MikroTik RouterOS adalah sistem operasi linux yang dapat digunakan untuk
menjadikan komputer menjadi router network yang handal, mencakup berbagai fitur
yang dibuat untuk ip network dan jaringan wireless, cocok digunakan oleh ISP dan
provider hostspot.
Ada pun fitur2 nya sbb:
* Firewall and NAT - stateful packet filtering; Peer-to-Peer protocol filtering; source and
destination NAT; classification by source MAC, IP addresses (networks or a list of
networks) and address types, port range, IP protocols, protocol options (ICMP type,
TCP flags and MSS), interfaces, internal packet and connection marks, ToS (DSCP)
byte, content, matching sequence/frequency, packet size, time and more...
* Routing - Static routing; Equal cost multi-path routing; Policy based routing
(classification done in firewall); RIP v1 / v2, OSPF v2, BGP v4
* Data Rate Management - Hierarchical HTB QoS system with bursts; per IP / protocol /
subnet / port / firewall mark; PCQ, RED, SFQ, FIFO queue; CIR, MIR, contention ratios,
dynamic client rate equalizing (PCQ), bursts, Peer-to-Peer protocol limitation
* HotSpot - HotSpot Gateway with RADIUS authentication and accounting; true Plugand-Play access for network users; data rate limitation; differentiated firewall; traffic
quota; real-time status information; walled-garden; customized HTML login pages; iPass
support; SSL secure authentication; advertisement support
* Point-to-Point tunneling protocols - PPTP, PPPoE and L2TP Access Concentrators
and clients; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS
authentication and accounting; MPPE encryption; compression for PPPoE; data rate
limitation; differentiated firewall; PPPoE dial on demand
* Simple tunnels - IPIP tunnels, EoIP (Ethernet over IP)
* IPsec - IP security AH and ESP protocols; MODP Diffie-Hellman groups 1,2,5; MD5
and SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption
algorithms; Perfect Forwarding Secrecy (PFS) MODP groups 1,2,5
* Proxy - FTP and HTTP caching proxy server; HTTPS proxy; transparent DNS and
HTTP proxying; SOCKS protocol support; DNS static entries; support for caching on a
separate drive; access control lists; caching lists; parent proxy support
* DHCP - DHCP server per interface; DHCP relay; DHCP client; multiple DHCP
networks; static and dynamic DHCP leases; RADIUS support
* VRRP - VRRP protocol for high availability
* UPnP - Universal Plug-and-Play support
* NTP - Network Time Protocol server and client; synchronization with
GPS system
1GB di proxy..
* HDD minimal 128MB parallel ATA atau Compact Flash, tidak dianjurkan menggunakan
UFD, SCSI, apa lagi S-ATA
*NIC 10/100 atau 100/1000
Untuk keperluan beban yang besar ( network yang kompleks, routing yang rumit dll)
disarankan untuk mempertimbangkan pemilihan resource PC yang memadai.
Lebih lengkap bisa dilihat di www.mikrotik.com.
Meskipun demikian Mikrotik bukanlah free software, artinya kita harus membeli licensi
terhadap segala fasiltas yang disediakan. Free trial hanya untuk 24 jam saja.
Kita bisa membeli software mikrotik dalam bentuk CD yang diinstall pada Hard disk atau
disk on module (DOM). Jika kita membeli DOM tidak perlu install tetapi tinggal
menancapkan DOM pada slot IDE PC kita.
Langkah-langkah berikut adalah dasar-dasar setup mikrotik yang
dikonfigurasikan untuk jaringan sederhana sebagai gateway server.
1. Langkah pertama adalah install Mikrotik RouterOS pada PC atau pasang DOM.
2. Login Pada Mikrotik Routers melalui console :
MikroTik v2.9.7
Login: admin <enter>
Password: (kosongkan) <enter>
Sampai langkah ini kita sudah bisa masuk pada mesin Mikrotik. User default adalah
admin
dan tanpa password, tinggal ketik admin kemudian tekan tombol enter.
3. Untuk keamanan ganti password default
[admin@Mikrotik] > password
old password: *****
new password: *****
retype new password: *****
[admin@ Mikrotik]] >
4. Mengganti nama Mikrotik Router, pada langkah ini nama server akan diganti menjadi
Andre-Network (nama ini sih bebas2 aja mo diganti)
[admin@Mikrotik] > system identity set name=Andre-Network
[admin@Andre-Network] >
5. Melihat interface pada Mikrotik Router
[admin@Andre-Network] > interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1 ether 0 0 1500
primary-dns: 192.168.0.10
secondary-dns: 192.168.0.11
allow-remote-requests: no
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 16KiB
[admin@Andre-Network] >
13. Tes untuk akses domain, misalnya dengan ping nama domain
[admin@Andre-Network] > ping yahoo.com
216.109.112.135 64 byte ping: ttl=48 time=250 ms
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 571/571.0/571 ms
[admin@Andre-Network] >
Jika sudah berhasil reply berarti seting DNS sudah benar.
14. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server
maka agar client computer pada network dapat terkoneksi ke internet perlu kita
masquerading.
[admin@Andre-Network]> ip firewall nat add action=masquerade outinterface=
ether1 chain:srcnat
[admin@Andre-Network] >
15. Melihat konfigurasi Masquerading
[admin@Andre-Network]ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=ether1 action=masquerade
[admin@Andre-Network] >
Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan
jika berhasil berarti kita sudah berhasil melakukan instalasi Mikrotik Router sebagai
Gateway server. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage
menggunakan WinBox
yang bisa di download dari Mikrotik.com atau dari server mikrotik kita.
Misal Ip address server
mikrotik kita 192.168.0.1, via browser buka http://192.168.0.1 dan download WinBox
dari situ.
Jika kita menginginkan client mendapatkan IP address secara otomatis maka perlu kita
setup dhcp server pada Mikrotik. Berikut langkah-langkahnya :
1.Buat IP address pool
/ip pool add name=dhcp-pool ranges=172.16.0.10-172.16.0.20
2. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client Pada
contoh ini networknya adalah 172.16.0.0/24 dan gatewaynya 172.16.0.1
/ip dhcp-server network add address=172.16.0.0/24 gateway=172.16.0.1
3. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface ether2 )
/ip dhcp-server add interface=ether2 address-pool=dhcp-pool
/ ip firewall nat
add chain=srcnat connection-mark=odd action=src-nat to-addresses=10.111.0.2 \
to-ports=0-65535 comment="" disabled=no
add chain=srcnat connection-mark=even action=src-nat to-addresses=10.112.0.2 \
to-ports=0-65535 comment="" disabled=no
Routing
/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 scope=255 target-scope=10 routingmark=odd \
comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 routingmark=even \
comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10
comment="" \
disabled=no comment="gateway for the router itself
1. instal pake cd mikrotik
a. boot dg cd mikrotik
b. setelah bisa boot pake iso linux, pilih beberapa paket yang dibutuhkan. (kalo bingung
centang aja semua)
c ikuti aja langkahnya tekan (Yes) (Yes)
setelah restart, login : admin pass : (kosong)
trus copy paste aja tulisan berikut ;
DASAR_______________
system identity set name=warnet.beenet
user set admin password=sukasukalu
ethernet____________________
interface ethernet enable ether1
interface ethernet enable ether2
interface Ethernet set ether1 name=intranet
interface Ethernet set ether2 name=internet
IP ADDRESS_______________
ip address add interface=internet address=XXXXX (dari ISP)
ip address add interface=intranet address=192.168.0.1/24
route_______________
ip route add gateway=XXXXX (dari ISP)
dns___________
ip dns set primary-dns=XXXXX (dari ISP) 2 secondary-dns=XXXXX (dari ISP)
Memang mencegah adalah lebih baik dari pada tidak sama sekali. begitu juga
dengan dijaringan asal-asalan di tempat saya mencari makan , dengan bandwith
yang sangat terbatas adalah sasaran empuk bagi para penjahat dan orang yang
suka isegin di dunia cyber, bandwith yang saadanya ini jika di serang dengan
DDos (bagi yang tidak mengerti DDos cari aja sendiri digoogle ya.. ). Apalagi
yang nyerang mempunyai bandwith yang melimpah bisa dikatan jaringan di
tempat saya ini akan mati total. Makanya kalau kamu tidak mempunyai
bandwith sebesar punya mbah google, trus tiba-tiba akses internet kamu jadi
lelet, lemot ping ke dns time out jangan langsung salahkan ISP dimana kamu
berlangganan, silahkan di chek dulu di jaringan lokal kamu !!!!!, ehm
Tips cara mencegah bagaimana menghindari serangan DDos attach, di pasang
di Mikrotik router. biarpun tidak menjamin 100% tapi mencegah adalah jalan
terbaik dari pada tidak sama sekali
kopi paste script dibawah ini:
ip firewall filter add chain=input protocol=tcp dst-port=1337 action= add-src-toaddress-list address-list=DDOS address-list-timeout=15s comment="
disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=7331 src-addresslist=knock action= add-src-to-address-list address-list=DDOS address-listtimeout=15m comment=" disabled=no
ip firewall filter add chain=input connection-state=established action=accept
comment=accept established connection packets disabled=no
ip firewall filter add chain=input connection-state=related action=accept
comment=accept related connection packets disabled=no
ip firewall filter add chain=input connection-state=invalid action=drop
comment=drop Paket Invalid disabled=no
ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=drop
comment=Mendetek serangan Port Scaner disabled=no
ip firewall filter add chain=input protocol=tcp connection-limit=3,32 src-addresslist=black_list action=tarpit comment=Bikin kejutan ke ip penyerang
disabled=no
ip firewall filter add chain=input protocol=tcp connection-limit=10,32 action=addsrc-to-address-list address-list=black_list address-list-timeout=1d
comment=Masukin ke karung Ip penyerang disabled=no
ip firewall filter add chain=input protocol=icmp action=jump jump-target=ICMP
comment=jump chain ICMP disabled=no
ip firewall filter add chain=input action=jump jump-target=services
comment=jump chain service disabled=no
1. bersihin dulu isi route nya , dari winbox pilih ip route, trus di delete deh tuh
gateway/route disitu, semuanya
2. bersihin juga manglenya, caranya ip firewal mangle print, kalo dari winbox pilih ip >
firewall >mangle, abis itu delete2 semuanya tuh
3. bersihin juga nat nya, dari winbox, ip > firewall > nat , trus delete tuh isinya
4. selanjutnya ikutin langkah2 berikut ini ya slow down aja jangan sampe salah ketik,
sebaiknya pake tab biar auto completing
penjelasan singkat
ada 3 interface
1.lokal=192.168.100.254/24
2.isp=202.182.54.74/30
3.fastnet=118.137.79.0/24 (nah nilai ini yang selalu di ubah2, hanya yg ini, yg lain kaga
usah, ubahnya pake winbox aja)
/ip address (enter)
add address=192.168.100.254/24 interface=lokal comment=ip trafik lan disabled=no
add address=202.182.54.74/30 interface=isp comment=ip trafik indonesia disabled=no
add address=118.137.79.0/24 interface=fastnet comment=ip trafik luar disabled=no
/ip firewall (enter)
add chain=src-nat src-address=192.168.100.0/24 action=masquerade
/ip firewall mangle (enter)
add action=mark-connection chain=prerouting comment=" connection-state=new \
disabled=no in-interface=Lokal new-connection-mark=fastnet \
dst-address-list=!nice passthrough=yes
add action=mark-routing chain=prerouting comment=" connection-mark=fastnet \
disabled=no in-interface=Lokal new-routing-mark=fastnet passthrough=no \
dst-address-list=!nice
add action=mark-connection chain=prerouting comment=" connection-state=new \
disabled=no in-interface=Lokal new-connection-mark=isp \
passthrough=yes
add action=mark-routing chain=prerouting comment=" connection-mark=isp \
disabled=no in-interface=Lokal new-routing-mark=isp passthrough=no
/ip route (enter)
add dst-address=0.0.0.0/0 gateway=118.137.79.1 scope=255 target-scope=10
comment=gateway traffic internasional disabled=no
add dst-address=0.0.0.0/0 gateway=202.182.54.73 scope=255 target-scope=10
comment=gateway traffic IIX mark=nice2 disabled=no
untuk simple queue nya ga usah diapa2in ya..awas loh..
