \
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia \
direction=both priority=8 queue=default/default limit-at=0/0 \
max-limit=256000/256000 total-queue=default disabled=no
add name="harijanto-overseas" target-addresses=192.168.2.4/32 \
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=overseas \
direction=both priority=8 queue=default/default limit-at=0/0 \
max-limit=128000/128000 total-queue=default disabled=no
Script diatas berarti hanya komputer dengan IP 192.168.2.4 saja yang di batasi
bandwidthnya 128Kbps internasional (overseas) dan 256Kbps lokal IIX (indonesia)
sedangkan yang lainnya tidak dibatasi.
Pada penjelasan versi-3 ini proses mangle terhadap traffic “overseas” dapat lebih
akurat karena menggunakan address-list dimana arti dari src-address=!nice adalah
source address “bukan nice” dan dst-address=!nice adalah destination address “bukan
nice”.
Sehingga demikian traffic “overseas” tidak akan salah identifikasi, sebelumnya pada
penjelasan versi-2 traffic “overseas” bisa salah indentifikasi karena traffic “overseas” di
definisikan sbb
Adapun teknik diatas telah di test pada router mikrotik yang menjalankan NAT , jika
router mikrotik tidak menjalankan NAT coba rubah chain=prerouting menjadi
chain=forward.
Untuk lebih lanjut mengenai pengaturan bandwidth pada Mikrotik dapat dilihat pada
manual mikrotik yang dapat didownload pada
http://www.mikrotik.com/docs/ros/2.9/RouterOS_Reference_Manual_v2.9.pdf
Script diatas dapat diimplementasikan pada Mikrotik Versi 2.9.27 , untuk versi mikrotik
sebelumnya kemungkinan ada perbedaan perintah.
modem1 ---
+--- eth0 mikrotik --- eth2 LAN
+--- eth1
modem2 ---
The typical situation where you got one router and want to connect to two ISPs:
Of course, you want to do load balancing! There are several ways how to do it.
Depending on the particular situation, you may find one best suited for you.
Policy Routing based on Client IP Address
If you have a number of hosts, you may group them by IP addresses. Then, depending
on the source IP address, send the traffic out through Gateway #1 or #2. This is not
really the best approach, giving you perfect load balancing, but it's easy to implement,
and gives you some control too.
All workstations have IP configuration with the IP address from the relevant group, they
all have network mask 255.255.255.0, and 192.168.100.254 is the default gateway for
them. We will talk about DNS servers later.
Now, when we have workstations divided into groups, we can refer to them using
subnet addressing:
We need to add two IP Firewall Mangle rules to mark the packets originated from Group
A or Group B workstations.
Next, we should specify two default routes (destination 0.0.0.0/0) with appropriate
routing marks and gateways:
This thing is not going to work, unless you do masquerading for your LAN! The simplest
way to do it is by adding one NAT rule for Src. Address 192.168.100.0/24 and Action
masquerade:
Test the setup by tracing the route to some IP address on the Internet!
C:\>tracert -d 8.8.8.8
Tracing route to 8.8.8.8 over a maximum of 30 hops
1 2 ms 2 ms 2 ms 192.168.100.254
2 10 ms 4 ms 3 ms 10.1.0.1
...
C:\>tracert -d 8.8.8.8
1 2 ms 2 ms 2 ms 192.168.100.254
2 10 ms 4 ms 3 ms 10.5.8.1
...
You can specify the DNS server for workstations quite freely, j
Articles
Load Balancing dan Fail Over [Group] pada Mikrotik
Pending
Written on Aug-19-08 3:08pm/19/2008 8:08 GMT - Not yet published to a wikizine
From: mellasaeblog.blogspot.com
Sebelum kita menuju pengkonfigurasian Load Balancing kita susun dulu blok2 IP yang akan
digroup
dan dibawah adalah tampilan ketika tombol add di klik, dan isikan Name dengan nama
group anda yang pertama, dan seterusnya.
Jika sudah menentuka blok IP berdasarkan group maka kita lanjut ke sesi berikutnya yaitu :
Konfigurasi Mangle
Tetap pada Window Firewall tapi pindah ke Tab Mangel yang seperti saya lingkari berwarna
merah tersebut, setelah itu klik tombol Add yang saya lingkari dengan warna biru.
Jika sudah pilih Tab Action maka akan muncul Window seperti di bawah ini :
Pilih action menjadi mark routing dan isikan New Routing Mark sesuai nama dari Group IP ,
seperti diatas kami memberi nama mrA.
CTT : untuk Mangle yang group B ulangi intruksi diatas lagi dengan nama yang berbeda
dan pilih group yang berbeda juga ^^
OK Sudah selesai ……
Masuk ke menu
isikan gatheway dengan IP modem pertama , yaitu 192.168.110.1 kemudian agar Fail Over
maka Chek Gateway pilih ping dan Mark pilih mrA untuk Group A, begitupun nanti untuk
menambahkan gatheway untuk group B dan ketika menekan tombol Apply, pastikan
interface benar tertuju ke WANatas yaitu modem Pertama, dan begitupun untuk group B.
Nah agar kedua gatheway ini berjalan lancar , maka perlu ditambahkan gatheway priority.
Caranya : sama seperti add gatheway seperti diatas, tetapi kita akan mengisikan lebih dari
satu gatheway pada satu list. Seperti gambar di bawah ini :
agar dapat menambahkan lebih dari satu gatheway, klik panah yang mengarah kebawah
yang sejajar dengan text box dari Gathway. Jika sudah Setelah tekan Tombol Apply
pastikan Interfacenya benar seperti urutan dari pengisian Gatheway.
Jika sudah tekan OK
Setelah kembali ke Route List periksa, jika salah satu List berwarna Biru, maka Link dari
modem tersebut sedang bermasalah atau tidak terkoneksi dengan Internet. Periksa kembali
jalur Internet dari jalur ke modem tersebut.
Ok
Semoga Berhasil
Untuk LAN, kita pake kelas C, dengan network 192.168.0.0/24. Untuk Mikrotik RouterOS, kita
perlu dua ethernet card. Satu (ether1 – 192.168.1.2/24) untuk sambungan ke Modem ADSL dan
satu lagi (ether2 – 192.168.0.1/24) untuk sambungan ke LAN. Untuk Modem ADSL, IP kita set
192.168.1.1/24.
Sebelum mengetikkan apapun, pastikan Anda telah berada pada root menu dengan mengetikkan
“/”
ip address print
Kemudian lakukan testing dengan mencoba nge-ping ke gateway atau ke komputer yg ada pada
LAN. Jika hasilnya sukses, maka konfigurasi IP Anda sudah benar
ping 192.168.1.1
ping 192.168.0.10
Menambahkan Routing
Setting DNS
Karena koneksi ini menggunakan Speedy dari Telkom, maka DNS yg aq pake ya punya Telkom.
Silahkan sesuaikan dengan DNS provider Anda.
ping yahoo.com
Agar semua komputer yg ada di LAN bisa terhubung ke internet juga, maka Anda perlu
menambahkan NAT (Masquerade) pada Mikrotik.
Sekarang coba lakukan ping ke yahoo.com dari komputer yang ada di LAN
ping yahoo.com
Karena alasan supaya praktis, temenku pengin pake DHCP Server. Biar klo tiap ada klien yang
konek, dia ga perlu setting IP secara manual. Tinggal obtain aja dari DHCP Server, beres dah.
Untungnya Mikrotik ini juga ada fitur DHCP Servernya. Jadi ya ga ada masalah..
Sekarang coba lakukan testing dari komputer klien, untuk me-request IP Address dari Server
DHCP. Jika sukses, maka sekali lagi, settingannya udah bener
Bandwidth Control
Agar semua komputer klien pada LAN tidak saling berebut bandwidth, maka perlu dilakukan yg
namanya bandwidth management atau bandwidth control
Model yg saya gunakan adalah queue trees. Untuk lebih jelas apa itu, silahkan merujuk ke
situsnya Mikrotik
Koneksi Speedy kan katanya speednya sampe 384/64 Kbps (Download/Upload), nah kondisi itu
sangat jarang tercapai. Jadi kita harus cari estimasi rata²nya. Maka saya ambil minimalnya untuk
download bisa dapet sekitar 300 Kbps dan untuk upload aq alokasikan 50 Kbps. Sedangkan
untuk yg maksimumnya, untuk download kira² 380 Kbps dan upload 60 Kbps.
Lalu, jumlah komputer klien yang ada saat ini adalah 10 buah. Jadi harus disiapkan bandwidth
itu untuk dibagikan kepada 10 klien tersebut.
Sekarang coba lakukan test download dari beberapa klien, mestinya sekarang tiap2 klien akan
berbagi bandwidthnya. Jika jumlah klien yg online tidak sampai 10, maka sisa bandwidth yang
nganggur itu akan dibagikan kepada klien yg online.
Graphing
Mikrotik ini juga dilengkapi dengan fungsi monitoring traffic layaknya MRTG biasa. Jadi kita
bisa melihat berapa banyak paket yg dilewatkan pada PC Mikrotik kita.
Berikutnya yang akan kita monitor adalah paket² yg lewat semua interface yg ada di PC Mikrotik
kita, klo di komputerku ada ether1 dan ether2.
http://192.168.0.1/graphs/
Nanti akan ada pilihan interface apa aja yg ada di router Anda. Coba klik salah satu, maka Anda
akan bisa melihat grafik dari paket2 yg lewat pada interface tersebut.
Dari tutorial diatas saya cuma sampai mengambil langkah pada setting penambahan NAT
( masquerade ) saja. Karena menurut saya DHCP yang sifatnya berubah ubah jadi nanti saat mau
limit BW nya terkadang ip tidak sama. CMIIW. dan untuk setting limit saya melakukannya pada
remote winbox yang lebih mudah, nah pertanyaan untuk saya sendiri. Kapan graph tool nya
kamu install nak ? hehehhee… ok semoga berguna semuanya.
cara nge-remote dari IP publik tersebut ke mikrotik serper kita menggunakan winbox dari
jaringan luar.
Langkah awal nya adalah dengan tersenyum, bercanda dulu dengan rekan-rekan, berguyon ria
sampe ketawa keras hingga akhirnya teriak dengan kencang sebanyak 100 kali “INI SANGAT
MUDAHHHHHHHHHH” hehehehe
Sekarang kita akan menuliskan cara remote serper mikrotik dari luar, caranya cukup mudah, kar-
ena konsepnya adalah meneruskan dari IP publik ke server mikrotik kita di rumah, maka yang
harus di setting adalah modemnya.
Internet -> Modem -> Mikrotik -> HUB/swicth -> Client
Disini kita akan membahas dengan menggunakan modem sanex, karena udah di coba pada
3buah modem yang berbeda, dan semuanya sukses abis.. hehehhe,
3. Setelah itu pilih menu Advance Setup -> NAT -> Virtual server -> add
taraaaaaaaaaaaaa……… bisa masuk khan??? Bisa kita remote dari jauhh.. ditinggal kemana2
serper masih aman dehh.. hehehheheh
Pada topik ini kita akan meremote Mikrotik yang berada di belakang Modem (Mode Routing).
Untuk kasus ini kita gunain Modem Sanex logo Speedy.
Kalo kita mo pake modem sanex pertama kali harus di aktifin dulu kompi yang kita pake akses
ke mode “obtain an IP address automatically”
nah nanti tinggal akses deh ke modemnya….
disini sy anggap kita telah bisa mengakses modem… untuk mengganti ip supaya statik tinggal
masuk ke menu LAN => masukkan IP dan Netmask yang di inginkan (misalkan 192.168.1.1/24)
=> klik “Apply Changes” => klik “Commit/Reboot”
Tunggu beberapa saat untuk dapat mengakses modem kembali… dan sebagai catatan… jangan
lupa mengganti IP Address komputer anda karena tadinya modem secara default di setting DHCP
!!!
di atas gw udah confirm kalo kita mo remote mikrotik yang berada di belakang modem (mode
routing)
tadi sudah di perintahin klik add kan??? nah sekarang tinggal diisi,
Misalkan :
Protocol : TCP/UDP
WAN Port : 8291 (Port Modem yang dibuka untuk koneksi dari luar/Internet)
Server Host Port : 8291 (Port Mikrotik yang akan kita remote, note : port 8291 di pakai untuk
winbox)
Server IP Address : 192.168.1.2 (IP yang dimiliki Mikrotik untuk koneksi ke Modem)
Klik “OK”
Klik “Commit/Reboot” untuk menyelesaikan settingan….
Selesai .
Nah tahap selanjutnya kita menguji hasil setting dengan meremote mikrotik dari luar jaringan.
Jalankan winbox… kalo belum punya donlot dari router anda atau dari sini
Masukkan IP Publik dari modem, Isi username dengan user yang terdapat pada mikrotik dan
password.
Klik connect…… tara….. Sukses bozzz….
/ ip firewall address-list
add list=ournetwork address=202.159.48.155.0/21 comment="CentroTECH
Network" \
disabled=no
add list=ournetwork address=10.17.17.0/16 comment="IP Wireless" disabled=no
add list=ournetwork address=192.168.17.0/24 comment="LAN Network"
disabled=no
/ ip firewall filter
add chain=forward connection-state=established action=accept comment="allow
\
established connections" disabled=no
add chain=forward connection-state=related action=accept comment="allow \
related connections" disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop \
Messenger Worm" disabled=no
add chain=forward connection-state=invalid action=drop comment="drop
invalid \
connections" disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop \
Blaster Worm" disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm"
\
disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster
\
Worm" disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster
\
Worm" disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop
comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop
MyDoom" \
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm
requester" \
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
\
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen
cast" \
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
\
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid" \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle
Virus" \
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop
Dumaru.Y" \
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop
Beagle" \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop \
Beagle.C-K" disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment="Drop
MyDoom" \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop
Backdoor \
OptixPro" disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop
Sasser" \
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop
Beagle.B" \
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop \
Dabber.A-B" disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop \
Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau
\
webmin" disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop \
MyDoom.B" disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop
NetBus" \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop
Kuang2" \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop \
SubSeven" disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop
PhatBot, \
Agobot, Gaobot" disabled=no
add chain=forward action=jump jump-target=virus comment="jump to the virus
\
chain" disabled=no
add chain=input connection-state=established action=accept comment="Accept
\
established connections" disabled=no
add chain=input connection-state=related action=accept comment="Accept
related \
connections" disabled=no
add chain=input connection-state=invalid action=drop comment="Drop invalid
\
connections" disabled=no
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Allow \
limited pings" disabled=no
add chain=input protocol=icmp action=drop comment="Drop excess pings" \
disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=network anda \
action=accept comment="FTP" disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=network anda \
action=accept comment="SSH for secure shell" disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=network anda \
action=accept comment="Telnet" disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=network anda \
action=accept comment="Web" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=network anda \
action=accept comment="winbox" disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment="pptp-
server" \
disabled=no
add chain=input src-address-list=ournetwork action=accept comment="From \
Datautama network" disabled=no
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything
\
else" disabled=no
add chain=input action=drop comment="Drop everything else" disabled=no
add chain=virus protocol=tcp action=drop dst-port=54283 comment="SubSeven,
SubSeven 2.1 Gold"
add chain=virus protocol=tcp action=drop dst-port=54320 comment="Back Ori-
fice 2000"
add chain=virus protocol=tcp action=drop dst-port=54321 comment="Back Ori-
fice 2000, School Bus"
add chain=virus protocol=tcp action=drop dst-port=55165 comment="File Man-
ager trojan, File Manager trojan, WM Trojan Generator"
add chain=virus protocol=tcp action=drop dst-port=55166 comment="WM Trojan
Generator"
add chain=virus protocol=tcp action=drop dst-port=57341 comment="NetRaider"
add chain=virus protocol=tcp action=drop dst-port=58339 comment="Butt Fun-
nel"
add chain=virus protocol=tcp action=drop dst-port=60000 comment="Deep
Throat, Foreplay, Sockets des Troie"
add chain=virus protocol=tcp action=drop dst-port=60001 comment="Trinity"
add chain=virus protocol=tcp action=drop dst-port=60068 comment="Xzip
6000068"
add chain=virus protocol=tcp action=drop dst-port=60411 comment="Connec-
tion"
add chain=virus protocol=tcp action=drop dst-port=61348 comment="Bunker-
Hill"
add chain=virus protocol=tcp action=drop dst-port=61466 comment="TeleCom-
mando"
add chain=virus protocol=tcp action=drop dst-port=61603 comment="Bunker-
Hill"
add chain=virus protocol=tcp action=drop dst-port=63485 comment="Bunker-
Hill"
add chain=virus protocol=tcp action=drop dst-port=64101 comment="Taskman"
add chain=virus protocol=tcp action=drop dst-port=65000 comment="Devil,
Sockets des Troie, Stacheldraht"
add chain=virus protocol=tcp action=drop dst-port=65390 comment="Eclypse"
add chain=virus protocol=tcp action=drop dst-port=65421 comment="Jade"
add chain=virus protocol=tcp action=drop dst-port=65432 comment="The Trait-
or th3tr41t0r"
add chain=virus protocol=udp action=drop dst-port=65432 comment="The Trait-
or th3tr41t0r"
add chain=virus protocol=tcp action=drop dst-port=65534 comment="sbin
initd"
add chain=virus protocol=tcp action=drop dst-port=65535 comment="RC1 tro-
jan"
add chain=forward action=jump jump-target=virus comment="jump to the virus
chain"
virus protocol=tcp action=drop dst-port=6400 comment="The Thing"
add chain=virus protocol=tcp action=drop dst-port=6661 comment="TEMan,
Weia-Meia"
add chain=virus protocol=tcp action=drop dst-port=6666 comment="Dark Con-
nection Inside, NetBus worm"
add chain=virus protocol=tcp action=drop dst-port=6667 comment="Dark FTP,
ScheduleAgent, SubSeven, Subseven 2.1.4 DefCon 8, Trinity, WinSatan"
add chain=virus protocol=tcp action=drop dst-port=6669 comment="Host Con-
trol, Vampire"
add chain=virus protocol=tcp action=drop dst-port=6670 comment="BackWeb
Server, Deep Throat, Foreplay, WinNuke eXtreame"
add chain=virus protocol=tcp action=drop dst-port=6711 comment="BackDoor-G,
SubSeven, VP Killer"
add chain=virus protocol=tcp action=drop dst-port=6712 comment="Funny tro-
jan, SubSeven"
add chain=virus protocol=tcp action=drop dst-port=6713 comment="SubSeven"
add chain=virus protocol=tcp action=drop dst-port=6723 comment="Mstream"
add chain=virus protocol=tcp action=drop dst-port=6771 comment="Deep
Throat, Foreplay"
add chain=virus protocol=tcp action=drop dst-port=6776 comment="2000
Cracks, BackDoor-G, SubSeven, VP Killer"
add chain=virus protocol=udp action=drop dst-port=6838 comment="Mstream"
add chain=virus protocol=tcp action=drop dst-port=6883 comment="Delta
Source DarkStar"
add chain=virus protocol=tcp action=drop dst-port=6912 comment="Shit Heep"
add chain=virus protocol=tcp action=drop dst-port=6939 comment="Indoctrina-
tion"
add chain=virus protocol=tcp action=drop dst-port=6969-6970 comment="Gate-
Crasher, IRC 3, Net Controller, Priority"
add chain=virus protocol=tcp action=drop dst-port=7000 comment="Exploit
Translation Server, Kazimas, Remote Grab, SubSeven, SubSeven 2.1 Gold"
add chain=virus protocol=tcp action=drop dst-port=7001 comment="Freak88,
Freak2k"
add chain=virus protocol=tcp action=drop dst-port=7215 comment="SubSeven,
SubSeven 2.1 Gold"
add chain=virus protocol=tcp action=drop dst-port=7300-7308 comment="Net-
Monitor"
add chain=virus protocol=tcp action=drop dst-port=7424 comment="Host Con-
trol"
add chain=virus protocol=udp action=drop dst-port=7424 comment="Host Con-
trol"
add chain=virus protocol=tcp action=drop dst-port=7597 comment="Qaz"
add chain=virus protocol=tcp action=drop dst-port=7626 comment="Glacier"
add chain=virus protocol=tcp action=drop dst-port=7777 comment="God Mes-
sage, Tini"
add chain=virus protocol=tcp action=drop dst-port=7789 comment="Back Door
Setup, ICKiller"
add chain=virus protocol=tcp action=drop dst-port=7891 comment="The Re-
VeNgEr"
add chain=virus protocol=tcp action=drop dst-port=7983 comment="Mstream"
add chain=virus protocol=tcp action=drop dst-port=8787 comment="Back Ori-
fice 2000"
add chain=virus protocol=tcp action=drop dst-port=8988 comment="BacHack"
add chain=virus protocol=tcp action=drop dst-port=8989 comment="Rcon, Re-
con, Xcon"
add chain=virus protocol=tcp action=drop dst-port=9000 comment="Netminis-
trator"
add chain=virus protocol=udp action=drop dst-port=9325 comment="Mstream"
add chain=virus protocol=tcp action=drop dst-port=9400 comment="InCommand"
add chain=virus protocol=tcp action=drop dst-port=9872-9875 comment="Portal
of Doom"
add chain=virus protocol=tcp action=drop dst-port=9876 comment="Cyber At-
tacker, Rux"
add chain=virus protocol=tcp action=drop dst-port=9878 comment="TransScout"
add chain=virus protocol=tcp action=drop dst-port=9989 comment="Ini-Killer"
add chain=virus protocol=tcp action=drop dst-port=9999 comment="The Prayer"
add chain=virus protocol=tcp action=drop dst-port=10000-10005 comment="Op-
winTRojan"
add chain=virus protocol=udp action=drop dst-port=10067 comment="Portal of
Doom"
add chain=virus protocol=tcp action=drop dst-port=10085-10086
comment="Syphillis"
add chain=virus protocol=tcp action=drop dst-port=10100 comment="Control
Total, Gift trojan"
add chain=virus protocol=tcp action=drop dst-port=10101 comment="BrainSpy,
Silencer"
add chain=virus protocol=udp action=drop dst-port=10167 comment="Portal of
Doom"
add chain=virus protocol=tcp action=drop dst-port=10520 comment="Acid
Shivers"
add chain=virus protocol=tcp action=drop dst-port=10528 comment="Host Con-
trol"
add chain=virus protocol=tcp action=drop dst-port=10607 comment="Coma"
add chain=virus protocol=udp action=drop dst-port=10666 comment="Ambush"
add chain=virus protocol=tcp action=drop dst-port=11000 comment="Senna Spy
Trojan Generator"
add chain=virus protocol=tcp action=drop dst-port=11050-11051 comment="Host
Control"
add chain=virus protocol=tcp action=drop dst-port=11223 comment="Progenic
trojan, Secret Agent"
add chain=virus protocol=tcp action=drop dst-port=12076 comment="Gjamer"
add chain=virus protocol=tcp action=drop dst-port=12223 comment="Hack´99
KeyLogger"
add chain=virus protocol=tcp action=drop dst-port=12345 comment="Ashley,
cron crontab, Fat Bitch trojan, GabanBus, icmp_client.c, icmp_pipe.c, Myp-
ic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack Job, X-bill"
add chain=virus protocol=tcp action=drop dst-port=12346 comment="Fat Bitch
trojan, GabanBus, NetBus, X-bill"
add chain=virus protocol=tcp action=drop dst-port=12349 comment="BioNet"
add chain=virus protocol=tcp action=drop dst-port=12361-12363
comment="Whack-a-mole"
add chain=virus protocol=udp action=drop dst-port=12623 comment="DUN Con-
trol"
add chain=virus protocol=tcp action=drop dst-port=12624 comment="ButtMan"
add chain=virus protocol=tcp action=drop dst-port=12631 comment="Whack Job"
add chain=virus protocol=tcp action=drop dst-port=12754 comment="Mstream"
add chain=virus protocol=tcp action=drop dst-port=13000 comment="Senna Spy
Trojan Generator, Senna Spy Trojan Generator"
add chain=virus protocol=tcp action=drop dst-port=13010 comment="Hacker
Brasil HBR"
add chain=virus protocol=tcp action=drop dst-port=13013-13014
comment="PsychWard"
add chain=virus protocol=tcp action=drop dst-port=13223 comment="Hack´99
KeyLogger"
add chain=virus protocol=tcp action=drop dst-port=13473
comment="Chupacabra"
add chain=virus protocol=tcp action=drop dst-port=14500-14503 comment="PC
Invader"
add chain=virus protocol=tcp action=drop dst-port=15000 comment="NetDemon"
add chain=virus protocol=tcp action=drop dst-port=15092 comment="Host Con-
trol"
add chain=virus protocol=tcp action=drop dst-port=15104 comment="Mstream"
add chain=virus protocol=tcp action=drop dst-port=15382 comment="SubZero"
add chain=virus protocol=tcp action=drop dst-port=15858 comment="CDK"
add chain=virus protocol=tcp action=drop dst-port=16484 comment="Mosucker"
add chain=virus protocol=tcp action=drop dst-port=16660
comment="Stacheldraht"
add chain=virus protocol=tcp action=drop dst-port=16772 comment="ICQ Re-
venge"
add chain=virus protocol=tcp action=drop dst-port=16959 comment="SubSeven,
Subseven 2.1.4 DefCon 8"
add chain=virus protocol=tcp action=drop dst-port=16969 comment="Priority"
add chain=virus protocol=tcp action=drop dst-port=17166 comment="Mosaic"
add chain=virus protocol=tcp action=drop dst-port=17300 comment="Kuang2 the
virus"
add chain=virus protocol=tcp action=drop dst-port=17449 comment="Kid Ter-
ror"
add chain=virus protocol=tcp action=drop dst-port=17499-17500
comment="CrazzyNet"
add chain=virus protocol=tcp action=drop dst-port=17569 comment="Infector"
add chain=virus protocol=tcp action=drop dst-port=17593 comment="Audiodoor"
add chain=virus protocol=tcp action=drop dst-port=17777 comment="Nephron"
add chain=virus protocol=udp action=drop dst-port=18753 comment="Shaft"
add chain=virus protocol=tcp action=drop dst-port=19864 comment="ICQ Re-
venge"
add chain=virus protocol=tcp action=drop dst-port=20000 comment="Millenium"
add chain=virus protocol=tcp action=drop dst-port=20001 comment="Millenium,
Millenium Lm"
add chain=virus protocol=tcp action=drop dst-port=20002 comment="AcidkoR"
add chain=virus protocol=tcp action=drop dst-port=20005 comment="Mosucker"
add chain=virus protocol=tcp action=drop dst-port=20023 comment="VP Killer"
add chain=virus protocol=tcp action=drop dst-port=20034 comment="NetBus 2.0
Pro, NetBus 2.0 Pro Hidden, NetRex, Whack Job"
add chain=virus protocol=tcp action=drop dst-port=20203
comment="Chupacabra"
add chain=virus protocol=tcp action=drop dst-port=20331 comment="BLA tro-
jan"
add chain=virus protocol=tcp action=drop dst-port=20432 comment="Shaft"
add chain=virus protocol=udp action=drop dst-port=20433 comment="Shaft"
add chain=virus protocol=tcp action=drop dst-port=21544 comment="Girl-
Friend, Kid Terror"
add chain=virus protocol=tcp action=drop dst-port=21554 comment="Exploiter,
Kid Terror, Schwindler, Winsp00fer"
add chain=virus protocol=tcp action=drop dst-port=22222 comment="Donald
Dick, Prosiak, Ruler, RUX The TIc.K"
add chain=virus protocol=tcp action=drop dst-port=23005-23006
comment="NetTrash"
add chain=virus protocol=tcp action=drop dst-port=23023 comment="Logged"
add chain=virus protocol=tcp action=drop dst-port=23032 comment="Amanda"
add chain=virus protocol=tcp action=drop dst-port=23432 comment="Asylum"
add chain=virus protocol=tcp action=drop dst-port=23456 comment="Evil FTP,
Ugly FTP, Whack Job"
add chain=virus protocol=tcp action=drop dst-port=23476 comment="Donald
Dick"
add chain=virus protocol=udp action=drop dst-port=23476 comment="Donald
Dick"
add chain=virus protocol=tcp action=drop dst-port=23477 comment="Donald
Dick"
add chain=virus protocol=tcp action=drop dst-port=23777 comment="InetSpy"
add chain=virus protocol=tcp action=drop dst-port=24000 comment="Infector"
add chain=virus protocol=tcp action=drop dst-port=25685-25982
comment="Moonpie"
add chain=virus protocol=udp action=drop dst-port=26274 comment="Delta
Source"
add chain=virus protocol=tcp action=drop dst-port=26681 comment="Voice Spy"
add chain=virus protocol=tcp action=drop dst-port=27374 comment="Bad Blood,
Ramen, Seeker, SubSeven, SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8, Sub-
Seven Muie, Ttfloader"
add chain=virus protocol=udp action=drop dst-port=27444 comment="Trinoo"
add chain=virus protocol=tcp action=drop dst-port=27573 comment="SubSeven"
add chain=virus protocol=tcp action=drop dst-port=27665 comment="Trinoo"
add chain=virus protocol=tcp action=drop dst-port=28678 comment="Exploit"er
add chain=virus protocol=tcp action=drop dst-port=29104 comment="NetTrojan"
add chain=virus protocol=tcp action=drop dst-port=29369 comment="ovasOn"
