Mikrotik Dasar

Comand-Comand Dasar Mikrotik
Perintah mikrotik sebenarnya hampir sama dengan perintah yang ada dilinux,
sebab pada dasarnya mikrotik ini merupakan kernel Linux, hasil pengolahan
kembali Linux dari Distribusi Debian. Pemakaian perintah shellnya sama,
seperti penghematan perintah, cukup menggunakan tombol TAB di keyboard
maka perintah yang panjang, tidak perlu lagi diketikkan, hanya ketikkan
awal nama perintahnya, nanti secara otomatis hell akan menampilkan sendiri
perintah yang berkenaan. !isalnya perintah "P ADD#$ di mikrotik. %ukup
hanya mengetikkan "P ADD spasi tekan tombol TAB, maka otomatis shell
akan mengenali dan menterjemahkan sebagai perintah "P ADD#$.
Baiklah kita lanjutkan pengenalan perintah ini.
etelah login, cek kondisi inter&ace atau ethernet card.
'()*' !elihat kondisi inter&ace pada !ikrotik #outer
(admin+!ikrotik* , inter&ace print
-lags. / ' disabled, D ' dynamic, # ' running
01 1 1 2A!$1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
T3P$1 1 1 1 1 1 1 1 1 1 1 1 #/4#AT$1 1 1 T/4#AT$1 1 1 !T5
61 # ether)1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
ether1 1 1 1 1 1 1 1 1 1 1 61 1 1 1 1 1 1 1 1 61 1 1 1 1 1 1 1 1 )766
)1 # ether81 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
ether1 1 1 1 1 1 1 1 1 1 1 61 1 1 1 1 1 1 1 1 61 1 1 1 1 1 1 1 1 )766
(admin+!ikrotik*,
9ika inter&acenya ada tanda / :disabled; setelah nomor :6,);, maka periksa lagi
etherned cardnya, seharusnya # :running;.
a. !engganti nama inter&ace
(admin+!ikrotik* , inter&ace:enter;
b. 5ntuk mengganti nama "nter&ace ether) menjadi Public :atau terserah namanya;, maka
(admin+!ikrotik* inter&ace, set 6 name<Public
c. Begitu juga untuk ether8, misalkan namanya diganti menjadi Local, maka
(admin+!ikrotik* inter&ace, set ) name<Local
d. atau langsung saja dari posisi root direktori, memakai tanda =>?, tanpa tanda kutip
(admin+!ikrotik* , >inter&ace set 6 name<Public
e. %ek lagi apakah nama inter&ace sudah diganti.
(admin+!ikrotik* , >inter&ace print
-lags. / ' disabled, D ' dynamic, # ' running
01 1 1 2A!$1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
T3P$1 1 1 1 1 1 1 1 1 1 1 1 #/4#AT$1 1 1 T/4#AT$1 1 1 !T5
61 # Local1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
ether1 1 1 1 1 1 1 1 1 1 1 61 1 1 1 1 1 1 1 1 61 1 1 1 1 1 1 1 1 )766
)1 # Public1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
ether1 1 1 1 1 1 1 1 1 1 1 61 1 1 1 1 1 1 1 1 61 1 1 1 1 1 1 1 1 )766
'(8*' !engganti password de&ault
5ntuk keamanan ganti password de&ault
(admin+!ikrotik* , password
old password. @@@@@
new password. @@@@@
retype new password. @@@@@
(admin+ !ikrotik**,
'(A*' !engganti nama hostname
!engganti nama !ikrotik #outer untuk memudahkan kon&igurasi, pada langkah ini
nama serBer akan diganti menjadi CDErouterku?
(admin+!ikrotik* , system identity set name<routerku
(admin+routerku*,
'(F*' etting "P Address, Gateway, !asHureade dan 2ame erBer
'(F.)*' "P Address
Bentuk Perintah kon&igurasi
ip address add address <Iip address>netmaskJ inter&ace<Inama inter&aceJ
a. !emberikan "P address pada inter&ace !ikrotik. !isalkan Public akan kita gunakan untuk
koneksi ke "nternet dengan "P )K8.)LM.).8 dan Local akan kita gunakan untuk network LA2
kita dengan "P )K8.)LM.6.A6 :Lihat topologi;
(admin+routerku* , ip address add address<)K8.)LM.).8
netmask<877.877.877.6 inter&ace<Public comment<?"P ke "nternet?
(admin+routerku* , ip address add address<)K8.)LM.6.A6
netmask<877.877.877.88F inter&ace<Local comment < ="P ke LA2?
b. !elihat kon&igurasi "P address yang sudah kita berikan
(admin+routerku* ,ip address print
-lags. / ' disabled, " ' inBalid, D ' dynamic
01 1 ADD#$1 1 1 1 1 1 1 1 1 1 1 2$TNO#P1 1 1 1 1 1 1 1
B#OAD%AT1 1 1 1 1 1 "2T$#-A%$
61 1 QQQ "P Address ke "nternet
)K8.)LM.6.A6>8R1 1 )K8.)LM.6.61 1 1 )K8.)LM.6.A)1 1 1 1 1 Local
)1 1 QQQ "P Address ke LA2
)K8.)LM.).8>8F1 1 1 )K8.)LM.6.61 1 1 )K8.)LM.).8771 1 1 1 Public
(admin+routerku*,
'(F.8*' Gateway
Bentuk Perintah Pon&igurasi
ip route add gateway<Iip gatewayJ
a. !emberikan de&ault Gateway, diasumsikan gateway untuk koneksi internet adalah
)K8.)LM.).)