jangan lupa nyobainnya ntar malam aja, sambil ngopi n ngudut djarum super ya
kita namai. Kelompok ini bisa digunakan sebagai parameter dalam mangle, firewall
filter, NAT, maupun queue.
Mikrotik Indonesia telah menyediakan daftar IP address yang diavertise di OpenIXP dan
IIX, yang bisa didownload dengan bebas di URL : http://www.mikrotik.co.id/getfile.php?
nf=nice.rsc
File nice.rsc ini dibuat secara otomatis di server Mikrotik Indonesia setiap pagi sekitar
pukul 05.30, dan meruapakan data yang telah dioptimasi untuk menghilangkan duplikat
entry dan tumpang tindih subnet. Saat ini jumlah pada baris pada script tersebut
berkisar 430 baris.
Contoh
# Script created by: Valens Riyadi @ www.mikrotik.co.id
# Generated at 26 April 2007 05:30:02 WIB ... 431 lines
/ip firewall address-list
add list=nice address="1.2.3.4"
rem [find list=nice]
add list=nice address="125.162.0.0/16"
add list=nice address="125.163.0.0/16"
add list=nice address="152.118.0.0/16"
add list=nice address="125.160.0.0/16"
add list=nice address="125.161.0.0/16"
add list=nice address="125.164.0.0/16"
.
.
dst...
Simpanlah file tersebut ke komputer anda dengan nama nice.rsc, lalu lakukan FTP ke
router Mikrotik, dan uploadlah file tersebut di router. Contoh di bawah ini adalah proses
upload MS DOS-Promt.
C:\>dir nice.*ftp 192.168.0.1admin********asciiput nice.rscbye
Volume in drive C has no label.
Volume Serial Number is 5418-6EEF
Directory of C:\
04/26/2007 06:42p
17,523 nice.rsc
1 File(s)
17,523 bytes
0 Dir(s) 47,038,779,392 bytes free
C:\>
Connected to 192.168.0.1.
220 R&D FTP server (MikroTik 2.9.39) ready
User (192.168.0.1:(none)):
331 Password required for admin
Password:
230 User admin logged in
ftp>
200 Type set to A
ftp>
200 PORT command successful
Pastikan bahwa proses import telah berlangsung dengan sukses, dengan mengecek
Address-List pada menu IP Firewall.
Pengaturan Mangle
Berikut adalah perintah untuk melakukan konfigurasi mangle yang bisa dilakukan lewat
tampilan text pada MikrotikOs atau terminal pada Winbox.
/ip firewall mangle
add chain=forward src-address-list=nice action=mark-connection new-connectionmark=mark-con-indonesia passtrough=yes comment=mark all indonesia source
connection traffic disabled=no
add chain=forward src-address-list=nice action=mark-connection new-connectionmark=mark-con-indonesia passtrough=yes comment=mark all indonesia destination
connection traffic disabled=no
add chain=forward src-address-list=!nice action=mark-connection new-connectionmark=mark-con-overseas passtrough=yes comment=mark all overseas source
connection traffic disabled=no
add chain=forward src-address-list=!nice action=mark-connection new-connectionmark=mark-con-overseas passtrough=yes comment=mark all overseas destination
connection traffic disabled=no
add chain=prerouting connection-mark=mark-con-indonesia action=mark-packet newpacket-mark=indonesia passtrough=yes comment=mark all indonesia traffic
disabled=no
add chain=prerouting connection-mark=mark-con-overseas action=mark-packet newpacket-mark=overseas passtrough=yes comment=mark all overseas traffic
disabled=no
Membuat simple queue
Langkah selanjutnya adalah mengatur bandwith melalui simple queue, untuk mengatur
bandwith internasional 128 Kbps dan bandwith lokal IIX 256 Kbps pada komputer
dengan IP 192.168.2.4 dapat dilakukan dengan perintah sebagai berikut.
queue simple
add name=kom1-indonesia target-address=192.168.2.4/32 dst-address=0.0.0.0/0
interface=all parent=none packet-marks=indonesia direction=both priority=8
queue=default/default limit-at=0/0 max-limit=256000/256000 total-queue=default
disabled=no
add name=kom1-overeas target-address=192.168.2.4/32 dst-address=0.0.0.0/0
interface=all parent=none packet-marks=overseas direction=both priority=8
queue=default/default limit-at=0/0 max-limit=128000/128000 total-queue=default
disabled=no]
Script di atas berarti hanya komputer dengan IP 192.168.2.4 saja yang dibatasi
bandwithnya 128 Kbps internasional (overseas) dan 256 Kbps lokal IIX (Indonesia),
sedangkan yang lainnya tidak dibatasi.
Pengecekan akhir
Setelah selesai, lakukanlah pengecekan dengan melakukan akses ke situs lokal
maupun ke situs internasional, dan perhatikanlah counter baik pada firewall mangle
maupun pada simple queue.
Anda juga dapat mengembangkan queue type menggunakan pcq sehingga trafik pada
setiap client dapat tersebar secara merata.
Selamat mencoba, semoga membantu yach???
dst-address=172.21.1.0/24 action=mark-packet
new-packet-mark=test-down passthrough=no
Untuk tahap terakhir, tinggal mengkonfigurasi queue. Di sini kita menggunakan queue
tree. Satu buah rule untuk data dowstream, dan satu lagi untuk upstream. Yang penting
di sini, adalah pemilihan parent. Untuk downstream, kita menggunakan parent lan,
sesuai dengan interface yang mengarah ke jaringan lokal, dan untuk upstream, kita
menggunakan parent global-in.
[admin@instaler] > queue tree pr
Flags: X - disabled, I - invalid
0 name=downstream parent=lan packet-mark=test-down
limit-at=32000 queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s
1 name=upstream parent=global-in
packet-mark=test-up limit-at=32000
queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s
Variasi lainnya, untuk bandwidth management, dimungkinkan juga kita menggunakan
tipe queue PCQ, yang bisa secara otomatis membagi trafik per client.
setelah itu pilih menu bridging dan masukkan nama service nya setelah semua
dilakuakan klik tombol save
reboot modem maka modem saat ini sudah berfungsi sebagai bridge.
Langkah kedua
Langkah yang kedua baru kita konfigurasi / setting mikrotiknya sebagai modemnya .
masuk sebagai admin ke winbox mikrotik lalu pilih menu PPP.
setelah itu akan keluar window PPP klik gambar + di window tersebut dan pilih PPPoE
client
Isikan nama service lalu pilih interface yang terhubung langsung ke modem.
setelah itu pilih tab Dial Out isikan username yang diberikan telkom beseta
passwordnya, biarkan field yang lainnya bernilai default
lalu tahap akhir klik tombol OK maka secara otomatis mikrotik akan DIAL ke telkom.
END SETTING -
Proses dial nya lebih cepat dibandingkan dengan menggunakan modem adsl
biasa, biasanya mikrotik mendapatkan status connected dalam waktu kurang
dari 15 detik, jika modem biasanya membutuhkan waktu relatif lama sekitar 2 - 4
menit.
Modem akan lebih stabil karena yang bertindak sebagai modem adalah PC yang
mempunyai resource cukup tinggi dan kemampuan yang handal untuk bekerja
24 jam sehari.
Administrator dapat meremote mikrotiknya dan mengkonfigurasi firewal, simple
queque, load balancing, dll dari jaringan external tanpa harus melakukan port
forwarding.
Modem akan lebih awet karena tidak bekerja terlalu berat, ditandainya tidak
terlalu panas nya modem ketika jaringan internet dalam keadaan UP.
Selesai setting modem sebagai bridging yang tidak menyimpan password dan user ID
anda di modem, bagi anda yang ingin mencoba mengganti IP address default modem
bisa di konfigurasi terlebih dahulu melalui PC client.
Caranya : kita ubah terlebih dahulu IP modem pada Advance Setup > LAN IP Address
contoh 192.168.100.1 lakukan save/reboot. Kemudian lakukan pengubahan selanjutnya
di IP client PC ke 192.168.100.2 selesai. Silahkan anda coba ketik di web browser anda
IP modem (192.168.100.1). Berhasil?
Kita lanjut ke CPU Mikrotik RouterOS nya.
Tentukan IP Address masing-masing LAN card anda, misal LAN connector dari modem
202.202.202.202 (public), dan 192.168.100.1 ke jaringan lokal anda (lokal). Lakukan
perintah ini terlebih dahulu jika anda ingin menspesifikasikan nama ethernet card anda.
/interface ethernet set ether1 name=public
/interface ethernet set ether2 name=lokal
Pastikan kembali dalam menentukan nama dan alur kabel tersebut, kemudian kita lanjut
ke setting IP Address.