add chain=virus protocol=tcp action=drop dst-port=29891 comment="The Unex-
plained"
add chain=virus protocol=tcp action=drop dst-port=30000 comment="Infector"
add chain=virus protocol=tcp action=drop dst-port=30001 comment="ErrOr32"
add chain=virus protocol=tcp action=drop dst-port=30003 comment="Lamers
Death"
add chain=virus protocol=tcp action=drop dst-port=30029 comment="AOL tro-
jan"
add chain=virus protocol=tcp action=drop dst-port=30100-30133 comment="Net-
Sphere"
add chain=virus protocol=udp action=drop dst-port=30103 comment="NetSphere"
add chain=virus protocol=tcp action=drop dst-port=30303 comment="Sockets
des Troie"
add chain=virus protocol=tcp action=drop dst-port=30947 comment="Intruse"
add chain=virus protocol=tcp action=drop dst-port=30999 comment="Kuang2"
add chain=virus protocol=tcp action=drop dst-port=31335 comment="Trinoo"
add chain=virus protocol=tcp action=drop dst-port=31336 comment="Bo Whack,
Butt Funnel"
add chain=virus protocol=tcp action=drop dst-port=31337 comment="Back Fire,
Back Orifice 1.20 patches, Back Orifice Lm, Back Orifice russian, Baron
Night, Beeone, BO client, BO Facil, BO spy, BO2, cron crontab, Freak88,
Freak2k, icmp_pipe.c, Sockdmini"
add chain=virus protocol=udp action=drop dst-port=31337 comment="Back Ori-
fice, Deep BO"
add chain=virus protocol=tcp action=drop dst-port=31338 comment="Back Ori-
fice, Butt Funnel, NetSpy DK"
add chain=virus protocol=udp action=drop dst-port=31338 comment="Deep BO"
add chain=virus protocol=tcp action=drop dst-port=31339 comment="NetSpy DK"
add chain=virus protocol=tcp action=drop dst-port=31666 comment="BOWhack"
add chain=virus protocol=tcp action=drop dst-port=31785-31792 comment="Hack
a Tack"
add chain=virus protocol=udp action=drop dst-port=31791-31792 comment="Hack
a Tack"
add chain=virus protocol=tcp action=drop dst-port=32001 comment="Donald
Dick"
add chain=virus protocol=tcp action=drop dst-port=32100 comment="Peanut
Brittle, Project nEXT"
add chain=virus protocol=tcp action=drop dst-port=32418 comment="Acid Bat-
tery"
add chain=virus protocol=tcp action=drop dst-port=33270 comment="Trinity"
add chain=virus protocol=tcp action=drop dst-port=33333 comment="Blakharaz,
Prosiak"
add chain=virus protocol=tcp action=drop dst-port=33577-33777 comment="Son
of PsychWard"
add chain=virus protocol=tcp action=drop dst-port=33911 comment="Spirit
2000, Spirit 2001"
add chain=virus protocol=tcp action=drop dst-port=34324 comment="Big Gluck,
TN"
add chain=virus protocol=tcp action=drop dst-port=34444 comment="Donald
Dick"
add chain=virus protocol=udp action=drop dst-port=34555-35555
comment="Trinoo for Windows"
add chain=virus protocol=tcp action=drop dst-port=37237 comment="Mantis"
add chain=virus protocol=tcp action=drop dst-port=37651 comment="Yet Anoth-
er Trojan YAT"
add chain=virus protocol=tcp action=drop dst-port=40412 comment="The Spy"
add chain=virus protocol=tcp action=drop dst-port=40421 comment="Agent
40421, Masters Paradise"
add chain=virus protocol=tcp action=drop dst-port=40422-40426 comment="Mas-
ters Paradise"
add chain=virus protocol=tcp action=drop dst-port=41337 comment="Storm"
add chain=virus protocol=tcp action=drop dst-port=41666 comment="Remote
Boot Tool RBT, Remote Boot Tool RBT"
add chain=virus protocol=tcp action=drop dst-port=44444 comment="Prosiak"
add chain=virus protocol=tcp action=drop dst-port=44575 comment="Exploiter"
add chain=virus protocol=udp action=drop dst-port=47262 comment="Delta
Source"
add chain=virus protocol=tcp action=drop dst-port=49301 comment="OnLine
KeyLogger"
add chain=virus protocol=tcp action=drop dst-port=50130 comment="Enter-
prise"
add chain=virus protocol=tcp action=drop dst-port=50505 comment="Sockets
des Troie"
add chain=virus protocol=tcp action=drop dst-port=50766 comment="Fore,
Schwindler"
add chain=virus protocol=tcp action=drop dst-port=51966 comment="Cafeini"
add chain=virus protocol=tcp action=drop dst-port=52317 comment="Acid Bat-
tery 2000"
add chain=virus protocol=tcp action=drop dst-port=53001 comment="Remote
Windows Shutdown RWS"
/ip firewall filter
add chain=virus protocol=udp action=drop dst-port=1 comment="Sockets des
Troie"
add chain=virus protocol=tcp action=drop dst-port=2 comment="Death"
add chain=virus protocol=tcp action=drop dst-port=20 comment="Senna Spy FTP
server"
add chain=virus protocol=tcp action=drop dst-port=21 comment="Back Con-
struction, Blade Runner, Cattivik FTP Server, CC Invader, Dark FTP, Doly
Trojan, Fore, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Adminis-
trator, Ramen, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash"
add chain=virus protocol=tcp action=drop dst-port=22 comment="Shaft"
add chain=virus protocol=tcp action=drop dst-port=23 comment="Fire HacKer,
Tiny Telnet Server TTS, Truva Atl"
add chain=virus protocol=tcp action=drop dst-port=25 comment="Ajan, Anti-
gen, Barok, Email Password Sender EPS, EPS II, Gip, Gris, Happy99, Hpteam
mail, Hybris, I love you, Kuang2, Magic Horse, MBT Mail Bombing Trojan, Mo-
scow Email trojan, Naebi, NewApt worm, ProMail trojan, Shtirlitz, Stealth,
Tapiras, Terminator, WinPC, WinSpy"
add chain=virus protocol=tcp action=drop dst-port=30 comment="Agent 40421"
add chain=virus protocol=tcp action=drop dst-port=31 comment="Agent 31,
Hackers Paradise, Masters Paradise"
add chain=virus protocol=tcp action=drop dst-port=41 comment="Deep Throat,
Foreplay"
add chain=virus protocol=tcp action=drop dst-port=48 comment="DRAT"
add chain=virus protocol=tcp action=drop dst-port=50 comment="DRAT"
add chain=virus protocol=tcp action=drop dst-port=58 comment="DMSetup"
add chain=virus protocol=tcp action=drop dst-port=59 comment="DMSetup"
add chain=virus protocol=tcp action=drop dst-port=79 comment="CDK, Fire-
hotcker"
add chain=virus protocol=tcp action=drop dst-port=80 comment="711 trojan,
Seven Eleven, AckCmd, Back End, Back Orifice 2000 Plug-Ins, Cafeini, CGI
Backdoor, Executor, God Message, God Message Creator, Hooker, IISworm, MTX,
NCX, Reverse WWW Tunnel Backdoor, RingZero, Seeker, WAN Remote, Web Server
CT, WebDownloader"
add chain=virus protocol=tcp action=drop dst-port=81 comment="RemoConChubo"
add chain=virus protocol=tcp action=drop dst-port=99 comment="Hidden Port,
NCX"
add chain=virus protocol=tcp action=drop dst-port=110 comment="ProMail tro-
jan"
add chain=virus protocol=tcp action=drop dst-port=113 comment="Invisible
Identd Deamon, Kazimas"
add chain=virus protocol=tcp action=drop dst-port=119 comment="Happy99"
add chain=virus protocol=tcp action=drop dst-port=121 comment="Attack Bot,
God Message, JammerKillah"
add chain=virus protocol=tcp action=drop dst-port=123 comment="Net Control-
ler"
add chain=virus protocol=tcp action=drop dst-port=133 comment="Farnaz"
add chain=virus protocol=tcp action=drop dst-port=135-139 comment="Blaster
worm"
add chain=virus protocol=udp action=drop dst-port=135-139 comment="messen-
ger worm
add chain=virus protocol=tcp action=drop dst-port=142 comment="NetTaxi"
add chain=virus protocol=tcp action=drop dst-port=146 comment="Infector"
add chain=virus protocol=udp action=drop dst-port=146 comment="Infector"
add chain=virus protocol=tcp action=drop dst-port=170 comment="A-trojan"
add chain=virus protocol=tcp action=drop dst-port=334 comment="Backage"
add chain=virus protocol=tcp action=drop dst-port=411 comment="Backage"
add chain=virus protocol=tcp action=drop dst-port=420 comment="Breach, In-
cognito"
add chain=virus protocol=tcp action=drop dst-port=421 comment="TCP Wrappers
trojan"
add chain=virus protocol=tcp action=drop dst-port=445 comment="Blaster worm
add chain=virus protocol=udp action=drop dst-port=445 comment="Blaster worm
add chain=virus protocol=tcp action=drop dst-port=455 comment="Fatal Con-
nections"
add chain=virus protocol=tcp action=drop dst-port=456 comment="Hackers
Paradise"
add chain=virus protocol=tcp action=drop dst-port=513 comment="Grlogin"
add chain=virus protocol=tcp action=drop dst-port=514 comment="RPC Back-
door"
add chain=virus protocol=tcp action=drop dst-port=531 comment="Net666,
Rasmin"
add chain=virus protocol=tcp action=drop dst-port=555 comment="711 trojan,
Seven Eleven, Ini-Killer, Net Administrator, Phase Zero, Phase-0, Stealth
Spy"
add chain=virus protocol=tcp action=drop dst-port=605 comment="Secret Ser-
vice"
add chain=virus protocol=tcp action=drop dst-port=666 comment="Attack FTP,
Back Construction, BLA trojan, Cain & Abel, NokNok, Satans Back Door SBD,
ServU, Shadow Phyre, th3r1pp3rz Therippers"
add chain=virus protocol=tcp action=drop dst-port=667 comment="SniperNet"
add chain=virus protocol=tcp action=drop dst-port=669 comment="DP trojan"
add chain=virus protocol=tcp action=drop dst-port=692 comment="GayOL"
add chain=virus protocol=tcp action=drop dst-port=777 comment="AimSpy, Un-
detected"
add chain=virus protocol=tcp action=drop dst-port=808 comment="WinHole"
add chain=virus protocol=tcp action=drop dst-port=911 comment="Dark Shadow"
add chain=virus protocol=tcp action=drop dst-port=999 comment="Deep Throat,
Foreplay, WinSatan"
add chain=virus protocol=tcp action=drop dst-port=1000 comment="Der Spae-
her, Direct Connection"
add chain=virus protocol=tcp action=drop dst-port=1001 comment="Der Spae-
her, Le Guardien, Silencer, WebEx"
add chain=virus protocol=tcp action=drop dst-port=1010-1016 comment="Doly
Trojan"
add chain=virus protocol=tcp action=drop dst-port=1020 comment="Vampire"
add chain=virus protocol=tcp action=drop dst-port=1024 comment="Jade, Lat-
inus, NetSpy"
add chain=virus protocol=tcp action=drop dst-port=1025 comment="Remote
Storm"
add chain=virus protocol=udp action=drop dst-port=1025 comment="Remote
Storm"
add chain=virus protocol=tcp action=drop dst-port=1035 comment="Multidrop-
per"
add chain=virus protocol=tcp action=drop dst-port=1042 comment="BLA trojan"
add chain=virus protocol=tcp action=drop dst-port=1045 comment="Rasmin"
add chain=virus protocol=tcp action=drop dst-port=1049 comment="sbin initd"
add chain=virus protocol=tcp action=drop dst-port=1050 comment="MiniCom-
mand"
add chain=virus protocol=tcp action=drop dst-port=1053 comment="The Thief"
add chain=virus protocol=tcp action=drop dst-port=1054 comment="AckCmd"
add chain=virus protocol=tcp action=drop dst-port=1080-1083 comment="Win-
Hole"
add chain=virus protocol=tcp action=drop dst-port=1090 comment="Xtreme"
add chain=virus protocol=tcp action=drop dst-port=1095-1098 comment="Remote
Administration Tool RAT"
add chain=virus protocol=tcp action=drop dst-port=1099 comment="Blood Fest
Evolution, Remote Administration Tool RAT"
add chain=virus protocol=tcp action=drop dst-port=1150-1151 comment="Orion"
add chain=virus protocol=tcp action=drop dst-port=1170 comment="Psyber
Stream Server PSS, Streaming Audio Server, Voice"
add chain=virus protocol=udp action=drop dst-port=1200-1201 comment="No-
BackO"
add chain=virus protocol=tcp action=drop dst-port=1207 comment="SoftWAR"
add chain=virus protocol=tcp action=drop dst-port=1208 comment="Infector"
add chain=virus protocol=tcp action=drop dst-port=1212 comment="Kaos"
add chain=virus protocol=tcp action=drop dst-port=1234 comment="SubSeven
Java client, Ultors Trojan"
add chain=virus protocol=tcp action=drop dst-port=1243 comment="BackDoor-G,
SubSeven, SubSeven Apocalypse, Tiles"
add chain=virus protocol=tcp action=drop dst-port=1245 comment="VooDoo
Doll"
add chain=virus protocol=tcp action=drop dst-port=1255 comment="Scarab"
add chain=virus protocol=tcp action=drop dst-port=1256 comment="Project
nEXT"
add chain=virus protocol=tcp action=drop dst-port=1269 comment="Matrix"
add chain=virus protocol=tcp action=drop dst-port=1272 comment="The Matrix"
add chain=virus protocol=tcp action=drop dst-port=1313 comment="NETrojan"
add chain=virus protocol=tcp action=drop dst-port=1338 comment="Millenium
Worm"
add chain=virus protocol=tcp action=drop dst-port=1349 comment="Bo dll"
add chain=virus protocol=tcp action=drop dst-port=1394 comment="GoFriller,
Backdoor G-1"
add chain=virus protocol=tcp action=drop dst-port=1441 comment="Remote
Storm"
add chain=virus protocol=tcp action=drop dst-port=1492 comment="FTP99CMP"
add chain=virus protocol=tcp action=drop dst-port=1524 comment="Trinoo"
add chain=virus protocol=tcp action=drop dst-port=1568 comment="Remote
Hack"
add chain=virus protocol=tcp action=drop dst-port=1600 comment="Direct Con-
nection, Shivka-Burka"
add chain=virus protocol=tcp action=drop dst-port=1703 comment="Exploiter"
add chain=virus protocol=tcp action=drop dst-port=1777 comment="Scarab"
add chain=virus protocol=tcp action=drop dst-port=1807 comment="SpySender"
add chain=virus protocol=tcp action=drop dst-port=1966 comment="Fake FTP"
add chain=virus protocol=tcp action=drop dst-port=1967 comment="WM FTP
Server"
add chain=virus protocol=tcp action=drop dst-port=1969 comment="OpC BO"
add chain=virus protocol=tcp action=drop dst-port=1981 comment="Bowl,
Shockrave"
add chain=virus protocol=tcp action=drop dst-port=1999 comment="Back Door,
SubSeven, TransScout"
add chain=virus protocol=tcp action=drop dst-port=2000 comment="Der Spae-
her, Insane Network, Last 2000, Remote Explorer 2000, Senna Spy Trojan Gen-
erator"
add chain=virus protocol=tcp action=drop dst-port=2001 comment="Der Spae-
her, Trojan Cow"
add chain=virus protocol=tcp action=drop dst-port=2023 comment="Ripper Pro"
add chain=virus protocol=tcp action=drop dst-port=2080 comment="WinHole"
add chain=virus protocol=tcp action=drop dst-port=2115 comment="Bugs"
add chain=virus protocol=udp action=drop dst-port=2130 comment="Mini Back-
lash"
add chain=virus protocol=tcp action=drop dst-port=2140 comment="The Invas-
or"
add chain=virus protocol=udp action=drop dst-port=2140 comment="Deep
Throat, Foreplay"
add chain=virus protocol=tcp action=drop dst-port=2155 comment="Illusion
Mailer"
add chain=virus protocol=tcp action=drop dst-port=2255 comment="Nirvana"
add chain=virus protocol=tcp action=drop dst-port=2283 comment="Hvl RAT"
add chain=virus protocol=tcp action=drop dst-port=2300 comment="Xplorer"
add chain=virus protocol=tcp action=drop dst-port=2311 comment="Studio 54"
add chain=virus protocol=tcp action=drop dst-port=2330-2339 comment="Con-
tact"
add chain=virus protocol=udp action=drop dst-port=2339 comment="Voice Spy"
add chain=virus protocol=tcp action=drop dst-port=2345 comment="Doly Tro-
jan"
add chain=virus protocol=tcp action=drop dst-port=2565 comment="Striker
trojan"
add chain=virus protocol=tcp action=drop dst-port=2583 comment="WinCrash"
add chain=virus protocol=tcp action=drop dst-port=2600 comment="Digital
RootBeer"
add chain=virus protocol=tcp action=drop dst-port=2716 comment="The Prayer"
add chain=virus protocol=tcp action=drop dst-port=2773-2774 comment="Sub-
Seven, SubSeven 2.1 Gold"
add chain=virus protocol=tcp action=drop dst-port=2801 comment="Phineas
Phucker"
add chain=virus protocol=udp action=drop dst-port=2989 comment="Remote Ad-
ministration Tool RAT"
add chain=virus protocol=tcp action=drop dst-port=3000 comment="Remote
Shut"
add chain=virus protocol=tcp action=drop dst-port=3024 comment="WinCrash"
add chain=virus protocol=tcp action=drop dst-port=3031 comment="Microspy"
add chain=virus protocol=tcp action=drop dst-port=3128 comment="Reverse WWW
Tunnel Backdoor, RingZero"
add chain=virus protocol=tcp action=drop dst-port=3129 comment="Masters
Paradise"
add chain=virus protocol=tcp action=drop dst-port=3150 comment="The Invas-
or"
add chain=virus protocol=udp action=drop dst-port=3150 comment="Deep
Throat, Foreplay, Mini Backlash"
add chain=virus protocol=tcp action=drop dst-port=3456 comment="Terror tro-
jan"
add chain=virus protocol=tcp action=drop dst-port=3459 comment="Eclipse
2000, Sanctuary"
add chain=virus protocol=tcp action=drop dst-port=3700 comment="Portal of
Doom"
add chain=virus protocol=tcp action=drop dst-port=3777 comment="PsychWard"
add chain=virus protocol=tcp action=drop dst-port=3791-3801 comment="Total
Solar Eclypse"
add chain=virus protocol=tcp action=drop dst-port=4000 comment="SkyDance"
add chain=virus protocol=tcp action=drop dst-port=4092 comment="WinCrash"
add chain=virus protocol=tcp action=drop dst-port=4242 comment="Virtual
Hacking Machine VHM"
add chain=virus protocol=tcp action=drop dst-port=4321 comment="BoBo"
add chain=virus protocol=tcp action=drop dst-port=4444 comment="Prosiak,
Swift Remote"
add chain=virus protocol=tcp action=drop dst-port=4567 comment="File Nail"
add chain=virus protocol=tcp action=drop dst-port=4590 comment="ICQ Trojan"
add chain=virus protocol=tcp action=drop dst-port=4950 comment="ICQ Trogen
Lm"
add chain=virus protocol=tcp action=drop dst-port=5000 comment="Back Door
Setup, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie"
add chain=virus protocol=tcp action=drop dst-port=5001 comment="Back Door
Setup, Sockets des Troie"
add chain=virus protocol=tcp action=drop dst-port=5002 comment="cd00r,
Shaft"
add chain=virus protocol=tcp action=drop dst-port=5010 comment="Solo"
add chain=virus protocol=tcp action=drop dst-port=5011 comment="One of the
Last Trojans OOTLT, One of the Last Trojans OOTLT, modified"
add chain=virus protocol=tcp action=drop dst-port=5025 comment="WM Remote
KeyLogger"
add chain=virus protocol=tcp action=drop dst-port=5031-5032 comment="Net
Metropolitan"
add chain=virus protocol=tcp action=drop dst-port=5321 comment="Firehotck-
er"
add chain=virus protocol=tcp action=drop dst-port=5333 comment="Backage,
NetDemon"
add chain=virus protocol=tcp action=drop dst-port=5343 comment="wCrat WC
Remote Administration Tool"
add chain=virus protocol=tcp action=drop dst-port=5400-5402 comment="Back
Construction, Blade Runner"
add chain=virus protocol=tcp action=drop dst-port=5512 comment="Illusion
Mailer"
add chain=virus protocol=tcp action=drop dst-port=5534 comment="The Flu"
add chain=virus protocol=tcp action=drop dst-port=5550 comment="Xtcp"
add chain=virus protocol=tcp action=drop dst-port=5555 comment="ServeMe"
add chain=virus protocol=tcp action=drop dst-port=5556-5557 comment="BO Fa-
cil"
add chain=virus protocol=tcp action=drop dst-port=5569 comment="Robo-Hack"
add chain=virus protocol=tcp action=drop dst-port=5637-5638 comment="PC
Crasher"
add chain=virus protocol=tcp action=drop dst-port=5742 comment="WinCrash"
add chain=virus protocol=tcp action=drop dst-port=5760 comment="Portmap Re-
mote Root Linux Exploit"
add chain=virus protocol=tcp action=drop dst-port=5880-5889 comment="Y3K
RAT"
add chain=virus protocol=tcp action=drop dst-port=6000 comment="The Thing"
add chain=virus protocol=tcp action=drop dst-port=6006 comment="Bad Blood"
add chain=virus protocol=tcp action=drop dst-port=6272 comment="Secret Ser-
vice"
dengan firewall list diatas anda dapat membatasi port2 yg sering digunakan oleh virus tetapi
perlu diperhatikan banyak juga aplikasi2 atau service yg menggunakan port tersebut..dan server
anda hanya bisa diremote dari allow list address dan network anda sendiri untuk menghindari
adanya deface pada router mikrotik anda
dst-address-list kasih tanda seru>>>maksudnya agar content tsb hanya di cek kalau destina-
tionnya bukan address-list ournetwork
setelah rule ini diterapkan maka di tab address-list akan tercapture address untuk download
worm ini.
contoh
1. Mikrotik di install pada CPU dengan 2 ethernet card, 1 interface utk koneksi ke internet, 1
interface utk konek ke lokal.
2. IP address :
- gateway (mis: ADSL modem) : 192.168.100.100
- DNS : 192.168.100.110
- interface utk internet : 192.168.100.1
- interface utk lokal : 192.168.0.1
Untuk memulainya, kita lihat interface yang ada pada Mikrotik Router
kemudian set IP address pada interface Mikrotik. Misalkan ether1 akan kita gunakan untuk
koneksi ke Internet dengan IP 192.168.100.1 dan ether2 akan kita gunakan untuk network local
kita dengan IP 192.168.0.1
Setelah selesai Barulah kita bisa melakukan setup DHCP server pada Mikrotik.
Langkah Selanjutnya adalah membuat internet gateway, Misalnya IP ADSL Modem sebagai
gateway untuk koneksi internet adalah 192.168.100.100 dan DNS Servernya 192.168.100.110,
maka lakukan setting default gateway dengan perintah berikut :
[admin@mikrotik] >
5. Setup Masquerading, ini adalah langkah utama untuk menjadikan Mikrotik sebagai gateway
server
[admin@mikrotik] >
Cara ini memang cara yang paling mudah untuk membuat user dapat terhubung ke internet,
namun tingkat keamanannya masih rendah dan diperlukan pengaturan firewall. Mudah-mudahan
saya bisa membahasnya dilain waktu.
Publisher : http://www.kecoak-elektronik.net
Contact : [email protected]
####################################################################
–[2]– Intro
Kali ini kita akan membahasnya instalasi melalui CD-ROM. Untuk percobaan
ini silahkan download ISOnya di http://adminpreman.web.id/download
_(
o–+ ____|
| / | Telpon
| _/ -(
+–[_] Splitter
|
| +—-+
+—| | Modem xDSL
+–*-+
(1)| +—+
| | | (3)
| | +|———+
| +—–+ | |. . . . . |
| a| | | +–|-|-|-|-+
+—|=====| | | | | |
| | | | | | |
| |—+ +-|-|-|–[client 1]
| |b +-|-|————[client 2]
| | +-|———————-[client 3]
L—–J +——–[client n]
(2)
Keterangan skema
(1) = Modem xDSL (Ip Address : 192.168.1.1/24)
(2) = Mikrotik Box dengan 2 ethernet card yaitu a (publik) dan b (local)
(3) = Switch
Untuk sambungan ke Client. Asumsi Client Jumlahnya 20 Client
Range Ip Address : 192.168.0.0/27
Alokasi Ip Client = 192.168.0.1-192.168.0.30
Ip Net ID : 192.168.0.0/27
Ip Broadcast : 192.168.0.31/27
Keterangan Skema
a = ethernet card 1 (Publik) -> Ip Address : 192.168.1.2/24
b = ethernet card 2 (Local) -> Ip Address : 192.168.0.30/27
[*] Client
Client 1 - Client n, Ip Address : 192.168.0.n …. n (1-30)
Contoh:
Client 6
Ip Address : 192.168.0.6/27
Gateway : 192.168.0.30 (ke Mikrotik Box)
CATATAN :
Angka dibelakang Ip address ( /27) sama dengan nilai netmasknya
untuk angka (/27) nilainya sama dengan 255.255.255.224.
Subnetmask kelas C
——————-
255.255.255.0 = 24 -> 254 mesin
.. .128 = 25 -> 128 mesin
.. .192 = 26 -> 64 mesin
.. .224 = 27 -> 32 mesin
.. .240 = 28 -> 16 mesin
.. .248 = 29 -> 8 mesin
.. .252 = 30 -> 4 mesin
.. .254 = 31 -> 2 mesin
.. .255 = 32 -> 1 mesin
–[2.2]– Persiapan
Atur di BIOS agar, supaya boot lewat CD-ROM, kemudian tunggu beberapa
saat di monitor akan muncul proses Instalasi.
————————————————————————-
————————————————————————
advanced-tools-2.9.27.npk
arlan-2.9.27.npk
dhcp-2.9.27.npk
gps-2.9.27.npk
hotspot-2.9.27.npk
hotspot-fix-2.9.27.npk
isdn-2.9.27.npk
lcd-2.9.27.npk
ntp-2.9.27.npk
ppp-2.9.27.npk
radiolan-2.9.27.npk
routerboard-2.9.27.npk
routing-2.9.27.npk
routing-test-2.9.27.npk
rstp-bridge-test-2.9.27.npk
security-2.9.27.npk
synchronous-2.9.27.npk
system-2.9.27.npk
telephony-2.9.27.npk
ups-2.9.27.npk
user-manager-2.9.27.npk
web-proxy-2.9.27.npk
webproxy-test-2.9.27.npk
wireless-2.9.27.npk
wireless-legacy-2.9.27.npk
————————————————————————–
Move around menu using ‘p’ and ‘n’ or arrow keys, select with ’spacebar’.
Select all with ‘a’, minimum with ‘m’. Press ‘i’ to install locally or ‘r’ to
install remote router or ‘q’ to cancel and reboot.
[X] system [ ] lcd [ ] telephony
[ ] ppp [ ] ntp [ ] ups
[ ] dhcp [ ] radiolan [ ] user-manager
[X] andvanced-tools [ ] routerboard [X] web-proxy
[ ] arlan [ ] routing [ ] webproxy-test
[ ] gps [ ] routing-test [ ] wireless
[ ] hotspot [ ] rstp-bridge-test [ ] wireless-legacy
[ ] hotspot [X] security
[ ] isdn [ ] synchronous
————————————————————————–
d. WEB-PROXY : Jika Anda memilih paket ini, maka Mikrotik Box anda
telah
dapat menjalan service sebagai Web proxy yang akan
menyimpan
cache agar traffik ke Internet dapat di reduksi serta
browsing
untuk Web dapat dipercepat.
ketik “i” setelah selesai memilih software, lalu akan muncul menu
pilihan seperti ini :
—————————————————————————-
Continue? [y/n]:y
Creating partition……….
Formatting disk…………………………………
—————————————————————————
Proses installasi
—————————————————————————
Continue? [y/n]:y
Creating partition…………………..
Formatting disk……………………….
Installed system-2.9.27
Installed advanced-tools-2.9.27
Installed dhcp-2.9.27
Installed security-2.9.27
installed web-proxy-2.9.27
Software installed.
Press ENTER to reboot
——————————————————————————
CATATAN :
Proses Installasi normalnya tidak sampai 15 menit, jika lebih berarti
gagal,ulangi
ke step awal. Setelah proses installasi selesai maka kita akan diminta untuk
merestart system, tekan enter untuk merestart system.
Setelah komputer booting kembali ke system mikrotik, akan ada pilihan untuk
melakukan check system disk, tekan “y”.
—————————————————————————-
Loading system with initrd
Uncompressing Linux… Ok, booting the kernel.
Starting.
Setelah proses instalasi selesai, maka akan muncul menu login dalam modus
terminal, kondisi sistem saat ini dalam keadaan default.
—————————————————————————
Mikrotik 2.9.27
Mikrotik Login:
—————————————————————————-
CATATAN :
Konfigurasi Standar untuk mikrotik ada 2 modus, yaitu modus teks dan
modus GUI. Modus Gui ada 2 juga, yaitu Via Browser serta Via Winbox.
Untuk sekarang saya akan bahas via Teks. Karena cepat serta lebih memahami
terhadap sistem operasi ini.
Perintah mikrotik sebenarnya hampir sama dengan perintah yang ada dilinux,
sebab pada dasarnya mikrotik ini merupakan kernel Linux, hasil pengolahan
kembali Linux dari Distribusi Debian. Pemakaian perintah shellnya sama,
seperti penghematan perintah, cukup menggunakan tombol TAB di keyboard
maka perintah yang panjang, tidak perlu lagi diketikkan, hanya ketikkan
awal nama perintahnya, nanti secara otomatis Shell akan menampilkan sendiri
perintah yang berkenaan. Misalnya perintah IP ADDRESS di mikrotik. Cukup
hanya mengetikkan IP ADD spasi tekan tombol TAB, maka otomatis shell
akan mengenali dan menterjemahkan sebagai perintah IP ADDRESS.
[admin@Mikrotik]>
Jika interfacenya ada tanda X (disabled) setelah nomor (0,1), maka periksa
lagi
etherned cardnya, seharusnya R (running).
d. atau langsung saja dari posisi root direktori, memakai tanda “/”, tanpa
tanda kutip
[admin@Mikrotik] > /interface set 0 name=Public
–[5.1]– IP Address
–[5.2]– Gateway
[admin@routerku]>
Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan
local. Dan jika
berhasil berarti kita sudah berhasil melakukan instalasi Mikrotik Router
sebagai Gateway
server. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage
menggunakan WinBox yang
bisa di download dari Mikrotik.com atau dari server mikrotik kita. Misal Ip
address server
mikrotik kita 192.168.0.30, via browser buka http://192.168.0.30. Di Browser
akan ditampilkan
dalam bentuk web dengan beberapa menu, cari tulisan Download dan download
WinBox dari situ.
Simpan di local harddisk. Jalankan Winbox, masukkan Ip address, username dan
password.
ip dhcp-server setup
dhcp server interface = { interface yang digunakan }
dhcp server space = { network yang akan di dhcp }
gateway for dhcp network = { ip gateway }
address to give out = { range ip address }
dns servers = { name server }
lease time = { waktu sewa yang diberikan }
c. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface
Local )
0dhcp1 Local
Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan
terlebih
dahulu pada langkah e.
kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak
ada berarti
sudah aktif
Misalnya :
D:>ping www.yahoo.com
Proxy server merupakan program yang dapat mempercepat akses ke suatu web
yang sudah diakses oleh komputer lain, karena sudah di simpan didalam
caching server.Transparent proxy menguntungkan dalam management client,
karena system administrator tidak perlu lagi melakukan setup proxy di
setiap browser komputer client karena redirection dilakukan otomatis di sisi
server.