(admin+routerku* , >ip route add gateway<)K8.)LM.).)
b. !elihat Tabel routing pada !ikrotik #outers
(admin+routerku* , ip route print
-lags. / ' disabled, A ' actiBe, D ' dynamic,
% ' connect, ' static, r ' rip, b ' bgp, o ' osp&
01 1 1 1 DT4ADD#$1 1 1 1 P#$-#%1 1 1 1 1 1 G
GAT$NA31 1 1 1 1 1 1 D"TA2%$1 1 "2T$#-A%$
6 AD% )K8.)LM.6.6>8F1 1
)K8.)LM.6.A61 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 Local
) AD% )K8.)LM.6.6>8R1
)K8.)LM.).81 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 Public
8 A 6.6.6.6>61 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 r
)K8.)LM.).)1 1 1 1 1 1 1 1 1 1 1 1 1 1 Public
(admin+routerku*,
c. Tes Ping ke Gateway untuk memastikan kon&igurasi sudah benar
(admin+routerku* , ping )K8.)LM.).)
)K8.)LM.).)1 LF byte ping. ttl<LF timeS) ms
)K8.)LM.).)1 LF byte ping. ttl<LF timeS) ms
8 packets transmitted, 8 packets receiBed, 6T packet loss
round4trip min>aBg>max < 6>6.6>6 ms
(admin+routerku*,
'(F.A*' 2AT :2etwork Address Translation;
ip &irewall nat add chain<srcnat action<masHuerade out4inte&ace<Iethernet
yang langsung terhubung ke "nternet atau PublicJ
a. etup !asHuerading, 9ika !ikrotik akan kita pergunakan sebagai gateway serBer maka
agar
client computer pada network dapat terkoneksi ke internet perlu kita masHuerading.
(admin+routerku* , ip &irewall nat add chain<scrnat out4inter&ace<Public
action<masHuerade
(admin+routerku*,
b. !elihat kon&igurasi !asHuerading
(admin+routerku* ip &irewall nat print
-lags. / ' disabled, " ' inBalid, D ' dynamic
61 1 chain<srcnat out4inter&ace<Public action<masHuerade
(admin+routerku*,
'(F.F* 2ame serBer
ip dns set primary4dns<Idns utamaJ secondary4dns<Idns ke duaJ
a. etup D2 pada !ikrotik #outers, misalkan D2 dengan "p Addressnya
Primary < 868.)AF.6.)77, econdary < 868.)AF.8.7
(admin+routerku* , ip dns set primary4dns<868.)AF.6.)77 allow4remotereHuests<yes
(admin+routerku* , ip dns set secondary4dns<868.)AF.8.7 allow4remotereHuests<yes
b. !elihat kon&igurasi D2
(admin+routerku* , ip dns print
primary4dns. 868.)AF.6.)77
secondary4dns. 868.)AF.8.7
allow4remote4reHuests. no
cache4siUe. 86FMPiB
cache4max4ttl. )w
cache4used. )LPiB
(admin+routerku*,
c. Tes untuk akses domain, misalnya dengan ping nama domain
(admin+routerku* , ping yahoo.com
8)L.)6K.))8.)A7 LF byte ping. ttl<FM time<876 ms
)6 packets transmitted, )6 packets receiBed, 6T packet loss
round4trip min>aBg>max < 7R)>7R).6>7R) ms
(admin+routerku*,
9ika sudah berhasil reply berarti seting D2 sudah benar.
etelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan jika
berhasil berarti kita sudah berhasil melakukan instalasi !ikrotik #outer sebagai Gateway
serBer. etelah terkoneksi dengan jaringan !ikrotik dapat dimanage menggunakan NinBox
yang
bisa di download dari !ikrotik.com atau dari serBer mikrotik kita. !isal "p address serBer
mikrotik kita )K8.)LM.6.A6, Bia browser buka http.>>)K8.)LM.6.A6. Di Browser akan
ditampilkan
dalam bentuk web dengan beberapa menu, cari tulisan Download dan download NinBox dari
situ.
impan di local harddisk. 9alankan Ninbox, masukkan "p address, username dan password.
'(7*' DV%P erBer
DV%P merupakan singkatan dari Dynamic Vost %on&iguration Protocol, yaitu suatu program
yang
memungkinkan pengaturan "P Address di dalam sebuah jaringan dilakukan terpusat di serBer,
sehingga P% %lient tidak perlu melakukan kon&igurasi "P Addres. DV%P memudahkan
administrator
untuk melakukan pengalamatan ip address untuk client.
Bentuk perintah kon&igurasi
ip dhcp4serBer setup
dhcp serBer inter&ace < I inter&ace yang digunakan J
dhcp serBer space < I network yang akan di dhcp J
gateway &or dhcp network < I ip gateway J
address to giBe out < I range ip address J
dns serBers < I name serBer J
lease time < I waktu sewa yang diberikan J
9ika kita menginginkan client mendapatkan "P address secara otomatis maka perlu kita setup
dhcp serBer pada !ikrotik. Berikut langkah4langkahnya .
a. Tambahkan "P address pool
>ip pool add name<dhcp4pool ranges<)K8.)LM.6.)4)K8.)LM.6.A6
b. Tambahkan DV%P 2etwork dan gatewaynya yang akan didistribusikan ke client.
Pada contoh ini networknya adalah )K8.)LM.6.6>8R dan gatewaynya )88.)LM.6.A6
>ip dhcp4serBer network add address<)K8.)LM.6.6>8R gateway<)K8.)LM.6.A6 dns4
serBer<)K8.)LM.6.A6
comment<?W
c. Tambahkan DV%P erBer : pada contoh ini dhcp diterapkan pada inter&ace Local ;
>ip dhcp4serBer add inter&ace<local address4pool<dhcp4pool
d. Lihat status DV%P serBer
(admin+routerku* , ip dhcp4serBer print
-lags. / ' disabled, " ' inBalid
0 2A!$ "2T$#-A%$ #$LA3 ADD#$4POOL L$A$4T"!$ ADD4A#P
6dhcp) Local
Tanda / menyatakan bahwa DV%P serBer belum enable maka perlu dienablekan terlebih
dahulu pada langkah e.
e. 9angan Lupa dibuat enable dulu dhcp serBernya
>ip dhcp4serBer enable 6
kemudian cek kembali dhcp4serBer seperti langkah F, jika tanda / sudah tidak ada berarti
sudah akti&
&. Tes Dari client
!isalnya .