/ip address add address=202.x.x.x/24 interface=public
/ip address add address=192.168.100.1/24 interface=lokal
/ip address> print
Pastikan LAN card anda tidak dalam posisi disabled. Selanjutnya anda bisa
memasukkan entry PPPoE Client.
/interface pppoe-client add name=pppoe-user-mike user=mike password=123
interface=public service-name=internet disabled=no
Sebetulnya perintah diatas dapat anda lakukan di winbox, jika ingin lebih mudah sambil
cek koneksi jaringan anda ke mikrotik. Menentukan Gateway dan Routingnya
dilanjutkan ke masquerading
/ip route add gateway=125.168.125.1 (IP Gateway Telkom Speedy anda)
/ip route print
IP gateway diatas belum tentu sama, lihat terlebih dahulu ip PPPoE client anda. Jika
anda belum yakin 100% ip client anda dan gateway nya, lakukan login dan dialing
melalui modem anda terlebih dahulu bukan pada mode bridging seperti diatas. Pada
menu Device Info akan tampil informasi Default Gateway dan IP client pppoe anda. Ok?
Selanjutnya masquerading, untuk penerusan perintah dari routing yang diteruskan ke
nat firewall mikrotik untuk proses routing ke semua client yang terkoneksi
/ip firewall nat add chain=srcnat action=masquerade
Selesai.. tahap routing sudah terlaksanakan. Coba lakukan ping ke mikrotik dan
gateway nya. Jika anda ingin sharing ke komputer client jangan lupa masukkan ip
gateway pada settingan Network Connection (windows) sesuai dengan IP lokal pada
mikrotik anda.
Banyak sekali settingan mikrotik yang dapat anda pelajari dari berbagai sumber. Jika
terkesan terlalu rumit dengan sistem pengetikan anda bisa melakukannya dengan
winbox mode, setiap tutorial yang anda butuhkan pun dapat anda copy dan paste ke
winbox nya mikrotik.
Setting DNS dan Web Proxy Transparant
Input DNS dan web-proxy pun terasa lebih mudah di winbox mode, masukkan primary,
secondary dan allow remote request nya, atau dengan perintah di terminal winbox.
/ip dns set primary-dns=203.130.206.250
/ip dns set primary-dns=202.134.2.5
/ip dns allow-remote-request=yes
/ip web-proxy set enabled=yes port=8080 hostname=proxy.koe transparent-proxy=yes
/ip firewall nat add in-interface=lokal dst-port=80 protocol=tcp action=redirect toports=8080 chain=dstnat dst-address=!192.168.100.1/24
Agar semua komputer yg ada di LAN bisa terhubung ke internet juga, maka Anda perlu
menambahkan NAT (Masquerade) pada Mikrotik.
ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
Sekarang coba lakukan ping ke yahoo.com dari komputer yang ada di LAN
ping yahoo.com
Jika hasilnya sukses, maka setting masquerade sudah benar
DHCP (DynamicHost Configuration Protocol)
Karena alasan supaya praktis, temenku pengin pake DHCP Server. Biar klo tiap ada
klien yang konek, dia ga perlu setting IP secara manual. Tinggal obtain aja dari DHCP
Server, beres dah. Untungnya Mikrotik ini juga ada fitur DHCP Servernya. Jadi ya ga
ada masalah..
Membuat IP Address Pool
ip pool add name=dhcp-pool ranges=192.168.0.2-192.168.0.254
Menambahkan DHCP Network
ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 dnsserver=202.134.1.10,202.134.0.155
Menambahkan Server DHCP
ip dhcp-server add name=DHCP_LAN disabled=no interface=ether2 addresspool=dhcp-pool
Sekarang coba lakukan testing dari komputer klien, untuk me-request IP Address dari
Server DHCP. Jika sukses, maka sekali lagi, settingannya udah bener
Bandwidth Control
Agar semua komputer klien pada LAN tidak saling berebut bandwidth, maka perlu
dilakukan yg namanya bandwidth management atau bandwidth control
Model yg saya gunakan adalah queue trees. Untuk lebih jelas apa itu, silahkan merujuk
ke situsnya Mikrotik
Kondisinya seperti ini:
Koneksi Speedy kan katanya speednya sampe 384/64 Kbps (Download/Upload), nah
kondisi itu sangat jarang tercapai. Jadi kita harus cari estimasi ratanya. Maka saya
ambil minimalnya untuk download bisa dapet sekitar 300 Kbps dan untuk upload aq
alokasikan 50 Kbps. Sedangkan untuk yg maksimumnya, untuk download kira 380
Kbps dan upload 60 Kbps.
Lalu, jumlah komputer klien yang ada saat ini adalah 10 buah. Jadi harus disiapkan
bandwidth itu untuk dibagikan kepada 10 klien tersebut.
Perhitungan untuk masing klien seperti ini:
Minimal Download: 300 / 10 * 1024 = 30720 bps
Maximal Download: 380 / 10 * 1024 = 38912 bps
Minimal Upload: 50 / 10 * 1024 = 5120 bps
Maximal Upload: 60 / 10 * 1024 = 6144 bps
Selanjutnya kita mulai konfigurasinya:
Tandai semua paket yg asalnya dari LAN
ip firewall mangle add src-address=192.168.0.0/24 action=mark-connection newconnection-mark=Clients-con chain=prerouting
ip firewall mangle add connection-mark=Clients-con action=mark-packet new-packetmark=Clients chain=prerouting
Menambahkan rule yg akan membatasi kecepatan download dan upload
queue tree add name=Clients-Download parent=ether2 packet-mark=Clients limitat=30720 max-limit=38912
queue tree add name=Clients-Upload parent=ether1 packet-mark=Clients limit-at=5120
max-limit=6144
Sekarang coba lakukan test download dari beberapa klien, mestinya sekarang tiap2
klien akan berbagi bandwidthnya. Jika jumlah klien yg online tidak sampai 10, maka
sisa bandwidth yang nganggur itu akan dibagikan kepada klien yg online.
Graphing
Mikrotik ini juga dilengkapi dengan fungsi monitoring traffic layaknya MRTG biasa. Jadi
kita bisa melihat berapa banyak paket yg dilewatkan pada PC Mikrotik kita.
tool graphing set store-every=5min
Berikutnya yang akan kita monitor adalah paket yg lewat semua interface yg ada di PC
Mikrotik kita, klo di komputerku ada ether1 dan ether2.
tool graphing interface add-interface=all store-on-disk=yes
Sekarang coba arahkan browser anda ke IP Router Mikrotik. Klo aq di sini:
http://192.168.0.1/graphs/
Nanti akan ada pilihan interface apa aja yg ada di router Anda. Coba klik salah satu,
maka Anda akan bisa melihat grafik dari paket2 yg lewat pada interface tersebut.
Dari tutorial diatas saya cuma sampai mengambil langkah pada setting penambahan
NAT ( masquerade ) saja. Karena menurut saya DHCP yang sifatnya berubah ubah jadi
nanti saat mau limit BW nya terkadang ip tidak sama. CMIIW. dan untuk setting limit
saya melakukannya pada remote winbox yang lebih mudah, nah pertanyaan untuk saya
sendiri. Kapan graph tool nya kamu install nak ? hehehhee ok semoga berguna
semuanya.
7.
8.
9.
4.
5. Isikan nama sesuai keinginan anda asal mudah diingat, kemudian IP client.
Prosedur ini dilakukan untuk semua client dengan nama address-list yang sama.
Jika semua client sudah dimasukan ke dalam address-list selanjutnya menuju
tab: NAT
6.
7. Gambar diatas adalah merubah rule/script dari nat-masquerade yang sudah ada,
dimana biasanya di bagian general untuk src-address diisikan range ip client.
Untuk kali ini dirubah, sehingga hanya client yang ada di address-list saja yang
akan dimasquerade.
8. Langkah selanjutnya adalah merekam mac-address dari client kita, untuk itu kita
menggunakan tools ip-scan. menuju menu tools dan pilih ip-scan
9.
10. Interface dipilih interface yang ada dimikrotik yang mengarah ke LAN, untuk
address range silahkan disesuaikan dengan ip-range client anda. Setelah itu
silahkan klik start, dan tunggu beberapa saat. Setelah semua ip berhasil
ditampilkan, biarkan tool ip-scan (tidak usah di close), kemudian menuju menu
IP-->ARP
11.
12. Maka didalam ARP list akan muncul ip dan mac-address dari client. Selanjutnya
adalah membuat agar arp-list menjadi static dengan cara meng-klik kanan setiap
pasangan ip dan mac-address tersebut dan pilih option make statik. Ini dilakukan
untuk semua ip yang muncul. Setelah semua menjadi statik selanjutnya menuju
menu INTERFACES
13.
14. Pilih interface yang menuju klien, klik kiri dua kali sehingga muncul gambar
seperti diatas. Kemudian pada option ARP dipilih reply-only
15. Selesai
2.
3. Ikuti option-option diatas,untuk jenis koneksi selain speedy tinggal menyesuaikan
"in-interface", dimana interface yang digunakan adalah interface mikrotik yang
mengarah ke WAN/internet, kemudian pindah ke tab action, diisikan drop.
4. Langkah ke-2 diulang untuk port-port:3128,808
5. Selesai
3.
4. untuk nama bisa diberikan sesuai dengan keinginan anda, yang penting mudah
diingat
5. untuk address dimasukan : 192.168.15.1-192.168.15.50 dan next pool=none lalu
klik OK
6. Selanjutnya kita masuk ke modul PPP ke tab profiles, lalu klik tanda plus..
7. Untuk nama silahkan cari yang unik, kemudian local address diisikan dengan ip
mikrotik yang mengarah ke LAN dan DNS server diberi ip yang sama (dengan
catatan pada setting DNS di mikrotik pada option allow remote request di ceklist)
lalu klik OK
8. Selanjutnya kita pindah ke tab secrets masih pada modul PPP, kemudian diklik
tanda plus-nya
9.
10. Pada bagian ini untuk memberikan akses/username untuk menggunakan atau
login ke VPN kita, silahkan berikan username dan password yang unik. Untuk
service silahkan klik pptp dan profile diisi dengan profile yang sudah dibuat
tadi..lalu diklik OK
11. Setelah bagian ini selesai kemudian kita masuk ke TAB interface dan klik pada
bagian PPTP Server
12.
13. Silahkan diikuti semua option diatas kemudian klik OK, maka telah selesai
setting VPN kita
Tes koneksi dengan menggunakan windows XP
1.
2.
3.
4.
5.
6.
7.