Bentuk perintah konfigurasi :
a. Setting web proxy :
Contoh konfigurasi
——————-
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=8080
hostname=”proxy.routerku.co.id” transparent-proxy=yes
parent-proxy=0.0.0.0:0 cache-administrator=”[email protected]”
max-object-size=131072KiB cache-drive=system max-cache-size=unlimited
max-ram-cache-size=unlimited
Perintahnya:
——————————————————————————–
/ ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080
comment=”" disabled=no
add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080
comment=”" disabled=no
add chain=dstnat protocol=tcp dst-port=8000 action=redirect to-ports=8080
——————————————————————————–
perintah diatas dimaksudkan, agar semua trafik yang menuju Port 80,3128,8000
dibelokkan menuju port 8080 yaitu portnya Web-Proxy.
CATATAN:
Perintah
Perintah diatas karena dalam bentuk command line, bisa juga di copy
paste, selanjutnya di paste saja ke consol mikrotiknya. ingat lihat
dulu path atau direktory aktif. Silahkan dipaste saja, kalau posisi
direktorynya di Root.
——————————————————————-
Terminal vt102 detected, using multiline input mode
[admin@mikrotik] >
——————————————————————
Untuk itu dipakai type PCQ (Per Connection Queue), yang bisa secara
otomatis membagi trafik per client. Tentang jenis queue di mikrotik
ini dapat dibaca pada manualnya di http://www.mikrotik.com/testdocs/
ros/2.9/root/queue.php.
——————————————————————–
/ip firewall mangle add chain=forward src-address=192.168.0.0/27
action=mark-connection new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=mark-packet
new-packet-mark=users chain=forward
———————————————————————-
Karena type PCQ belum ada, maka perlu ditambah, ada 2 type PCQ ini.
Pertama diberi nama pcq-download, yang akan mengatur semua trafik
melalui alamat tujuan/destination address. Trafik ini melewati
interface Local. Sehingga semua traffik download/downstream yang
datang dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Tipe PCQ kedua, dinamakan pcq-upload, untuk mengatur semua trafik upstream
yang berasal dari alamat asal/source address. Trafik ini melewati
interface public. Sehingga semua traffik upload/upstream yang berasal
dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Perintah:
————————————————————————-
/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address
————————————————————————-
Setelah aturan untuk PCQ dan Mangle ditambahkan, sekarang untuk aturan
pembagian trafiknya. Queue yang dipakai adalah Queue Tree, Yaitu:
————————————————————————-
/queue tree add parent=Local queue=pcq-download packet-mark=users
/queue tree add parent=Public queue=pcq-upload packet-mark=users
————————————————————————-
Fasilitas ini diperlukan untuk monitoring trafik dalam bentuk grafik, dapat
dilihat dengan menggunakan browser. MRTG (The Multi Router Traffic Grapher)
telah dibuild sedemikian rupa, sehingga memudahkan kita memakainya. Telah
tersedia dipaket dasarnya.
Contoh konfigurasinya
————————————————————————-
/ tool graphing
set store-every=5min
/ tool graphing interface
add interface=all allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
—————————————————————————
Perintah diatas akan menampilkan grafik dari trafik yang melewati interface
jaringan baik berupa Interface Public dan Interface Local, yang dirender
setiap 5 menit sekali. Juga dapat diatur Alamat apa saja yang dapat mengakses
MRTG ini, pada parameter allow-address.
Setelah beberapa Konfigurasi diatas telah disiapkan, tentu tidak lupa kita
perhatikan keamanan dari Mesin gateway Mikrotik ini, ada beberapa fasilitas
yang dipergunakan. Dalam hal ini akan dibahas tentang Firewallnya. Fasilitas
Firewall ini secara pringsip serupa dengan IP TABLES di Gnu/Linux hanya saja
beberapa perintah telah di sederhanakan namun berdaya guna.
————————————————————————-
[admin@routerku] ip firewall> ?
.. — go up to ip
mangle/ — The packet marking management
nat/ — Network Address Translation
connection/ — Active connections
filter/ — Firewall filters
address-list/ –
service-port/ — Service port management
export –
————————————————————————–
Untuk kali ini kita akan lihat konfigurasi pada ip firewall filternya.
Karena Luasnya parameter dari firewall filter ini untuk pembahasan Firewall
Filter selengkapnya dapat dilihat pada manual mikrotik, di
http://www.mikrotik.com/testdocs/ros/2.9/ip/filter.php
Untuk memastikan Service apa saja yang aktif di Mesin mikrotik, perlu kita
pindai terhadap port tertentu, seandainya ada service yang tidak dibutuhkan,
sebaiknya dimatikan saja.
———————————————————————————-
[admin@routerku] > ip service
[admin@routerku] ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS
CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0
3 ssh 22 0.0.0.0/0
4 www-ssl 443 0.0.0.0/0 none
[admin@routerku] ip service>
———————————————————————————-
Misalkan service FTP akan dinonaktifkan, yaitu di daftar diatas terletak pada
nomor 1 (lihat bagian Flags) maka :
———————————————————————————
[admin@routerku] ip service> set 1 disabled=yes
———————————————————————————
———————————————————————————
[admin@routerku] ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS
CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 X ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0
3 ssh 22 0.0.0.0/0
4 www-ssl 443 0.0.0.0/0 none
[[email protected]] ip service>
———————————————————————————
Dengan memakai tool nmap kita dapat mencek port apa saja yang aktif pada
mesin
gateway yang telah dikonfigurasikan.
Hasil :
————————————————————————————-
Starting Nmap 4.20 ( http://insecure.org ) at 2007-04-04 19:55 SE Asia
Standard Time
Initiating ARP Ping Scan at 19:55
Scanning 192.168.0.30 [1 port]
Completed ARP Ping Scan at 19:55, 0.31s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 19:55
Completed Parallel DNS resolution of 1 host. at 19:55, 0.05s elapsed
Initiating SYN Stealth Scan at 19:55
Scanning 192.168.0.30 [1697 ports]
Discovered open port 22/tcp on 192.168.0.30
Discovered open port 53/tcp on 192.168.0.30
Discovered open port 80/tcp on 192.168.0.30
Discovered open port 21/tcp on 192.168.0.30
Discovered open port 3986/tcp on 192.168.0.30
Discovered open port 2000/tcp on 192.168.0.30
Discovered open port 8080/tcp on 192.168.0.30
Discovered open port 3128/tcp on 192.168.0.30
Completed SYN Stealth Scan at 19:55, 7.42s elapsed (1697 total ports)
Initiating Service scan at 19:55
Scanning 8 services on 192.168.0.30
Completed Service scan at 19:57, 113.80s elapsed (8 services on 1 host)
Host 192.168.0.30 appears to be up … good.
Interesting ports on 192.168.0.30:
Not shown: 1689 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp MikroTik router ftpd 2.9.27
22/tcp open ssh OpenSSH 2.3.0 mikrotik 2.9.27 (protocol 1.99)
53/tcp open domain?
80/tcp open http MikroTik router http config
2000/tcp open callbook?
3128/tcp open http-proxy Squid webproxy 2.5.STABLE11
3986/tcp open mapper-ws_ethd?
8080/tcp open http-proxy Squid webproxy 2.5.STABLE11
2 services unrecognized despite returning data. If you know the
service/version,
please submit the following fingerprints at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
—————————————————————————
Dari hasil scanning tersebut dapat kita ambil kesimpulan, bahwa service dan
port yang aktif adalah FTP dalam versi MikroTik router ftpd 2.9.27. Untuk
SSH dengan versi OpenSSH 2.3.0 mikrotik 2.9.27 (protocol 1.99). Serta Web
proxy memakai Squid dalam versi Squid webproxy 2.5.STABLE11.
Tentu saja pihak vendor mikrotik telah melakukan patch terhadap Hole atau
Vulnerabilities dari Versi Protocol diatas.
Secara praktis terdapat beberapa tool yang dapat dimanfaatkan dalam mela
kukan troubleshooting jaringan, seperti tool ping, traceroute, SSH, dll.
Beberapa tool yang sering digunakan nantinya dalam administrasi sehari-hari
adalah :
o Telnet
o SSH
o Traceroute
o Sniffer
a. Telnet
Perintah remote mesin ini hampir sama penggunaan dengan telnet yang ada
di Linux atau Windows.
Perintah diatas untuk melihat sekilias paramater apa saja yang ada. Misalnya
mesin remote dengan ip address 192.168.0.21 dan port 23. Maka
b. SSH
Sama dengan telnet perintah ini juga diperlukan dalam remote mesin, serta
pringsipnya sama juga parameternya dengan perintah di Linux dan Windows.
Parameter SSH diatas, sedikit perbedaan dengan telnet. Jika lihat helpnya
memiliki parameter tambahan yaitu user.
——————————————————————————
[admin@routerku] > system ssh ?
The SSH feature can be used with various SSH Telnet clients to securely
connect
to and administrate the router
<address> –
user — User name
port — Port number
[admin@routerku] >
——————————————————————————
Misalkan kita akan melakukan remote pada suatu mesin dengan sistem
operasinya Linux, yang memiliki Account, username Root dan Password
123456 pada Address 66.213.7.30. Maka perintahnya,
—————————————————————————–
[admin@routerku] > system ssh 66.213.7.30 user=root
[email protected]’s password:
—————————————————————————-
c. Traceroute
Mengetahui hops atau router apa saja yang dilewati suatu packet sampai packet
itu terkirim ke tujuan, lazimnya kita menggunakan traceroute. Dengan tool ini
dapat di analisa kemana saja route dari jalannya packet.
Misalkan ingin mengetahui jalannya packet yang menuju server yahoo, maka:
—————————————————————————-
[admin@routerku] > tool traceroute yahoo.com ADDRESS STATUS
1 63.219.6.nnn 00:00:00 00:00:00 00:00:00
2 222.124.4.nnn 00:00:00 00:00:00 00:00:00
3 192.168.34.41 00:00:00 00:00:00 00:00:00
4 61.94.1.253 00:00:00 00:00:00 00:00:00
5 203.208.143.173 00:00:00 00:00:00 00:00:00
6 203.208.182.5 00:00:00 00:00:00 00:00:00
7 203.208.182.114 00:00:00 00:00:00 00:00:00
8 203.208.168.118 00:00:00 00:00:00 00:00:00
9 203.208.168.134 timeout 00:00:00 00:00:00
10 216.115.101.34 00:00:00 timeout timeout
11 216.115.101.129 timeout timeout 00:00:00
12 216.115.108.1 timeout timeout 00:00:00
13 216.109.120.249 00:00:00 00:00:00 00:00:00
14 216.109.112.135 00:00:00 timeout timeout
——————————————————————————
d. Sniffer
—————————————————————————-
[admin@routerku] > tool sniffer
Packet sniffering
.. — go up to tool
start — Start/reset sniffering
stop — Stop sniffering
save — Save currently sniffed packets
packet/ — Sniffed packets management
protocol/ — Protocol management
host/ — Host management
connection/ — Connection management
print –
get — get value of property
set –
edit — edit value of property
export –
—————————————————————————-
–[12]– Kesimpulan
Dengan Mikrotik yang saat ini sedang populernya diterapkan pada berbagai
ISP Wireless, Warnet-warnet serta beberapa Perusahaan. Maka Administrasi
Sistem Jaringan dapat lebih mudah dan sederhana. Yang jelas untuk sekedar
memanfaatkan fasilitas Routing saja, PC TUA anda dapat digunakan.
–[13]– Referensi
1. Web Blog
- http://dhanis.web.id
- http://okawardhana.web.id
- http://harrychanputra.web.id
2. Website
- http://www.cgd.co.id
- http://www.ilmukomputer.org
- http://www.mikrotik.com
- http://www.mikrotik.co.id
- http://forum.mikrotik.com
.L.A.M.P.I.R.A.N.
################################################################
Entri ini ditulis oleh Yoyok Riawan dan dikirimkan oleh Juni 2, 2007 at 11:53 pm dan disimpan
di bawah Mikrotik, Networking, Security. Tandai permalink. Telusuri setiap komentar di sini
dengan RSS feed kiriman ini. Tulis komen atau tinggalkan trackback: URL Trackback.
« Create Dota dimesin Mikrotik
Tutorial Step By Step Seting MikroTik »
Tulisan Terakhir
• Tulisan Teratas
o Tutorial Step By Step Seting MikroTik
o Mikrotik crack download
o Tutorial Mikrotik VPN : Point to Point Tunnel Protocol (PPTP)
o Mikrotik Web Proxy Setting for Transparant proxy
o Hotspot Mikrotik
o Download manual mikrotik - ebook lengkap
o Resume Center - Cara terbaik membuat resume
o Mikrotik DHCP Server
o Perintah Dasar Linux dan sering dipergunakan
o SETTING MICROTIK
o Contoh Desain Jaringan Internet untuk Pelanggan ISP
o Penghitungan Subneting
Sebetulnya saya sendiri masih kurang begitu menguasai mikrotik, disini saya mencoba untuk
berbagi pengalaman aja. Semoga bermanfaat.
Kita mulai setup dari modem adsl nya sebagai brigding protocol mode. Settingnya dapat anda
temukan dari manual masing-masing modem. Contoh setting bridging protocol pada modem TE-
COM AR1031 pada menu Advance setup > WAN. Ikuti petunjuk gambar dibawah ini kemudian
lakukan save/reboot.
Selesai setting modem sebagai bridging yang tidak menyimpan password dan user ID anda di
modem, bagi anda yang ingin mencoba mengganti IP address default modem bisa di konfigurasi
terlebih dahulu melalui PC client. Caranya : kita ubah terlebih dahulu IP modem pada Advance
Setup > LAN IP Address contoh 10.10.10.1 lakukan save/reboot. Kemudian lakukan pengubahan
selanjutnya di IP client PC ke 10.10.10.2 selesai. Silahkan anda coba ketik di web browser anda
IP modem (10.10.10.1). Berhasil?
Kita lanjut ke CPU Mikrotik RouterOS nya.
Tentukan IP Address masing-masing LAN card anda, misal LAN connector dari modem
10.10.10.2 (public), dan 192.168.1.1 ke jaringan lokal anda (lokal). Lakukan perintah ini terlebih
dahulu jika anda ingin menspesifikasikan nama ethernet card anda.
Pastikan kembali dalam menentukan nama dan alur kabel tersebut, kemudian kita lanjut ke set-
ting IP Address.
Sebetulnya perintah diatas dapat anda lakukan di winbox, jika ingin lebih mudah sambil cek
koneksi jaringan anda ke mikrotik.
Selesai.. tahap routing sudah terlaksanakan. Coba lakukan ping ke mikrotik dan gateway nya.
Jika anda ingin sharing ke komputer client jangan lupa masukkan ip gateway pada settingan Net-
work Connection (windows) sesuai dengan IP lokal pada mikrotik anda.
Banyak sekali settingan mikrotik yang dapat anda pelajari dari berbagai sumber. Jika terkesan
terlalu rumit dengan sistem pengetikan anda bisa melakukannya dengan winbox mode, setiap tu-
torial yang anda butuhkan pun dapat anda copy dan paste ke winbox nya mikrotik.
Input DNS dan web-proxy pun terasa lebih mudah di winbox mode, masukkan primary, second-
ary dan allow remote request nya, atau dengan perintah di terminal winbox.
Semoga membantu.
Jangan lupa untuk menset IP gateway client anda ke 192.168.1.1 agar terkoneksi ke server mik-
rotik anda dan tidak lupa saya ucapkan terima kasih untuk “kadhol” yang dahulu berkenan mem-
berikan tutor step by step setup mikrotik router newbie buat saya.
Kita mulai setup dari modem adsl nya sebagai brigding protocol mode. Settingnya dapat anda
temukan dari manual masing-masing modem. Contoh setting bridging protocol pada modem
TECOM AR1031 pada menu Advance setup > WAN. Ikuti petunjuk gambar dibawah ini
kemudian lakukan save/reboot.
(http://jagsblog.files.wordpress.com/2007/05/bridge.jpg)
Selesai setting modem sebagai bridging yang tidak menyimpan password dan user ID anda di
modem, bagi anda yang ingin mencoba mengganti IP address default modem bisa di konfigurasi
terlebih dahulu melalui PC client. Caranya : kita ubah terlebih dahulu IP modem pada Advance
Setup > LAN IP Address contoh 10.10.10.1 lakukan save/reboot. Kemudian lakukan pengubahan
selanjutnya di IP client PC ke 10.10.10.2 selesai. Silahkan anda coba ketik di web browser anda
IP modem (10.10.10.1). Berhasil?
Kita lanjut ke CPU Mikrotik RouterOS nya.
Tentukan IP Address masing-masing LAN card anda, misal LAN connector dari modem
10.10.10.2 (public), dan 192.168.1.1 ke jaringan lokal anda (lokal). Lakukan perintah ini terlebih
dahulu jika anda ingin menspesifikasikan nama ethernet card anda.
Pastikan kembali dalam menentukan nama dan alur kabel tersebut, kemudian kita lanjut ke
setting IP Address.
Sebetulnya perintah diatas dapat anda lakukan di winbox, jika ingin lebih mudah sambil cek
koneksi jaringan anda ke mikrotik.
IP gateway diatas belum tentu sama, lihat terlebih dahulu ip pppoe client anda. Jika anda belum
yakin 100% ip client anda dan gateway nya, lakukan login dan dialing melalui modem anda
terlebih dahulu bukan pada mode bridging seperti diatas. Pada menu Device Info akan tampil
informasi Default Gateway dan IP client pppoe anda. Ok?
Selanjutnya masquerading, untuk penerusan perintah dari routing yang diteruskan ke nat firewall
mikrotik untuk proses routing ke semua client yang terkoneksi
Selesai.. tahap routing sudah terlaksanakan. Coba lakukan ping ke mikrotik dan gateway nya.
Jika anda ingin sharing ke komputer client jangan lupa masukkan ip gateway pada settingan
Network Connection (windows) sesuai dengan IP lokal pada mikrotik anda.
Banyak sekali settingan mikrotik yang dapat anda pelajari dari berbagai sumber. Jika terkesan
terlalu rumit dengan sistem pengetikan anda bisa melakukannya dengan winbox mode, setiap
tutorial yang anda butuhkan pun dapat anda copy dan paste ke winbox nya mikrotik.
Setting DNS dan Web Proxy Transparant
Input DNS dan web-proxy pun terasa lebih mudah di winbox mode, masukkan primary,
secondary dan allow remote request nya, atau dengan perintah di terminal winbox.
Ada beberapa macam modem speedy yang sering saya temui antara lain Sanex dan Aztech. Un-
tuk setting kedua modem ini ternyata nggak susah susah amat, cukup dengan ketelitian dan shar-
ing tentunya.
langkah-langkah untuk setting modem speedy Sanex antara lain :
1. Setelah anda mmemasang splitter dengan baik dan benar , satu keluaran splitter untuk line tel-
pon, satu lagi untuk ke modem speedy.
2. Pastikan Line telpon anda sudah di aktifkan oleh pihak speedy /Telkom. hal ini ditandai
dengan hidupnya lampu link di modem anda.
3. Colokan kabel Straight dari modem ke port lan pc anda. lalu atur alamat komputer /IP address
dengan cara klik start menu, control panel -> klik network connection lalu klik 2x pada gambar
komputer. pilih Properties lalu klik pada Internet Protocol/TCP IP lalu pilih properties yang ada
dibawanya. Pilih use the following IP address dan masukkan alamat ini 192.168.1.5dan subnet
mask akan terisi sendiri secara otomatis ketika anda mengklik default gateway, masukkan alamat
default gateway menjadi 192.168.1.1 dan Preffered DNS 192.168.1.1 lalu alternative DNS
202.134.0.155 setelah itu klik Ok dan ok.
Setelah itu kita masuk ke setting modem adsl nya: buka internet explorer atau browser lainnya,
ketikkan alamat 192.168.1.1 karena biasanya itu adalah IP default untuk modem Sanex atau
kamu bisa melihat di buku panduannya. Masukkan username dengan admin lalu password ad-
min, atau lihat lagi buku panduaanya. setelah itu, kamu akan dibawa menuju halaman setting
modem. Pilih menu WAN, klik pada kolom select yang ada di Current ATM VC Table. isi VPI=8
VCI =81 dan di channel mode terdapat beberapa pilihan:
• 1483 Bridge : pilih ini jika kamu ingin dial up speedy melalui komputer kamu, yang
bearti kamu menjadikan modem adsl sebagai jembatan.
• PPoE : Jika kamu memilih ini kamu akan di minta untuk memasukkan username dan
password speedy, berarti kamu harus dial up melalui modem. di Connections type ter-
dapat pilihan antara lain : Continues : yang artinya modem akan melakukan dial up se-
cara otomatis ketika dihidupkan. Connect On Demand : modem akan melakukan dial
hanya jika diperlukan. Manual : kamu harus mendial up modem melalui menu Status ->
WAN klik connect.
Untuk sekedar saran, jika kamu berlangganan speedy paket personal sebaiknya pilih channel
mode 1483 Bridge, atau bisa juga PPoE dengan Connection type Manual agar speedy kamu ng-
gak meledak bayarnya hee....
setelah selesai pilih tombol modify yang ada dibawah dan klik Commit/Reboot dan modem
speedy akan merestart sendiri.
kalo modemnya tidak kamu Restart, biasanya modem akan kembali ke setting default (setting
awal) ketika kamu mematikan dan mmenghidupkan modem.
Sampai disini, setting nya udah selesai jika kamu memilih channel mode PPoE tinggal
mengkoneksikannya dengan internet. Untuk mengkoneksikannya dengan Channel mode PPoE,
silahkan klik menu Status lalu Connect.
Jika kamu memilih channel mode 1483 Bridge maka kamu harus membuat dial up speedy
dikomputer kamu dan caranya :
Masuk ke Control Panel, lalu Network Connection, disamping window terdapat Create a New
Connection, klik next dan pilih connect to the internet lalu pilih Setup My Connection a Manu-
ally lalu pilih opsi yang di tengah yang artinya koneksi yang selalu meminta username dan pass-
word. lalu buat Nama koneksi seperti Speedy, klik next dan masukkan Username dan Password
speedy kamu, masukkan password yang sama pada Confirmasi Password, klik next dan beri
check pada Add Shortcut untuk membuat shortcut speedy di desktop komputer kamu. lalu Finish
dan selesai. kamu bisa mendial up speedy kamu sekarang.
Untuk modem merk lainnya saya rasa settingnya tidak jauh beda, selamat mencoba...
CODE
/ ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=22 src-address-list=ftp_blacklist
action=drop
#add to blacklist
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect"
address-list=blacklist address-list-timeout=23h
Maksud dari kode diatas adalah jika dalam 1 menit berusaha 10 kali login ( dst-limit=1/1m,9 di
login nya yg kesepuluh masuk daftar hitam dan dibanned selama 23jam, address-list=blacklist
address-list-timeout=23h).
menjadi
isi sesuai port yang anda aplikasikan pada settingan router anda, port di atas berlaku untuk
settingan standart ftp, ssh dan telnet.
Tips untuk mempercepat browsing dan access download video pada komputer client
menggunakan web-proxy server mikrotik.
Salah satu fungsi dari webproxy adalah untuk menyimpan pages beserta content dari hasil
browsing pada memory cache web proxy, sehingga saat client melakukan request >1 pada
halaman yang sama, request tersebut akan diambilkan dari memory cache oleh server tanpa harus
meload dari network luar (internet) sehingga access internet terasa lebih cepat. Untuk
menyimpan file-file seperti video, gambar, dan file lain yang diinginkan seperti *.exe *.zip dll
kita bisa menggunakan script dibawah ini pada server mikrotik.
/ ip web-proxy cache
Untuk blocking software ini anda bisa block ip dan domain berikut menggunakan squid maupun
iptables:
- login.camfrog.com
- 66.77.107.71
- 63.236.61.148
- 74.55.217.80
Untuk port yang di block adalah port 2778, 6005 dan 2112.
Berikut adalah contoh blocking paket out/floward menggunakan server mikrotik dan linux.
MIKROTIK
/ip firewall filter add chain=forward dst-address=66.77.107.71 action=drop disable=no
/ip firewall filter add chain=forward dst-address=63.236.61.148 action=drop disable=no
/ip firewall filter add chain=forward dst-address=74.55.217.80 action=drop disable=no
LINUX
/sbin/iptables -A OUTGOING -d 66.77.107.71 -j DROP
/sbin/iptables -A OUTGOING -d 63.236.61.148 -j DROP
/sbin/iptables -A OUTGOING -d 74.55.217.80 -j DROP
1.0.0.1 [modem] -> 1.0.0.2 [ether1] – [mikrotik] – 192.168.1.200 [ether2] -> 192.168.1.200
[webserver]
1. pertama kita set Port Forwarding di Modem LinkSys untuk semua port 0 – 65535.
b. masuk ke Applications and Gaming kemudian pilih tab Port Range Forwarding.
c. isi nama aplikasi dalam contoh ini saya kasih nama ‘All Ports’ kemudian masukkan Range 0 –
65535.
d. masukan ip router mikrotik di box sebelah dalam contoh ini ip mikrotik saya yaitu 1.0.0.2
0 ;;; WEBSERVER
chain=dstnat action=dst-nat to-addresses=192.168.1.200 to-ports=80
protocol=tcp dst-address=1.0.0.2 dst-port=12
b. dalam contoh diatas saya sett untuk membuka jalur web server pada port 12 silahkan ganti
dst-port di rule no 0 jika anda menginginkan membuka web server pada port 2711 misalnya.
c. di rule no 0 to-address silahkan anda isi dengan ip lokal webserver anda, dalam contoh yaitu
192.168.1.200.
d. dst-address di rule no 0 itu anda isi dengan ip lokal mikrotik anda [pada Lan Card 1]
e. pada rule no 1 to -addresses anda isi dengan ip lokal mikrotik anda [pada Lan Card 2] dan dst-
address di rule no 1 isi dengan ip lokal web server anda.
wokeh jika anda mengikuti settingan diatas sama persis silahkan kunjungi http://ip-public-
speedy-anda/ pada port 12 atau http://ip-public-speedy-anda:12/
dengan cara ini anda bisa mempunyai webserver dalam jumlah yang banyak sesuai port aja
dalam 1 ip public.
*info jika anda ingin membuka port 80 untuk webserver harap ganti port services www
mikrotik di IP > Services ke port lain selain 80.
*ps sebagai info keamanan agaknya anda lebih bijaksana membuka port apakah memang
diperlukan pembukaan port dari range 0 – 65535 atau tidak karena saya baru buka port 15 menit
eh udah di bruteforce SSH mikrotik saya. entah darimana :p.
yaitu akses untuk membuka bandwith (simple queue) untuk beberapa client biasanya untuk
download dan main game DoTA.
untuk groups dan policy nya ialah dengan user “budi” dan groups “budi”:
view source
print?
1.[ray16@deenet] > user print
2.Flags: X - disabled
3.# NAME GROUP ADDRESS
4.0 ;;; system default user
5.ray16 full 0.0.0.0/0
6.1 X budi budi 0.0.0.0/0
a. pagi hari jam 8 user budi di nonaktifkan agar tidak ada interepsi dari pihak luar atau agar budi
hanya bisa akses winbox pada malam hari aja.
view source
print?
1.[ray16@deenet] /system script add name=budi-siang source=/user disable 1;
2.[ray16@deenet] /system script add name=budi-malem source=/user enable 1;
2. buat scheduler
view source
print?
1.[ray16@deenet] /system scheduler> add name=budi-siang on-event=budi_siang
start-date=aug/17/2009 start-time=06:00:00 interval=1d
2.[ray16@deenet] /system scheduler> add name=budi-malem on-event=budi_malem
start-date=aug/17/2009 start-time=23:00:00 interval=1d
Good Luck!
kalo gini mikrotik nya saya set agar hanya reply ke IP / Pintu yang sudah terautentikasi bayar di
server
setiap pintu mempunyai 1 komputer dan 1 ip, jadi berurutan mulai dari ip
sebenernya untuk menfilter ip sangat simple hanya mengaktifkan arp-reply only di interface, dan
kita add ip dan mac address yang diperbolehkan untuk connect di IP > ARP.
setelah itu arp akan aktif dan semua koneksi yang menuju LAN akan di deny / drop terkecuali
kita add IP yang kita perbolehkan
done, sampe sini untuk ip 172.16.0.8 dan MAC address bla bla bla bisa terkoneksi ke mikrotik
dan mendapat reply koneksi namun jika IP tersebut Mac Address nya diganti in case pake laptop
maka koneksi tidak akan terbentuk alias untuk MAC address itu aja.
karena waktu itu ada 30 komputer maka saya secara massal ngeliat MAC address mereka lewat
NetScan, dengan Scan Range 172.16.0.1 – 172.16.0.255 dan meng enable kan Mac Address scan
. contoh:
MAC Address nya dari dash (-) di convert ke titik dua (:).
*ps: Jika Anda setting seperti ini dari winbox atau remote comp maka Langkah awalnya yaitu
nge Add komputer Anda dulu ke dalam Arp, baru mengaktifkan Arpreply only, Agar comp anda
tidak terkena filter
White_Heaven_Angels
Dokumen ini dirancang untuk perangkat RouterOs tapi yang tidak mempunyai konfigurasi, kon-
figurasi yang dijelaskan dalam tutorial ini dapat bekerja untuk router sudah dikonfigurasi tetapi
harus hati-hati semoga yang diambil konfigurasi ini tidak mempengaruhi perangkat.
Harap membaca dan memahami seluruh dokumen sebelum mendaftar ke perangkat ini,
kegagalan untuk melakukan hal ini dapat menyebabkan Anda tidak dapat mengakses perangkat.
Maksud dari dokumen ini untuk mengambil langkah-langkah yang diperlukan untuk
mengamankan akses ke perangkat RouterOs sambil mempertahankan kemampuan untuk per-
angkat lain untuk berkomunikasi dan menggunakan layanan tertentu. Tutorial ini bekerja pada
konsep ‘hanya cukup-akses, yaitu layanan atau orang yang membutuhkan akses ke router ada’
hanya-cukup ‘istimewa pada router untuk melakukan pekerjaan mereka – dan tidak ada lagi.