D.,ping www.yahoo.com
'(L*' Transparent Proxy erBer
Proxy serBer merupakan program yang dapat mempercepat akses ke suatu web
yang sudah diakses oleh komputer lain, karena sudah di simpan didalam
caching serBer.Transparent proxy menguntungkan dalam management client,
karena system administrator tidak perlu lagi melakukan setup proxy di
setiap browser komputer client karena redirection dilakukan otomatis di sisi
serBer.
Bentuk perintah kon&igurasi .
a. etting web proxy .
4 ip proxy set enable<yes
port<I port yang mau digunakan J
maximal4client4connections<)666
maximal4serBer4connections<)666
4 ip proxy direct add src4address<I network yang akan di
2ATJ action<allow
4 ip web4proxy set parent4proxy<Iproxy parent>optionalJ
hostname<I nama host untuk proxy>optionalJ
port<Iport yang mau digunakanJ
src4address<I address yang akan digunakan untuk koneksi
ke parent proxy>de&ault 6.6.6.6J
transparent4proxy<yes
max4object4siUe<I ukuran maximal &ile yang akan disimpan
sebagai cache>de&ault F6KL in PilobytesJ
max4cache4siUe< I ukuran maximal hardisk yang akan
dipakai sebagai penyimpan &ile cache>unlimited
X none X )8 in megabytesJ
cache4administrator<I email administrator yang akan digunakan
apabila proxy error, status akan dikirim
ke email tersebutJ
enable<<yes
%ontoh kon&igurasi
YYYYYY4
a. Neb proxy setting
> ip web4proxy
set enabled<yes src4address<6.6.6.6 port<M6M6
hostname<?proxy.routerku.co.id? transparent4proxy<yes
parent4proxy<6.6.6.6.6 cache4administrator<?support+routerku.co.id?
max4object4siUe<)A)6R8PiB cache4driBe<system max4cache4siUe<unlimited
max4ram4cache4siUe<unlimited
2at #edirect, perlu ditambahkan yaitu rule #$D"#$%T"2G untuk membelokkan
tra&&ic VTTP menuju ke N$B4P#O/3.
b. etting &irewall untuk Transparant Proxy
Bentuk perintah kon&igurasi .
ip &irewall nat add chain<dstnat
protocol<tcp
dst4port<M6
action<redirect
to4ports<I port proxy J
Perintahnya.
YYYYYYYYYYYYYYYYYYYYYYYYYY'
> ip &irewall nat
add chain<dstnat protocol<tcp dst4port<M6 action<redirect to4ports<M6M6
comment<?W disabled<no
add chain<dstnat protocol<tcp dst4port<A)8M action<redirect to4ports<M6M6
comment<?W disabled<no
add chain<dstnat protocol<tcp dst4port<M666 action<redirect to4ports<M6M6
perintah diatas dimaksudkan, agar semua tra&ik yang menuju Port M6,A)8M,M666
dibelokkan menuju port M6M6 yaitu portnya Neb4Proxy.
%ATATA2.
Perintah
>ip web4proxy print I untuk melihat hasil kon&igurasi web4proxyJ
>ip web4proxy monitor I untuk monitoring kerja web4proxyJ
'(R*' Bandwidth !anagement
Zo memegang peranan sangat penting dalam hal memberikan pelayanan
yang baik pada client. 5ntuk itu kita memerlukan bandwidth management
untuk mengatur tiap data yang lewat, sehingga pembagian bandwidth menjadi
adil. Dalam hal ini !ikrotik #outerOs juga menyertakan packet so&tware
untuk memanagement bandwidth.
Bentuk perintah kon&igurasi.
Hueue simple add name<I nama J
target4addresses<I ip address yang dituju J
inter&ace<I inter&ace yang digunakan untuk melewati data J
max4limit<I out>in J
Dibawah ini terdapat kon&igurasi Tra&ik shaping atau bandwidth management
dengan metode imple Zueue, sesuai namanya, 9enis Zueue ini memang
sederhana, namun memiliki kelemahan, kadangkala terjadi kebocoran bandwidth
atau bandwidthnya tidak secara real di monitor. Pemakaian untuk )6 %lient,
Zueue jenis ini tidak masalah.
Diasumsikan %lient ada sebanyak )7 client, dan masing4masing client diberi
jatah bandwidth minimum sebanyak Mkbps, dan maksimum FMkbps. edangkan
Bandwidth totalnya sebanyak )K8kbps. 5ntuk upstream tidak diberi rule,
berarti masing4masing client dapat menggunakan bandwidth uptream secara
maksimum. Perhatikan perintah priority, range priority di !ikrotik sebanyak
delapan. Berarti dari ) sampai M, priority ) adalah priority tertinggi,
sedangkan priority M merupakan priority terendah.
Berikut %ontoh kongiru&asinya.