8.
Selesai....
Selamat mencoba
3. Pc yang sudah terinstall dengan mikrotik dan modul ppp juga sudah terinstall...
4. kabel utp yang sudah dipatch straight untuk koneksi dari modem ke mikrotik.
5. Sebuah PC untuk mengkonfigure modem linksys AG241
Asumsi..
Topologi jaringan :
|Inet|----|Modem|----|Mikrotik|----|switch|----|Client|
1.
2.
3.
4.
action..
modem AG241.
1. Modem AG241 dihubungkan dengan PC menggunakan kabel UTP yang sudah
disiapkan
2. IP PC dirubah disesuaikan dengan IP modem, misalkan menjadi :
192.168.1.3/255.255.255.0
3. Modem dihidupkan dengan memasang adaptor ke sumber listrik, dan keluaran
adaptor disambungkan ke modem.
4. Silahkan buka browser kesayangan anda, kemudian isikan 192.168.1.1 di url
browser anda, maka akan muncul dialog untuk memasukan username dan
password untuk masuk ke dalam menu configurasi modem. Pada keadaan
standar isikan username dan password dengan admin
5. masuk ke tab setup
6.
7.
8. Setting gambar diatas untuk daerah jakarta tepatnya daerah bekasi, untuk
daerah lainnya tinggal menyesuaikan VPI dan VCI saja
Mikrotik
1. PC dihubungkan ke switch yang terhubung dengan mikrotik (lihat topologi diatas)
dan rubah kembali ip PC disesuaikan dengan IP yang ada, misalkan :
192.168.0.3/255.255.255.0
2. Login kedalam mikrotik menggunakan winbox
3. klik menu ppp, klik tanda plus pilih pppoe client
4. Pada tab general ini yang diisi hanya bagian interface, dipilih WAN
5. pindah ke tab dial out
6. Pada tab dial out, yang diisi hanyalah username dan password saja. isikan
username dan password dari account speedy anda.
7. Dial on demand, jika anda menginginkan mikrotik untuk dial ke speedy jika ada
permintaan dari client untuk akses ke internet (cocok untuk account non
unlimited) silahkan untuk diceklist. jika menginginkan agar mikrotik selalul
terhubung dengan internet silahkan jangan diceklist bagian ini.
8. add default route, pada mikrotik akan ditambahkan default route yang telah
disetting oleh speedy
9. Untuk Use peer DNS saya tidak begitu mengetahui jadi biarkan tidak diceklist
10. untuk bagian allow silahkan di checklist semuanya lalu klik OK
11. Klik menu IP-->firewall pilih tab NAT
Pada bagian On Event, tuliskan nama script yang anda buat tadi.
Selesai,
selamat mencoba.
7. Topologi pada smoothwall adalah green + red, jadi diperlukan 2 buah lancard di
dalam mesin yang akan diinstall smoothwall
Peralatan Tempur
1. Smoothwall CD, dapat didonlot disini
2.
3.
4.
5.
6.
7.
Action
Setelah ISO smoothwall didonlot kemudian di burning ke cd dengan program burning
kesayangan anda. Untuk putty, winscp, advproxy, urlfilter dan calamaris dapat disimpan
dikomputer lain yang nantinya meremote smoothwall. Karena paket-paket ini akan
diinstall melalui komputer remote.
Atur Bios Komputer yang akan diinstall Smoothwall agar dapat booting awal langsung
dari CDROM, kemudian masukan cd Smoothwallnya.
Tampilan awal Installasi Smoothwall :
Lalu
Tekan OK, lalu tekan enter dua kali sehingga akan muncul...
Jika anda sebelumnya pernah menginstall smoothwall dan menyimpan backup confignya kedalam floopydisk, maka ketika tampilan dibawah ini muncul masukan floopy disk
backup dan tekan yes.
Jika untuk pertama kali menginstall smoothwall maka cukup tekan tombol No.
kemudian pilih keyboard mapping dan isikan nama dari smoothwall anda (hostname).
Tahap selanjutnya adalah memilih "security policy" dikarenakan smoothwall kita
nantinya berada didalam "zona aman" mikrotik maka kita biarkan security policy berada
di open
klik OK, lakukan probe untuk mendeteksi secara otomatis kartu jaringan anda
Untuk kasus saya ini IP untuk GREEN dan RED diisikan IP dalam satu subnet, jadi
misalkan untuk GREEN diberikan 192.168.10.2/255.255.255.0 (dengan asumsi untuk
kartu jaringan dimikrotik yang mengarah ke smoothwall diberikan ip 192.168.10.1) maka
untuk RED diberikan IP 192.168.10.3/255.255.255.0 dengan pilihan secara statik.
Kemudian ....
Isikan DNS dan default gatewaynya, untuk default gateway isikan ip mikrotik yang
mengarah ke smoothwall (dalam kasus saya adalah 192.168.10.1). Untuk DNS bisa
memakai IP mikrotik dengan catatan option "allow remote request"-nya di
checklist/dipilih atau bisa memakai DNS yang diberikan oleh ISP.
Untuk selanjutnya akan muncul screen...
Dikarenakan akan menggunakan addons advproxy dkk, maka untuk section ini
langsung saja klik finished.
Isikan password yang anda inginkan untuk mengakses smoothwall melalui web browser
(user: admin)
Isikan password yang anda inginkan untuk mengakses smoothwall melalui terminal
(user: root).
Jika koneksi keinternet anda tidak bermasalah maka akan terdapat updates-updates
yang berasal dari websitenya smoothwall. Yang perlu diingat adalah setiap kali
melakukan updates maka Mods-mods atau addons yang telah kita pasang wajib di
uninstall dan install lagi, jika tidak dilakukan maka addons tidak dapat berjalan
sebagaimana mestinya. Setelah semua updates didonlot kemudian diinstall dan
kemudian smoothwall akan meminta reboot..
untuk mengetahui apakah updates-updates tadi telah terinstall dapat dilihat di tab yang
sama, maka akan muncul selain updates terbaru dari website smootwall (jika ada yang
baru dan kita belum menginstallnya..) juga updates-updates yang telah terinstall oleh
kita.
Installing Addons...
untuk menginstall addons (setelah kita donlot semua addons yang diperlukan) kita
memerlukan peralatan tempur putty untuk menjalankan terminal smoothwall secara
remote dari komputer lainnya dan juga winscp untuk memindahkan file-file addons dari
komputer remote ke komputer smoothwall.
Install advproxy
Gunakan winscp untuk memindahkan file advproxy ke smoothwall (biasanya ditaruh
difolder /tmp).
login melalui ssh dengan user root, untuk windows bisa menggunakan putty dengan
port ssh 222
uncompress advproxy
tar xzf swe3-nn-advproxy-version.tar.gz
masuk ke direktory hasil uncompress tadi dan jalankan:
./install
setelah selesai install, melalui browser masuk ke smoothwall dan di tab service sudah
web-proxy.
untuk option yang diceklist silahkan melihat gambar diatas, untuk proxyport bisa
memakai 8080 atau 3128 (port standar untuk webproxy, walaupun memakai yang
lainnya juga gpp. Akan tetapi demi kelancaran dan keamanan lebih baik memakai satu
diantara dua port tadi)
memory cache size (MB) = 8
Minimal object size (KB) = 0
Hardisk cache size (MB) = 10000 ( hardisk yang saya pake 80 GB SATA)
Maximum object size (KB) = 128000
memory replacement policy = heap GDSF
cache replacement policy = heap LFUDA
untuk option yang lain dibiarkan standard bawaan smoothwall aja
buat file di /var/smoothwall/proxy/store_url_rewrite.pl
dan isikan dengan :
#!/usr/bin/perl
$|=1;
while (<>) {
@X = split;
$url = $X[0];
$url =~s@^http://(.*?)/get_video\?
(.*)video_id=(.*?)&.*@squid://videos.youtube.INTERNAL/ID=$3@;
$url =~s@^http://(.*?)/get_video\?(.*)video_id=(.*?)
$@squid://videos.youtube.INTERNAL/ID=$3@;
$url =~s@^http://(.*?)/videodownload\?(.*)docid=(.*?)
$@squid://videos.google.INTERNAL/ID=$3@;
$url =~s@^http://(.*?)/videodownload\?
(.*)docid=(.*?)&.*@squid://videos.google.INTERNAL/ID=$3@;
$url =~s@^http://(.*?)/albums\?&.*@squid://images.photobucket.INTERNAL/ID=$3@;
#print "$url\n"; }
$url =~s@^http://(.*?)/albums\?$@squid://images.photobucket.INTERNAL/ID=$3@;
$url =~s@^http://(.*?)/albums\?&.*@squid://videos.photobucket.INTERNAL/ID=$3@;
$url =~s@^http://(.*?)/albums\?$@squid://videos.photobucket.INTERNAL/ID=$3@;
print "$url\n"; }
ubah kepemilikan file ke 755
edit file /var/smoothwall/proxy/advanced/acls/include.acl
dan tambahkan ini
acl store_rewrite_list url_regex ^http://(.*?)/get_video\?
acl store_rewrite_list url_regex ^http://(.*?)/videodownload\?
acl store_rewrite_list url_regex ^http://i(.*?).photobucket.com/albums/(.*?)/(.*?)/(.*?)\?
acl store_rewrite_list url_regex ^http://vid(.*?).photobucket.com/albums/(.*?)/(.*?)\?
# The keyword for all youtube video files are "get_video?", "videodownload?" and
"videoplaybeck?id"
# The "\.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)\?" is only for pictures and other videos
#acl store_rewrite_list urlpath_regex \/(get_video\?|videodownload\?|videoplayback\?id)
\.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)\? \/ads\?
#acl store_rewrite_list_web url_regex ^http:\/\/([A-Za-z-]+[0-9]+)*\.[A-Za-z]*\.[A-Za-z]*
#acl store_rewrite_list_path urlpath_regex \.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)$
#acl store_rewrite_list_web_CDN url_regex ^http:\/\/[a-z]+[0-9]\.google\.com
doubleclick\.net
#add this line before cache deny
#acl QUERY2 urlpath_regex get_video\? videoplayback\? \.(jp(e?g|e|2)|gif|png|tiff?|
bmp|ico|flv)\?
#cache allow QUERY2
#cache allow store_rewrite_list_web_CDN
#cache deny url that has cgi-bin and ? this is the default for below squid 2.7 version
#acl QUERY urlpath_regex cgi-bin \?