Tidak ada alasan lain bahwa hanya akses router dari BGP pada perangkat untuk memiliki akses
penuh dan juga pengguna yang masuk ke dalam memantau sambungan nirkabel harus mempun-
yai akses tulis atau kemampuan untuk reboot / shutdown etc etc Dengan ini dalam pikiran Anda
harus melihat area lain pada jaringan Anda dan bagaimana mereka asses setup / dikonfigurasi –
mereka mungkin memerlukan perhatian untuk sepenuhnya aman jaringan anda secara keselur-
uhan.
The user’s going to pick dancing pigs over security every time. — Bruce Schneier
• Advanced-Tools
• Ntp
• Security
• System
Ini adalah paket untuk menginstal sistem dasar di mana Anda dapat menyimpan jam dalam sink-
ro dengan sumber eksternal, sebuah suite alat canggih yang memungkinkan pemantauan,
pelaporan dan memungkinkan Anda untuk berbicara dengan router aman.
Anda harus berpikir tentang peranan yang tepat akan memiliki router sebelum anda mulai
mengaktifkan lagi paket pada router, “it’s a simple” nirkabel pemancar maka mengapa perlu
diaktifkan DHCP atau tidak? Jika router adalah menjadi Ethernet berbasis firewall maka
mengapa tidak perlu nirkabel diaktifkan. Hanya memungkinkan paket router perlu untuk melak-
ukan pekerjaannya, jadi yang kita fikirkan adalah keadaan cukup aman pada router kita.
• Telnet
• SSH
• HTTP
• Winbox
• FTP
• Mac-Telnet
Untuk itu maka gunakanlah 1 cara dengan cara menonaktifkan semuanya dan gunakan salah satu
cara saja untuk masuk ke sebuah router, itu adalah cara yang aman.
1 ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0
3 ssh 22 0.0.0.0/0
none
Anda telah mengkonfigurasi layanan yang Anda sukai sekarang saatnya untuk melihat cara lain
untuk antarmuka dengan router, pertama adalah atas SNMP yang digunakan oleh banyak pro-
gram untuk memonitor perangkat (Ie The Dude). SNMP dimatikan secara default dan jika anda
memiliki cara lain monitoring perangkat ini aman untuk meninggalkan dinonaktifkan. Saya lebih
suka menggunakan The Dude untuk memonitor jaringan, jadi saya akan pergi ke depan dan
memungkinkan akses dan membantu mengatur beberapa bidang.
SNMP di RouterOs 2,9 adalah membaca saja, sehingga hanya bahaya yang memungkinkan akses
ke sana adalah bahwa tanpa firewall untuk menghentikan akses ada pada jaringan atau jika router
memiliki alamat IP publik akan dapat melihat sinyal nirkabel, tingkat jaringan, dll.
Sekarang bahwa Anda memiliki dasar keamanan router keamanan dan sekarang adalah waktu
untuk melihat pengguna yang mengakses router dan bahwa mereka memiliki hak istimewa atau
tidak.
maka gunakanlah kebijakan di kantor anda untuk mengetahui user mana yang harus memiliki
privilage :
gunakalah hanya satu jalur masuk, contohnya gunakan winbox, dan matikan semua layanan yang
berjalan diatas, ini berguna untuk melindungi diri dari attacker yang menggunakan ssh brute
force, maupun telnet, dan ftp begitu juga menggunakan browser untuk masuk ke router anda.
yang berikutnya adalah gunakan 1 komputer di jaringan lokal anda yang hanya bisa masuk
router. ini mencegah dari banyak client yang ingin menggunakan router anda dari client meng-
gunakan winbox, jadi meskipun client menginstall winbox dan mengetahui user dan password
admin maka tidak akan bisa diijinkan masuk karena hanya IP anda yang bisa anda gunakan untuk
masuk.
Setelah itu gunakan winbox untuk menyimpan user dan password anda.
3. Port Knocking
Di firewall kita akan meload ke router nanti kita bahas dibagi menjadi 2 bagian :
2. semua device yang lain punya batas waktu untuk akses ke router.
Satu hal bahwa semua perangkat lain yang hanya terbatas bagi mereka yang tidak memiliki Win-
box / SSH / telnet akses ke router, yang kadang-kadang berarti Anda tidak bisa memasukinya.
Salah satu cara untuk sementara membolehkan akses penuh ke router adalah port ketukan.
port knocking RouterOs adalah salah satu cara untuk menambahkan alamat IP dinamis ke dalam
daftar alamat untuk jumlah waktu yang ditentukan. Cara kerjanya adalah seperti ini.
2. router menambah ip client ke address list “temp” misalkan dengan waktu 15 menit.
4. router mengecek untuk melihat apakah IP client ada di address list “temp”.
5. jika demikian maka router menambah IP address ke address list “safe” dengan waktu 15 men-
it.
Jadi dengan ini client dibatasi waktu aksesnya ke router. ini membuat router lebih aman.
Meskipun fitur ini berguna namun dalam keamanan, dalam aturan firewall saya akan menun-
jukkan aturan yang digunakan untuk membuat sebuah port knocking, jika Anda keluar dari atur-
an ini maka tidak ada port knocking di router anda.
4. Loading A Firewall
Yups sekarang saatnya kita membahas tentang firewall, sekarang router Anda sudah aman dari
akses oleh password, tetapi password merupakan salah satu lapisan keamanan – bukan hanya
lapisan. Script ini berdasarkan firewall digunakan pada router MT demo tetapi memiliki be-
berapa perubahan disana, hanya melindungi router dan tidak ‘foward’ dalam aturan firewall.
/ ip firewall filter
Pada peraturan setup port knocking, setup diatas digunakan pada contoh kami akan gunakan un-
tuk menambahkan alamat IP agar ‘aman’-daftar alamat ini adalah alamat yang digunakan dalam
daftar ini firewall untuk mengizinkan penuh akses ke router.
Aturan ini hanya berlaku pastikan sambungan pergi ke router dan akan mematikan apapun yang
tidak sah.
add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=”detect and drop port scan
connections” disabled=no
Ini adalah aturan dari sedikit reaktif ke DoS dan yang mencoba untuk menggunakan port scan-
ner, port scan adalah menurun tetapi serangan DoS adalah ‘tarpitted’ dalam bahwa semua konek-
si yang diperlambat bawah untuk meningkatkan penggunaan sumber daya pada perangkat
penyerang.
2 peraturan ini beralih ke rantai kita akan membuat, jumping adalah berguna karena memun-
gkinkan Anda untuk kembali aturan yang sama di berbagai rantai (Ie Input dan Forward dapat
beralih ke rantai yang sama dan menjalankan peraturan yang sama)
Broadcast membolehkan lalu lintas ke router, hal ini kadang-kadang diperlukan oleh hal-hal sep-
erti NTP
Dan ini merupakan aturan yang menolak semua akses ke router, lalu lintas jika belum diterima
oleh aturan-aturan di atas maka akan drop.
Ini adalah layanan yang kami Izinkan setiap mengakses, karena Anda dapat melihat kebanyakan
mereka dinonaktifkan secara default. Satu-satunya adalah layanan yang memungkinkan pribadi
saya merasa harus selalu dapat diakses.
• Mac-Telnet
• Bandwidth Test Server
• MT Discovery
Semua layanan lainnya hanya boleh diaktifkan bila mereka merasa diperlukan, menjalankan
script ini pada produksi router yang sudah dikonfigurasi akan menyebabkan ia terjatuh ke IPSec,
BGP, dan EOIP a bunch dari layanan lainnya, jadi harus diperiksa aturan2 tersebut, jangan asal
copy paste. Sekali lagi baca dengan teliti, dan seksama untuk menerapkan aturan ini.
Nah penyimpanan yang melebihi 100 baris akan hilang di router. maka log sangat diperlukan un-
tuk memantau semua jaringan.
0 info memory
1 error memory
2 warning memory
3 critical echo
jadi yang terlihat adalah ketika terjadi booting ulang maka kita akan kehilangan semua log kita.
atau sekarang bisa juga kita buat aturan bahwa log tidak di memori namun langsung tersimpan di
hardisk, caranya adalah seperti dibawah ini :
Kemudian kita mengubah logging tindakan untuk menghentikan firewall clogging up log
Dan sekarang kita atur agar semua firewall hits mendapatkan dikirim ke sasaran baru.
Jangan lupa untuk menambahkan ‘: 514′ di bagian akhir alamat IP seperti ini menentukan port
yang digunakan. Setelah kami telah mengatur IP kita dapat maju dan menambahkan sebuah atur-
an untuk masuk ke semua daemon
setelah itu periksalah tiap hari log tersebut, jangan hanya akan menjadi file sampah ya…
1. vi /etc/rc.conf
(By default into “syslogd_flags” set “-s” option. Don’t forget remove it. The “-a” options are ig-
nored if the “-s” option is also specified. See man syslogd. )
2. vi /etc/syslog.conf
+@ # syslog settings of current system +* # +<ip-address or host of your router> *.*
/var/log/mikrotik.log +*
3. /etc/rc.d/syslogd restart
Waktu itu harus disetting jangan lupa.. jangan2 belum diset time di compynya..
xxxxxxxxxxxxxxxxxxxxx
Pentest Lab
xxxxxxxxxxxxxxxxxxxxx
o Telnet
o SSH
o HTTP
o Winbox
o FTP
o Mac-Telnet
Fig. Topologi
Target Attacker
[ vmWare ] ;——–x x———; [ Notebook ]
192.168.0.1/24 192.168.0.2/24
RouterOS winXP
Alatbantu:
———————————————————————————–
D:\>nmap -vv -sX -sV -p U:53,111,137,500,T:21-25,80,139,179,8080 192.168.0.1
D:\>
———————————————————————————–
Tambahkan rule;
———————————————————————————–
| add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list \
| address-list=”port scanners” address-list-timeout=2w comment=”Drop Port \
| Scanners” disabled=no
| add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg \
| action=add-src-to-address-list address-list=”port scanners” \
| address-list-timeout=2w comment=”" disabled=no
| add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list \
| address-list=”port scanners” address-list-timeout=2w comment=”" \
| disabled=no
| add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list \
| address-list=”port scanners” address-list-timeout=2w comment=”" \
| disabled=no
| add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack \
| action=add-src-to-address-list address-list=”port scanners” \
| address-list-timeout=2w comment=”" disabled=no
| add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg \
| action=add-src-to-address-list address-list=”port scanners” \
| address-list-timeout=2w comment=”" disabled=no
| add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg \
| action=add-src-to-address-list address-list=”port scanners” \
| address-list-timeout=2w comment=”" disabled=no
| add chain=input src-address-list=”port scanners” action=drop comment=”" \
| disabled=no
———————————————————————————–
D:\>
———————————————————————————–
Seperti:
————————————————————————————
D:\fscan>fscan.exe –ports 80 –hosts 192.168.0.1 –threads 200
Fast HTTP Auth Scanner v0.6
(c) Andres Tarasco - http://www.514.es
D:\fscan>
————————————————————————————
D:\fscan>
———————————————————————————–
———————————————————————————–
# Download tool portknocking
D:\>wget http://www.zeroflux.org/proj/knock/files/knock-cygwin.zip
# Ekstrak file
D:\knock>dir
Volume in drive D is —data.
Volume Serial Number is 20B3-1A4D
Directory of D:\knock
D:\knock>
D:\>telnet 192.168.0.1 22
Connecting To 192.168.0.1…Could not open connection to the host, on port 22: C
onnect failed
D:\>
———————————————
|PuTTY Fatal Error [x]|
|——————————————-|
| |
| (X) Network error: Connection timed out |
| |
| +———–+ |
| | OK | |
| +———–+ |
| |
———————————————
D:\knock>knock.exe
usage: knock [options] <host> <port[:proto]> [port[:proto]] …
options:
-u, –udp make all ports hits use UDP (default is TCP)
-v, –verbose be verbose
-V, –version display version
-h, –help this help
D:\knock>
/ ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list \
address-list=”port scanners” address-list-timeout=2w comment=”Drop Port \
Scanners” disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”" disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list \
address-list=”port scanners” address-list-timeout=2w comment=”" \
disabled=no
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list \
address-list=”port scanners” address-list-timeout=2w comment=”" \
disabled=no
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”" disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”" disabled=no
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”" disabled=no
add chain=input src-address-list=”port scanners” action=drop comment=”" \
disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist \
action=drop comment=”Drop SSH brute forcers” disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list \
address-list=ssh_blacklist address-list-timeout=1w3d comment=”" \
disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list \
address-list=ssh_stage3 address-list-timeout=1m comment=”" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage1 action=add-src-to-address-list \
address-list=ssh_stage2 address-list-timeout=1m comment=”" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m comment=”" disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist \
action=drop comment=”Drop FTP brute forcers” disabled=no
add chain=output protocol=tcp content=”530 Login incorrect” \
dst-limit=1/1m,9,dst-address/1m action=accept comment=”" disabled=no
add chain=output protocol=tcp content=”530 Login incorrect” \
action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h comment=”" disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=web_blacklist \
action=drop comment=”Drop Web brute forcers” disabled=no
add chain=input protocol=tcp dst-port=443 src-address-list=web_blacklist \
action=drop comment=”" disabled=no
add chain=output protocol=tcp content=”invalid user name or password” \
dst-limit=1/1m,9,dst-address/1m action=accept comment=”" disabled=no
add chain=output protocol=tcp content=”invalid user name or password” \
action=add-dst-to-address-list address-list=web_blacklist \
address-list-timeout=3h comment=”" disabled=no
add chain=input protocol=tcp dst-port=1337 action=add-src-to-address-list \
address-list=knock-knock address-list-timeout=15s comment=”Port Knocking” \
disabled=no
add chain=input protocol=udp dst-port=17954 src-address-list=knock-knock \
action=add-src-to-address-list address-list=”Save Haven” \
address-list-timeout=3h comment=”" disabled=no
add chain=input src-address-list=”Save Haven” action=accept comment=”" \
disabled=no
add chain=input action=drop comment=”" disabled=no
Upload file publik key ke RouterOS gunakan Scp, selanjutnya import file,
o Firewall - http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling
o Syslog Daemon
Pada pembahasan artikel ini, kita akan mengambil contoh sebuah sistem QoS sederhana, di mana
kita ingin mengalokasikan bandwidth sebesar 400kbps untuk 3 client, di mana masing-masing
client bisa mendapatkan maksimal 200kbps. Di antara ketiga client tersebut, memiliki prioritas
yang berbeda, yaitu: 1,2, dan 3.
Untuk mempermudah pemantauan dan pembuktian, kita akan menggunakan queue tree.
Cara paling mudah untuk melakukan queue dengan queue tree, adalah dengan menentukan
parameter :
Untuk percobaan awal, semua priority diisi angka yang sama: 8, dan parameter limit-at tidak kita
isi. Gambar berikut ini adalah ilustrasi apa yang akan terjadi dengan konfigurasi di atas.
Karena alokasi bandwidth yang tersedia hanya 400kbps, sedangkan total akumulasi ketiga client
melebihinya (600 kbps), maka ketiga client akan saling berebut, dan tidak bisa diprediksikan
siapa yang akan menang (menggunakan bandwidth secara penuh) dan siapa yang akan kalah
(tidak mendapatkan bandwidth yang sesuai).
Misalkan q1 adalah client dengan prioritas tertinggi, dan q3 adalah client dengan prioritas
terbawah. Kita akan mencoba memasukkan nilai prioritas untuk masing-masing client sesuai
dengan prioritasnya.
Tampak pada gambar di atas, meskipun sekarang q1 sudah memiliki prioritas tertinggi, namun
ketiga client masih berebutan bandwidth dan tidak terkontrol.
Gambar berikut akan mencoba mengimplementasikan nilai limit-at. Seharusnya, limit-at adalah
CIR (Committed Information Rate), merupakan parameter di mana suatu client akan
mendapatkan bandwidthnya, apapun kondisi lainnya, selama bandwidthnya memang tersedia.
Ternyata q1 masih tidak mendapatkan bandwidth sesuai dengan limit-at (CIR) nya. Padahal,
karena bandwidth yang tersedia adalah 400kbps, seharusnya mencukupi untuk mensuplai
masing-masing client sesuai dengan limit-at nya.
Berikutnya, kita akan menggunakan parent queue, dan menempatkan ketiga queue client tadi
sebagai child queue dari parent queue yang akan kita buat. Pada parent queue, kita cukup
memasukkan outgoing-interface pada parameter parent, dan untuk ketiga child, kita mengubah
parameter parent menjadi nama parent queue. Pertama-tama, kita belum akan memasukkan nilai
max-limit pada parent-queue, dan menghapus semua parameter limit-at pada semua client.
Tampak pada contoh di atas, karena kita tidak memasukkan nilai max-limit pada parent, maka
priority pada child pun belum bisa terjaga.
Setelah kita memasang parameter max-limit pada parent queue, barulah prioritas pada client
akan berjalan.
Tampak pada contoh di atas, q1 dan q2 mendapatkan bandwidth hampir sebesar max-limitnya,
sedangkan q3 hampir tidak kebagian bandwidth. Prioritas telah berjalan dengan baik. Namun,
pada kondisi sebenarnya, tentu kita tidak ingin ada client yang sama sekali tidak mendapatkan
bandwidth.
Untuk itu, kita perlu memasang nilai limit-at pada masing-masing client. Nilai limit-at ini adalah
kecepatan minimal yang akan di dapatkan oleh client, dan tidak akan terganggu oleh client
lainnya, seberapa besarpun client lainnya ‘menyedot’ bandwidth, ataupun berapapun
prioritasnya. Kita memasang nilai 75kbps sebagai limit-at di semua client.
Tampak bahwa q3, yang memiliki prioritas paling bawah, mendapatkan bandwidth sebesar limit-
at nya. q1 yang memiliki prioritas tertinggi, bisa mendapatkan bandwidth sebesar max-limitnya,
sedangkan q2 yang prioritasnya di antara q1 dan q3, bisa mendapatkan bandwidth di atas limit-
at, tapi tidak mencapai max-limit. Pada contoh di atas, semua client akan terjamin mendapatkan
bandwidth sebesar limit-at, dan jika ada sisa, akan dibagikan hingga jumlah totalnya mencapai
max-limit parent, sesuai dengan prioritas masing-masing client.
Jumlah akumulatif dari limit-at tidaklah boleh melebihi max-limit parent. Jika hal itu terjadi,
seperti contoh di bawah ini, jumlah limit-at ketiga client adalah 600kbps, sedangkan nilai max-
limit parent hanyalah 400kbps, maka max-limit parent akan bocor. Contoh di bawah ini
mengasumsikan bahwa kapasitas keseluruhan memang bisa mencapai nilai total limit-at. Namun,
apabila bandwidth yang tersedia tidak mencapai total limit-at, maka client akan kembali
berebutan dan sistem prioritas menjadi tidak bekerja.
Sedangkan, mengenai max-limit, max-limit sebuah client tidak boleh melebihi max-limit parent.
Jika hal ini terjadi, maka client tidak akan pernah mencapai max-limit, dan hanya akan
mendapatkan kecepatan maksimum sebesar max-limit parent (lebih kecil dari max-limit client).
Jika semua client memiliki prioritas yang sama, maka client akan berbagi bandwidth sisa.
Tampak pada contoh di bawah ini, semua client mendapatkan bandwidth yang sama, sekitar
130kbps (total 400kbps dibagi 3).
Di asumsikan bandwidth yang tersedia sebesar 1000kbps. Dan jumlah seluruh client adalah 70.
Yang perlu diketahui adalah :
1. Berapa jumlah maksimal client yang menggunakan internet pada saat yang bersamaan.
Jumlah ini belum tentu sama dengan jumlah komputer yang ada, apabila semua client
tidak pernah terkoneksi secara bersamaan. Sebagai contoh, untuk kasus ini kita asumsik-
an adalah 50.
2. Berapa jumlah minimal client yang menggunakan internet pada saat yang bersamaan. Se-
bagai contoh, untuk kasus ini kita asumsikan adalah 10
Maka, untuk setiap client (1 client dibuatkan 1 rule queue), limit-at nya adalah 1000 / 50 =
20kbps, dan max-limit nya adalah 1000 / 10 = 100 kbps.
Jangan lupa untuk menambahkan parent dengan max-limit sebesar 1000kbps (tidak perlu limit-
at), dan memasukkan semua queue client di bawah parent queue. Jika untuk terminal tertentu
membutuhkan priority lebih besar, maka kita bisa menggunakan priority yang berbeda-beda,
tergantung dengan urutan prioritasnya.
Load balancing yang coba aku bahas saat ini dilakukan pada mikrotik 2.9 (Jadul euy) yang
diinstall pada PC pentium 3 dengan ethernet card sebanyak 4 buah yang diinstal di slot PCI.
Selamat mencoba…
Sumber : http://infonesia.info
Tags:
<!-- –>
/ interface ethernet
set Local name=”Local” mtu=1500 mac-address=0A:C0:18:1A:3C:8A arp=enabled disable-
running-check=yes auto-negotiation=no \
full-duplex=yes cable-settings=default speed=100Mbps comment=”” disabled=no
set Speedy1 name=”Speedy1? mtu=1500 mac-address=0A:C0:18:1A:3C:75 arp=enabled
disable-running-check=yes \
auto-negotiation=no full-duplex=yes cable-settings=default speed=1Gbps comment=””
disabled=no
set Speedy2 name=”Speedy2? mtu=1500 mac-address=C0:10:18:C0:30:94 arp=enabled disable-
running-check=yes \
auto-negotiation=no full-duplex=yes cable-settings=default speed=1Gbps comment=””
disabled=no
set Speedy3 name=”Speedy3? mtu=1500 mac-address=00:0C:6E:D3:0D:FC arp=enabled
disable-running-check=yes \
auto-negotiation=no full-duplex=yes cable-settings=default speed=1Gbps comment=””
disabled=no
/ interface l2tp-server server
set enabled=no max-mtu=1460 max-mru=1460 authentication=pap,chap,mschap1,mschap2
default-profile=default-encryption
/ interface pptp-server
add name=”vpn” user=”” disabled=no
/ interface pptp-server server
set enabled=yes max-mtu=1460 max-mru=1460 authentication=mschap1,mschap2 keepalive-
timeout=30 default-profile=vpn
/ interface pppoe-client
add name=”pppoe-out1? max-mtu=1480 max-mru=1480 interface=Speedy2
user=”[email protected]” password=”sttlqg13mc” \
profile=default service-name=”” ac-name=”” add-default-route=yes dial-on-demand=no use-
peer-dns=no \
allow=pap,chap,mschap1,mschap2 disabled=no
/ ip pool
add name=”dhcp_pool1? ranges=10.2.1.1-10.2.1.252,10.2.1.254
add name=”vpn” ranges=172.16.1.1-172.16.1.6
/ ip accounting
set enabled=no account-local-traffic=no threshold=256
/ ip accounting web-access
set accessible-via-web=no address=0.0.0.0/0
/ ip service
set telnet port=23 address=0.0.0.0/0 disabled=yes
set ftp port=21 address=0.0.0.0/0 disabled=yes
set www port=7479 address=0.0.0.0/0 disabled=no
set ssh port=1981 address=0.0.0.0/0 disabled=no
set www-ssl port=443 address=0.0.0.0/0 certificate=none disabled=yes
/ ip upnp
set enabled=no allow-disable-external-interface=yes show-dummy-rule=yes
/ ip arp
/ ip socks
set enabled=no port=1080 connection-idle-timeout=2m max-connections=200
/ ip dns
set primary-dns=203.130.193.74 secondary-dns=202.134.0.155 allow-remote-requests=yes
cache-size=2048KiB cache-max-ttl=1w
/ ip dns static
add name=”www.ktr-pjk-pdg.org” address=10.2.1.253 ttl=1d
/ ip traffic-flow
set enabled=no interfaces=all cache-entries=4k active-flow-timeout=30m inactive-flow-
timeout=15s
/ ip address
add address=10.2.1.253/24 network=10.2.1.0 broadcast=10.2.1.255 interface=Local
comment=”” disabled=no
add address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255 interface=Speedy1
comment=”” disabled=no
add address=192.168.2.2/24 network=192.168.2.0 broadcast=192.168.2.255 interface=Speedy2
comment=”” disabled=no
add address=192.168.3.2/24 network=192.168.3.0 broadcast=192.168.3.255 interface=Speedy3
comment=”” disabled=no
add address=172.16.1.1/29 network=172.16.1.0 broadcast=172.16.1.7 interface=Local
comment=”” disabled=no
/ ip proxy
set enabled=no port=8080 parent-proxy=0.0.0.0:0 maximal-client-connecions=1000 maximal-
server-connectons=1000
/ ip proxy access
add dst-port=23-25 action=deny comment=”block telnet & spam e-mail relaying” disabled=no
/ ip neighbor discovery
set Local discover=yes
set Speedy1 discover=yes
set Speedy2 discover=yes
set Speedy3 discover=yes
set pppoe-out1 discover=no
set vpn discover=no
/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-scope=10 routing-
mark=speedy1 comment=”” disabled=no
add dst-address=0.0.0.0/0 gateway=125.165.112.1 scope=255 target-scope=10 routing-
mark=speedy2 comment=”” disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.3.1 scope=255 target-scope=10 routing-
mark=speedy3 comment=”” disabled=no
add dst-address=0.0.0.0/0 gateway=125.165.112.1 scope=255 target-scope=10 comment=””
disabled=no
/ ip firewall mangle
add chain=prerouting p2p=all-p2p action=mark-connection new-connection-
mark=prio_conn_p2p passthrough=yes comment=”Prio \
P2P” disabled=yes
add chain=prerouting connection-mark=prio_conn_p2p action=mark-packet new-packet-
mark=prio_p2p_packet passthrough=no \
comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=995 action=mark-connection new-connection-
mark=prio_conn_download_services \
passthrough=yes comment=”Prio Download_Services” disabled=yes
add chain=prerouting protocol=tcp dst-port=143 action=mark-connection new-connection-
mark=prio_conn_download_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=993 action=mark-connection new-connection-
mark=prio_conn_download_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=995 action=mark-connection new-connection-
mark=prio_conn_download_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=25 action=mark-connection new-connection-
mark=prio_conn_download_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=80 action=mark-connection new-connection-
mark=prio_conn_download_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=20-21 action=mark-connection new-connection-
mark=prio_conn_download_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=22 packet-size=1400-1500 action=mark-connection
\
new-connection-mark=prio_conn_download_services passthrough=yes comment=””
disabled=yes
add chain=prerouting connection-mark=prio_conn_download_services action=mark-packet new-
packet-mark=prio_download_packet \
passthrough=no comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=53 action=mark-connection new-connection-
mark=prio_conn_ensign_services \
passthrough=yes comment=”Prio Ensign_Services” disabled=yes
add chain=prerouting protocol=udp dst-port=53 action=mark-connection new-connection-
mark=prio_conn_ensign_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=icmp action=mark-connection new-connection-
mark=prio_conn_ensign_services passthrough=yes \
comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=443 action=mark-connection new-connection-
mark=prio_conn_ensign_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=23 action=mark-connection new-connection-
mark=prio_conn_ensign_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=80 connection-bytes=0-500000 action=mark-
connection \
new-connection-mark=prio_conn_ensign_services passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=8080 action=mark-connection new-connection-
mark=prio_conn_ensign_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting connection-mark=prio_conn_ensign_services action=mark-packet new-
packet-mark=prio_ensign_packet \
passthrough=no comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=22 packet-size=1400-1500 action=mark-connection
\
new-connection-mark=prio_conn_user_services passthrough=yes comment=”Prio
User_Request” disabled=yes
add chain=prerouting protocol=tcp dst-port=8291 packet-size=1400-1500 action=mark-
connection \
new-connection-mark=prio_conn_user_services passthrough=yes comment=”” disabled=yes
add chain=prerouting connection-mark=prio_conn_user_services action=mark-packet new-
packet-mark=prio_request_packet \
passthrough=no comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=5100 action=mark-connection new-connection-
mark=prio_conn_comm_services \
passthrough=yes comment=”Prio_Communication” disabled=yes
add chain=prerouting protocol=tcp dst-port=5050 action=mark-connection new-connection-
mark=prio_conn_comm_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=udp dst-port=5060 action=mark-connection new-connection-
mark=prio_conn_comm_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=1869 action=mark-connection new-connection-
mark=prio_conn_comm_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=1723 action=mark-connection new-connection-
mark=prio_conn_comm_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=5190 action=mark-connection new-connection-
mark=prio_conn_comm_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=tcp dst-port=6660-7000 action=mark-connection new-
connection-mark=prio_conn_comm_services \
passthrough=yes comment=”” disabled=yes
add chain=prerouting protocol=ipencap action=mark-connection new-connection-
mark=prio_conn_comm_services passthrough=yes \
comment=”” disabled=yes
add chain=prerouting protocol=gre action=mark-connection new-connection-
mark=prio_conn_comm_services passthrough=yes \
comment=”” disabled=yes
add chain=prerouting protocol=ipsec-esp action=mark-connection new-connection-
mark=prio_conn_comm_services passthrough=yes \
comment=”” disabled=yes
add chain=prerouting protocol=ipsec-ah action=mark-connection new-connection-
mark=prio_conn_comm_services passthrough=yes \
comment=”” disabled=yes
add chain=prerouting protocol=ipip action=mark-connection new-connection-
mark=prio_conn_comm_services passthrough=yes \
comment=”” disabled=yes
add chain=prerouting protocol=encap action=mark-connection new-connection-
mark=prio_conn_comm_services passthrough=yes \
comment=”” disabled=yes
add chain=prerouting connection-mark=prio_conn_comm_services action=mark-packet new-
packet-mark=prio_comm_packet \
passthrough=no comment=”” disabled=yes
add chain=prerouting in-interface=Local connection-state=new nth=2,1,0 action=mark-
connection new-connection-mark=speedy1 \
passthrough=yes comment=”LB 3 Line Speedy” disabled=no
add chain=prerouting in-interface=Local connection-mark=speedy1 action=mark-routing new-
routing-mark=speedy1 \
passthrough=no comment=”” disabled=no
add chain=prerouting in-interface=Local connection-state=new nth=2,1,1 action=mark-
connection new-connection-mark=speedy2 \
passthrough=yes comment=”” disabled=no
add chain=prerouting in-interface=Local connection-mark=speedy2 action=mark-routing new-
routing-mark=speedy2 \
passthrough=no comment=”” disabled=no
add chain=prerouting in-interface=Local connection-state=new nth=2,1,2 action=mark-
connection new-connection-mark=speedy3 \
passthrough=yes comment=”” disabled=no
add chain=prerouting in-interface=Local connection-mark=speedy3 action=mark-routing new-
routing-mark=speedy3 \
passthrough=no comment=”” disabled=no
/ ip firewall nat
add chain=srcnat connection-mark=speedy1 action=src-nat to-addresses=192.168.1.2 to-ports=0-
65535 comment=”NAT 2 CLIENT” \
disabled=no
add chain=srcnat connection-mark=speedy2 action=src-nat to-addresses=125.165.115.184 to-