> Hueue simple
add name<?tra&ikshaping? target4addresses<)K8.)LM.6.6>8R dst4address<6.6.6.6>6
inter&ace<all parent<none priority<) Hueue<de&ault>de&ault
limit4at<6>LF666 max4limit<6>)K8666 total4Hueue<de&ault disabled<no
add name<?6)[ target4addresses<)K8.)LM.6.)>A8 dst4address<6.6.6.6>6
inter&ace<all parent<tra&ikshaping priority<) Hueue<de&ault>de&ault
limit4at<6>M666 max4limit<6>FM666 total4Hueue<de&ault disabled<no
add name<?68[ target4addresses<)K8.)LM.6.8>A8 dst4address<6.6.6.6>6
add name<?6A[ target4addresses<)K8.)LM.6.A>A8 dst4address<6.6.6.6>6
add name<?6F[ target4addresses<)K8.)LM.6.F>A8 dst4address<6.6.6.6>6
add name<?)6[ target4addresses<)K8.)LM.6.87>A8 dst4address<6.6.6.6>6
add name<?67[ target4addresses<)K8.)LM.6.7>A8 dst4address<6.6.6.6>6
add name<?6L[ target4addresses<)K8.)LM.6.L>A8 dst4address<6.6.6.6>6
add name<?6R[ target4addresses<)K8.)LM.6.R>A8 dst4address<6.6.6.6>6
add name<?6M[ target4addresses<)K8.)LM.6.M>A8 dst4address<6.6.6.6>6
add name<?6K[ target4addresses<)K8.)LM.6.K>A8 dst4address<6.6.6.6>6
add name<?)6[ target4addresses<)K8.)LM.6.)6>A8 dst4address<6.6.6.6>6
add name<?))[ target4addresses<)K8.)LM.6.))>A8 dst4address<6.6.6.6>6
add name<?)A[ target4addresses<)K8.)LM.6.)A>A8 dst4address<6.6.6.6>6
add name<?)F[ target4addresses<)K8.)LM.6.)F>A8 dst4address<6.6.6.6>6
Perintah diatas karena dalam bentuk command line, bisa juga di copy
paste, selanjutnya di paste saja ke consol mikrotiknya. ingat lihat
dulu path atau direktory akti&. ilahkan dipaste saja, kalau posisi
direktorynya di #oot.
YYYYYYYYYYYYYYYYYYYYYY4
Terminal Bt)68 detected, using multiline input mode
(admin+mikrotik* ,
YYYYYYYYYYYYYYYYYYYYYY
Pilihan lain metode bandwidth manajemen ini, kalau seandainya ingin
bandwidth tersebut dibagi sama rata oleh !ikrotik, seperti bandwidth
87Lkbps downstream dan 87Lkbps upstream. edangkan client yang akan
mengakses sebanyak )6 client, maka otomatis masing4masing client
mendapat jatah bandwidth upstream dan downstream sebanyak 87Lkbps
dibagi )6. 9adi masing4masing dapat 87,Lkbps. Andaikata hanya 8 %lient
yang mengakses maka masing4masing dapat )8Mkbps.
5ntuk itu dipakai type P%Z :Per %onnection Zueue;, yang bisa secara
otomatis membagi tra&ik per client. Tentang jenis Hueue di mikrotik
ini dapat dibaca pada manualnya di http.>>www.mikrotik.com>testdocs>
ros>8.K>root>Hueue.php.
ebelumnya perlu dibuat aturan di bagian !A2GL$. eperti .
YYYYYYYYYYYYYYYYYYYYYY'
>ip &irewall mangle add chain<&orward src4address<)K8.)LM.6.6>8R
action<mark4connection new4connection4mark<users4con
>ip &irewall mangle add connection4mark<users4con action<mark4packet
new4packet4mark<users chain<&orward
YYYYYYYYYYYYYYYYYYYYYYY4
Parena type P%Z belum ada, maka perlu ditambah, ada 8 type P%Z ini.
Pertama diberi nama pcH4download, yang akan mengatur semua tra&ik
melalui alamat tujuan>destination address. Tra&ik ini melewati
inter&ace Local. ehingga semua tra&&ik download>downstream yang
datang dari jaringan )K8.)LM.6.6>8R akan dibagi secara otomatis.
Tipe P%Z kedua, dinamakan pcH4upload, untuk mengatur semua tra&ik upstream
yang berasal dari alamat asal>source address. Tra&ik ini melewati
inter&ace public. ehingga semua tra&&ik upload>upstream yang berasal
dari jaringan )K8.)LM.6.6>8R akan dibagi secara otomatis.
Perintah.
YYYYYYYYYYYYYYYYYYYYYYYY4
>Hueue type add name<pcH4download kind<pcH pcH4classi&ier<dst4address
>Hueue type add name<pcH4upload kind<pcH pcH4classi&ier<src4address
etelah aturan untuk P%Z dan !angle ditambahkan, sekarang untuk aturan
pembagian tra&iknya. Zueue yang dipakai adalah Zueue Tree, 3aitu.
>Hueue tree add parent<Local Hueue<pcH4download packet4mark<users
>Hueue tree add parent<Public Hueue<pcH4upload packet4mark<users
Perintah diatas mengasumsikan, kalau bandwidth yang diterima dari proBider
"nternet ber&lukstuasi atau berubah4rubah. 9ika kita yakin bahwa bandwidth
yang diterima, misalkan dapat 87Lkbs downstream, dan 87Lkbps upstream, maka
ada lagi aturannya, seperti .
5ntuk tra&ik downstreamnya .
YYYYYYYYYYYYYYYYYYYYYYYY
>Hueue tree add name<Download parent<Local max4limit<87Lk
>Hueue tree add parent<Download Hueue<pcH4download packet4mark<users
Dan tra&ik upstreamnya .
YYYYYYYYYYYYYYYYYYYYYYYYY
>Hueue tree add name<5pload parent<Public max4limit<87Lk
>Hueue tree add parent<5pload Hueue<pcH4upload packet4mark<users
'(M*' !onitor !#TG Bia Neb
-asilitas ini diperlukan untuk monitoring tra&ik dalam bentuk gra&ik, dapat
dilihat dengan menggunakan browser. !#TG :The !ulti #outer Tra&&ic Grapher;
telah dibuild sedemikian rupa, sehingga memudahkan kita memakainya. Telah
tersedia dipaket dasarnya.