#cache deny QUERY
#storeurl_access allow store_rewrite_list
#this is not related to youtube video its only for CDN pictures
#storeurl_access allow store_rewrite_list_web_CDN
#storeurl_access allow store_rewrite_list_web store_rewrite_list_path
#storeurl_access deny all
#rewrite_program path is base on windows so use use your own path
#storeurl_rewrite_program /var/smoothwall/proxy/google_cache.pl
#storeurl_rewrite_children 1
#storeurl_rewrite_concurrency 10
#http_access allow manager localhost
cache allow store_rewrite_list
cache allow all
storeurl_access allow store_rewrite_list
storeurl_access deny all
storeurl_rewrite_program /var/smoothwall/proxy/store_url_rewrite.pl
storeurl_rewrite_children 1
storeurl_rewrite_concurrency 10
acl file_terlarang url_regex -i hot_indonesia.exe
acl file_terlarang url_regex -i hotsurprise_id.exe
acl file_terlarang url_regex -i best-mp3-download.exe
acl file_terlarang url_regex -i R32.exe
acl file_terlarang url_regex -i rb32.exe
acl file_terlarang url_regex -i mp3.exe
acl file_terlarang url_regex -i HOTSEX.exe
acl file_terlarang url_regex -i Browser_Plugin.exe
acl file_terlarang url_regex -i DDialer.exe
acl file_terlarang url_regex -i od-teen
acl file_terlarang url_regex -i URLDownload.exe
acl file_terlarang url_regex -i od-stnd67.exe
acl file_terlarang url_regex -i Download_Plugin.exe
acl file_terlarang url_regex -i od-teen52.exe
acl file_terlarang url_regex -i malaysex
acl file_terlarang url_regex -i edita.html
acl file_terlarang url_regex -i info.exe
acl file_terlarang url_regex -i run.exe
acl file_terlarang url_regex -i Lovers2Go
acl file_terlarang url_regex -i GlobalDialer
acl file_terlarang url_regex -i WebDialer
acl file_terlarang url_regex -i britneynude
acl file_terlarang url_regex -i download.exe
acl file_terlarang url_regex -i backup.exe
acl file_terlarang url_regex -i GnoOS2003
acl file_terlarang url_regex -i wintrim.exe
acl file_terlarang url_regex -i MPREXE.EXE
acl file_terlarang url_regex -i exengd.EXE
acl file_terlarang url_regex -i xxxvideo.exe
acl file_terlarang url_regex -i Save.exe
acl file_terlarang url_regex -i ATLBROWSER.DLL
acl file_terlarang url_regex -i NawaL_rm
acl file_terlarang url_regex -i Socks32.dll
acl file_terlarang url_regex -i Sc32Lnch.exe
acl file_terlarang url_regex -i dat0.exe
http_access deny file_terlarang
#youtube's videos
refresh_pattern -i (get_video\?|videodownload\?|videoplayback\?) 161280 50000%
525948 override-expire ignore-reload
zph_option 136
#opsi yg lain
quick_abort_min 0
quick_abort_max 0
quick_abort_pct 100
ie_refresh off
client_lifetime 2 hours
#ipcache_size 4096
#ipcache_low 90
#ipcache_high 95
maximum_object_size_in_memory 64 KB
dari browser masuk ke tab web proxy lalu klik save and restart
Install Urlfilter
Dengan cara yang sama, pindahkan file urlfilter hasil donlot ke folder /tmp dengan
menggunakan winscp, lalu uncompress
login melalui ssh dengan user root, untuk windows bisa menggunakan putty dengan
port ssh 222
uncompress urlfilter
tar -xzf sw3-nn-urlfilter-version.tar.gz
masuk kedirektory hasil uncompress dan jalankan
./install
setelah selesai install, melalui browser masuk ke smoothwall dan di tab service
dibagian service sudah terdapat option url filter.
data recovery
Dating
Laura Ashley
HP Compaq RAM Memory Upgrade
Psychic
internet paket akan melewati router-router ISP, upstream provider, backbone internet
dst hingga sampai ke tujuan (SYN). Selanjutnya server akan membalas koneksi (ACK)
sebaliknya hingga kembali ke komputer kita. Saat server membalas koneksi namun ada
gangguan saat menuju network kita (atau ISPnya) maka komputer kita sama sekali
tidak akan mendeteksi adanya koneksi. Seolah-olah putus total, walaupun
kemungkinan besar putusnya koneksi hanya satu arah.
4. Default gateway
Saat sebuah router mempunyai beberapa interface (seperti persimpangan, ada
simpang tiga, simpang empat dan simpang lima) maka tabel routing otomatis akan
bertambah, namun default router atau default gateway hanya bisa satu. Fungsinya
adalah mengarahkan paket ke network address yang tidak ada dalam tabel routing
(network address 0.0.0.0/0).
5. Dua koneksi
Permasalahan umumnya muncul di sini, saat sebuah router mempunyai dua koneksi ke
internet (sama atau berbeda ISP-nya). Default gateway di router tetap hanya bisa satu,
ditambah pun yang bekerja tetap hanya satu. Jadi misal router NAT anda terhubung ke
ISP A melalui interface A dan gateway A dan ke ISP B melalui interface B dan gateway
B, dan default gateway ke ISP A, maka trafik downlink hanya akan datang dari ISP A
saja. Begitu juga sebaliknya jika dipasang default gateway ke ISP B.
Bagaimana menyelesaikan permasalahan tersebut?
Konsep utamanya adalah source-address routing. Source-address routing ibaratnya
anda dicegat di persimpangan oleh polisi dan polisi menanyakan anda dari mana?
dan anda akan ditunjukkan ke jalur yang tepat.
Pada router NAT (atau router pada umumnya), source-address secara default tidak
dibaca, tidak dipertimbangkan. Jadi pada kasus di atas karena default gateway ke ISP A
maka NAT akan meneruskan paket sebagai paket yang pergi dari IP address interface
A (yang otomatis akan mendapat downlink dari ISP A ke interface A dan diteruskan ke
jaringan dalam).
Dalam jaringan yang lebih besar (bukan NAT), source-address yang melewati network
lain disebut sebagai transit (di-handle dengan protokol BGP oleh ISP). Contoh praktis
misalnya anda membeli bandwidth yang turun dari satelit melalui DVB, namun koneksi
uplink menggunakan jalur terestrial (dial-up, leased-line atau fixed-wireless). Dalam
kasus ini paket inisiasi koneksi harus menjadi source-address network downlink DVB,
agar bandwidth downlink dari internet mengarah DVB receiver, bukan ke jalur terestrial.
Di lingkungan Linux, pengaturan source-address bisa dilakukan oleh iproute2. Iproute2
akan bekerja sebelum diteruskan ke table routing. Misal kita mengatur dua segmen
LAN internal agar satu segmen menjadi source-address A dan satu segmen lainnya
menjadi source-address B, agar kedua koneksi ke ISP terutilisasi bersamaan.
Penerapan utilisasi dua koneksi tersebut bisa mengambil tiga konsep, yaitu round-robin,
loadbalance atau failover.
6. Round-robin
Misalkan anda mempunyai tiga koneksi internet di satu router NAT, koneksi pertama di
sebut Batman, koneksi kedua disebut Baskin dan koneksi ketiga disebut Williams, maka
konsep round-robin adalah sang Robin akan selalu berpindah-pindah secara berurutan
mengambil source-address (bukan random). Misal ada satu TCP session dari komputer
di jaringan internal, maka koneksi TCP tersebut tetap di source-address pertama hingga
sesi TCP selesai (menjadi Batman & Robin). Saat TCP session Batman & Robin
tersebut belum selesai, ada ada request koneksi baru dari jaringan, maka sang Robin
akan mengambil source-address koneksi berikutnya, menjadi Baskin & Robin. Dan
seterusnya sang Robin akan me-round-round setiap koneksi tanpa memperhatikan
penuh atau tidaknya salah satu koneksi.
Pasti anda sedang pusing membaca kalimat di atas, atau sedang tertawa terbahakbahak.
7. Loadbalance
Konsep loadbalance mirip dengan konsep round-robin di atas, hanya saja sang Robin
dipaksa melihat utilisasi ketiga koneksi tersebut di atas. Misalkan koneksi Batman &
Robin serta Baskin & Robin sudah penuh, maka koneksi yang dipilih yang lebih kosong,
dan koneksi yang diambil menjadi Robin Williams. Request koneksi berikutnya kembali
sang Robin harus melihat dulu utilisasi koneksi yang ada, apakah ia harus menjadi
Batman & Robin, Baskin & Robin atau Robin Williams, agar semua utilisasi koneksi
seimbang, balance.
8. Failover
Konsep fail-over bisa disebut sebagai backup otomatis. Misalkan kapasitas link terbesar
adalah link Batman, dan link Baskin lebih kecil. Kedua koneksi tersebut terpasang
online, namun koneksi tetap di satu link Batman & Robin, sehingga pada saat link
Batman jatuh koneksi akan berpindah otomatis ke link Baskin, menjadi Baskin & Robin
hingga link Batman up kembali.
*makan es krim Haagendaz dulu*
Tools NAT yang mempunyai ketiga fitur di atas adalah Packet Firewall (PF) di
lingkungan BSD, disebut dengan nat pool. Saya belum menemukan implementasi yang
bagus (dan cukup mudah) di Linux dengan iproute2.
*Uraian panjang di atas hanyalah kata sambutan sodara-sodara*
Berikut contoh implementasi load balance dua koneksi sesuai judul di atas. Dijalankan
di mesin OpenBSD sebagai NAT router dengan dua koneksi DSL Telkom, interface
ethernet sk0 dan sk1.
1. Aktifkan forwarding di /etc/sysctl.conf
net.inet.ip.forwarding=1
2. Pastikan konfigurasi interface dan default routing kosong, hanya filename saja
# /etc/hosts.sk0
# /etc/hosts.sk1
# /etc/hostname.sk0
# /etc/hostname.sk1
# /etc/mygate
Script koneksi DSL Speedy, pppoe0 untuk koneksi pertama dan pppoe1 untuk koneksi
kedua. Sesuaikan interface, username dan passwordnya. Jangan lupa, gunakan indent
tab.