ports=0-65535 comment=”” \
disabled=no
add chain=srcnat connection-mark=speedy3 action=src-nat to-addresses=192.168.3.2 to-ports=0-
65535 comment=”” disabled=no
add chain=srcnat src-address=172.16.1.0/29 action=masquerade comment=”NAT VPN”
disabled=no
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s tcp-established-
timeout=1d tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s tcp-time-wait-timeout=10s tcp-close-
timeout=10s udp-timeout=10s \
udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m tcp-syncookie=no
/ ip firewall filter
add chain=forward src-address=0.0.0.0/8 action=drop comment=”Block Bogus IP Address”
disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment=”” disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment=”” disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment=”” disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment=”” disabled=no
add chain=forward dst-address=224.0.0.0/3 action=drop comment=”” disabled=no
add chain=forward src-address=192.168.1.99 protocol=tcp content=www action=drop
comment=”block browsing 1? disabled=yes
add chain=forward src-address=192.168.1.7 content=!www action=drop comment=””
disabled=yes
add chain=forward src-address=192.168.1.8 protocol=tcp content=www action=drop
comment=”” disabled=yes
add chain=forward src-address=192.168.1.9 action=drop comment=”” disabled=yes
add chain=forward src-address=192.168.1.10 content=!www action=drop comment=””
disabled=yes
add chain=forward src-address=192.168.1.11 protocol=tcp content=www action=drop
comment=”” disabled=yes
add chain=forward src-address=192.168.1.12 protocol=tcp content=www action=drop
comment=”” disabled=yes
add chain=forward src-address=192.168.1.99 protocol=tcp content=http: action=drop
comment=”block browsing 2? disabled=yes
add chain=forward src-address=192.168.1.4 protocol=tcp content=http: action=drop
comment=”” disabled=yes
add chain=forward src-address=192.168.1.5 protocol=tcp content=http: action=drop
comment=”” disabled=yes
add chain=forward src-address=192.168.1.6 protocol=tcp content=http: action=drop
comment=”” disabled=yes
add chain=forward src-address=192.168.1.7 content=!http: action=drop comment=””
disabled=yes
add chain=forward src-address=192.168.1.8 protocol=tcp content=http: action=drop
comment=”” disabled=yes
add chain=input src-address=192.168.1.9 action=drop comment=”” disabled=yes
add chain=input src-address=192.168.1.10 content=!http: action=drop comment=”” disabled=yes
add chain=forward src-address=192.168.1.11 protocol=tcp content=http: action=drop
comment=”” disabled=yes
add chain=forward src-address=192.168.1.12 protocol=tcp content=http: action=drop
comment=”” disabled=yes
add chain=forward protocol=icmp icmp-options=11:0 action=drop comment=”Drop Traceroute”
disabled=no
add chain=forward protocol=icmp icmp-options=3:3 action=drop comment=”Drop Traceroute”
disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop
comment=”Drop SSH brute forcers” \
disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3
action=add-src-to-address-list \
address-list=ssh_blacklist address-list-timeout=1w3d comment=”” disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2
action=add-src-to-address-list \
address-list=ssh_stage3 address-list-timeout=1m comment=”” disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1
action=add-src-to-address-list \
address-list=ssh_stage2 address-list-timeout=1m comment=”” disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list
address-list=ssh_stage1 \
address-list-timeout=1m comment=”” disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=”port
scanners” \
address-list-timeout=2w comment=”Port Scanners to list ” disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list
address-list=”port \
scanners” address-list-timeout=2w comment=”” disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=”port
scanners” \
address-list-timeout=2w comment=”” disabled=no
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=”port
scanners” \
address-list-timeout=2w comment=”” disabled=no
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list
address-list=”port \
scanners” address-list-timeout=2w comment=”” disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list
address-list=”port scanners” \
address-list-timeout=2w comment=”” disabled=no
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-
list address-list=”port \
scanners” address-list-timeout=2w comment=”” disabled=no
add chain=input src-address-list=”port scanners” action=drop comment=”” disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop
comment=”Filter FTP to Box” \
disabled=no
add chain=output protocol=tcp content=”530 Login incorrect” dst-limit=1/1m,9,dst-address/1m
action=accept comment=”” \
disabled=no
add chain=output protocol=tcp content=”530 Login incorrect” action=add-dst-to-address-list
address-list=ftp_blacklist \
address-list-timeout=3h comment=”” disabled=no
add chain=forward protocol=tcp action=jump jump-target=tcp comment=”Separate Protocol into
Chains” disabled=no
add chain=forward protocol=udp action=jump jump-target=udp comment=”” disabled=no
add chain=forward protocol=icmp action=jump jump-target=icmp comment=”” disabled=no
add chain=input protocol=tcp action=jump jump-target=tcp comment=”” disabled=no
add chain=input protocol=udp action=jump jump-target=udp comment=”” disabled=no
add chain=udp protocol=udp dst-port=69 action=drop comment=”Blocking UDP Packet”
disabled=no
add chain=udp protocol=udp dst-port=111 action=drop comment=”” disabled=no
add chain=udp protocol=udp dst-port=135 action=drop comment=”” disabled=no
add chain=udp protocol=udp dst-port=445 action=drop comment=”” disabled=no
add chain=udp protocol=udp dst-port=137-139 action=drop comment=”” disabled=no
add chain=udp protocol=udp dst-port=2049 action=drop comment=”” disabled=no
add chain=udp protocol=udp dst-port=3133 action=drop comment=”” disabled=no
add chain=tcp protocol=tcp dst-port=25 action=drop comment=”Bloking TCP Packet”
disabled=no
add chain=tcp protocol=tcp dst-port=69 action=drop comment=”” disabled=no
add chain=tcp protocol=tcp dst-port=111 action=drop comment=”” disabled=no
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”” disabled=no
add chain=tcp protocol=tcp dst-port=135 action=drop comment=”” disabled=no
add chain=tcp protocol=tcp dst-port=119 action=drop comment=”” disabled=no
add chain=tcp protocol=tcp dst-port=445 action=drop comment=”———— Virus — Conficker”
disabled=no
add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”” disabled=no
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”” disabled=no
add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”” disabled=no
add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”” disabled=no
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”” disabled=no
add chain=icmp protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept
comment=”Limited Ping Flood” disabled=no
add chain=icmp protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment=””
disabled=no
add chain=icmp protocol=icmp icmp-options=3:3 limit=5,5 action=accept comment=””
disabled=no
add chain=icmp protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment=””
disabled=no
add chain=icmp protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment=””
disabled=no
add chain=icmp protocol=icmp action=drop comment=”” disabled=no
add chain=input dst-address-type=broadcast action=accept comment=”Allow Broadcast Traffic”
disabled=no
add chain=input connection-state=established action=accept comment=”Connection State”
disabled=no
add chain=input connection-state=related action=accept comment=”” disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment=”” disabled=no
add chain=input connection-state=invalid action=drop comment=”” disabled=no
/ ip firewall service-port
set ftp ports=21 disabled=yes
set tftp ports=69 disabled=yes
set irc ports=6667 disabled=yes
set h323 disabled=yes
set quake3 disabled=yes
set gre disabled=yes
set pptp disabled=yes
/ ip hotspot service-port
set ftp ports=21 disabled=no
/ ip hotspot profile
set default name=”default” hotspot-address=0.0.0.0 dns-name=”” html-directory=hotspot rate-
limit=”” http-proxy=0.0.0.0:0 \
smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d split-user-domain=no
use-radius=no
/ ip hotspot user profile
set default name=”default” idle-timeout=none keepalive-timeout=2m status-autorefresh=1m
shared-users=1 \
transparent-proxy=yes open-status-page=always advertise=no
/ ip dhcp-server
add name=”dhcp1? interface=Local lease-time=3d address-pool=dhcp_pool1 bootp-
support=static authoritative=after-2sec-delay \
disabled=no
/ ip dhcp-server config
set store-leases-disk=5m
/ ip dhcp-server lease
/ ip dhcp-server network
add address=10.2.1.0/24 gateway=10.2.1.253 comment=””
/ ip ipsec proposal
add name=”default” auth-algorithms=sha1 enc-algorithms=3des lifetime=30m lifebytes=0 pfs-
group=modp1024 disabled=no
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=3128 hostname=”proxy” transparent-proxy=yes
parent-proxy=0.0.0.0:0 \
cache-administrator=”webmaster” max-object-size=4096KiB cache-drive=system max-cache-
size=unlimited \
max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment=”block telnet & spam e-mail relaying” disabled=no
/ ip web-proxy cache
add url=”:cgi-bin \\?” action=deny comment=”don’t cache dynamic http pages” disabled=no
/ system logging
add topics=info prefix=”” action=memory disabled=no
add topics=error prefix=”” action=memory disabled=no
add topics=warning prefix=”” action=memory disabled=no
add topics=critical prefix=”” action=echo disabled=no
/ system logging action
set memory name=”memory” target=memory memory-lines=100 memory-stop-on-full=no
set disk name=”disk” target=disk disk-lines=100 disk-stop-on-full=no
set echo name=”echo” target=echo remember=yes
set remote name=”remote” target=remote remote=0.0.0.0:514
/ system upgrade mirror
set enabled=no primary-server=0.0.0.0 secondary-server=0.0.0.0 check-interval=1d user=””
/ system clock dst
set dst-delta=+00:00 dst-start=”jan/01/1970 00:00:00? dst-end=”jan/01/1970 00:00:00?
/ system watchdog
set reboot-on-failure=yes watch-address=none watchdog-timer=yes no-ping-delay=5m
automatic-supout=yes auto-send-supout=no
/ system console
add port=serial0 term=”” disabled=no
set FIXME term=”linux” disabled=no
set FIXME term=”linux” disabled=no
set FIXME term=”linux” disabled=no
set FIXME term=”linux” disabled=no
set FIXME term=”linux” disabled=no
set FIXME term=”linux” disabled=no
set FIXME term=”linux” disabled=no
set FIXME term=”linux” disabled=no
/ system console screen
set line-count=25
/ system identity
set name=”ROUTER-NET”
/ system note
set show-at-login=yes note=””
/ port
set serial0 name=”serial0? baud-rate=9600 data-bits=8 parity=none stop-bits=1 flow-
control=hardware
/ ppp profile
set default name=”default” use-compression=default use-vj-compression=default use-
encryption=default only-one=default \
change-tcp-mss=yes comment=””
add name=”vpn” local-address=vpn remote-address=vpn use-compression=default use-vj-
compression=default \
use-encryption=required only-one=default change-tcp-mss=default dns-server=203.130.193.74
comment=””
set default-encryption name=”default-encryption” use-compression=default use-vj-
compression=default use-encryption=yes \
only-one=default change-tcp-mss=yes comment=””
/ ppp secret
add name=”areksitiung” service=pptp caller-id=”” password=”sentot” profile=vpn routes=””
limit-bytes-in=0 \
limit-bytes-out=0 comment=”” disabled=no
/ ppp aaa
set use-radius=yes accounting=yes interim-update=0s
/ queue type
set default name=”default” kind=pfifo pfifo-limit=50
set ethernet-default name=”ethernet-default” kind=pfifo pfifo-limit=50
set wireless-default name=”wireless-default” kind=sfq sfq-perturb=5 sfq-allot=1514
set synchronous-default name=”synchronous-default” kind=red red-limit=60 red-min-
threshold=10 red-max-threshold=50 \
red-burst=20 red-avg-packet=1000
set hotspot-default name=”hotspot-default” kind=sfq sfq-perturb=5 sfq-allot=1514
add name=”default-small” kind=pfifo pfifo-limit=10
/ queue simple
add name=”DreamNet” target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0 interface=Local
parent=none direction=both \
priority=1 queue=default-small/default-small limit-at=0/0 max-limit=0/0 total-queue=default-
small disabled=no
add name=”Down_Services” dst-address=0.0.0.0/0 interface=all parent=none packet-
marks=prio_download_packet direction=both \
priority=5 queue=default-small/default-small limit-at=0/0 max-limit=0/0 total-queue=default-
small disabled=no
add name=”Ensign_Services” dst-address=0.0.0.0/0 interface=all parent=none packet-
marks=prio_ensign_packet direction=both \
priority=1 queue=default-small/default-small limit-at=0/0 max-limit=0/0 total-queue=default-
small disabled=no
add name=”User_Request” dst-address=0.0.0.0/0 interface=all parent=none packet-
marks=prio_request_packet direction=both \
priority=8 queue=default-small/default-small limit-at=0/0 max-limit=0/0 total-queue=default-
small disabled=no
add name=”Communication” target-addresses=0.0.0.0/0 dst-address=0.0.0.0/0 interface=all
parent=none \
packet-marks=prio_comm_packet direction=both priority=3 queue=default-small/default-small
limit-at=0/0 max-limit=0/0 \
total-queue=default-small disabled=no
add name=”Kasir” target-addresses=192.168.1.99/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default-small \
disabled=no
add name=”Client1? target-addresses=192.168.1.15/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=”Client2? target-addresses=192.168.1.4/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=”Client3? target-addresses=192.168.1.5/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=”Client4? target-addresses=192.168.1.6/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=”Client5? target-addresses=192.168.1.7/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=”Client6? target-addresses=192.168.1.8/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=”Client7? target-addresses=192.168.1.9/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=”Client8? target-addresses=192.168.1.10/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=”Client9? target-addresses=192.168.1.11/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=”Client10? target-addresses=192.168.1.12/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
/ user
add name=”admin” group=full address=0.0.0.0/0 comment=”system default user” disabled=yes
add name=”areksitiung” group=full address=0.0.0.0/0 comment=”” disabled=no
add name=”nanda” group=full address=0.0.0.0/0 comment=”” disabled=no
add name=”riko” group=full address=0.0.0.0/0 comment=”” disabled=no
add name=”padang” group=full address=0.0.0.0/0 comment=”” disabled=no
/ user group
add name=”read”
policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!ftp,!write,!policy
add name=”write”
policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!policy
add name=”full” policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web
/ user aaa
set use-radius=no accounting=yes interim-update=0s default-group=read
/ radius incoming
set accept=no port=1700
/ driver
/ snmp
set enabled=no contact=”” location=””
/ snmp community
set public name=”public” address=0.0.0.0/0 read-access=yes
/ tool bandwidth-server
set enabled=yes authenticate=yes allocate-udp-ports-from=2000 max-sessions=10
/ tool mac-server ping
set enabled=yes
/ tool e-mail
set server=0.0.0.0 from=”<>”
/ tool sniffer
set interface=all only-headers=no memory-limit=10 file-name=”” file-limit=10 streaming-
enabled=no streaming-server=0.0.0.0 \
filter-stream=yes filter-protocol=ip-only filter-address1=0.0.0.0/0:0-65535 filter-
address2=0.0.0.0/0:0-65535
/ tool graphing
set store-every=5min
/ tool graphing queue
add simple-queue=all allow-address=0.0.0.0/0 store-on-disk=yes allow-target=yes disabled=no
/ tool graphing resource
add allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
/ tool graphing interface
add interface=all allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
/ routing ospf
set router-id=0.0.0.0 distribute-default=never redistribute-connected=no redistribute-static=no
redistribute-rip=no \
redistribute-bgp=no metric-default=1 metric-connected=20 metric-static=20 metric-rip=20
metric-bgp=20
/ routing ospf area
set backbone area-id=0.0.0.0 type=default translator-role=translate-candidate
authentication=none prefix-list-import=”” \
prefix-list-export=”” disabled=no
/ routing bgp
set enabled=no as=1 router-id=0.0.0.0 redistribute-static=no redistribute-connected=no
redistribute-rip=no \
redistribute-ospf=no
/ routing rip
set redistribute-static=no redistribute-connected=no redistribute-ospf=no redistribute-bgp=no
metric-static=1 \
metric-connected=1 metric-ospf=1 metric-bgp=1 update-timer=30s timeout-timer=3m garbage-
timer=2m
Setting Billing Hotspot integrasi Router Mikrotik sangatlah mudah, setalah install mikrotik
dengan benar, jalankan aplikasi “Winbox Loader” sehingga anda bisa mengkonfigurasi
Mikrotik Router dari Desktop Windows secara mudah dan cepat tanpa harus menghafal
command line Mikrotik. Setelah klik dua kali aplikasi Winbox maka akan muncul tampilan
sebagai berikut :
Setelah itu klik tanda … maka akan muncul MAC Address Mikrotik yang sedang aktif dalam hal
ini klik dua kali Mac Address 00:0B:CD:64:D9:22 dan isikan user admin dan password secara
default adalah kosong kemudian klik “Connect”
New Terminal
Maka akan muncul tampilan konsole sebagai berikut dan kemudian lakukan ping ke Gateway
Internet anda, ketikkan ping 192.168.1.1 Jika berhasil maka akan tampilan seperti gambar di
bawah ini dan itu artinya jaringan dari Mikrotik ke Gateway/Modem telah terhubung dengan
normal.
IP ==> DNS
Kemudian klik “Setting” pada “Primary DNS” isikan DNS1 misal 202.134.1.10 dan pada
“Secondary DNS” isikan DNS2 misal 202.134.0.155 dan jika setelah klik “OK”
New Terminal
Lakukan testing ping keluar yaitu ke internet misal ke google.com dengan mengetikkan perintah
ping google.com jika hasil seperti di bawah ini maka koneksi internet anda sudah konek.
Pada “Local Address of Network” adalah Gateway Hotspot anda, kemudian klik “Next”
Pada “Address Pool of Network” adalah Range IP DHCP yang nantinya di berikan ke user
hotspot. Anda bisa tentukan berapa range IP inginkan dalam hal ini adalah dari 10.5.50.2 s/d
10.5.50.254 kemudian klik “Next”
Pada “Select Certificate” pilih “none” kemudian klik “Next”
Pada “IP Address of SMTP Server” biarkan kosong kemudian klik “Next”
Pada “DNS Servers” sudah terisi DNS anda dengan benar dan langsung aja klik “Next”
Setelah selesai maka akan muncul kotak dialog sebagai berikut kemudian klik “OK”
Kemudian lanjutkan dengan konfigurasi Hotspot Mikrotik agar terkoneksi dengan software
Billing Hotspot sebaik berikut :
Kemudian pindah ke tab “Radius” dan hilangkan tanda centang (uncheck) pada “Use
RADIUS” kemudian klik “Apply” lalu klik “OK”
Radius
Klik tanda plus |+| dan pada tab General beri tanda centang pada service hotspot kemudian pada
“Address” isikan IP Address radius server Billing Hotspot (PC Linux) dan “Secret” isikan
secret id misal 123457890 sesuai yang anda isikan di Linux, kemudian jika selesai klik “OK”
Agar Halaman Login User Hotspot muncul halaman login Billing Hotspot seperti gambar di
bawah ini
Jika selesai lakukan upload file ke dalam mikrotik yang udah di konfigurasi oleh Team software
Billing Hotspot
Langkah selanjutnya agar Billing Hotspot terintegrasi dengan Router Mikrotik, anda harus login
dulu ke Billing Hotspot Manager. Masukkan username, password dan Security Code dengan
benar seperti berikut ini.
Setelah berhasil masuk ke Billing Hotspot Manager, masuk Menu Preference ==> Setting
Service ==> Pilih /var/www/html/config.client.php kemudian klik “Edit” dan jika selesai klik
“Save”
Bila tidak bisa di simpan masuk ke Konsole sebagai root di Linux dan ketikkan perintah chmod
775 /var/www/html/config.client.php
Masuk Preference ==> Setting Service ==> Pilih /etc/raddb/clients.conf kemudian klik “Edit”
tarik scroll ke baris paling bawah kemudian tambahkan empat baris perintah sebagai berikut dan
jika selesai klik “Save”
client 192.168.1.2 ==> isikan dengan nomor IP Router Mikrotik
secret=123457890 ==> isikan secret sesuai di RADIUS Mikrotik
shortname=mikrotik ==> isikan dengan nama label ‘mikrotik’
Masuk Preference ==> Setting Service ==> Pilih /etc/raddb/naslist kemudian klik “Edit”
Bila tidak bisa di simpan masuk ke Konsole sebagai root di Linux dan ketikkan perintah chmod
775 /etc/raddb/naslist
Setting Hotspot pada Mikrotik Router OS sangat mudah dikonfigurasi. Sistem autentikasi
hotspot biasa digunakan ketika kita akan menyediakan akses internet pada areal publik, seperti :
Hotel, café, Kampus, airport, taman, mall dll. Teknologi akses internet ini biasanya
menggunakan jaringan wireless atau wired. Biasanya menyediakan akses internet gratis dengan
menggunakan hotspot atau bisa juga menggunakan Voucher untuk autentikasinya. Ketika
membuka halaman web maka router akan mengecek apakah user sudah di autentikasi atau
belum. Jika belum melakukan autentikasi, maka user akan di arahkan pada hotspot login page
yang mengharuskan mengisi username dan password. Jika informasi login yang dimasukkan
sudah benar, maka router akan memasukkan user tersebut kedalam sistem hotspot dan client
sudah bisa mengakses halaman web. Selain itu akan muncul popup windows berisi status ip
address, byte rate dan time live. Penggunaan akses internet hotspot dapat dihitung berdasarkan
waktu (time-based) dan data yang di download/upload (volume-based). Selain itu dapat juga
dilakukan melimit bandwidth berdasarkan data rate, total data upload/download atau bisa juga di
limit berdasarkan lama pemakaian.
Cara mudah setting hotspot pada mikrotik adalah ada 2 (dua) pilihan selain menggunakan teks
mode kita juga bisa menggunakan setting wizard dengan menggunakan Winbox Router OS,
Langkah-langkat berikut merupakan konfigurasi dasar hotspot mikrotik sebagai Gateway Server.
Pertama install Mikrotik Router OS pada PC atau pasang DOM atau kalau menggunakan Rouer
Board langsung aja Login = ‘admin’ sedangkan untuk pasword anda kosongin untuk defaultnya.
Kemudian tentukan IP lokal hospot yang akan ada gunakan, misal 192.168.10.1 dan Tentukan IP
DHCP ke clientnya yang akan anda gunakan, dalam contoh ini adalah 192.168.10.2-
192.168.10.255
Untuk SMTP Server sebaiknya anda kosongin saja, Kemudian DNS servernya anda isikan
sesuaikan dengan Provider anda, dalam contoh ini adalah DNS1=202.47.78.1
DNS2=202.47.78.9
DNS lokal hotspot anda NEXT saja kemudian pada Hotspot user anda dalam contoh berikut diisi
admin password admin123
Hotspot Server Profile digunakan untuk mensetting server yang akan sering digunakan untuk
semua user seperti metode autentikasi dan Limitasi data rate. Ada 6 jenis autentikasi Hotspot
mikrotik yang berbeda dalam profile setting, jenis autentikas tersebut adalah : HTTP PAP, HTTP
CHAP, HTTPS, HTTP cookie, MAC address, Trial
Metode autentikasi yang akan digunakan, biasanya cukup menggunakan metode HTTP CHAP
Data rate limitation digunakan sebagai default setting untuk user yang belum di setting
bandwidth limit pemakaiannya. Dimana RX adalah Client upload dan TX adalah Client
download. Misal setting default data rate di 64k/128k (upload/download)
Hotspot user profile digunakan untuk menyimpan data user yang akan dibuatkan rule profilenya.
Dimana didalamnya bisa dilakukan setting firewall filter chain untuk traffic yang keluar/masuk,
juga bisa untuk mensetting limitasi data rate dan selain itu dapat juga dilakukan paket marking
untuk setiap user yang masuk kedalam profile tersebut secara otomatis.
Hotspot user yaitu nama-nama user yang akan diautentikasi pada sistem hotspot. Beberapa hal
yang dapat dilakukan dalam konfigurasi hotspot user yaitu : username dan password, Membatasi
user berdasarkan waktu dan paket data yang akan digunakan, hanya ip address tertentu dari ip
address dhcp yang ditawarkan atau hanya mengizinkan user untuk koneksi ke sistem hotspot dari
MAC Address tertentu saja.
IP Bindings digunakan untuk mengizinkan ip tertentu untuk membypass autentikasi hotpot, ini
sangat berguna sekali ketika kita ingin menjalankan layanan server, atau IP telephony dibawah
system hotspot. Misal, PC atau Notebook anda untuk dapat membypass hotspot system, dengan
demikian anda dapat melakukan browsing tanpa autentikasi
pagi2 iseng2 say hallo to om tamam yg super sibuk orang nya..hahahah (becanda OMz)..nie trik
dari om tamam .tau deh ap namanya…semoga berguna. ok langsung aj..
buka winbox nya trus login..masuk ke system trus klik logging–pilih rule klik tanda + maka
muncul lah seperti gmbar di bawah ini. untuk topics arahkan ke web-proxy,prefix di biarin
kosong..lalu untuk action pilih action satu etis tunggu dulu…pertama2 aq jg bingung,..kok di
winbox q nggk nampil action1..bersambung..
setalah langkah di atas selesai selanjutnya klik menu di sebelah rule yaitu actions untuk name—
default action1 trus untuk type pilih echo..kemudian centang save trus klik apply…..
alhamdulillah selesai ..eitsss tunggu jangan lupa untuk check dns anda klik ip–dns—setting
pastikan allow remote request nya sudah di centang..setalah itu reboot miketek anda …setelah
berhasil reebot..login kembali dengan winbox..trus klik new terminal..insyaALLAh keliatan tan
tuh log2 ip client yg lagi akses..liatin aj..klo memang ad yang mencurigakan alias bukan dari
client kita..blocking aj deh.. pegal juga ngetik sebanyak ini..nggk ad bakat jadi writer neh..
or untuk keterangan lebih lanjut hub segera (kyk dokter aj ) mampir aj ke blog om tamam
http://tamampapua.wordpress.com/semoga bermanfaat.
I have to say that RapidShare is a great invention, but sometimes it can be a problem that they
are so well connected *G* Compared to torrent/edonkey/… RapidShare customers normally
have full speed for their downloads from the very first second. RapidShare is connected by many
HUGE carriers, like Global Crossing (Tier 1), Cogent (Tier 1), Level3 (Tier 1), … which is just
great for the person downloading, but on the other hand it’s sometimes a pain in the admin’s a**.
The bandwidth you are giving your customers will be used for the download – completelly! A
let’s say 8mbit cable client will download with 8mbit. If you want the customers to browse the
web lightning fast but don’t want him to constantly consume his full bandwidth by downloading
multiple gigs from RapidShare, you could do the following:
BTW: It was a quick and dirty awk hack with /24 only, but 195.122.152.0 could be added as /23
as well!
Now let’s mark all traffic that matches the address list
This is the interessting part: Limit ‘em *G* (in this case it’s 1M)
/queue simple
add comment=”RapidShare” direction=both disabled=no \
dst-address=0.0.0.0/0 interface=all limit-at=1000000/1000000 \
max-limit=1000000/1000000 name=”RapidShare” \
packet-marks=”RapidShare Traffic” parent=none priority=8 \
queue=default-small/default-small total-queue=default-small
There are lot many ways to limit bandwidth for day and Night, but personally I found this is the
easiest way, Here it is.
Suppose we have one network 192.168.1.0/24 and want to limit Bandwidth for day and Night
Time.
Network 192.168.1.0/24
Bandwidth = 06:00am – 18:00pm – 1Mbps.
Bandwidth = 18:00pm – 06:00am – 2Mbps.
Create two simple queues for the same network with different Bandwidth Limit.
/queue simple
#name=”Day” target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0
interface= parent=none direction=both priority=8
queue=default-small/default-small limit-at=512k/512k
max-limit=1M/1M total-queue=default-small
/system script
#name=”Day” source=/queue simple enable Day; /queue simple disable Night
Finally, Schedule it
/system scheduler
#name=”Day” on-event=Day start-date=oct/13/2007 start-time=06:00:00 interval=1d
Sebenarnya cara ngeblok software download per-to-per ini sangat mudah dengan simple scripts
yaitu
Untuk menyimpan video streaming dari YouTube ke dalam Web proxynya Mikrotik.
Perintah:
/ip web-proxy access add url=”http*youtube*get_video*” action=allow comment=”youtube”
disabled=no
Sumber Forum Mikrotik
This little guide takes you through a step-by-step approach to setting up a simple hotspot using
the excellent MikroTik RouterOS software. Some detail and explanations are left out to keep
things clearer. This guide assumes that you have installed RouterOS v2.9.27 and upwards.
Code:
[admin@MikroTik] > system reset
(You can see that there are two Ethernet ports on this computer, both disabled)
So let’s enable them both:
Code:
[admin@MikroTik] interface> set 0,1 disabled=no
[admin@MikroTik] interface> print
Let’s give the Ethernet ports names, as it’s getting complicated already:
Code:
[admin@MikroTik] interface> set 0 name=”hotspot”
[admin@MikroTik] interface> set 1 name=”internet”
[admin@MikroTik] interface> print
We can now more easily refer to the interfaces by name, which is also easier to remember. Now,
let’s set up the address of Ethernet card on the internet side. In this case, we’re going to call the
MikroTik box 192.168.1.2 and the gateway (ie the broadband router) as 192.168.1.1 and the
DNS given to you by your ISP. In this case, our example is using the DNS from Plusnet of
212.159.13.50
Code:
[admin@MikroTik] > /ip
[admin@MikroTik] ip> address add address=192.168.1.2/24 interface=internet
[admin@MikroTik] ip> route add gateway=192.168.1.1
[admin@MikroTik] ip> dns
[admin@MikroTik] ip dns> set primary-dns=212.159.13.50
[admin@MikroTik] ip dns> set secondary-dns=212.159.11.50
To speed things up a little, you can cache dns requests local to the MikroTik box as follows:
Code:
[admin@MikroTik] ip dns> set allow-remote-requests=yes
[admin@MikroTik] ip dns> ..
Code:
[admin@MikroTik] ip> hotspot
[admin@MikroTik] ip hotspot> setup
Select interface on which to run HotSpot
Hotspot interface: hotspot
Enable universal client configuration?