%ontoh kon&igurasinya
> tool graphing
set store4eBery<7min
> tool graphing inter&ace
add inter&ace<all allow4address<6.6.6.6>6 store4on4disk<yes disabled<no
Perintah diatas akan menampilkan gra&ik dari tra&ik yang melewati inter&ace
jaringan baik berupa "nter&ace Public dan "nter&ace Local, yang dirender
setiap 7 menit sekali. 9uga dapat diatur Alamat apa saja yang dapat mengakses
!#TG ini, pada parameter allow4address.
'(K*' Peamanan di !ikrotik
etelah beberapa Pon&igurasi diatas telah disiapkan, tentu tidak lupa kita
perhatikan keamanan dari !esin gateway !ikrotik ini, ada beberapa &asilitas
yang dipergunakan. Dalam hal ini akan dibahas tentang -irewallnya. -asilitas
-irewall ini secara pringsip serupa dengan "P TABL$ di Gnu>Linux hanya saja
beberapa perintah telah di sederhanakan namun berdaya guna.
Di !ikrotik perintah &irewall ini terdapat dalam modus "P, yaitu
(admin+routerku* , >ip &irewall
Terdapat beberapa packet &ilter seperti mangle, nat, dan &ilter.
(admin+routerku* ip &irewall, \
-irewall allows "P packet &iltering on per packet basis.
.. Y go up to ip
mangle> Y The packet marking management
nat> Y 2etwork Address Translation
connection> Y ActiBe connections
&ilter> Y -irewall &ilters
address4list> '
serBice4port> Y erBice port management
export '
YYYYYYYYYYYYYYYYYYYYYYYY'
5ntuk kali ini kita akan lihat kon&igurasi pada ip &irewall &ilternya.
Parena Luasnya parameter dari &irewall &ilter ini untuk pembahasan -irewall
-ilter selengkapnya dapat dilihat pada manual mikrotik, di
http.>>www.mikrotik.com>testdocs>ros>8.K>ip>&ilter.php
Pon&igurasi dibawah ini dapat memblokir beberapa Trojan, ]irus, Backdoor
yang telah dikenali sebelumnya baik 2omor Port yang dipakai serta Protokolnya.
9uga telah di kon&igurasikan untuk menahan -looding dari 9aringan Publik dan
jaringan Lokal. erta pemberian rule untuk Access control agar, #entang
jaringan tertentu saja yang bisa melakukan #emote atau mengakses serBice
tertentu terhadap !esin !ikrotik kita.
%ontoh Aplikasi -ilternya
YYYYYYYYYYYYYYYYYYYYYYYYY'
> ip &irewall &ilter
add chain<input connection4state<inBalid action<drop comment<?Drop "nBalid
connections? disabled<no
add chain<input src4address<^)K8.)LM.6.6>8R protocol<tcp src4port<)68F4L77A7
dst4port<M6M6 action<drop comment<?Block to Proxy? disabled<no
add chain<input protocol<udp dst4port<)8LLR action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<udp dst4port<8RLL7 action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<udp dst4port<A)AA7 action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<udp dst4port<8RFFF action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<udp dst4port<AF777 action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<udp dst4port<A7777 action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<tcp dst4port<8RFFF action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<tcp dst4port<8RLL7 action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<tcp dst4port<A)AA7 action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<tcp dst4port<A)MFL action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<tcp dst4port<AF777 action<drop comment<?Trinoo?
disabled<no
add chain<input protocol<tcp dst4port<A7777 action<drop comment<?Trinoo?
disabled<no
add chain<input connection4state<established action<accept comment<?Allow
$stablished connections? disabled<no
add chain<input protocol<udp action<accept comment<?Allow 5DP? disabled<no
add chain<input protocol<icmp action<accept comment<?Allow "%!P? disabled<no
add chain<input src4address<)K8.)LM.6.6>8R action<accept comment<?Allow access
to router &rom known network? disabled<no
add chain<input action<drop comment<?Drop anything else? disabled<no
add chain<&orward protocol<tcp connection4state<inBalid action<drop
comment<?drop inBalid connections? disabled<no
add chain<&orward connection4state<established action<accept comment<?allow
already established connections? disabled<no
add chain<&orward connection4state<related action<accept comment<?allow
related connections? disabled<no
add chain<&orward src4address<6.6.6.6>M action<drop comment<?W disabled<no
add chain<&orward dst4address<6.6.6.6>M action<drop comment<?W disabled<no
add chain<&orward src4address<)8R.6.6.6>M action<drop comment<?W disabled<no
add chain<&orward dst4address<)8R.6.6.6>M action<drop comment<?W disabled<no
add chain<&orward src4address<88F.6.6.6>A action<drop comment<?W disabled<no
add chain<&orward dst4address<88F.6.6.6>A action<drop comment<?W disabled<no
add chain<&orward protocol<tcp action<jump jump4target<tcp comment<?W
disabled<no
add chain<&orward protocol<udp action<jump jump4target<udp comment<?W
disabled<no
add chain<&orward protocol<icmp action<jump jump4target<icmp comment<?W
disabled<no
add chain<tcp protocol<tcp dst4port<LK action<drop comment<?deny T-TP?
disabled<no
add chain<tcp protocol<tcp dst4port<))) action<drop comment<?deny #P%
portmapper? disabled<no
add chain<tcp protocol<tcp dst4port<)A7 action<drop comment<?deny #P%
add chain<tcp protocol<tcp dst4port<)AR4)AK action<drop comment<?deny 2BT?
disabled<no
add chain<tcp protocol<tcp dst4port<FF7 action<drop comment<?deny ci&s?
disabled<no
add chain<tcp protocol<tcp dst4port<86FK action<drop comment<?deny 2-?