# /etc/ppp/ppp.conf
default:
set log Phase Chat LCP IPCP CCP tun command
set redial 15 0
set reconnect 15 10000
pppoe0:
set device "!/usr/sbin/pppoe -i sk0"
disable acfcomp protocomp
deny acfcomp
set mtu max 1492
set mru max 1492
set crtscts off
set speed sync
enable lqr
set lqrperiod 5
set cd 5
set dial
set login
set timeout 0
set authname blahblahblah@telkom.net
set authkey asaljangandejek
add! default HISADDR
enable dns
enable mssfixup
pppoe1:
set device "!/usr/sbin/pppoe -i sk1"
disable acfcomp protocomp
deny acfcomp
set mtu max 1492
set mru max 1492
set crtscts off
set speed sync
enable lqr
set lqrperiod 5
set cd 5
set dial
set login
set timeout 0
set authname blahblahblah2@telkom.net
set authkey vikingboneksamasaja
add! default HISADDR
enable dns
enable mssfixup
5. Jika koneksi Speedy berhasil, IP address dari Speedy akan di-binding di interface
tunneling tun0 dan tun1
# ifconfig
tun0: flags=8051 mtu 1492
groups: tun egress
inet 125.xxx.xxx.113 --> 125.163.72.1 netmask 0xffffffff
tun1: flags=8051 mtu 1492
groups: tun
inet 125.xxx.xxx.114 --> 125.163.72.1 netmask 0xffffffff
Flags
UGS
Refs
Use
7 17529
Mtu Interface
- tun0
9. Script Packet Firewall NAT dan balancing dengan round-robin (ganti round-robin
dengan loadbalance jika lebih sesuai dengan kebutuhan anda). Baris yang di-indent
masih termasuk baris di atasnya. Entah kenapa tag <pre> malah menghilangkan
karakter backslash (\).
# /etc/pf.conf
lan_net = "10.0.0.0/8"
int_if = "vr0"
ext_if1 = "tun0"
ext_if2 = "tun1"
ext_gw1 = "125.163.72.1"
ext_gw2 = "125.163.72.1"
# scrub all
scrub in all
# nat outgoing connections on each internet interface
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)
# pass all outgoing packets on internal interface
pass out on $int_if from any to $lan_net
# pass in quick any packets destined for the gateway itself
pass in quick on $int_if from $lan_net to $int_if
# load balance outgoing tcp traffic from internal network.
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto tcp from $lan_net to any flags S/SA modulate state
# load balance outgoing udp and icmp traffic from internal network
pass in on $int_if route-to \
10. Aktifkan script yang diperlukan di /etc/rc.local agar setiap reboot langsung bekerja.
ifconfig sk0 up
ifconfig sk1 up
# aktifkan speedy
ppp -ddial pppoe0
ppp -ddial pppoe1
Jika tidak, maka ppp akan membuat tunneling baru menjadi tun2, tun3 dan seterusnya.
11. Untuk memantau fungsi nat pool round-robin di atas bekerja atau tidak, bisa
menggunakan tools pftop yang bisa diambil di
http://www.eee.metu.edu.tr/~canacar/pftop/
Jika anda mengoptimasikan koneksi jaringan juga dengan menggunakan proxy,
misalnya Squid, maka proxy Squid jangan dipasang juga di mesin router NAT tersebut,
sebab saat Squid mengakses halaman web ke internet; oleh PF dianggap bukan
sebagai koneksi NAT, jadi tidak akan di-balance, dan akan stay mengambil interface
utama dan default gateway pertama. Simpanlah mesin proxy/squid di belakang router
NAT, agar koneksi proxy ke internet menjadi trafik NAT yang akan di-balance oleh script
PF di atas.
Versi 3
Perubahan dari versi sebelumnya:
1. Proses mangle berdasarkan address-list
2. Pemisahan traffic Indonesia dan overseas lebih akurat
Semakin berkembangnya konten Internet lokal di Indonesia telah memberikan peluang
bisnis baru dalam industri Internet di Indonesia. Saat ini banyak Internet Service
Provider (ISP) yang menawarkan paket bandwidth lokal atau IIX yang lebih besar
dibandingkan bandwidth Internet Internasional, hal ini seiring dengan semakin
banyaknya pengelola RT/RW-net yang mampu menyediakan layanan koneksi Internet
yang lebih terjangkau bagi lingkungan sekitarnya.
Permasalahan umum yang terjadi pada jaringan RT/RW-net adalah masalah
pengaturan bandwidth. Pada umumnya pengelola RT/RW-net akan kesulitan pada saat
ingin memisahkan antara traffic lokal dengan traffic internasional karena umumnya
jaringan RT/RW-net hanya menggunakan static routing, berbeda dengan ISP yang
mampu membangun jaringan yang lebih komplek menggunakan protocol routing BGP
sehingga ISP dapat dengan mudah memisahkan antara traffic local dan internasional.
Untuk memisahkan traffic lokal dengan traffic internasional tersebut RT/RW-net dapat
dengan mudah menggunakan PC Router + Sistem Operasi Mikrotik, Mikrotik
sebenarnya adalah linux yang sudah di buat sedemikian rupa oleh pengembangnya
sehingga sangat mudah diinstall dan di konfigur dengan banyak sekali fitur dan fungsi.
Untuk lebih lanjut mengenai mikrotik dapat dilihat pada situs webnya
http://www.mikrotik.com atau http://www.mikrotik.co.id
Berikut adalah sekenario jaringan dengan Mikrotik sebagai router
karena http://lg.mohonmaaf.com sudah tidak aktif maka data dapat diambil dari:
http://203.89.24.3/cgi-bin/lg.cgi
URL diatas secara online akan melakukan query ke router NICE dari
http://lg.mohonmaaf.com
CATATAN:
Karena lg.mohonmaaf.com tidak dapat diakses maka utk daftar ip local dapat di ambil
dari
http://ixp.mikrotik.co.id/download/nice.rsc
atau dari
http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
dimana 222.124.64.0/21 adalah supernet dari 222.124.64.0/23 artinya diantara dua blok
ip tersebut saling overlap, sehingga pada saat proses import menggunakan file .rsc
akan selalu berhenti pada saat menemui situasi seperti ini.
Sampai saat ini saya belum menemukan cara yang praktis utk mengatasi hal tersebut
diatas. Kalau saja kita bisa membuat address-list dari table prefix BGP yang dijalankan
di mikrotik maka kita bisa mendapatkan address-list dengan lebih sempurna.
traffic" disabled=no
add chain=prerouting connection-mark=mark-con-overseas action=mark-packet \
new-packet-mark=overseas passthrough=yes comment="mark all overseas \
traffic" disabled=no
Langkah selanjutnya adalah mengatur bandwidth melalui queue simple, untuk mengatur
bandwidth internasional 128Kbps dan bandwidth lokal IIX 256Kbps pada komputer
dengan IP 192.168.2.4 dapat dilakukan dengan contoh script sbb:
/ queue simple
add name="harijant-indonesia" target-addresses=192.168.2.4/32 \
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia \
direction=both priority=8 queue=default/default limit-at=0/0 \
max-limit=256000/256000 total-queue=default disabled=no
add name="harijanto-overseas" target-addresses=192.168.2.4/32 \
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=overseas \
direction=both priority=8 queue=default/default limit-at=0/0 \
max-limit=128000/128000 total-queue=default disabled=no
Script diatas berarti hanya komputer dengan IP 192.168.2.4 saja yang di batasi
bandwidthnya 128Kbps internasional (overseas) dan 256Kbps lokal IIX (indonesia)
sedangkan yang lainnya tidak dibatasi.
Hasil dari script tersebut adalah sbb:
Script diatas dapat diimplementasikan pada Mikrotik Versi 2.9.27 , untuk versi mikrotik
sebelumnya kemungkinan ada perbedaan perintah.
Of course, you want to do load balancing! There are several ways how to do it.
Depending on the particular situation, you may find one best suited for you.
If you have a number of hosts, you may group them by IP addresses. Then, depending
on the source IP address, send the traffic out through Gateway #1 or #2. This is not
really the best approach, giving you perfect load balancing, but it's easy to implement,
and gives you some control too.
Let us assume we use for our workstations IP addresses from network
192.168.100.0/24. The IP addresses are assigned as follows:
All workstations have IP configuration with the IP address from the relevant group, they
all have network mask 255.255.255.0, and 192.168.100.254 is the default gateway for
them. We will talk about DNS servers later.
Now, when we have workstations divided into groups, we can refer to them using
subnet addressing:
We need to add two IP Firewall Mangle rules to mark the packets originated from Group
A or Group B workstations.
For Group A, specify
It is a good practice to add a comment as well. Your mangle rules might be interesting
for someone else and for yourself as well after some time.
For Group B, specify
All IP traffic coming from workstations is marked with the routing marks GroupA or
GroupB. We can use these marks in the routing table.
Next, we should specify two default routes (destination 0.0.0.0/0) with appropriate
routing marks and gateways:
This thing is not going to work, unless you do masquerading for your LAN! The simplest
way to do it is by adding one NAT rule for Src. Address 192.168.100.0/24 and Action
masquerade:
Test the setup by tracing the route to some IP address on the Internet!
From a workstation of Group A, it should go like this:
C:\>tracert -d 8.8.8.8
2 ms
4 ms
2 ms 192.168.100.254
3 ms 10.1.0.1
2 ms
4 ms
2 ms 192.168.100.254
3 ms 10.5.8.1
You can specify the DNS server for workstations quite freely, j
Articles
mellasaeblog.blogspot.com
IP Modem satu adalah 192.168.110.1 dengan interface Wanatas dan IP Modem yang
satunya adalah 192.168.120.1 dengan interface Wantengah sedangkan IP dari LAN
172.10.12.1
Sebelum kita menuju pengkonfigurasian Load Balancing kita susun dulu blok2 IP yang akan
digroup
Jika sudah menentuka blok IP berdasarkan group maka kita lanjut ke sesi berikutnya yaitu :
Konfigurasi Mangle
Tetap pada Window Firewall tapi pindah ke Tab Mangel yang seperti saya lingkari berwarna
merah tersebut, setelah itu klik tombol Add yang saya lingkari dengan warna biru.
Jika sudah pilih Tab Action maka akan muncul Window seperti di bawah ini :
Pilih action menjadi mark routing dan isikan New Routing Mark sesuai nama dari Group IP ,
seperti diatas kami memberi nama mrA.
CTT : untuk Mangle yang group B ulangi intruksi diatas lagi dengan nama yang berbeda
dan pilih group yang berbeda juga ^^
OK Sudah selesai
Lanjut ke bagian Routing ,
Masuk ke menu
pilih Add
dan akan muncul Window dibawah ini :
isikan gatheway dengan IP modem pertama , yaitu 192.168.110.1 kemudian agar Fail Over
maka Chek Gateway pilih ping dan Mark pilih mrA untuk Group A, begitupun nanti untuk
menambahkan gatheway untuk group B dan ketika menekan tombol Apply, pastikan
interface benar tertuju ke WANatas yaitu modem Pertama, dan begitupun untuk group B.