Enable universal client: yes
This is a feature that allows remote computers to connect even if they have totally different
network settings already set up on them
Code:
Local address of hotspot network gateway: 10.5.50.1/24
Masquerade hotspot network: yes
Address pool of hotspot network will be: 10.5.50.2-10.5.50.254
ip address of smtp server: 192.168.1.3
(We have to enter here the IP address of your ISP SMTP server, or otherwise put the address of
your local one. If you don’t have one, then just give it an an address on the “internet” side of the
MikroTik box)
Code:
Use local DNS cache?
use local DNS cache: yes
Setup DNS Configuration
dns servers: 192.168.1.2
We enter here the IP address of the MikroTik box on the “internet” side, becasue we have already
set up a DNS cache earlier.
Code:
Name of hotspot user: admin
Password for the user: admin
(This is the hotspot administrator username and password – keep the details safe)
Code:
Select another port for (www) service
Another port for service: 8081
The port that you specify here is the port for Winbox.
Code:
Use transparent web proxy for hotspot clients?
Use transparent web proxy: yes
And that’s about it. Connect to your MikroTik box from either the internet side using the address
of http://192.168.1.2:8081 or on the hotspot side (use your admin password).
Download the Winbox from that link, and go to the Hotspot section to manage users. And there
you have it – your Hotspot.
Alpha version
. o Instalasi Jaringan untuk Warnet dengan Mikrotik dan Proxy o.
–[0]– Intro
–[1]– Persiapan
Asumsi:
_(
o--+ ____|
| / | Telpon
| _/ -(
+--[_] Splitter
|
| +----+
+---| | Modem xDSL
+--*-+
(1)| +---+
| | | (3)
| | +|---------+
| +-----+ | |. . . . . |
| a| | | +--|-|-|-|-+
+---|=====| | | | | |
| | | | | | |
| |---+ +-|-|-|--[client 1]
+----| |b +-|-|------------[client 2]
| c| | +-|----------------------[client 3]
| L-----J +--------[client n]
| (2)
d|
+-----+
| | (4)
|=====|
| |
| |
| |
| |
L-----J
Keterangan skema
Keterangan Skema
a = ethernet card 1 (Publik) -> Ip Address : 192.168.1.2/24
b = ethernet card 2 (Local) -> Ip Address : 192.168.0.30/27
c = ethernet card 3 (Proxy) -> Ip Address : 192.168.2.1/30
[*] Client
Client 1 – Client n, Ip Address : 192.168.0.n …. n (1-30)
Contoh:
Client 6
Ip Address : 192.168.0.6/27
Gateway : 192.168.0.30 (ke Mikrotik Box)
CATATAN :
- Angka dibelakang Ip address ( /27) sama dengan nilai netmasknya
untuk angka (/27) nilainya sama dengan 255.255.255.224.
Subnetmask kelas C
——————-
255.255.255.0 = 24 -> 254 mesin
.. .128 = 25 -> 128 mesin
.. .192 = 26 -> 64 mesin
.. .224 = 27 -> 32 mesin
.. .240 = 28 -> 16 mesin
.. .248 = 29 -> 8 mesin
.. .252 = 30 -> 4 mesin
.. .254 = 31 -> 2 mesin
.. .255 = 32 -> 1 mesin
!! Perlu dikurangin juga untuk 2 Ip adress yang tidak digunakan pada mesin.
Yaitu 1 ip address untuk Network ID dan 1 ip address untuk broadcast
- Susunan kabel UTP antara (2)-Mikrotik Box dengan (4)-Linux Box adalah Cross,
Informasi untuk mikrotik ini dapat dilihat pada official websitenya di http://www.mikrotik.com
dan http://www.mikrotik.co.id untuk Indonesia.
Silahkan siapkan dulu ISOnya, andaikata pembaca belum mempunyainya, untuk ISO sample
silahkan download di SINI.
Sesuaikan saja Sistem Operasinya jika pembaca ingin memamakai Sistem Operasi yang berbeda
dari percobaan yang dilakukan. Misalnya untuk mikrotik memakai MT Versi 2.8.x atau diatasnya
lagi, begitu juga dengan Linux, silahkan dipilih sendiri Distrobusi yang disukai. Secara konsep
konfigurasinya sama.
Nah, di anggap kedua mesin telah siap beroperasi tentu telah di installkan pada kedua mesin,
Untuk Mikrotik silahkan lihat metode instalasinya di SINI juga di SINI. Sedangkan untuk
CentOs, jika pembaca ingin membuat partisi khusus untuk /cache/ silahkan saja, Memang
percobaan kali ini partisinya dibuat khusus.
Konfigurasi dasar.
(a) Mikrotik
- Set Ip addressnya sesuai dengan Skema, karena memeliki 3 card lan, maka
di set IP address untuk ketiga card tersebut. Sesuaikan nama interfacenya
berdasarkan skema diatas, berarti ada nama interface yaitu:
1. interface Public
2. interface Local
3. interface Proxy
#Interface
——————————————————————————-
[admin@MikroTik] interface> print
Flags: X – disabled, D – dynamic, R – running
# NAME TYPE RX-RATE TX-RATE MTU
0 R public ether 0 0 1500
1 R proxy ether 0 0 1500
2 R local ether 0 0 1500
[admin@MikroTik] interface>
——————————————————————————-
Tentu saja nama interface boleh tidak sesuai dengan nama diatas, terserah
pembaca. Yang jelas ketiga interface diatas memiliki Subnet Ip address ber
beda, perhatikan skema.
# IP Address
——————————————————————————
[admin@MikroTik] > ip address print
Flags: X – disabled, I – invalid, D – dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.1.2/24 192.168.1.0 192.168.1.255 public
1 192.168.0.30/27 192.168.0.0 192.168.0.31 local
2 192.168.2.1/30 192.168.2.0 192.168.2.3 proxy
[admin@MikroTik] >
——————————————————————————
- Set Ip Gateway atau routing. Untuk mikrotik gatewaynya ke Modem yaitu 192.168.1.1
# Ip Gateway
————————————————————————————
[admin@MikroTik] > ip route print
Flags: X – disabled, A – active, D – dynamic,
C – connect, S – static, r – rip, b – bgp, o – ospf
# DST-ADDRESS PREFSRC G GATEWAY DISTANCE INTERFACE
0 ADC 192.168.2.0/30 192.168.2.1 proxy
1 ADC 192.168.0.0/27 192.168.0.30 local
2 ADC 192.168.1.0/24 192.168.1.2 public
3 A S 0.0.0.0/0 r 192.168.1.1 public
[admin@MikroTik] >
————————————————————————————
- Set DNS
#Ip DNS
————————————————————————————
[admin@MikroTik] > [admin@MikroTik] >
invalid command name
[admin@MikroTik] > ip dns print
primary-dns: 203.130.193.74
secondary-dns: 202.134.0.155
allow-remote-requests: yes
cache-size: 10240KiB
cache-max-ttl: 1w
cache-used: 271KiB
[admin@MikroTik] >
————————————————————————————
————————————————————————————-
[admin@MikroTik] ip firewall nat> pr
Flags: X – disabled, I – invalid, D – dynamic
0 chain=srcnat out-interface=public action=masquerade
/ ip firewall mangle
add chain=prerouting src-address=192.168.n.n/27 action=mark-packet \
new-packet-mark=test-up passthrough=no comment=”UP TRAFFIC” disabled=no
add chain=forward src-address=192.168.14.n.n/27 action=mark-connection \
new-connection-mark=test-conn passthrough=yes comment=”CONN-MARK” \
disabled=no
add chain=forward in-interface=Public connection-mark=test-conn \
action=mark-packet new-packet-mark=test-down passthrough=no comment=” \
DOWN-DIRECT CONNECTION” disabled=no
add chain=output out-interface=Local dst-address=192.168.n.n/27 \
action=mark-packet new-packet-mark=test-down passthrough=no \
comment=”DOWN-VIA PROXY” disabled=no
/ queue type
add name=”pcq-download” kind=pcq pcq-rate=0 pcq-limit=50 \
pcq-classifier=dst-address pcq-total-limit=2000
add name=”pcq-upload” kind=pcq pcq-rate=0 pcq-limit=50 \
pcq-classifier=src-address pcq-total-limit=2000
/ queue tree
add name=”downstream” parent=Local packet-mark=test-down limit-at=0 \
queue=pcq-download priority=8 max-limit=0 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
add name=”upstream” parent=global-in packet-mark=test-up limit-at=0 \
queue=pcq-upload priority=8 max-limit=0 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
#Konfigurasi Squid.conf
#============================================================$
# rotor - www.somethink.org $
# SQUID PROXY CACHE $
# alpha version $
#============================================================$
#============================================================$
hierarchy_stoplist cgi-bin ? .js .jsp localhost visicom indosat.net.id
acl QUERY urlpath_regex cgi-bin ? .js .jsp localhost visicom indosat.net.id
no_cache deny QUERY
#============================================================$
#============================================================$
# OPTIONS WHICH AFFECT THE CACHE SIZE
#============================================================$
cache_mem 8 MB
maximum_object_size 128 MB
maximum_object_size_in_memory 32 KB
cache_swap_low 98%
cache_swap_high 99%
store_dir_select_algorithm round-robin
ipcache_size 2048
ipcache_low 98
ipcache_high 99
fqdncache_size 2048
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
#============================================================$
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
#============================================================$
cache_dir aufs /cache/squid 4500 18 256
cache_access_log /var/log/squid/access.log
cache_log none
cache_store_log none
mime_table /etc/mime.conf
pid_filename /var/run/squid.pid
log_fqdn off
log_mime_hdrs off
log_ip_on_direct off
logfile_rotate 7
debug_options ALL,1
buffered_logs off
emulate_httpd_log off
#============================================================$
# FTP section
#============================================================$
ftp_user anonymous@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
#============================================================$
# DNS resolution section
#============================================================$
cache_dns_program /squid/libexec/dnsserver
dns_children 24
dns_nameservers 127.0.0.1 XXX.XXX.XXX.XXX
#============================================================$
# Refresh Rate
#============================================================$
refresh_pattern -i .(swf|png|jpg|jpeg|bmp|tiff|png|gif) 43200 90% 129600
override-expire
refresh_pattern -i (.*html$|.*htm|.*shtml|.*aspx|.*asp) 0 90% 1440
refresh_pattern ^ftp: 10080 95% 241920 reload-into-ims override-lastmod
refresh_pattern . 180 95% 120960 reload-into-ims override-lastmod
quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 98
negative_ttl 3 minutes
positive_dns_ttl 53 seconds
negative_dns_ttl 29 seconds
forward_timeout 4 minutes
connect_timeout 2 minutes
peer_connect_timeout 1 minutes
pconn_timeout 120 seconds
shutdown_lifetime 10 seconds
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
client_lifetime 60 minutes
half_closed_clients off
#============================================================$
# ACL section
#============================================================$
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl skynet src xxx.xxx.xxx.xxx/xx
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
#acl badip url_regex -i "/squid/ip-deny"
#acl badurl url_regex -i "/squid/bad-url"
acl warnet src xxx.xxx.xxx.xxx/xx
acl virus dst 204.177.92.204/32 64.191.99.145/32
acl gator dstdom_regex gator hot_indonesia.exe
acl exploit urlpath_regex winnt/system32/cmd.exe?
acl exploit urlpath_regex splashPages/black.sps?
acl BADPORTS port 7 9 11 19 22 23 25 110 119 513 514
#============================================================$
# Parameter Administratif $
#============================================================$
cache_mgr [email protected]
cache_effective_user squid
cache_effective_group _squid
visible_hostname proxyiblis.somethink.org
unique_hostname [email protected]
#============================================================$
# Transparent proxy setting
#============================================================$
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
httpd_accel_no_pmtu_disc on
httpd_accel_single_host off
half_closed_clients off
header_access From deny all
header_access Referer deny all
header_access Server deny all
header_access WWW-Authenticate deny all
header_access Link deny all
header_access Via deny all
header_access X-Forwarded-For deny all
header_access Accept-Encoding deny all
header_access User-Agent deny all
header_replace User-Agent Mozilla/5.0 (compatible; MSIE 6.0)
header_access Accept deny all
header_replace Accept */*
header_access Accept-Language deny all
header_replace Accept-Language id, en
#============================================================$
# ACCELERATOR
#============================================================$
memory_pools off
forwarded_for off
log_icp_queries off
icp_hit_stale on
minimum_direct_hops 4
minimum_direct_rtt 400
store_avg_object_size 13 KB
store_objects_per_bucket 20
client_db on
netdb_low 9900
netdb_high 10000
netdb_ping_period 30 seconds
query_icmp off
pipeline_prefetch on
reload_into_ims on
vary_ignore_expire on
max_open_disk_fds 100
nonhierarchical_direct on
prefer_direct off
#============================================================$
# MISCELLANEOUS
#============================================================$
logfile_rotate 3
store_dir_select_algorithm round-robin
shutdown_lifetime 10 seconds
cachemgr_passwd disable shutdown
cachemgr_passwd all
buffered_logs off
offline_mode off
coredump_dir /squid
ignore_unknown_nameservers on
acl hotmail dstdomain .hotmail.com .msn.com .passport.net .msn.co.id
.passport.com
header_access Accept-Encoding deny hotmail
#============================================================$
# DELAY POOLS
#============================================================$
acl download url_regex -i ftp .exe .mp3 .vqf .tar.gz .wmv .tar.bz .tar.bz2
.gz .rpm .zip
acl download url_regex -i .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw
.wav .tar .doc
acl download url_regex -i .ppt .z .wmf .mov .arj .lzh .gzip .bin .wma
# delay_pools 2
delay_pools 2
delay_class 1 2
delay_parameters 1 8000/8000 6000/8000
delay_access 1 allow download
delay_access 1 deny all
delay_class 2 2
delay_parameters 2 25000/25000 10000/16000 #200kb/200kb 80Kb/128Kb
delay_access 2 allow user
delay_access 2 deny all
# Silahkan diisi
#============================================================$
# DOWNLOAD LIMIT
#============================================================$
#reply_body_max_size 3072000 deny !client> Ganti nilai dengan yang
dikehendaki
#============================================================$
# SNMP
#============================================================$
acl snmpcommunity snmp_community public
snmp_port 3401
snmp_access allow snmpcommunity localhost
snmp_access deny all
–[3]– Evaluasi
–[4]– Troubleshooting
- Subnetmask antara interface Public dengan interface Proxy Sama, ping dari mikrotik ke mesin
linux tidak reply
–[5]– Referensi
http://primadonal.wordpress.com/category/mikrotik/page/10/
—— sCRIPt———-
/ system script
add name="Proxy-off" source="/ip firewall nat set \[/ip firewall nat find \
comment=\"Proxy\"\] disable=yes
\n/ip web-proxy set enabled=no" \
policy=ftp,reboot,read,write,policy,test,winbox,password
add name="Proxy-limpacache" source="/ip web-proxy clear-cache" \
policy=ftp,reboot,read,write,policy,test,winbox,password
add name="Proxy-on" source="/ip web-proxy set enabled=yes
\n/ip firewall nat \
set \[/ip firewall nat find comment=\"Proxy\"\] disable=no" \
policy=ftp,reboot,read,write,policy,test,winbox,password
/ system scheduler
add name="control-proxy-off" on-event=Proxy-off start-date=may/30/2007 \
start-time=04:30:00 interval=1w comment="" disabled=no
add name="control-proxy-limpacache" on-event=Proxy-limpacache \
start-date=may/30/2007 start-time=04:31:00 interval=1w comment="" \
disabled=no
add name="controle-proxy-on" on-event=Proxy-on start-date=may/30/2007 \
start-time=04:40:00 interval=1w comment="" disabled=no
Kopi Paste ke Terminal Mikrotik. Dengan Syarat, Mikrotik telah terinstall System Packet Web-
proxy, dan telah dijalankan.
Script diatas, berguna membuat skedule pembersihan Cache web-proxy, dengan Jarak waktu
selama tujuh hari. Script diatas melakukan proses pencarian berdasarkan Comment=proxy, jadi
pada ip firewall nat nya, dituliskan comment Proxy, tulisan bersifat Case sensitive. Silahkan di
kustomais sesuai kebutuhan. Ada baiknya dilakukan test-script, pada script-list di Winbox,
Jalankan Run script, untuk melihat benar tidaknya script yang dituliskan.
Alur script diatas kira-kira seperti ini:
1. Cari pada direktori mikrotik, untuk perintah ip firewall nat berdasarkan kata
kunci=”Proxy”. Jika ditemukan, maka matikan perintah redirect ke port proxy.
2. Setelah service web-proxy tidak aktif, maka lakukan proses pembersihan Cache.
3. Berdasarkan interval waktu yang diberikan untuk proses pembersihan Cache, maka akti-
fkan kembali perintah redirect ke port proxy pada perintah ip firewall natnya.
Selamat mencoba,
Let’s say you have corporate users / institutions / government. People that arrive at 07.00 and
leave the office 18.00 at most. You reserve them 1 mbit/s all the time. Most of your home users
are using maximum bandwidth after 15.00 and just after midnight. You decide to allow them to
use all the bandwidth you can afford, after the “big” clients get offline ( institutions, and alike,
wich pay big money for quality services)
So, you decide you may “lend” some of the bandwidth of the users that are not working, while
they are not…
How ?
You can of course add 2 ( two ) queues for each limit you want to put, but you can also put a
single queue, and modify it’s limits from a script.
That’s the way we will do it. Might just be simpler. Why ? You keep the limits for different type
of users in a single place ( the script). Also you can graph a single queue, that may be more
acceptable for you and for some users if you allow them to view their traffic graphs.
Premises:
( This can be easily adapted to queue tree, by modifying limits in the queue tree…. but that’s
another story. Work it out yourself.)
You have 3 types of users:
( I put this also on queue name to make it easier to see. It seems to me that winbox does not
display comments on simple queues on v3.6, at least on the RB I am working with right now :(,
but the console uses them right and the scripts work fine )
How do we do it?
- Put simple queues with established limits, and distinctive queue _comment_ for each category
of users. ( eg. “”Vasile_CAT1″”, “”Vasile2_CAT2″”, etc as queue names, and [CAT1, CAT2 will
be the category identifiers, put in comment]
- Establish limits for each category: CAT1, CAT2, etc., we will modify this from the 2 scripts
that handle everything.
- Put the script to run from the scheduler every 24 hours, and modify limits for day/night, reg.
each category of users. The script for the “day” starts 06.00 hours, and ends 18.00 hours, when
the script for the “night” starts, enabling the night modifications.
/queue simple
add comment="CAT1" direction=both disabled=no dst-address=192.168.4.15/32 \
max-limit=256000/256000 name="George_CAT1" parent=none priority=8 \
queue=default-small/default-small
add comment="CAT1" direction=both disabled=no dst-address=192.168.4.16/32 \
max-limit=256000/256000 name="Robinson_CAT1" parent=none priority=8 \
queue=default-small/default-small
add comment="CAT2" direction=both disabled=no dst-address=192.168.4.17/32 \
max-limit=512000/512000 name="Crusoe_CAT2" parent=none priority=8 \
queue=default-small/default-small
add comment="CAT3" direction=both disabled=no dst-address=192.168.4.18/32 \
max-limit=1024000/1024000 name="Momma_CAT3" parent=none priority=8 \
queue=default-small/default-small
Now, these were the queues. Let’s see:
/system scheduler
add comment="" disabled=no interval=1d name="Day" on-event="/queue
simple\r\nset [find \
comment=CAT1] max-limit=256000/256000\r\nset [find comment=CAT2] \
max-limit=512000/512000\r\nset [find comment=CAT3] max-
limit=1024000/1024000\r\n" \
start-date=jan/01/1970 start-time=06:00:00
/system scheduler
add comment="" disabled=no interval=1d name="Night" on-event="/queue
simple\r\nset [find \
comment=CAT1] max-limit=1024000/1024000\r\nset [find comment=CAT2] \
max-limit=2048000/2048000\r\nset [find comment=CAT3] max-
limit=4096000/4096000\r\n" \
start-date=jan/01/1970 start-time=18:00:00
DAY:
/queue simple
set [find comment=CAT1] max-limit=256000/256000
set [find comment=CAT2] max-limit=512000/512000
set [find comment=CAT3] max-limit=1024000/1024000
NIGHT:
/queue simple
set [find comment=CAT1] max-limit=1024000/1024000
set [find comment=CAT2] max-limit=2048000/2048000
set [find comment=CAT3] max-limit=4096000/4096000
Each script is put to run at 1 day interval, “Day” script starts at 06.00, “Night” script starts at
18.00.
There are lot many ways to limit bandwidth for day and Night, but personally I found this is the
easiest way, Here it is.
Network 192.168.1.0/24
Bandwidth = 06:00am – 18:00pm – 1Mbps. <Max-Limit>
Bandwidth = 18:00pm – 06:00am – 2Mbps. <Max-Limit>
Create two simple queues for the same network with different Bandwidth Limit.
/queue simple
#name=”Day” target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0
interface=<ether-x> parent=none direction=both priority=8
queue=default-small/default-small limit-at=512k/512k
max-limit=1M/1M total-queue=default-small
/system script
#name=”Day” source=/queue simple enable Day; /queue simple disable Night
Finally, Schedule it
/system scheduler
#name=”Day” on-event=Day start-date=oct/13/2007 start-time=06:00:00
interval=1d
source = wiki.mikrotik.com
First, let’s set the basic setting first. I’m using a machine with 3 or more network interfaces:
[admin@instaler] > in pr
# NAME TYPE RX-RATE TX-RATE MTU
0 R public ether 0 0 1500
1 R wifi1 wlan 0 0 1500
2 R wifi2 wlan 0 0 1500
3 R wifi3 wlan 0 0 1500
[admin@instaler] > ip ad pr
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.20.1.0/24 10.20.1.0 10.20.1.255 public
1 10.10.2.0/24 10.10.2.0 10.10.2.255 wifi1
2 10.10.3.0/24 10.10.3.0 10.10.3.255 wifi2
3 10.10.4.0/24 10.10.4.0 10.10.4.255 wifi3
Mangle Setup
And now is the most important part in this case.
We need to mark our users. One connection for upload and second for download. In this example
I add mangle for one user. At the end I add mangle for local transmission because I don’t QoS
local trafic emong users. But for user I need to separate upload and download.
In version 2.9.x, we can not know which traffic is HIT and which traffic is MISS from web-
proxy. Several people want to make a configuration, to let cache data in proxy (HIT traffic)
deliver in maximum possible speed. In other word, if we already have the requested data, those
process will not queued.
In ver 3.0 we can do this, using TOS header modification in web-proxy feature. We can set any
TOS value for the HIT traffic, and make it as parameter in mangle.
Basic Setup
First, let’s set the basic setting first. I’m using a machine with 2 network interface:
admin@instaler] > in pr
# NAME TYPE RX-RATE TX-RATE MTU
0 R public ether 0 0 1500
1 R lan wlan 0 0 1500
[admin@instaler] > ip ad pr
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.217/24 192.168.0.0 192.168.0.255 public
1 172.21.1.1/24 172.21.1.0 172.21.1.255 lan
Firewall NAT
Make 2 NAT rules, 1 for Masquerading, and the other for redirecting transparant proxy.
Mangle Setup
And now is the most important part in this case.
If we want to make HIT traffic from web proxy not queued, we have to make a mangle to handle
this traffic. Put this rule on the beginning of the mangle, as it will check first.
As we will make Queue for uplink and downlink traffic, we need 2 packet-mark. In this example,
we use “test-up” for uplink traffic, and “test-down” for downlink traffic.
For uplink traffic, it’s quite simple. We need only one rule, using SRC-ADDRESS and IN-
INTERFACE parameters, and using PREROUTING chain. Rule number #1.
But for downlink, we have to make sevaral rules. As we use masquerading, we need Connection
Mark, named as “test-conn”. Rule no #2.
Then we have to make 2 more rules. First rule is for non-HTTP connection / direct connection.
We use chain forward, as the data traveling through the router. Rule no #3.
The second rule is for data coming from web-proxy to the client (MISS traffic). We use
OUTPUT chain, as the data coming from internal process in the router itself. Rule no #4.
Please be aware, we use passthrough only for connection mark (rule no #2).
1 name="upstream" parent=global-in
packet-mark=test-up limit-at=32000
queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s
source = wiki.mikrotik.com
Mrtg Report
Mrtg Report
Mik SNMP
trafic monitoring
interface 1
interface 2
Disinilah peran sebuah Proxy sangat dibutuhkan untuk mempercepat akses website. Suatu
halaman website yang pernah dikunjungi oleh client akan disimpan (cache) di server proxy.
Ketika ada client yang meminta/request suatu website maka client tidak langsung request ke
webserver. client akan mencari website yang direquest-nya ke proxy dulu, kalo ada maka proxy
akan menjawab request tersebut dan memberikannya ke client, jika website yang dicari tidak
ditemukan di simpanan/Cache proxy barulah proxy server request website tersebut ke webserver
dituju.
Ada banyak macam proxy, untuk basis OS windows bisa menggunakan winroute,winproxy, dll.
untuk basis OS linux bisa menggunakan Squid. Disini saia menngunakan basis linux mikrotik.
selain handal digunakan sebagai router, mikrotik juga bisa digunakan sebagai web proxy server.
settingannya dibawah ini yang saia gunakan
Spek PC : P3 800 Mhz, Mem 256, HD 30 Gb, 2 buah LAN Card (1 LAN onboard, 1 LAN
tambahan)
OS : Mikrotik OS 2.29.XX
ISP : Telkom Speedy (Profesional) 1 line
Modem merk Sanex standard bawaan speedy
Client : 10 komputer
Konfigurasi Mikrotik :
keterangan:
ether1 diganti nama (interface) menjadi modem (koneksi dari dan ke modem)
ether2 diganti nama (interface) menjadi lan (koneksi dari dan ke jaringan LAN)
tujuannya biar mudah di ingat gak ada pengaruh ke akses-nya.
keterangan :
ip address standart (umumnya) modem 192.168.1.1 jadi ip interface dari-ke modem antara
192.168.1.2-254 (suka-suka)
Keterangan :
DNS digunakan untuk menerjemahkan alamat IP ke domain (****.com, ****.net, dll) atau
sebaliknya, ada beberapa DNS untuk speedy pilih yang latency-nya kecil dengan nge-ping agar
akses ke dns-nya agak cepat dikit.
keterangan :
Network Address Translation (NAT) fasilitas router untuk meneruskan paket dari ip asal dan atau
ke ip tujuan dan merupakan standart internet yang mengizinkan komputer host dapat
berkomunikasi dengan jaringan luar menggunakan ip address public.
Keterangan :
settingan web proxy yang lain menggunakan default bawaan mikrotik.
hostname=hostname dns atau ip address web proxy
cache-administrator=email admin yang bisa dihubungi ketika proxy error, yang akan ditampilkan
pada browser client ketika proxy error.