disabled<no
add chain<tcp protocol<tcp dst4port<)8AF74)8AFL action<drop comment<?deny
2etBus? disabled<no
add chain<tcp protocol<tcp dst4port<866AF action<drop comment<?deny 2etBus?
disabled<no
add chain<tcp protocol<tcp dst4port<A)AA action<drop comment<?deny
BackOri&&ice? disabled<no
add chain<tcp protocol<tcp dst4port<LR4LM action<drop comment<?deny DV%P?
disabled<no
add chain<udp protocol<udp dst4port<LK action<drop comment<?deny T-TP?
disabled<no
add chain<udp protocol<udp dst4port<))) action<drop comment<?deny P#%
add chain<udp protocol<udp dst4port<)A7 action<drop comment<?deny P#%
add chain<udp protocol<udp dst4port<)AR4)AK action<drop comment<?deny 2BT?
disabled<no
add chain<udp protocol<udp dst4port<86FK action<drop comment<?deny 2-?
disabled<no
add chain<udp protocol<udp dst4port<A)AA action<drop comment<?deny
BackOri&&ice? disabled<no
add chain<input protocol<tcp psd<8),As,A,) action<add4src4to4address4list
address4list<?port scanners? address4list4timeout<8w comment<?Port
scanners to list ? disabled<no
add chain<input protocol<tcp tcp4&lags<&in,^syn,^rst,^psh,âck,ûrg
action<add4src4to4address4list address4list<?port scanners?
address4list4timeout<8w comment<?2!AP -"2 tealth scan? disabled<no
add chain<input protocol<tcp tcp4&lags<&in,syn action<add4src4to4address4list
address4list<?port scanners? address4list4timeout<8w comment<?32>-"2
scan? disabled<no
add chain<input protocol<tcp tcp4&lags<syn,rst action<add4src4to4address4list
address4list<?port scanners? address4list4timeout<8w comment<?32>#T
scan? disabled<no
add chain<input protocol<tcp tcp4&lags<&in,psh,urg,^syn,^rst,âck
address4list4timeout<8w comment<?-"2>PV>5#G scan? disabled<no
add chain<input protocol<tcp tcp4&lags<&in,syn,rst,psh,ack,urg
address4list4timeout<8w comment<?ALL>ALL scan? disabled<no
add chain<input protocol<tcp tcp4&lags<^&in,^syn,^rst,^psh,âck,ûrg
address4list4timeout<8w comment<?2!AP 25LL scan? disabled<no
add chain<input src4address4list<?port scanners? action<drop comment<?dropping
port scanners? disabled<no
add chain<icmp protocol<icmp icmp4options<6.6 action<accept comment<?drop
inBalid connections? disabled<no
add chain<icmp protocol<icmp icmp4options<A.6 action<accept comment<?allow
established connections? disabled<no
add chain<icmp protocol<icmp icmp4options<A.) action<accept comment<?allow
already established connections? disabled<no
add chain<icmp protocol<icmp icmp4options<F.6 action<accept comment<?allow
source Huench? disabled<no
add chain<icmp protocol<icmp icmp4options<M.6 action<accept comment<?allow
echo reHuest? disabled<no
add chain<icmp protocol<icmp icmp4options<)).6 action<accept comment<?allow
time exceed? disabled<no
add chain<icmp protocol<icmp icmp4options<)8.6 action<accept comment<?allow
parameter bad? disabled<no
add chain<icmp action<drop comment<?deny all other types? disabled<no
add chain<tcp protocol<tcp dst4port<87 action<reject
reject4with<icmp4network4unreachable comment<?mtp? disabled<no
add chain<tcp protocol<udp dst4port<87 action<reject
add chain<tcp protocol<tcp dst4port<))6 action<reject
add chain<tcp protocol<udp dst4port<))6 action<reject
add chain<tcp protocol<udp dst4port<))6 action<reject
'()6.)*' erBice dan !elihat erBice yang Akti& dengan Portcanner
5ntuk memastikan erBice apa saja yang akti& di !esin mikrotik, perlu kita
pindai terhadap port tertentu, seandainya ada serBice yang tidak dibutuhkan,
sebaiknya dimatikan saja.
5ntuk menonakti&kan dan mengakti&kan serBise, perintah adalah .
Pita periksa dahulu serBice apa saja yang akti&
YYYYYYYYYYYYYYYYYYYYYYYYYYY4
(admin+routerku* , ip serBice
(admin+routerku* ip serBice, print
01 1
2A!$1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
PO#T1 ADD#$1 1 1 1 1 1 1 1 1 1 1 %$#T"-"%AT$
6 / telnet1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
8A1 1 1 6.6.6.6>6
)1 1 &tp1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
8)1 1 1 6.6.6.6>6
81 1
www1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
M61 1 1 6.6.6.6>6
A1 1 ssh1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
881 1 1 6.6.6.6>6
F1 1 www4ssl1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
FFA1 1 6.6.6.6>61 1 1 1 1 1 1 1 1 none
(admin+routerku* ip serBice,
YYYYYYYYYYYYYYYYYYYYYYYYYYY4
!isalkan serBice -TP akan dinonakti&kan, yaitu di da&tar diatas terletak pada
nomor ) :lihat bagian -lags; maka .
YYYYYYYYYYYYYYYYYYYYYYYYYYY
(admin+routerku* ip serBice, set ) disabled<yes
Perlu kita periksa lagi,
(admin+routerku* ip serBice, print
01 1
2A!$1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
PO#T1 ADD#$1 1 1 1 1 1 1 1 1 1 1 %$#T"-"%AT$
6 / telnet1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
8A1 1 1 6.6.6.6>6
) / &tp1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
8)1 1 1 6.6.6.6>6
81 1
www1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
M61 1 1 6.6.6.6>6
A1 1 ssh1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
881 1 1 6.6.6.6>6
F1 1 www4ssl1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
FFA1 1 6.6.6.6>61 1 1 1 1 1 1 1 1 none
(admin+router.dprd.proBinsi* ip serBice,
ekarang serBice -TP telah dinonakti&kan.