Nah agar kedua gatheway ini berjalan lancar , maka perlu ditambahkan gatheway priority.
Caranya : sama seperti add gatheway seperti diatas, tetapi kita akan mengisikan lebih dari
satu gatheway pada satu list. Seperti gambar di bawah ini :
agar dapat menambahkan lebih dari satu gatheway, klik panah yang mengarah kebawah
yang sejajar dengan text box dari Gathway. Jika sudah Setelah tekan Tombol Apply
pastikan Interfacenya benar seperti urutan dari pengisian Gatheway.
Jika sudah tekan OK
Setelah kembali ke Route List periksa, jika salah satu List berwarna Biru, maka Link dari
modem tersebut sedang bermasalah atau tidak terkoneksi dengan Internet. Periksa kembali
jalur Internet dari jalur ke modem tersebut.
Ok
Segini ajah untuk LoadBalance mikrotik dari saya
Semoga Berhasil
Syamsy (Samson RtRwNet)[Jaylangkung.com]
rtrwnetmalang@yahoo.com
Sebelum mengetikkan apapun, pastikan Anda telah berada pada root menu dengan mengetikkan
/
Set IP untuk masingethernet card
ip address add address=192.168.1.2/24 interface=ether1
ip address add address=192.168.0.1/24 interface=ether2
Untuk menampilkan hasil perintah di atas ketikkan perintah berikut:
ip address print
Kemudian lakukan testing dengan mencoba nge-ping ke gateway atau ke komputer yg ada pada
LAN. Jika hasilnya sukses, maka konfigurasi IP Anda sudah benar
ping 192.168.1.1
ping 192.168.0.10
Menambahkan Routing
ip route add gateway=192.168.1.1
Setting DNS
ip dns set primary-dns=202.134.1.10 allow-remote-requests=yes
ip dns set secondary-dns=202.134.0.155 allow-remote-requests=yes
Karena koneksi ini menggunakan Speedy dari Telkom, maka DNS yg aq pake ya punya Telkom.
Silahkan sesuaikan dengan DNS provider Anda.
Setelah itu coba Anda lakukan ping ke yahoo.com misalnya:
ping yahoo.com
Jika hasilnya sukses, maka settingan DNS sudah benar
Source NAT (Network Address Translation) / Masquerading
Agar semua komputer yg ada di LAN bisa terhubung ke internet juga, maka Anda perlu
menambahkan NAT (Masquerade) pada Mikrotik.
ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
Sekarang coba lakukan ping ke yahoo.com dari komputer yang ada di LAN
ping yahoo.com
Jika hasilnya sukses, maka setting masquerade sudah benar
Sekarang kita akan menuliskan cara remote serper mikrotik dari luar, caranya cukup mudah,
karena konsepnya adalah meneruskan dari IP publik ke server mikrotik kita di rumah, maka yang
harus di setting adalah modemnya.
Internet -> Modem -> Mikrotik -> HUB/swicth -> Client
Disini kita akan membahas dengan menggunakan modem sanex, karena udah di coba pada 3buah
modem yang berbeda, dan semuanya sukses abis.. hehehhe,
1. Buka browse pada modemnya,
Disini kita akan mengetahuin IP publik yang kita dapetkan dari speedy, catet pada
notepad, ato cukup di inget2 aja.
3. Setelah itu pilih menu Advance Setup -> NAT -> Virtual server -> add
Sekarang coba anda bawa winbox andalan ke luar jaringan anda, login dengan
menggunakan IP publik yang telah kita ingat tadi.
taraaaaaaaaaaaaa bisa masuk khan??? Bisa kita remote dari jauhh.. ditinggal kemana2
serper masih aman dehh.. hehehheheh
. berhubung
Tunggu beberapa saat untuk dapat mengakses modem kembali dan sebagai catatan jangan
lupa mengganti IP Address komputer anda karena tadinya modem secara default di setting DHCP
!!!
Ok sekarang langsung masuk ke menu Advance => Virtual Serve.
Untuk menambah server yang akan di forward klik add
di atas gw udah confirm kalo kita mo remote mikrotik yang berada di belakang modem (mode
routing)
tadi sudah di perintahin klik add kan??? nah sekarang tinggal diisi,
Misalkan :
Custom Service : Mikrotik
Protocol : TCP/UDP
WAN Port : 8291 (Port Modem yang dibuka untuk koneksi dari luar/Internet)
Server Host Port : 8291 (Port Mikrotik yang akan kita remote, note : port 8291 di pakai untuk
winbox)
Server IP Address : 192.168.1.2 (IP yang dimiliki Mikrotik untuk koneksi ke Modem)
Klik OK
Selesai .
Nah tahap selanjutnya kita menguji hasil setting dengan meremote mikrotik dari luar jaringan.
Jalankan winbox kalo belum punya donlot dari router anda atau dari sini
Masukkan IP Publik dari modem, Isi username dengan user yang terdapat pada mikrotik dan
password.
dengan firewall list diatas anda dapat membatasi port2 yg sering digunakan oleh virus tetapi
perlu diperhatikan banyak juga aplikasi2 atau service yg menggunakan port tersebut..dan server
anda hanya bisa diremote dari allow list address dan network anda sendiri untuk menghindari
adanya deface pada router mikrotik anda
contoh
Untuk memulainya, kita lihat interface yang ada pada Mikrotik Router
[admin@Mikrotik] > interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500[admin@Mikrotik] >
kemudian set IP address pada interface Mikrotik. Misalkan ether1 akan kita gunakan untuk
koneksi ke Internet dengan IP 192.168.100.1 dan ether2 akan kita gunakan untuk network local
kita dengan IP 192.168.0.1
[admin@mikrotik] > ip address add address=192.168.100.1 netmask=255.255.255.0
interface=ether1
[admin@mikrotik] > ip address add address=192.168.0.1 netmask=255.255.255.0
interface=ether2
[admin@mikrotik] >ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.100.1/24 192.168.100.0 192.168.100.255 ether1
1 192.168.0.1/24 192.168.0.0 192.168.0.255 ether2
[admin@mikrotik] >
Setelah selesai Barulah kita bisa melakukan setup DHCP server pada Mikrotik.
1. Membuat address pool
/ip pool add name=dhcp-pool ranges=192.168.0.2-192.168.0.100
/ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1
2. Tentukan interface yang dipergunakan dan aktifkan DHCP Server.
/ip dhcp-server add interface=ether2 address-pool=dhcp-pool enable 0
[admin@mikrotik] > ip dhcp-server print
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 dhcp1 ether2
sampai tahap ini, DHCP server telah selesai untuk dipergunakan dan sudah bisa di test dari user.
Langkah Selanjutnya adalah membuat internet gateway, Misalnya IP ADSL Modem sebagai
gateway untuk koneksi internet adalah 192.168.100.100 dan DNS Servernya 192.168.100.110,
maka lakukan setting default gateway dengan perintah berikut :
[admin@mikrotik] > /ip route add gateway=192.168.100.100
3. Melihat Tabel routing pada Mikrotik Routers
[admin@mikrotik] > ip route print
Yoyok Riawan
*Seorang Pemulung/[copy & paste] yang Berusaha Memanfaatkan Limbah* Nb: Tulislah pada
Nisanmu,.. Sebelum kau mati
Create Dota dimesin Mikrotik
Tutorial Step By Step Seting MikroTik
:
:
:
:
o+
++
|
|
(3)
| +|+
|. . . . . |
| +|-|-|-|-+
| | | |
|
| | | |
|
|+
|
|b
|
|
LJ
(2)
+-|-|-|[client 1]
+-|-|[client 2]
+-|-[client 3]
+[client n]
Keterangan skema
(1) = Modem xDSL (Ip Address : 192.168.1.1/24)
(2) = Mikrotik Box dengan 2 ethernet card yaitu a (publik) dan b (local)
(3) = Switch
Untuk sambungan ke Client. Asumsi Client Jumlahnya 20 Client
Range Ip Address : 192.168.0.0/27
Alokasi Ip Client = 192.168.0.1-192.168.0.30
Ip Net ID
: 192.168.0.0/27
Ip Broadcast : 192.168.0.31/27
(b) Alokasi IP Address
[*] Mikrotik Box
Keterangan Skema
a = ethernet card 1 (Publik) -> Ip Address : 192.168.1.2/24
b = ethernet card 2 (Local) -> Ip Address : 192.168.0.30/27
Gateway
[*] Client
Client 1 - Client n, Ip Address : 192.168.0.n . n (1-30)
Contoh:
Client 6
Ip Address : 192.168.0.6/27
Gateway
: 192.168.0.30 (ke Mikrotik Box)
CATATAN :
Angka dibelakang Ip address ( /27) sama dengan nilai netmasknya
untuk angka (/27) nilainya sama dengan 255.255.255.224.
Untuk Sub Netmask blok ip address Local kelas C, dapat diuraikan
sebagai berikut :
Subnetmask kelas C
255.255.255.0
= 24
..
.128 = 25
..
.192 = 26
..
.224 = 27
..
.240 = 28
..
.248 = 29
..
.252 = 30
..
.254 = 31
..
.255 = 32
[2.2] Persiapan
- Untuk PC Router Siapkan PC, minimal Pentium I, RAM 64, HD 500M
atau pake flash memory 64 - Sebagai Web proxy, Siapkan PC, minimal
Pentium III 450Mhz, RAM 256 Mb, HD 20 Gb. Melihat berapa minimum
RAM dan HD yang dibutuhkan untuk Cache Silahkan lihat
http://adminpreman.web.id/download/Rumus%20Web%20Proxy%20Mikrotik.xls
- Siapkan minimal 2 ethernet card, 1 ke arah luar/Internet dan 1
system
ppp
dhcp
andvanced-tools
arlan
gps
hotspot
hotspot
isdn
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[X]
[ ]
lcd
ntp
radiolan
routerboard
routing
routing-test
rstp-bridge-test
security
synchronous
[ ]
[ ]
[ ]
[X]
[ ]
[ ]
[ ]
telephony
ups
user-manager
web-proxy
webproxy-test
wireless
wireless-legacy
b. DHCP
menginginkan
Server
c. SECURITY
Keamanan
MAC
Address
d. WEB-PROXY
telah
menyimpan
browsing
e. ADVANCED TOOLS
jaringan,
sebagainya.