#7. Setting redirect ke proxy
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-port=3128
keterangan :
Redirect digunakan untuk membelokkan/memaksa koneksi port 80 (www/web) dari client ke
port 3128 default-nya web proxy mikrotik, jadi semua request client yang menggunakan port 80
(www/web) akan di belokkan ke web proxy mikrotik.
keterangan :
memonitor penggunaan web proxy mikrotik dengan interval waktu 1 detik
Selamat Mencoba
client 192.168.0.1
A. Konfig Mikrotik
1. Interface
/ interface ethernetset PUBLIC name=”PUBLIC” mtu=1500 mac-address=00:50:DA:EE:A5:F2
arp=enabled \disable-running-check=yes auto-negotiation=yes full-duplex=yes \cable-
settings=default speed=100Mbps comment=”” disabled=noset PROXY name=”PROXY”
mtu=1500 mac-address=00:01:02:86:DA:1E arp=enabled \disable-running-check=yes auto-
negotiation=yes full-duplex=yes \cable-settings=default speed=100Mbps comment=””
disabled=noset LAN name=”LAN” mtu=1500 mac-address=00:50:DA:EC:85:0C arp=enabled
\disable-running-check=yes auto-negotiation=yes full-duplex=yes \cable-settings=default
speed=100Mbps comment=”” disabled=no
2. Poll IP addres untuk dhcp server
/ ip pooladd name=”dhcp_pool1? ranges=192.168.0.2-192.168.0.14
3. Dns server isp/ ip dnsset primary-dns=202.134.0.155 secondary-dns=203.130.193.74 \allow-
remote-requests=yes cache-size=2048KiB cache-max-ttl=1w
4. Setting ip address / interface
/ ip addressadd address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255
\interface=PUBLIC comment=”” disabled=noadd address=192.168.2.1/30 network=192.168.2.0
broadcast=192.168.2.3 \interface=PROXY comment=”” disabled=noadd address=192.168.0.1/27
network=192.168.0.0 broadcast=192.168.0.31 \interface=LAN comment=”” disabled=no
5. Routing Gateway/ ip routeadd dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-
scope=10 \comment=”” disabled=no
6. Packet mark
/ ip firewall mangleadd chain=prerouting protocol=tcp dst-port=80 action=mark-connection
\new-connection-mark=http_conn passthrough=yes comment=”” disabled=noadd
chain=prerouting protocol=tcp dst-port=443 action=mark-connection \new-connection-
mark=http_conn passthrough=yes comment=”” disabled=noadd chain=prerouting protocol=tcp
dst-port=53 action=mark-connection \new-connection-mark=dns_conn passthrough=yes
comment=”” disabled=noadd chain=prerouting protocol=udp dst-port=53 action=mark-
connection \new-connection-mark=dns_conn passthrough=yes comment=”” disabled=noadd
chain=prerouting protocol=tcp dst-port=5050-5061 action=mark-connection \new-connection-
mark=ym_conn passthrough=yes comment=”” disabled=noadd chain=prerouting protocol=udp
dst-port=27015 action=mark-connection \new-connection-mark=cs_conn passthrough=yes
comment=”” disabled=noadd chain=prerouting protocol=tcp dst-port=6000-7000 action=mark-
connection \new-connection-mark=irc_conn passthrough=yes comment=”” disabled=noadd
chain=prerouting protocol=tcp dst-port=8291 action=mark-connection \new-connection-
mark=mt_conn passthrough=yes comment=”” disabled=noadd chain=prerouting protocol=tcp
dst-port=110 action=mark-connection \new-connection-mark=email_conn passthrough=yes
comment=”” disabled=noadd chain=prerouting protocol=tcp dst-port=25 action=mark-
connection \new-connection-mark=email_conn passthrough=yes comment=”” disabled=noadd
chain=prerouting protocol=tcp dst-port=22 action=mark-connection \new-connection-
mark=ssh_conn passthrough=yes comment=”” disabled=noadd chain=prerouting connection-
mark=http_conn action=mark-packet \new-packet-mark=http passthrough=no comment=””
disabled=noadd chain=prerouting connection-mark=dns_conn action=mark-packet \new-packet-
mark=dns passthrough=no comment=”” disabled=noadd chain=prerouting connection-
mark=ym_conn action=mark-packet \new-packet-mark=ym passthrough=no comment=””
disabled=noadd chain=forward src-address=192.168.0.0/27 action=mark-connection \new-
connection-mark=local passthrough=yes comment=”” disabled=noadd chain=prerouting
connection-mark=irc_conn action=mark-packet \new-packet-mark=irc passthrough=no
comment=”” disabled=noadd chain=prerouting connection-mark=mt_conn action=mark-packet
\new-packet-mark=mt passthrough=no comment=”” disabled=noadd chain=prerouting
connection-mark=email_conn action=mark-packet \new-packet-mark=email passthrough=no
comment=”” disabled=noadd chain=prerouting connection-mark=ssh_conn action=mark-packet
\new-packet-mark=ssh passthrough=no comment=”” disabled=noadd chain=forward dst-
address=192.168.0.0/27 action=mark-connection \new-connection-mark=local passthrough=yes
comment=”” disabled=noadd chain=forward src-address=192.168.0.2 protocol=tcp connection-
mark=local \action=mark-packet new-packet-mark=billing passthrough=no comment=””
\disabled=noadd chain=forward dst-address=192.168.0.2 protocol=tcp connection-mark=local
\action=mark-packet new-packet-mark=billing passthrough=no comment=”” \disabled=noadd
chain=forward src-address=192.168.0.3 protocol=tcp connection-mark=local \action=mark-
packet new-packet-mark=meja1 passthrough=no comment=”” \disabled=noadd chain=forward
dst-address=192.168.0.3 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja1 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.4 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja2 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.4 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja2 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.5 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja3 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.5 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja3 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.6 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja4 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.6 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja4 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.7 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja5 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.7 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja5 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.8 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja6 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.8 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja6 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.9 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja7 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.9 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja7 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.10 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja8 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.10 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja8 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.11 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja9 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.11 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja9 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.12 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja10 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.12 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja10 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.13 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja11 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.13 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja11 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.14 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja12 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.14 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja12 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.15 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja13 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.15 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja13 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.16 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja14 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.16 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja14 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.17 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja15 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.17 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja15 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.18 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja16 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.18 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja16 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.19 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja17 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.19 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja17 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.20 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja18 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.20 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja18 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.21 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja19 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.21 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja19 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.22 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja20 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.22 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja20 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.23 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja21 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.23 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja21 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.24 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja22 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.24 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja22 passthrough=no comment=”” \disabled=noadd chain=forward src-
address=192.168.0.25 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja23 passthrough=no comment=”” \disabled=noadd chain=forward dst-
address=192.168.0.25 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja23 passthrough=no comment=”” \disabled=no
7. Netwotrk Address Translator
/ ip firewall natadd chain=srcnat out-interface=PUBLIC action=masquerade comment=””
disabled=noadd chain=dstnat src-address=192.168.0.0/27 protocol=tcp dst-port=80 \action=dst-
nat to-addresses=192.168.2.2 to-ports=3128 comment=”” \disabled=yesadd chain=dstnat src-
address=192.168.0.0/27 protocol=tcp dst-port=8080 \action=dst-nat to-addresses=192.168.2.2
to-ports=3128 comment=”” \disabled=yesadd chain=dstnat src-address=192.168.0.0/27
protocol=tcp dst-port=3128 \action=dst-nat to-addresses=192.168.2.2 to-ports=3128
comment=”” \disabled=yesadd chain=dstnat src-address=192.168.0.0/27 protocol=tcp dst-
port=8081 \action=dst-nat to-addresses=192.168.2.2 to-ports=3128 comment=””
\disabled=yesadd chain=dstnat src-address=192.168.0.0/27 protocol=tcp dst-port=8090
\action=dst-nat to-addresses=192.168.2.2 to-ports=3128 comment=”” \disabled=yesadd
chain=dstnat src-address=192.168.0.0/27 protocol=tcp dst-port=3127 \action=dst-nat to-
addresses=192.168.2.2 to-ports=3128 comment=”” \disabled=yesadd chain=dstnat protocol=tcp
dst-port=8050 action=dst-nat \to-addresses=192.168.2.2 to-ports=3128 comment=””
disabled=yes8. Paket Firewall fiter
/ ip firewall filteradd chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp
\src-port=0-65535 dst-port=80 action=accept comment=”” disabled=noadd chain=forward src-
address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp \src-port=0-65535 dst-port=8291
action=accept comment=”” disabled=noadd chain=forward src-address=0.0.0.0/0 action=accept
comment=”” disabled=noadd chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0
protocol=tcp \src-port=0-65535 dst-port=5000-5050 action=accept comment=”” disabled=noadd
chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp \src-port=0-65535 dst-
port=6667-7000 action=accept comment=”” disabled=noadd chain=forward connection-
state=established action=accept comment=”allow \established connections” disabled=noadd
chain=forward connection-state=related action=accept comment=”allow \related connections”
disabled=noadd chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop
\Messenger Worm” disabled=noadd chain=forward connection-state=invalid action=drop
comment=”drop invalid \connections” disabled=noadd chain=virus protocol=tcp dst-port=135-
139 action=drop comment=”Drop \Blaster Worm” disabled=noadd chain=virus protocol=tcp dst-
port=1433-1434 action=drop comment=”Worm” \disabled=noadd chain=virus protocol=tcp dst-
port=445 action=drop comment=”Drop Blaster \Worm” disabled=noadd chain=virus
protocol=udp dst-port=445 action=drop comment=”Drop Blaster \Worm” disabled=noadd
chain=virus protocol=tcp dst-port=593 action=drop comment=”________” \disabled=noadd
chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________”
\disabled=noadd chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop
MyDoom” \disabled=noadd chain=virus protocol=tcp dst-port=1214 action=drop
comment=”Drop Kazaa” \disabled=noadd chain=virus protocol=tcp dst-port=1363 action=drop
comment=”ndm requester” \disabled=noadd chain=virus protocol=tcp dst-port=1364
action=drop comment=”ndm server” \disabled=noadd chain=virus protocol=tcp dst-port=1368
action=drop comment=”screen cast” \disabled=noadd chain=virus protocol=tcp dst-port=1373
action=drop comment=”hromgrafx” \disabled=noadd chain=virus protocol=tcp dst-port=1377
action=drop comment=”cichlid” \disabled=noadd chain=virus protocol=tcp dst-port=2745
action=drop comment=”Beagle Virus” \disabled=noadd chain=virus protocol=tcp dst-port=2283
action=drop comment=”Drop Dumaru.Y” \disabled=noadd chain=virus protocol=tcp dst-
port=2535 action=drop comment=”Drop Beagle” \disabled=noadd chain=virus protocol=tcp dst-
port=2745 action=drop comment=”Drop \Beagle.C-K” disabled=noadd chain=virus protocol=tcp
dst-port=3127 action=drop comment=”Drop MyDoom” \disabled=noadd chain=virus
protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor \OptixPro” disabled=noadd
chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” \disabled=noadd
chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” \disabled=noadd
chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser” \disabled=noadd
chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B”
\disabled=noadd chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop
\Dabber.A-B” disabled=noadd chain=virus protocol=tcp dst-port=10080 action=drop
comment=”Drop \MyDoom.B” disabled=noadd chain=virus protocol=tcp dst-port=12345
action=drop comment=”Drop NetBus” \disabled=noadd chain=virus protocol=tcp dst-
port=17300 action=drop comment=”Drop Kuang2? \disabled=noadd chain=virus protocol=tcp
dst-port=27374 action=drop comment=”Drop \SubSeven” disabled=noadd chain=virus
protocol=tcp dst-port=65506 action=drop comment=”Drop \PhatBot,Agobot, Gaobot”
disabled=noadd chain=forward action=jump jump-target=virus comment=”jump to the virus
\chain” disabled=noadd chain=virus protocol=tcp dst-port=6881-6889 action=drop
comment=”Drop \BitTorrent” disabled=noadd chain=virus protocol=tcp dst-port=6345-6349
action=drop comment=”Drop \Gnutella” disabled=noadd chain=virus protocol=tcp dst-
port=31337 action=drop comment=”Drop \Streaming Virus” disabled=noadd chain=virus
protocol=tcp dst-port=6257 action=drop comment=”winmx napster” \disabled=noadd
chain=virus protocol=tcp dst-port=6699 action=drop comment=”winmx napster”
\disabled=noadd chain=virus protocol=tcp dst-port=2754 action=drop comment=”winmx
napster” \disabled=noadd chain=virus protocol=tcp dst-port=2535 action=drop
comment=”winmx napster” \disabled=noadd chain=virus protocol=tcp dst-port=4661-4672
action=drop comment=”Edonkey \Clones” disabled=noadd chain=virus protocol=tcp dst-
port=5556-5557 action=drop comment=”Edonkey \Clones” disabled=noadd chain=input in-
interface=PUBLIC protocol=tcp dst-port=8080 action=drop \comment=”” disabled=noadd
chain=forward out-interface=PUBLIC protocol=tcp p2p=all-p2p action=drop \comment=””
disabled=noadd chain=forward out-interface=PUBLIC protocol=udp p2p=all-p2p action=drop
\comment=”” disabled=noadd chain=forward in-interface=PUBLIC dst-address=192.168.0.2
protocol=tcp \dst-port=6000-6667 action=drop comment=”” disabled=noadd chain=forward src-
address=208.65.153.251 action=drop comment=”” \disabled=noadd chain=forward src-
address=208.65.153.253 action=drop comment=”” \disabled=no
9. service port yang di aloow dan tidak
/ ip firewall service-portset ftp ports=21 disabled=yesset tftp ports=69 disabled=yesset irc
ports=6667 disabled=yesset h323 disabled=yesset quake3 disabled=yesset gre disabled=yesset
pptp disabled=yes
10. Services dhcp server
/ ip dhcp-serveradd name=”dhcp1? lease-time=3d address-pool=dhcp_pool1 bootp-
support=static \authoritative=after-2sec-delay disabled=yes
11. Log System di mikrotik
/ system loggingadd topics=info prefix=”” action=remote disabled=noadd topics=error prefix=””
action=remote disabled=noadd topics=firewall prefix=”” action=remote disabled=noadd
topics=critical prefix=”” action=remote disabled=noadd topics=debug prefix=”” action=remote
disabled=noadd topics=web-proxy prefix=”” action=remote disabled=noadd topics=firewall
prefix=”” action=remote disabled=noadd topics=packet prefix=”” action=remote
disabled=noadd topics=state prefix=”” action=remote disabled=noadd topics=system prefix=””
action=remote disabled=noadd topics=watchdog prefix=”” action=remote disabled=noadd
topics=keepalive prefix=”” action=memory disabled=noadd topics=web-proxy prefix=””
action=remote disabled=no/ system logging actionset memory name=”memory” target=memory
memory-lines=100 memory-stop-on-full=noset disk name=”disk” target=disk disk-lines=100
disk-stop-on-full=noset echo name=”echo” target=echo remember=yesset remote
name=”remote” target=remote remote=192.168.0.24:514/ system upgrade mirrorset enabled=no
primary-server=0.0.0.0 secondary-server=0.0.0.0 \check-interval=1d user=””
12. Name router
/ system identityset name=”Payau.NET”13. Tipe quee/ queue typeset default name=”default”
kind=bfifo bfifo-limit=15000set ethernet-default name=”ethernet-default” kind=pfifo pfifo-
limit=50set wireless-default name=”wireless-default” kind=sfq sfq-perturb=5 \sfq-allot=1514set
synchronous-default name=”synchronous-default” kind=red red-limit=60 \red-min-threshold=10
red-max-threshold=50 red-burst=20 red-avg-packet=1000set hotspot-default name=”hotspot-
default” kind=sfq sfq-perturb=5 \sfq-allot=1514add name=”default-small” kind=pfifo pfifo-
limit=10
14. bw management pakai quee tree
/ queue treeadd name=”UPSTREAM” parent=PUBLIC packet-mark=”” limit-at=0
queue=default \priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”BILLING-UP” parent=UPSTREAM packet-mark=billing limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA1-UP” parent=UPSTREAM packet-mark=meja1 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”MEJA2-UP” parent=UPSTREAM packet-mark=meja2 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”MEJA3-UP” parent=UPSTREAM packet-mark=meja3 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”MEJA4-UP” parent=UPSTREAM packet-mark=meja4 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”MEJA5-UP” parent=UPSTREAM packet-mark=meja5 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”MEJA6-UP” parent=UPSTREAM packet-mark=meja6 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”MEJA7-UP” parent=UPSTREAM packet-mark=meja7 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”MEJA8-UP” parent=UPSTREAM packet-mark=meja8 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”MEJA9-UP” parent=UPSTREAM packet-mark=meja9 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”MEJA10-UP” parent=UPSTREAM packet-mark=meja10 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”DOWNSTREAM” parent=LAN packet-mark=”” limit-at=0
queue=default \priority=1 max-limit=384000 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=”BILLING-DOWN” parent=DOWNSTREAM packet-mark=billing
limit-at=0 \queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA2-DOWN” parent=DOWNSTREAM packet-mark=meja2 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA3-DOWN” parent=DOWNSTREAM packet-mark=meja3 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA4-DOWN” parent=DOWNSTREAM packet-mark=meja4 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA5-DOWN” parent=DOWNSTREAM packet-mark=meja5 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA6-DOWN” parent=DOWNSTREAM packet-mark=meja6 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA7-DOWN” parent=DOWNSTREAM packet-mark=meja7 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA8-DOWN” parent=DOWNSTREAM packet-mark=meja8 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA9-DOWN” parent=DOWNSTREAM packet-mark=meja9 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA10-DOWN” parent=DOWNSTREAM packet-mark=meja10 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA20-DOWN” parent=DOWNSTREAM packet-mark=meja20 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA19-DOWN” parent=DOWNSTREAM packet-mark=meja19 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA18-DOWN” parent=DOWNSTREAM packet-mark=meja18 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA11-UP” parent=UPSTREAM packet-mark=meja11 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA12-UP” parent=UPSTREAM packet-mark=meja12 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA-13UP” parent=UPSTREAM packet-mark=meja13 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA-14UP” parent=UPSTREAM packet-mark=meja14 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA-15UP” parent=UPSTREAM packet-mark=meja15 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA-16UP” parent=UPSTREAM packet-mark=meja16 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA-17UP” parent=UPSTREAM packet-mark=meja17 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA-18UP” parent=UPSTREAM packet-mark=meja18 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA-19UP” parent=UPSTREAM packet-mark=meja19 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA-20UP” parent=UPSTREAM packet-mark=meja20 limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA11-DOWN” parent=DOWNSTREAM packet-mark=meja11 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA12-DOWN” parent=DOWNSTREAM packet-mark=meja12 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA13-DOWN” parent=DOWNSTREAM packet-mark=meja13 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA14-DOWN” parent=DOWNSTREAM packet-mark=meja14 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA15-DOWN” parent=DOWNSTREAM packet-mark=meja15 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA16-DOWN” parent=DOWNSTREAM packet-mark=meja16 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA17-DOWN” parent=DOWNSTREAM packet-mark=meja17 limit-
at=0 \queue=default priority=5 max-limit=96000 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=”MEJA1-DOWN” parent=DOWNSTREAM packet-mark=meja1 limit-
at=0 \queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=no
15. user mikrotik
/ useradd name=”admin” group=full address=0.0.0.0/0 comment=”system default user”
\disabled=noadd name=”areksitiung” group=full address=0.0.0.0/0 comment=”” disabled=noadd
name=”dartox” group=full address=0.0.0.0/0 comment=”” disabled=noadd name=”aldie”
group=full address=0.0.0.0/0 comment=”” disabled=noadd name=”Rivol” group=full
address=0.0.0.0/0 comment=”” disabled=no/ user groupadd name=”read”
policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!f\tp,!write,!policyadd
name=”write”
policy=local,telnet,ssh,reboot,read,write,test,winbox,password\,web,!ftp,!policyadd name=”full”
policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbo\x,password,web
B. Instalasi FReeBSd
Instal Router dengan FreeBSD
1. Install freeBSD melalui CDRoom/Ftp/DOS.( saya gunakan freeBSD.4.9-RELEASE )
2. setelah tahap install selesai, lalu isikan ip address untuk Routernya.
ketik command :
/stand/sysinstall –> Configure –> Networking –> Interfaces –> rl0
Note :
rl0 ==> dalam hal ini di artikan eth0 jika di linux.
3. OK sekarang untuk membuat Router dan Squid kita coba lakukan Kompile kerneldengan
option pendukung :
cd /usr/src/sys/i386/conf
cp GENERIC ROUTER —> copy kernel asli jika kemudian terjadi masalahbisa kembali ke awal
Login: areksitiung
Password:
1. 2 adsl modem
2. 1 loadbalancing machine
Data Monitor
Time : 12:31:41
Session
WAN1 WAN2 WAN3 WAN4
TCP Session 39 41 0 0
UDP Session 5 5 0 0
ICMP Session 1 2 0 0
Current Session 45 48 0 0
Accumulative Session 25094 30166 0 0
Current Bandwidth
WAN1 WAN2 WAN3 WAN4
Download Speed (byte/sec) 3310 20358 0 0
Upload Speed (byte/sec) 2331 7127 0 0
Config Show
=========================================================
Mask : 255.255.255.0
=========================================================
DHCP
———————————–
=========================================================
Netmask : 255.255.255.0
Connect To : InterNet
GatewayAddress: 192.168.11.254
Schedule : Disable
———————————————————
Netmask : 255.255.255.0
Connect To : InterNet
Type : Static IP
GatewayAddress: 192.168.12.254
Schedule : Disable
Routing setup: Work mode : Basic NAT mode
Static Route :
——————————————————-
———————————————————
=========================================================
—————————————————
0.0.0.0 0.0.0.0 192.168.12.254
=========================================================
——————————————————————————————-
=========================================================
Remote
—————————
=========================================================
———————————————————
=========================================================
———————————————————
=========================================================
—————————————————–
———————————————————
—————————————————–
=========================================================
—————————————————–
———————————————————
———————————-
1 0.0.0.0 Disable
2 0.0.0.0 Disable
3 0.0.0.0 Disable
4 0.0.0.0 Disable
=========================================================
———————————————————
=========================================================
Wan 1: 1
Wan 2: 1
Wan 3: 1
Wan 4: 1
=========================================================
=========================================================
=========================================================
=========================================================
=========================================================
Throughput
———————————————————
1. 384 64
———————————————————
2. 384 64 80 60 Enable
25 1 Enable
21 30 Enable
3128 30 Enable
8080 30 Enable
———————————————————
3. 0 0
———————————————————
4. 0 0
=========================================================
WAN CONTROL:
Special : StartPort EndPort Select-WAN Status
Application —————————————-
0 80 Wan2 Enable
21 21 Wan2 Enable
———————————————————
————————————————————————-
———————————————————
Assignment ——————————————–
=========================================================
————————————————————————
=========================================================
=========================================================
=====================================================================
===
b. mikrotik configuration
# jan/26/2008 20:00:05 by RouterOS 2.9.27
# software id = IMAX-IAN
#
/ interface ethernet
set Public name=”Public” mtu=1500 mac-address=00:19:21:5E:E4:9D arp=enabled \
disable-running-check=yes auto-negotiation=yes full-duplex=yes \
cable-settings=default speed=100Mbps comment=”" disabled=no
set Local name=”Local” mtu=1500 mac-address=00:1C:F0:5C:BA:5F arp=enabled \
disable-running-check=yes auto-negotiation=yes full-duplex=yes \
cable-settings=default speed=100Mbps comment=”" disabled=no
/ ip pool
add name=”dhcp_pool1″ ranges=192.168.0.1-192.168.0.29
/ ip dns
set primary-dns=203.130.193.74 secondary-dns=202.134.0.155 \
allow-remote-requests=yes cache-size=2048KiB cache-max-ttl=1w
/ ip address
add address=192.168.0.30/27 network=192.168.0.0 broadcast=192.168.0.31 \
interface=Local comment=”" disabled=no
add address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255 \
interface=Public comment=”" disabled=no
/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.254 scope=255 target-scope=10 \
comment=”" disabled=no
/ ip firewall mangle
add chain=prerouting src-address=192.168.0.0/27 protocol=icmp \
action=mark-connection new-connection-mark=ICMP-CM passthrough=yes \
comment=”ToS” disabled=no
add chain=prerouting connection-mark=ICMP-CM action=mark-packet \
new-packet-mark=ICMP-PM passthrough=yes comment=”" disabled=no
add chain=prerouting packet-mark=ICMP-PM action=change-tos new-tos=min-delay \
comment=”" disabled=no
add chain=prerouting src-address=192.168.0.0/27 protocol=tcp dst-port=53 \
action=mark-connection new-connection-mark=DNS-CM passthrough=yes \
comment=”" disabled=no
add chain=prerouting src-address=192.168.0.0/27 protocol=udp dst-port=53 \
action=mark-connection new-connection-mark=DNS-CM passthrough=yes \
comment=”" disabled=no
add chain=prerouting connection-mark=DNS-CM action=mark-packet \
new-packet-mark=DNS-PM passthrough=yes comment=”" disabled=no
add chain=prerouting packet-mark=DNS-PM action=change-tos new-tos=min-delay \
comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=80 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=”Services” \
disabled=no
add chain=prerouting protocol=tcp dst-port=443 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=8080 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=3128 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=http_conn action=mark-packet \
new-packet-mark=http passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=5050-5061 action=mark-connection \
new-connection-mark=ym_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=ym_conn action=mark-packet \
new-packet-mark=ym passthrough=no comment=”" disabled=no
add chain=prerouting protocol=udp dst-port=27015 action=mark-connection \
new-connection-mark=cs_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=cs_conn action=mark-packet \
new-packet-mark=cs passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=6667-7000 action=mark-connection \
new-connection-mark=irc_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=irc_conn action=mark-packet \
new-packet-mark=irc passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=8291 action=mark-connection \
new-connection-mark=mt_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=mt_conn action=mark-packet \
new-packet-mark=mt passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=110 action=mark-connection \
new-connection-mark=email_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=25 action=mark-connection \
new-connection-mark=email_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=email_conn action=mark-packet \
new-packet-mark=email passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=22 action=mark-connection \
new-connection-mark=ssh_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=ssh_conn action=mark-packet \
new-packet-mark=ssh passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=500-3127 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=3129-6665 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=7001-65535 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=udp dst-port=500-3127 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=udp dst-port=3129-6665 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=udp dst-port=7001-65535 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=games_conn action=mark-packet \
new-packet-mark=games passthrough=no comment=”" disabled=no
add chain=prerouting src-address=192.168.0.0/27 action=mark-packet \
new-packet-mark=Naik passthrough=no comment=”Up Traffic” disabled=no
add chain=forward src-address=192.168.0.0/27 action=mark-connection \
new-connection-mark=Koneksi passthrough=yes comment=”Conn-Mark” \
disabled=no
add chain=forward in-interface=Public connection-mark=Koneksi \
action=mark-packet new-packet-mark=Turun passthrough=no \
comment=”Down-Direct Connection” disabled=no
add chain=output out-interface=Local dst-address=192.168.0.0/27 \
action=mark-packet new-packet-mark=Turun passthrough=no comment=”Down-Via \
Proxy” disabled=no
/ ip firewall nat
add chain=srcnat out-interface=Public action=masquerade comment=”Nat” \
disabled=no
add chain=dstnat src-address=192.168.0.0/27 protocol=tcp dst-port=80 \
action=redirect to-ports=8080 comment=”Tanpa proxy Linux” disabled=no
add chain=dstnat src-address=192.168.0.0/27 protocol=tcp dst-port=3128 \
action=redirect to-ports=8080 comment=”" disabled=no
add chain=dstnat src-address=192.168.0.0/27 protocol=tcp dst-port=8080 \
action=redirect to-ports=8080 comment=”" disabled=no
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m \
tcp-syncookie=no
/ ip firewall filter
add chain=input connection-state=invalid action=drop comment=”Drop invalid \
connections” disabled=no
add chain=input connection-state=established action=accept comment=”Allow \
esatblished connections” disabled=no
add chain=input connection-state=related action=accept comment=”Allow related \
connections” disabled=no
add chain=input protocol=udp action=accept comment=”Allow UDP” disabled=no
add chain=input protocol=icmp action=accept comment=”Allow ICMP” disabled=no
add chain=input in-interface=!Public action=accept comment=”Allow connection \
to router from local network” disabled=no
add chain=input action=drop comment=”Drop everything else” disabled=no
add chain=input protocol=tcp dst-port=1337 action=add-src-to-address-list \
address-list=knock address-list-timeout=15s comment=”" disabled=no
add chain=input protocol=tcp dst-port=7331 src-address-list=knock \
action=add-src-to-address-list address-list=safe address-list-timeout=15m \
comment=”" disabled=no
add chain=input connection-state=established action=accept comment=”accept \
established connection packets” disabled=no
add chain=input connection-state=related action=accept comment=”accept related \
connection packets” disabled=no
add chain=input connection-state=invalid action=drop comment=”drop invalid \
packets” disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=”detect and \
drop port scan connections” disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list \
action=tarpit comment=”suppress DoS attack” disabled=no
add chain=input protocol=tcp connection-limit=10,32 \
action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d comment=”detect DoS attack” disabled=no
add chain=input protocol=icmp action=jump jump-target=ICMP comment=”jump to \
chain ICMP” disabled=no
add chain=input action=jump jump-target=services comment=”jump to chain \
services” disabled=no
add chain=input dst-address-type=broadcast action=accept comment=”Allow \
Broadcast Traffic” disabled=no
add chain=input action=log log-prefix=”Filter:” comment=”" disabled=no
add chain=input action=accept comment=”Allow access to router from known \
network” disabled=no
add chain=input src-address=192.168.0.0/27 action=accept comment=”" \
disabled=no
add chain=input src-address=192.168.1.0/24 action=accept comment=”" \
disabled=no
add chain=input src-address=63.219.6.0/24 action=accept comment=”" disabled=no
add chain=input src-address=125.0.0.0/8 action=accept comment=”" disabled=no
add chain=input action=drop comment=”drop everything else” disabled=no
add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept \
comment=”0:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept \
comment=”3:3 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept \
comment=”3:4 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept \
comment=”8:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept \
comment=”11:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp action=drop comment=”Drop everything else” \
disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list \
address-list=”port scanners” address-list-timeout=2w comment=”Port \
scanners to list ” disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”NMAP FIN Stealth scan” disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list \
address-list=”port scanners” address-list-timeout=2w comment=”SYN/FIN \
scan” disabled=no
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list \
address-list=”port scanners” address-list-timeout=2w comment=”SYN/RST \
scan” disabled=no
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”FIN/PSH/URG scan” disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”ALL/ALL scan” disabled=no
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”NMAP NULL scan” disabled=no
add chain=input src-address-list=”port scanners” action=drop comment=”dropping \
port scanners” disabled=no
add chain=forward connection-state=established action=accept comment=”allow \
established connections” disabled=no
add chain=forward connection-state=related action=accept comment=”allow \
related connections” disabled=no
add chain=forward connection-state=invalid action=drop comment=”drop invalid \
connections” disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop \
Blaster Worm” disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop \
Messenger Worm” disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster \
Worm” disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster \
Worm” disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom” \
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment=”ndm requester” \
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment=”ndm server” \
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment=”screen cast” \
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment=”hromgrafx” \
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment=”cichlid” \
disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus” \
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y” \
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle” \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop \
Beagle.C-K” disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment=”Drop MyDoom” \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor \
OptixPro” disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser” \
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B” \