Dengan memakai tool nmap kita dapat mencek port apa saja yang akti& pada mesin
gateway yang telah dikon&igurasikan.
Perintah . nmap 4BB 4s 4s] 4P6 )K8.)LM.6.A6
Vasil .
YYYYYYYYYYYYYYYYYYYYYYYYYYYY4
tarting 2map F.86 : http.>>insecure.org ; at 866R46F46F )K.77 $ Asia tandard Time
"nitiating A#P Ping can at )K.77
canning )K8.)LM.6.A6 () port*
%ompleted A#P Ping can at )K.77, 6.A)s elapsed :) total hosts;
"nitiating Parallel D2 resolution o& ) host. at )K.77
%ompleted Parallel D2 resolution o& ) host. at )K.77, 6.67s elapsed
"nitiating 32 tealth can at )K.77
canning1 )K8.)LM.6.A6 ()LKR ports*
DiscoBered open port 88>tcp on )K8.)LM.6.A6
DiscoBered open port 7A>tcp on )K8.)LM.6.A6
DiscoBered open port M6>tcp on )K8.)LM.6.A6
DiscoBered open port 8)>tcp on )K8.)LM.6.A6
DiscoBered open port AKML>tcp on )K8.)LM.6.A6
DiscoBered open port 8666>tcp on )K8.)LM.6.A6
DiscoBered open port M6M6>tcp on )K8.)LM.6.A6
DiscoBered open port A)8M>tcp on )K8.)LM.6.A6
%ompleted 32 tealth can at )K.77, R.F8s elapsed :)LKR total ports;
"nitiating erBice scan at )K.77
canning M serBices on )K8.)LM.6.A6
%ompleted erBice scan at )K.7R, ))A.M6s elapsed :M serBices on ) host;
Vost1 )K8.)LM.6.A6 appears to be up _ good.
"nteresting ports on )K8.)LM.6.A6.
2ot shown. )LMK closed ports
PO#T1 1 1 1 TAT$ $#]"%$1 1 1 1 1 1 1 1 ]$#"O2
8)>tcp1 1 open1 &tp1 1 1 1 1 1 1 1 1 1 1 1 !ikroTik router &tpd 8.K.8R
88>tcp1 1 open1 ssh1 1 1 1 1 1 1 1 1 1 1 1 OpenV 8.A.6 mikrotik 8.K.8R
:protocol ).KK;
7A>tcp1 1 open1 domain\
M6>tcp1 1 open1 http1 1 1 1 1 1 1 1 1 1 1 !ikroTik router http con&ig
8666>tcp open1 callbook\
A)8M>tcp open1 http4proxy1 1 1 1 1 Huid webproxy 8.7.TABL$))
AKML>tcp open1 mapper4wsèthd\
M6M6>tcp open1 http4proxy1 1 1 1 1 Huid webproxy 8.7.TABL$))
8 serBices unrecogniUed despite returning data. "& you know the serBice>Bersion,
please submit the &ollowing &ingerprints at
http.>>www.insecure.org>cgi4bin>serBice&p4submit.cgi .
<<<<<<<<<<<<<<2$/T $#]"%$ -"2G$#P#"2T :5B!"T
"2D"]"D5ALL3;<<<<<<<<<<<<<<
-4Port7A4T%P.]<F.86T"<RTD<F>FTTime<FL)AA6A%TP<iLML4pc4windows4windows
Tr:D
-.2]ersionBind#eH,$,?x6cx6LxM)xMF[;Tr:D2tatus#
-.eHuest,$,?x6cxK6xMF[;Q
<<<<<<<<<<<<<<2$/T $#]"%$ -"2G$#P#"2T :5B!"T
"2D"]"D5ALL3;<<<<<<<<<<<<<<
-4Port86664T%P.]<F.86T"<RTD<F>FTTime<FL)AA6ARTP<iLML4pc4windows4windows
Tr
-.:25LL,F,?x6)[;Tr:GenericLines,F,?x6)[;Tr:Get#eHuest,)M,?
-.x6)x68d\xeFIxKdx68x)axccxMbxd)]xb8-x&&Kxb6[;Tr:
-.VTTPOptions,)M,?x6)x68d\xeFIxKdx68x)axccxMbxd)]x
-.b8-x&&Kxb6[;Tr:#TP#eHuest,)M,?x6)x68d\xeFIxKdx68x
-.)axccxMbxd)]xb8-x&&Kxb6[;Tr:#P%%heck,)M,?x6)x68d\
-.xeFIxKdx68x)axccxMbxd)]xb8-x&&Kxb6[;Tr:D2]ersionBind#eH,)M,?
-.x6)x68d\xeFIxKdx68x)axccxMbxd)]xb8-x&&Kxb6[;Tr:
-.D2tatus#eHuest,F,?x6)[;Tr:Velp,F,?x6)[;Tr:/))Probe,F,?
-.x6)[;Tr:-ourOh-our#eHuest,)M,?x6)x68xbKx)7ax&)A
-.*bx))nx&LxKbxa6,xb6xe)xa7[;Tr:LPDtring,F,?x6)[;Tr:LDAP
-.Bind#eH,F,?x6)[;Tr:LA2Desk4#%,)M,?x6)x68xbKx)7a
-.x&)A*bx))nx&LxKbxa6,xb6xe)xa7[;Tr:TerminalerBer,F,?x6)
-.6[;Tr:2%P,)M,?x6)x68xbKx)7ax&)A*bx))nx&LxKbxa6,
-.xb6xe)xa7[;Tr:2otes#P%,)M,?x6)x68xbKx)7ax&)A*bx)
-.)nx&LxKbxa6,xb6xe)xa7[;Tr:2essusTPB)6,F,?x6)[;Q
!A% Address. 66.K6.F%.K).RR.68 :$pigram;
erBice "n&o. Vost. routerkuQ DeBice. router
erBice detection per&ormed. Please report any incorrect results at
http.>>insecure.org>nmap>submit> .
2map &inished. ) "P address :) host up; scanned in )8A.6A) seconds
#aw packets sent. )R6L :R7.6L8PB; X #cBd. )R88 :RK.F76PB;
Dari hasil scanning tersebut dapat kita ambil kesimpulan, bahwa serBice dan
port yang akti& adalah -TP dalam Bersi !ikroTik router &tpd 8.K.8R. 5ntuk
V dengan Bersi OpenV 8.A.6 mikrotik 8.K.8R :protocol ).KK;. erta Neb
proxy memakai Huid dalam Bersi Huid webproxy 8.7.TABL$)).
Tentu saja pihak Bendor mikrotik telah melakukan patch terhadap Vole atau
]ulnerabilities dari ]ersi Protocol diatas.
'()6.8*' Tool administrasi 9aringan
ecara praktis terdapat beberapa tool yang dapat diman&aatkan dalam mela
kukan troubleshooting jaringan, seperti tool ping, traceroute, V, dll.
Beberapa tool yang sering digunakan nantinya dalam administrasi sehari4hari
adalah .
o Telnet
o V
o Traceroute
o ni&&er
a. Telnet
Perintah remote mesin ini hampir sama penggunaan dengan telnet yang ada
di Linux atau Nindows.
(admin+routerku* , system telnet \
Perintah diatas untuk melihat sekilias paramater apa saja yang ada. !isalnya
mesin remote dengan ip address )K8.)LM.6.8) dan port 8A. !aka
(admin+routerku* , system telnet )K8.)LM.6.8)
Penggunaan telnet sebaiknya dibatasi untuk kondisi tertentu dengan alasan
keamanan, seperti kita ketahui, packet data yang dikirim melalui telnet
belum di enskripsi. Agar lebih amannya kita pergunakan V.
b. V
ama dengan telnet perintah ini juga diperlukan dalam remote mesin, serta
pringsipnya sama juga parameternya dengan perintah di Linux dan Nindows.
(admin+routerku* , system ssh )K8.)LM.6.8)
Parameter V diatas, sedikit perbedaan dengan telnet. 9ika lihat helpnya
memiliki parameter tambahan yaitu user.
YYYYYYYYYYYYYYYYYYYYYYYYYY
(admin+routerku* , system ssh \
The V &eature can be used with Barious V Telnet clients to securely connect
to and administrate the router
Saddress, '
user Y 5ser name
port Y Port number
(admin+routerku* ,
!isalkan kita akan melakukan remote pada suatu mesin dengan sistem
operasinya Linux, yang memiliki Account, username #oot dan Password
)8AF7L pada Address LL.8)A.R.A6. !aka perintahnya,
(admin+routerku* , system ssh LL.8)A.R.A6 user<root
root+LL.8)A.R.A6cs password.
YYYYYYYYYYYYYYYYYYYYYYYYY4
c. Traceroute
!engetahui hops atau router apa saja yang dilewati suatu packet sampai packet
itu terkirim ke tujuan, laUimnya kita menggunakan traceroute. Dengan tool ini
dapat di analisa kemana saja route dari jalannya packet.
!isalkan ingin mengetahui jalannya packet yang menuju serBer yahoo, maka.
(admin+routerku* , tool traceroute yahoo.com1 ADD#$1 TAT5
) LA.8)K.L.nnn1 1 1 66.66.66 66.66.66 66.66.66
8 888.)8F.F.nnn1 1 66.66.66 66.66.66 66.66.66
A )K8.)LM.AF.F)1 1 66.66.66 66.66.66 66.66.66
F L).KF.).87A1 1 1 1 66.66.66 66.66.66 66.66.66
7 86A.86M.)FA.)RA 66.66.66 66.66.66 66.66.66
L 86A.86M.)M8.71 1 66.66.66 66.66.66 66.66.66
R 86A.86M.)M8.))F 66.66.66 66.66.66 66.66.66
M 86A.86M.)LM.))M 66.66.66 66.66.66 66.66.66
K 86A.86M.)LM.)AF1 timeout 66.66.66 66.66.66
)6 8)L.))7.)6).AF1 66.66.661 timeout1 timeout
)) 8)L.))7.)6).)8K1 timeout1 timeout 66.66.66
)8 8)L.))7.)6M.)1 1 1 timeout1 timeout 66.66.66
)A 8)L.)6K.)86.8FK 66.66.66 66.66.66 66.66.66
)F 8)L.)6K.))8.)A7 66.66.661 timeout1 timeout
d. ni&&er
Pita dapat menangkap dan menyadap packet4packet yang berjalan
di jaringan kita, tool ini telah disediakan oleh !ikrotik yang berguna
dalam menganalisa tra&ik.
(admin+routerku* , tool sni&&er
Packet sni&&ering
.. Y go up to tool
start Y tart>reset sni&&ering
stop Y top sni&&ering
saBe Y aBe currently sni&&ed packets
packet> Y ni&&ed packets management
protocol> Y Protocol management
host> Y Vost management
connection> Y %onnection management
print '
get Y get Balue o& property
set '
edit Y edit Balue o& property
export '
5ntuk memulai proses sni&&ing dapat menggunakan perintah tart, sedangkan
menghentikannya dapat menggunaka perintah top.
(admin+routerku* , tool sni&&er start

Mikrotik Dasar

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Mikrotik Dasar

Diunggah oleh

Hak Cipta:

Format Tersedia

Comand-Comand Dasar Mikrotik

Anda mungkin juga menyukai