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop \
Dabber.A-B” disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop \
Dumaru.Y” disabled=no
add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop \
MyDoom.B” disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus” \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2″ \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop \
SubSeven” disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, \
Agobot, Gaobot” disabled=no
add chain=forward action=jump jump-target=virus comment=”jump to the virus \
chain” disabled=no
add chain=input connection-state=invalid action=drop comment=”Drop Invalid \
connections” disabled=no
add chain=input connection-state=established action=accept comment=”Allow \
Established connections” disabled=no
add chain=input protocol=udp action=accept comment=”Allow UDP” disabled=no
add chain=input protocol=icmp action=accept comment=”Allow ICMP” disabled=no
add chain=input action=drop comment=”Drop anything else” disabled=no
add chain=forward protocol=tcp connection-state=invalid action=drop \
comment=”drop invalid connections” disabled=no
add chain=forward connection-state=established action=accept comment=”allow \
already established connections” disabled=no
add chain=forward connection-state=related action=accept comment=”allow \
related connections” disabled=no
add chain=forward src-address=0.0.0.0/8 action=drop comment=”" disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment=”" disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment=”" disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment=”" disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment=”" disabled=no
add chain=forward dst-address=224.0.0.0/3 action=drop comment=”" disabled=no
add chain=forward protocol=tcp action=jump jump-target=tcp comment=”" \
disabled=no
add chain=forward protocol=udp action=jump jump-target=udp comment=”" \
disabled=no
add chain=forward protocol=icmp action=jump jump-target=icmp comment=”" \
disabled=no
add chain=tcp protocol=tcp dst-port=69 action=drop comment=”deny TFTP” \
disabled=no
add chain=tcp protocol=tcp dst-port=111 action=drop comment=”deny RPC \
portmapper” disabled=no
add chain=tcp protocol=tcp dst-port=135 action=drop comment=”deny RPC \
portmapper” disabled=no
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”deny NBT” \
disabled=no
add chain=tcp protocol=tcp dst-port=445 action=drop comment=”deny cifs” \
disabled=no
add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”deny NFS” \
disabled=no
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”deny \
NetBus” disabled=no
add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”deny NetBus” \
disabled=no
add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”deny \
BackOriffice” disabled=no
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”deny DHCP” \
disabled=no
add chain=udp protocol=udp dst-port=69 action=drop comment=”deny TFTP” \
disabled=no
add chain=udp protocol=udp dst-port=111 action=drop comment=”deny PRC \
portmapper” disabled=no
add chain=udp protocol=udp dst-port=135 action=drop comment=”deny PRC \
portmapper” disabled=no
add chain=udp protocol=udp dst-port=137-139 action=drop comment=”deny NBT” \
disabled=no
add chain=udp protocol=udp dst-port=2049 action=drop comment=”deny NFS” \
disabled=no
add chain=udp protocol=udp dst-port=3133 action=drop comment=”deny \
BackOriffice” disabled=no
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment=”drop \
invalid connections” disabled=no
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment=”allow \
established connections” disabled=no
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment=”allow \
already established connections” disabled=no
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment=”allow \
source quench” disabled=no
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment=”allow \
echo request” disabled=no
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment=”allow \
time exceed” disabled=no
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment=”allow \
parameter bad” disabled=no
add chain=icmp action=drop comment=”deny all other types” disabled=no
add chain=input connection-state=established action=accept comment=”Accept \
established connections” disabled=no
add chain=input connection-state=related action=accept comment=”Accept related \
connections” disabled=no
add chain=input connection-state=invalid action=drop comment=”Drop invalid \
connections” disabled=no
add chain=input protocol=udp action=accept comment=”UDP” disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment=”Allow \
limited pings” disabled=no
add chain=input protocol=icmp action=drop comment=”Drop excess pings” \
disabled=no
add chain=input protocol=tcp dst-port=22 action=accept comment=”SSH for secure \
shell” disabled=no
add chain=input protocol=tcp dst-port=8291 action=accept comment=”winbox” \
disabled=no
add chain=input src-address=159.148.172.192/28 action=accept comment=”From \
Mikrotikls network” disabled=no
add chain=input src-address=192.168.0.0/27 action=accept comment=”From our \
private LAN” disabled=no
add chain=input action=log log-prefix=”DROP INPUT” comment=”Log everything \
else” disabled=no
add chain=tcp protocol=tcp p2p=all-p2p action=drop comment=”deny DHCP” \
disabled=no
add chain=tcp src-address=192.168.0.2 protocol=tcp dst-port=3133 p2p=all-p2p \
action=drop comment=”deny BackOriffice” disabled=no
/ ip firewall service-port
set ftp ports=21 disabled=no
set tftp ports=69 disabled=yes
set irc ports=6667 disabled=no
set h323 disabled=yes
set quake3 disabled=yes
set gre disabled=yes
set pptp disabled=yes
/ ip dhcp-server
add name=”dhcp1″ interface=Local lease-time=3d address-pool=dhcp_pool1 \
bootp-support=static add-arp=yes authoritative=after-2sec-delay \
disabled=no
/ ip dhcp-server config
set store-leases-disk=5m
/ ip dhcp-server lease
add address=192.168.0.29 mac-address=00:14:2A:8D:66:D1 \
client-id=”1:0:14:2a:8d:66:d1″ server=dhcp1 comment=”" disabled=no
/ ip dhcp-server network
add address=192.168.0.0/27 gateway=192.168.0.30 \
dns-server=192.168.1.1,203.130.193.74,202.134.0.155 comment=”"
/ ip ipsec proposal
add name=”default” auth-algorithms=sha1 enc-algorithms=3des lifetime=30m \
lifebytes=0 pfs-group=modp1024 disabled=no
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=8080 \
hostname=”proxy.smart.war.net.id” transparent-proxy=yes \
parent-proxy=0.0.0.0:0 cache-administrator=”[email protected]” \
max-object-size=4096KiB cache-drive=system max-cache-size=unlimited \
max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment=”block telnet & spam e-mail relaying” \
disabled=no
add url=”suck***” action=deny comment=”" disabled=yes
add url=”nude****” action=deny comment=”" disabled=yes
add url=”bugil****” action=deny comment=”" disabled=yes
add url=”gay***” action=deny comment=”" disabled=yes
add url=”penis” action=deny comment=”" disabled=yes
add url=”vagina” action=deny comment=”" disabled=yes
add url=”vagina” action=deny comment=”" disabled=yes
/ ip web-proxy cache
add url=”:cgi-bin \\?” action=deny comment=”don’t cache dynamic http pages” \
disabled=no
add url=”\\.exe\$” action=allow comment=”" disabled=no
add url=”\\.zip\$” action=allow comment=”" disabled=no
add url=”\\.mpeg\$” action=allow comment=”" disabled=no
add url=”\\.mp3\$” action=allow comment=”" disabled=no
add url=”\\.avi\$” action=allow comment=”" disabled=no
add url=”\\.pdf\$” action=allow comment=”" disabled=no
add url=”\\.rar\$” action=allow comment=”" disabled=no
add url=”\\.mov\$” action=allow comment=”" disabled=no
add url=”\\.mpg\$” action=allow comment=”" disabled=no
add url=”\\.dat\$” action=allow comment=”" disabled=no
add url=”\\.3gp\$” action=allow comment=”" disabled=no
add url=”\\.jpg\$” action=allow comment=”" disabled=no
add url=”\\.gif\$” action=allow comment=”" disabled=no
add action=allow comment=”" disabled=no
add url=”http*youtube*get_video*” action=allow comment=”YouTube” disabled=no
add url=”http*friendster.com” action=allow comment=”Friendster” disabled=no
add url=”http*pu.go.id” action=allow comment=”PU” disabled=no
add url=”http*detik*com” action=allow comment=”Detik” disabled=no
add url=”http*domai.com” action=allow comment=”Domai” disabled=no
add url=”http*nigmae.net” action=allow comment=”Nigmae” disabled=no
add url=”http*kompas.com” action=allow comment=”Kompas” disabled=no
add url=”http*lalatx.com” action=allow comment=”Lalatx” disabled=no
add url=”http*yahoo.com” action=allow comment=”Yahoo” disabled=no
add url=”http*kapanlagi.com” action=allow comment=”Kapanlagi” disabled=no
add url=”http*plasa.com” action=allow comment=”Plasa” disabled=no
add url=”http*kaskus.us” action=allow comment=”Kaskus” disabled=no
add url=”http*avaxhome*org” action=allow comment=”Avaxhome” disabled=no
add url=”www.worth1000.com” action=allow comment=”Worth1000″ disabled=no
add url=”http*rf-online*.web.id” action=allow comment=”Eramuslim” disabled=no
add url=”http***” action=allow comment=”semua http” disabled=no
add url=”http*hi5.com” action=allow comment=”PU” disabled=no
add action=allow comment=”Allow sado alahe” disabled=no
add url=”:cgi-bin \\?” action=deny comment=”don’t cache dynamic http pages” \
disabled=no
add url=”cgi-bin \\?” action=deny comment=”" disabled=no
/ system logging
add topics=info prefix=”" action=disk disabled=no
add topics=error prefix=”" action=disk disabled=no
add topics=warning prefix=”" action=disk disabled=no
add topics=critical prefix=”" action=echo disabled=no
add topics=debug prefix=”" action=disk disabled=no
add topics=web-proxy prefix=”" action=disk disabled=no
/ system logging action
set memory name=”memory” target=memory memory-lines=100 memory-stop-on-full=no
set disk name=”disk” target=disk disk-lines=100 disk-stop-on-full=no
set echo name=”echo” target=echo remember=yes
set remote name=”remote” target=remote remote=0.0.0.0:514
/ queue type
set default name=”default” kind=pfifo pfifo-limit=50
set ethernet-default name=”ethernet-default” kind=pfifo pfifo-limit=50
set wireless-default name=”wireless-default” kind=sfq sfq-perturb=5 \
sfq-allot=1514
set synchronous-default name=”synchronous-default” kind=red red-limit=60 \
red-min-threshold=10 red-max-threshold=50 red-burst=20 red-avg-packet=1000
set hotspot-default name=”hotspot-default” kind=sfq sfq-perturb=5 \
sfq-allot=1514
add name=”PFIFO-64″ kind=pfifo pfifo-limit=64
add name=”pcq-download” kind=pcq pcq-rate=384000 pcq-limit=50 \
pcq-classifier=dst-address pcq-total-limit=2000
add name=”pcq-upload” kind=pcq pcq-rate=64000 pcq-limit=50 \
pcq-classifier=src-address pcq-total-limit=2000
add name=”default-small” kind=pfifo pfifo-limit=10
/ queue simple
add name=”Smart.Net” target-addresses=192.168.0.0/27 dst-address=0.0.0.0/0 \
interface=Local parent=none direction=both priority=1 \
queue=ethernet-default/ethernet-default limit-at=0/512000 \
max-limit=0/512000 total-queue=default disabled=no
add name=”Kasir” target-addresses=192.168.0.29/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=8 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”01″ target-addresses=192.168.0.1/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”02″ target-addresses=192.168.0.2/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”03″ target-addresses=192.168.0.3/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”04″ target-addresses=192.168.0.4/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”05″ target-addresses=192.168.0.5/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”06″ target-addresses=192.168.0.6/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”07″ target-addresses=192.168.0.7/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”08″ target-addresses=192.168.0.8/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”09″ target-addresses=192.168.0.9/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”10″ target-addresses=192.168.0.10/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”11″ target-addresses=192.168.0.11/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”12″ target-addresses=192.168.0.12/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”13″ target-addresses=192.168.0.13/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”14″ target-addresses=192.168.0.14/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”15″ target-addresses=192.168.0.15/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”16″ target-addresses=192.168.0.16/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”17″ target-addresses=192.168.0.17/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”18″ target-addresses=192.168.0.18/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”19″ target-addresses=192.168.0.19/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”20″ target-addresses=192.168.0.20/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”21″ target-addresses=192.168.0.21/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”22″ target-addresses=192.168.0.22/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”23″ target-addresses=192.168.0.23/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”24″ target-addresses=192.168.0.24/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”25″ target-addresses=192.168.0.25/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”27″ target-addresses=192.168.0.27/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”28″ target-addresses=192.168.0.28/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=”26″ target-addresses=192.168.0.26/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
/ queue tree
add name=”ICMP” parent=global-in packet-mark=ICMP-PM limit-at=8000 \
queue=PFIFO-64 priority=1 max-limit=16000 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
add name=”DNS” parent=global-in packet-mark=DNS-PM limit-at=8000 \
queue=PFIFO-64 priority=1 max-limit=16000 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
add name=”downstream” parent=Local packet-mark=Turun limit-at=0 \
queue=pcq-download priority=1 max-limit=0 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
add name=”upstream” parent=global-in packet-mark=Naik limit-at=0 \
queue=pcq-upload priority=1 max-limit=0 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
/ system identity
set name=”Smart.net”
c. linux router configuration
192.168.1.1/29 192.168.0.254/24
Linux proxy
192.168.1.3/29
a. Interface
/ interface ethernet
set Local name=”Local” mtu=1500 mac-address=00:50:DA:5F:AB:16 arp=enabled \
disable-running-check=yes auto-negotiation=yes full-duplex=yes \
cable-settings=default speed=100Mbps comment=”" disabled=no
set Public name=”Public” mtu=1500 mac-address=00:A0:D2:11:C2:79 arp=enabled \
disable-running-check=yes auto-negotiation=yes full-duplex=yes \
cable-settings=default speed=100Mbps comment=”" disabled=no
b. ARP
/ ip arp
add address=192.168.0.7 mac-address=00:19:21:14:4A:E7 interface=Local \
comment=”" disabled=no
add address=192.168.0.4 mac-address=00:E0:4D:2F:81:6E interface=Local \
comment=”" disabled=no
add address=192.168.0.1 mac-address=00:1B:B9:57:79:75 interface=Local \
comment=”" disabled=no
add address=192.168.0.6 mac-address=00:E0:4D:2F:4D:F3 interface=Local \
comment=”" disabled=no
add address=192.168.0.11 mac-address=00:1B:B9:57:7E:31 interface=Local \
comment=”" disabled=no
add address=192.168.0.2 mac-address=00:E0:4D:2F:81:6D interface=Local \
comment=”" disabled=no
add address=192.168.0.5 mac-address=00:19:21:DD:90:F4 interface=Local \
comment=”" disabled=no
add address=192.168.0.10 mac-address=00:1B:B9:95:EB:6D interface=Local \
comment=”" disabled=no
add address=192.168.0.253 mac-address=00:1A:92:56:79:5E interface=Local \
comment=”" disabled=no
add address=192.168.1.1 mac-address=00:18:6E:CA:4F:2E interface=Public \
comment=”" disabled=no
add address=192.168.1.3 mac-address=00:1B:11:66:2A:69 interface=Public \
comment=”" disabled=no
c. DNS ISP
/ ip dns
set primary-dns=192.168.1.3 secondary-dns=202.134.0.155 \
allow-remote-requests=yes cache-size=2048KiB cache-max-ttl=1w
d. IP address
/ ip address
add address=192.168.1.2/29 network=192.168.1.0 broadcast=192.168.1.7 \
interface=Public comment=”" disabled=no
add address=192.168.0.254/24 network=192.168.0.0 broadcast=192.168.0.255 \
interface=Local comment=”" disabled=no
e. Mangle
/ ip firewall mangle
add chain=prerouting src-address=192.168.0.0/24 protocol=icmp \
action=mark-connection new-connection-mark=ICMP-CM passthrough=yes \
comment=”ToS” disabled=no
add chain=prerouting connection-mark=ICMP-CM action=mark-packet \
new-packet-mark=ICMP-PM passthrough=yes comment=”" disabled=no
add chain=prerouting packet-mark=ICMP-PM action=change-tos new-tos=min-delay \
comment=”" disabled=no
add chain=prerouting src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-connection new-connection-mark=DNS-CM passthrough=yes \
comment=”" disabled=no
add chain=prerouting src-address=192.168.0.0/24 protocol=udp dst-port=53 \
action=mark-connection new-connection-mark=DNS-CM passthrough=yes \
comment=”" disabled=no
add chain=prerouting connection-mark=DNS-CM action=mark-packet \
new-packet-mark=DNS-PM passthrough=yes comment=”" disabled=no
add chain=prerouting packet-mark=DNS-PM action=change-tos new-tos=min-delay \
comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=80 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=”Services” \
disabled=no
add chain=prerouting protocol=tcp dst-port=443 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=8080 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=3128 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=http_conn action=mark-packet \
new-packet-mark=http passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=5050-5061 action=mark-connection \
new-connection-mark=ym_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=ym_conn action=mark-packet \
new-packet-mark=ym passthrough=no comment=”" disabled=no
add chain=prerouting protocol=udp dst-port=27015 action=mark-connection \
new-connection-mark=cs_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=cs_conn action=mark-packet \
new-packet-mark=cs passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=6667-7000 action=mark-connection \
new-connection-mark=irc_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=irc_conn action=mark-packet \
new-packet-mark=irc passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=8291 action=mark-connection \
new-connection-mark=mt_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=mt_conn action=mark-packet \
new-packet-mark=mt passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=110 action=mark-connection \
new-connection-mark=email_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=25 action=mark-connection \
new-connection-mark=email_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=email_conn action=mark-packet \
new-packet-mark=email passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=22 action=mark-connection \
new-connection-mark=ssh_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=ssh_conn action=mark-packet \
new-packet-mark=ssh passthrough=no comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=500-3127 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=3129-6665 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=tcp dst-port=7001-65535 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=udp dst-port=500-3127 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=udp dst-port=3129-6665 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting protocol=udp dst-port=7001-65535 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=”" disabled=no
add chain=prerouting connection-mark=games_conn action=mark-packet \
new-packet-mark=games passthrough=no comment=”" disabled=no
add chain=prerouting src-address=192.168.0.0/24 action=mark-packet \
new-packet-mark=Naik passthrough=no comment=”Up Traffic” disabled=no
add chain=forward src-address=192.168.0.0/24 action=mark-connection \
new-connection-mark=Koneksi passthrough=yes comment=”Conn-Mark” \
disabled=no
add chain=forward in-interface=Public connection-mark=Koneksi \
action=mark-packet new-packet-mark=Turun passthrough=no \
comment=”Down-Direct Connection” disabled=no
add chain=output out-interface=Local dst-address=192.168.0.0/24 \
action=mark-packet new-packet-mark=Turun passthrough=no comment=”Down-Via \
Proxy” disabled=no
f. ip nat
/ ip firewall nat
add chain=srcnat out-interface=Public action=masquerade comment=”" disabled=no
add chain=dstnat src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
dst-address-list=!servergames action=dst-nat to-addresses=192.168.1.3 \
to-ports=8080 comment=”Pakai Proxy Linux” disabled=no
add chain=dstnat src-address=192.168.0.0/24 protocol=tcp dst-port=3128 \
dst-address-list=!servergames action=dst-nat to-addresses=192.168.1.3 \
to-ports=8080 comment=”" disabled=no
add chain=dstnat src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
dst-address-list=!servergames action=dst-nat to-addresses=192.168.1.3 \
to-ports=8080 comment=”" disabled=no
add chain=dstnat src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=redirect to-ports=8080 comment=”Tanpa proxy Linux” disabled=yes
add chain=dstnat src-address=192.168.0.0/24 protocol=tcp dst-port=3128 \
action=redirect to-ports=8080 comment=”" disabled=yes
add chain=dstnat src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=redirect to-ports=8080 comment=”" disabled=yes
g. filter
/ ip firewall filter
add chain=input connection-state=invalid action=drop comment=”Drop invalid \
connections” disabled=no
add chain=input connection-state=established action=accept comment=”Allow \
esatblished connections” disabled=no
add chain=input connection-state=related action=accept comment=”Allow related \
connections” disabled=no
add chain=input protocol=udp action=accept comment=”Allow UDP” disabled=no
add chain=input protocol=icmp action=accept comment=”Allow ICMP” disabled=no
add chain=input in-interface=!Public action=accept comment=”Allow connection \
to router from local network” disabled=no
add chain=input action=drop comment=”Drop everything else” disabled=no
add chain=input protocol=tcp dst-port=1337 action=add-src-to-address-list \
address-list=knock address-list-timeout=15s comment=”" disabled=no
add chain=input protocol=tcp dst-port=7331 src-address-list=knock \
action=add-src-to-address-list address-list=safe address-list-timeout=15m \
comment=”" disabled=no
add chain=input connection-state=established action=accept comment=”accept \
established connection packets” disabled=no
add chain=input connection-state=related action=accept comment=”accept related \
connection packets” disabled=no
add chain=input connection-state=invalid action=drop comment=”drop invalid \
packets” disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=”detect and \
drop port scan connections” disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list \
action=tarpit comment=”suppress DoS attack” disabled=no
add chain=input protocol=tcp connection-limit=10,32 \
action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d comment=”detect DoS attack” disabled=no
add chain=input protocol=icmp action=jump jump-target=ICMP comment=”jump to \
chain ICMP” disabled=no
add chain=input action=jump jump-target=services comment=”jump to chain \
services” disabled=no
add chain=input dst-address-type=broadcast action=accept comment=”Allow \
Broadcast Traffic” disabled=no
add chain=input action=log log-prefix=”Filter:” comment=”" disabled=no
add chain=input action=accept comment=”Allow access to router from known \
network” disabled=no
add chain=input src-address=192.168.0.0/24 action=accept comment=”" \
disabled=no
add chain=input src-address=192.168.5.0/29 action=accept comment=”" \
disabled=no
add chain=input src-address=192.168.4.0/29 action=accept comment=”" \
disabled=no
add chain=input src-address=63.219.6.0/24 action=accept comment=”" disabled=no
add chain=input src-address=125.0.0.0/8 action=accept comment=”" disabled=no
add chain=input action=drop comment=”drop everything else” disabled=no
add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept \
comment=”0:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept \
comment=”3:3 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept \
comment=”3:4 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept \
comment=”8:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept \
comment=”11:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp action=drop comment=”Drop everything else” \
disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list \
address-list=”port scanners” address-list-timeout=2w comment=”Port \
scanners to list ” disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”NMAP FIN Stealth scan” disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list \
address-list=”port scanners” address-list-timeout=2w comment=”SYN/FIN \
scan” disabled=no
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list \
address-list=”port scanners” address-list-timeout=2w comment=”SYN/RST \
scan” disabled=no
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”FIN/PSH/URG scan” disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”ALL/ALL scan” disabled=no
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg \
action=add-src-to-address-list address-list=”port scanners” \
address-list-timeout=2w comment=”NMAP NULL scan” disabled=no
add chain=input src-address-list=”port scanners” action=drop comment=”dropping \
port scanners” disabled=no
add chain=forward connection-state=established action=accept comment=”allow \
established connections” disabled=no
add chain=forward connection-state=related action=accept comment=”allow \
related connections” disabled=no
add chain=forward connection-state=invalid action=drop comment=”drop invalid \
connections” disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop \
Blaster Worm” disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop \
Messenger Worm” disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster \
Worm” disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster \
Worm” disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom” \
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment=”ndm requester” \
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment=”ndm server” \
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment=”screen cast” \
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment=”hromgrafx” \
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment=”cichlid” \
disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus” \
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y” \
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle” \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop \
Beagle.C-K” disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment=”Drop MyDoom” \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor \
OptixPro” disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser” \
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B” \
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop \
Dabber.A-B” disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop \
Dumaru.Y” disabled=no
add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop \
MyDoom.B” disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus” \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2″ \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop \
SubSeven” disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, \
Agobot, Gaobot” disabled=no
add chain=forward action=jump jump-target=virus comment=”jump to the virus \
chain” disabled=no
add chain=input connection-state=invalid action=drop comment=”Drop Invalid \
connections” disabled=no
add chain=input connection-state=established action=accept comment=”Allow \
Established connections” disabled=no
add chain=input protocol=udp action=accept comment=”Allow UDP” disabled=no
add chain=input protocol=icmp action=accept comment=”Allow ICMP” disabled=no
add chain=input action=drop comment=”Drop anything else” disabled=no
add chain=forward protocol=tcp connection-state=invalid action=drop \
comment=”drop invalid connections” disabled=no
add chain=forward connection-state=established action=accept comment=”allow \
already established connections” disabled=no
add chain=forward connection-state=related action=accept comment=”allow \
related connections” disabled=no
add chain=forward src-address=0.0.0.0/8 action=drop comment=”" disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment=”" disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment=”" disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment=”" disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment=”" disabled=no
add chain=forward dst-address=224.0.0.0/3 action=drop comment=”" disabled=no
add chain=forward protocol=tcp action=jump jump-target=tcp comment=”" \
disabled=no
add chain=forward protocol=udp action=jump jump-target=udp comment=”" \
disabled=no
add chain=forward protocol=icmp action=jump jump-target=icmp comment=”" \
disabled=no
add chain=tcp protocol=tcp dst-port=69 action=drop comment=”deny TFTP” \
disabled=no
add chain=tcp protocol=tcp dst-port=111 action=drop comment=”deny RPC \
portmapper” disabled=no
add chain=tcp protocol=tcp dst-port=135 action=drop comment=”deny RPC \
portmapper” disabled=no
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”deny NBT” \
disabled=no
add chain=tcp protocol=tcp dst-port=445 action=drop comment=”deny cifs” \
disabled=no
add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”deny NFS” \
disabled=no
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”deny \
NetBus” disabled=no
add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”deny NetBus” \
disabled=no
add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”deny \
BackOriffice” disabled=no
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”deny DHCP” \
disabled=no
add chain=udp protocol=udp dst-port=69 action=drop comment=”deny TFTP” \
disabled=no
add chain=udp protocol=udp dst-port=111 action=drop comment=”deny PRC \
portmapper” disabled=no
add chain=udp protocol=udp dst-port=135 action=drop comment=”deny PRC \
portmapper” disabled=no
add chain=udp protocol=udp dst-port=137-139 action=drop comment=”deny NBT” \
disabled=no
add chain=udp protocol=udp dst-port=2049 action=drop comment=”deny NFS” \
disabled=no
add chain=udp protocol=udp dst-port=3133 action=drop comment=”deny \
BackOriffice” disabled=no
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment=”drop \
invalid connections” disabled=no
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment=”allow \
established connections” disabled=no
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment=”allow \
already established connections” disabled=no
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment=”allow \
source quench” disabled=no
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment=”allow \
echo request” disabled=no
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment=”allow \
time exceed” disabled=no
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment=”allow \
parameter bad” disabled=no
add chain=icmp action=drop comment=”deny all other types” disabled=no
add chain=input connection-state=established action=accept comment=”Accept \
established connections” disabled=no
add chain=input connection-state=related action=accept comment=”Accept related \
connections” disabled=no
add chain=input connection-state=invalid action=drop comment=”Drop invalid \
connections” disabled=no
add chain=input protocol=udp action=accept comment=”UDP” disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment=”Allow \
limited pings” disabled=no
add chain=input protocol=icmp action=drop comment=”Drop excess pings” \
disabled=no
add chain=input protocol=tcp dst-port=22 action=accept comment=”SSH for secure \
shell” disabled=no
add chain=input protocol=tcp dst-port=8291 action=accept comment=”winbox” \
disabled=no
add chain=input src-address=159.148.172.192/28 action=accept comment=”From \
Mikrotikls network” disabled=no
add chain=input src-address=192.168.0.0/24 action=accept comment=”From our \
private LAN” disabled=no
add chain=input action=log log-prefix=”DROP INPUT” comment=”Log everything \
else” disabled=no
add chain=tcp protocol=tcp p2p=all-p2p action=drop comment=”deny DHCP” \
disabled=no
add chain=tcp src-address=192.168.0.2 protocol=tcp dst-port=3133 p2p=all-p2p \
action=drop comment=”deny BackOriffice” disabled=no
h. ip firewaal address list
/ ip firewall address-list
add list=servergames address=202.93.20.201 comment=”" disabled=no
i.queue type
/ queue type
set default name=”default” kind=pfifo pfifo-limit=50
set ethernet-default name=”ethernet-default” kind=pfifo pfifo-limit=50
set wireless-default name=”wireless-default” kind=sfq sfq-perturb=5 \
sfq-allot=1514
set synchronous-default name=”synchronous-default” kind=red red-limit=60 \
red-min-threshold=10 red-max-threshold=50 red-burst=20 red-avg-packet=1000
set hotspot-default name=”hotspot-default” kind=sfq sfq-perturb=5 \
sfq-allot=1514
add name=”PFIFO-64″ kind=pfifo pfifo-limit=64
add name=”default-small” kind=pfifo pfifo-limit=10
add name=”pcq-download” kind=pcq pcq-rate=384000 pcq-limit=50 \
pcq-classifier=dst-address pcq-total-limit=2000
add name=”pcq-upload” kind=pcq pcq-rate=64000 pcq-limit=50 \
pcq-classifier=src-address pcq-total-limit=2000
j.queue tree
/ queue tree
add name=”ICMP” parent=global-in packet-mark=ICMP-PM limit-at=8000 \
queue=PFIFO-64 priority=1 max-limit=16000 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
add name=”DNS” parent=global-in packet-mark=DNS-PM limit-at=8000 \
queue=PFIFO-64 priority=1 max-limit=16000 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
add name=”downstream” parent=Local packet-mark=Turun limit-at=0 \
queue=pcq-download priority=1 max-limit=0 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
add name=”upstream” parent=global-in packet-mark=Naik limit-at=0 \
queue=pcq-upload priority=1 max-limit=0 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
k. queue simple
/ queue simple
add name=”Fantasy.net” dst-address=0.0.0.0/0 interface=Local parent=none \
priority=1 queue=default/default limit-at=0/786000 max-limit=0/786000 \
total-queue=default disabled=no
add name=”01″ target-addresses=192.168.0.1/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default time=0s-0s, p2p=fasttrack \
disabled=no
add name=”02″ target-addresses=192.168.0.2/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default disabled=no
add name=”03″ target-addresses=192.168.0.3/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default disabled=no
add name=”04″ target-addresses=192.168.0.4/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default time=0s-0s, disabled=no
add name=”06″ target-addresses=192.168.0.6/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default p2p=fasttrack disabled=no
add name=”05″ target-addresses=192.168.0.5/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/60000 total-queue=default disabled=no
add name=”07″ target-addresses=192.168.0.7/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default disabled=no
add name=”08″ target-addresses=192.168.0.8/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default disabled=no
add name=”09″ target-addresses=192.168.0.9/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default disabled=no
add name=”10″ target-addresses=192.168.0.10/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 queue=default/default \
limit-at=0/16000 max-limit=8000/48000 total-queue=default disabled=no
add name=”11″ target-addresses=192.168.0.11/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default p2p=all-p2p disabled=no
add name=”Server” target-addresses=192.168.0.253/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/120000 total-queue=default disabled=yes
B. LINUX Proxy
a. vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=static
BROADCAST=192.168.1.255
HWADDR=00:1B:11:66:2A:69
IPADDR=192.168.1.3
NETMASK=255.255.255.0
NETWORK=192.168.1.0
ONBOOT=yes
TYPE=Ethernet
c. named.conf
};
d. resolve.conf
e. Squid.conf
http_port 8080
#icp_port 3130
icp_query_timeout 0
maximum_icp_query_timeout 5000
mcast_icp_query_timeout 2000
dead_peer_timeout 10 seconds
hierarchy_stoplist cgi-bin ? localhost
acl QUERY urlpath_regex cgi-bin \? localhost
### Log
cache_access_log /var/log/squid/access.log
logfile_rotate 1
cache_log none
cache_store_log none
emulate_httpd_log off
log_ip_on_direct on
log_fqdn off
log_icp_queries off
quick_abort_min 0
quick_abort_max 0
quick_abort_pct 98%
negative_ttl 15 minute
positive_dns_ttl 24 hours
negative_dns_ttl 5 minutes
range_offset_limit 0 KB
### SNMP
#snmp_port 3401
#acl snmppublic snmp_community public
#snmp_access allow all
#05-12-05
/sbin/iptables -I INPUT -p tcp -s 0/0 -d 0/0 –destination-port 12 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 0/0 -d 0/0 –destination-port 12 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 192.168.0.0/32 -d 0/0 –destination-port 12 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/32 -d 0/0 –destination-port 12 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 0/0 -d 0/0 –destination-port 16 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 0/0 -d 0/0 –destination-port 16 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 192.168.0.0/32 -d 0/0 –destination-port 16 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/32 -d 0/0 –destination-port 16 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 0/0 -d 0/0 –destination-port 17 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 0/0 -d 0/0 –destination-port 17 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 192.168.0.0/32 -d 0/0 –destination-port 17 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/32 -d 0/0 –destination-port 17 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 0/0 -d 0/0 –destination-port 12:20 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 0/0 -d 0/0 –destination-port 12:20 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 192.168.0.0/32 -d 0/0 –destination-port 12:20 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/32 -d 0/0 –destination-port 12:20 -j REJECT
/sbin/iptables -N syn-flood
/sbin/iptables -A INPUT -i input_interface -p tcp –syn -j syn-flood
/sbin/iptables -A syn-flood -m limit –limit 1/s –limit-burst 4 -j RETURN
/sbin/iptables -A syn-flood -j DROP