Proses installasi
Continue? [y/n]:y
Creating partition..
Formatting disk.
Installed
Installed
Installed
Installed
installed
system-2.9.27
advanced-tools-2.9.27
dhcp-2.9.27
security-2.9.27
web-proxy-2.9.27
Software installed.
Press ENTER to reboot
CATATAN :
Proses Installasi normalnya tidak sampai 15 menit, jika lebih berarti
gagal,ulangi
ke step awal. Setelah proses installasi selesai maka kita akan diminta untuk
merestart system, tekan enter untuk merestart system.
[3.5] Proses Check system disk
Setelah komputer booting kembali ke system mikrotik, akan ada pilihan untuk
melakukan check system disk, tekan y.
Loading system with initrd
Uncompressing Linux Ok, booting the kernel.
Starting.
It is recomended to check your disk drive for error,
but it may take while (~1min for 1Gb).
It can be done later with /system check-disk.
Do you want to do it now? [y/n]
Mikrotik 2.9.27
Mikrotik Login:
MMM
MMM
MMMM
MMMM
MMM MMMM MMM
MMM MM MMM
MMM
MMM
MMM
MMM
III
III
III
III
KKK
KKK
KKK KKK
KKKKK
KKK KKK
KKK KKK
RRRRRR
RRR RRR
RRRRRR
RRR RRR
TTTTTTTTTTT
TTTTTTTTTTT
OOOOOO
TTT
OOO OOO
TTT
OOO OOO
TTT
OOOOOO
TTT
III
III
III
III
KKK
KKK
KKK KKK
KKKKK
KKK KKK
KKK KKK
http://www.mikrotik.com/
RX-RATE
0
TX-RATE
0
[admin@Mikrotik]>
MTU
Jika interfacenya ada tanda X (disabled) setelah nomor (0,1), maka periksa
lagi
etherned cardnya, seharusnya R (running).
a. Mengganti nama interface
[admin@Mikrotik] > interface(enter)
b. Untuk mengganti nama Interface ether1 menjadi Public (atau terserah
namanya), maka
MTU
0
1500
1
1500
RX-RATE
TX-RATE
R Local
ether
R Public
ether
INTERFACE
Local
192.168.1.255
Public
[5.2] Gateway
Bentuk Perintah Konfigurasi
ip route add gateway={ip gateway}
a. Memberikan default Gateway, diasumsikan gateway untuk koneksi internet
adalah
192.168.1.1
[admin@routerku] > /ip route add gateway=192.168.1.1
b. Melihat Tabel routing pada Mikrotik Routers
[admin@routerku] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
#
DST-ADDRESS
PREFSRC
G GATEWAY
0 ADC 192.168.0.0/24
192.168.0.30
1 ADC 192.168.0.0/27 192.168.1.2
2 A S 0.0.0.0/0
r 192.168.1.1
[admin@routerku]>
DISTANCE
INTERFACE
Local
Public
Public
server.
Bentuk perintah konfigurasi :
a. Setting web proxy :
- ip proxy set enable=yes
port={ port yang mau digunakan }
maximal-client-connections=1000
maximal-server-connections=1000
- ip proxy direct add src-address={ network yang akan di
NAT} action=allow
- ip web-proxy set parent-proxy={proxy parent/optional}
hostname={ nama host untuk proxy/optional}
port={port yang mau digunakan}
src-address={ address yang akan digunakan untuk koneksi
ke parent proxy/default 0.0.0.0}
transparent-proxy=yes
max-object-size={ ukuran maximal file yang akan disimpan
sebagai cache/default 4096 in Kilobytes}
max-cache-size= { ukuran maximal hardisk yang akan
dipakai sebagai penyimpan file cache/unlimited
| none | 12 in megabytes}
cache-administrator={ email administrator yang akan digunakan
apabila proxy error, status akan dikirim
ke email tersebut}
enable==yes
Contoh konfigurasi
a. Web proxy setting
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=8080
hostname=proxy.routerku.co.id transparent-proxy=yes
parent-proxy=0.0.0.0:0 cache-administrator=support@routerku.co.id
max-object-size=131072KiB cache-drive=system max-cache-size=unlimited
max-ram-cache-size=unlimited
Nat Redirect, perlu ditambahkan yaitu rule REDIRECTING untuk membelokkan
traffic HTTP menuju ke WEB-PROXY.
b. Setting firewall untuk Transparant Proxy
Bentuk perintah konfigurasi :
ip firewall nat add chain=dstnat
protocol=tcp
dst-port=80
action=redirect
to-ports={ port proxy }
Perintahnya:
/ ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080
comment=" disabled=no
add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080
comment=" disabled=no
perintah diatas dimaksudkan, agar semua trafik yang menuju Port 80,3128,8000
dibelokkan menuju port 8080 yaitu portnya Web-Proxy.
CATATAN:
Perintah
/ip web-proxy print { untuk melihat hasil konfigurasi web-proxy}
/ip web-proxy monitor { untuk monitoring kerja web-proxy}
[9] Bandwidth Management
QoS memegang peranan sangat penting dalam hal memberikan pelayanan
yang baik pada client. Untuk itu kita memerlukan bandwidth management
untuk mengatur tiap data yang lewat, sehingga pembagian bandwidth menjadi
adil. Dalam hal ini Mikrotik RouterOs juga menyertakan packet software
untuk memanagement bandwidth.
Bentuk perintah konfigurasi:
queue simple add name={ nama }
target-addresses={ ip address yang dituju }
interface={ interface yang digunakan untuk melewati data }
max-limit={ out/in }
Dibawah ini terdapat konfigurasi Trafik shaping atau bandwidth management
dengan metode Simple Queue, sesuai namanya, Jenis Queue ini memang
sederhana, namun memiliki kelemahan, kadangkala terjadi kebocoran bandwidth
atau bandwidthnya tidak secara real di monitor. Pemakaian untuk 10 Client,
Queue jenis ini tidak masalah.
Diasumsikan Client ada sebanyak 15 client, dan masing-masing client diberi
jatah bandwidth minimum sebanyak 8kbps, dan maksimum 48kbps. Sedangkan
Bandwidth totalnya sebanyak 192kbps. Untuk upstream tidak diberi rule,
berarti masing-masing client dapat menggunakan bandwidth uptream secara
maksimum. Perhatikan perintah priority, range priority di Mikrotik sebanyak
delapan. Berarti dari 1 sampai 8, priority 1 adalah priority tertinggi,
sedangkan priority 8 merupakan priority terendah.
Berikut Contoh kongirufasinya.
/ queue simple
add name=trafikshaping target-addresses=192.168.0.0/27 dstaddress=0.0.0.0/0
interface=all parent=none priority=1 queue=default/default
limit-at=0/64000 max-limit=0/192000 total-queue=default disabled=no
add name=01 target-addresses=192.168.0.1/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=02 target-addresses=192.168.0.2/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=03 target-addresses=192.168.0.3/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=04 target-addresses=192.168.0.4/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name=10 target-addresses=192.168.0.25/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
action=mark-connection new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=mark-packet
new-packet-mark=users chain=forward
Karena type PCQ belum ada, maka perlu ditambah, ada 2 type PCQ ini.
Pertama diberi nama pcq-download, yang akan mengatur semua trafik
melalui alamat tujuan/destination address. Trafik ini melewati
interface Local. Sehingga semua traffik download/downstream yang
datang dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Tipe PCQ kedua, dinamakan pcq-upload, untuk mengatur semua trafik upstream
yang berasal dari alamat asal/source address. Trafik ini melewati
interface public. Sehingga semua traffik upload/upstream yang berasal
dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Perintah:
/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address
Setelah aturan untuk PCQ dan Mangle ditambahkan, sekarang untuk aturan
pembagian trafiknya. Queue yang dipakai adalah Queue Tree, Yaitu:
/queue tree add parent=Local queue=pcq-download packet-mark=users
/queue tree add parent=Public queue=pcq-upload packet-mark=users
Perintah diatas mengasumsikan, kalau bandwidth yang diterima dari provider
Internet berflukstuasi atau berubah-rubah. Jika kita yakin bahwa bandwidth
yang diterima, misalkan dapat 256kbs downstream, dan 256kbps upstream, maka
ada lagi aturannya, seperti :
Untuk trafik downstreamnya :
Perintah diatas akan menampilkan grafik dari trafik yang melewati interface
jaringan baik berupa Interface Public dan Interface Local, yang dirender
setiap 5 menit sekali. Juga dapat diatur Alamat apa saja yang dapat mengakses
MRTG ini, pada parameter allow-address.
[11] Keamanan di Mikrotik
Setelah beberapa Konfigurasi diatas telah disiapkan, tentu tidak lupa kita
perhatikan keamanan dari Mesin gateway Mikrotik ini, ada beberapa fasilitas
yang dipergunakan. Dalam hal ini akan dibahas tentang Firewallnya. Fasilitas
Firewall ini secara pringsip serupa dengan IP TABLES di Gnu/Linux hanya saja
beberapa perintah telah di sederhanakan namun berdaya guna.
Di Mikrotik perintah firewall ini terdapat dalam modus IP, yaitu
[admin@routerku] > /ip firewall
Terdapat beberapa packet filter seperti mangle, nat, dan filter.
[admin@routerku] ip firewall> ?
Firewall allows IP packet filtering on per packet basis.
.. go up to ip
mangle/ The packet marking management
nat/ Network Address Translation
connection/ Active connections
filter/ Firewall filters
address-list/
service-port/ Service port management
export
Untuk kali ini kita akan lihat konfigurasi pada ip firewall filternya.
Karena Luasnya parameter dari firewall filter ini untuk pembahasan Firewall
Filter selengkapnya dapat dilihat pada manual mikrotik, di
http://www.mikrotik.com/testdocs/ros/2.9/ip/filter.php
Konfigurasi dibawah ini dapat memblokir beberapa Trojan, Virus, Backdoor
yang telah dikenali sebelumnya baik Nomor Port yang dipakai serta
Protokolnya.
Juga telah di konfigurasikan untuk menahan Flooding dari Jaringan Publik dan
jaringan Lokal. Serta pemberian rule untuk Access control agar, Rentang
jaringan tertentu saja yang bisa melakukan Remote atau mengakses service
tertentu terhadap Mesin Mikrotik kita.
Contoh Aplikasi Filternya
/ ip firewall filter
add chain=input connection-state=invalid action=drop comment=Drop Invalid
connections disabled=no
add chain=input src-address=!192.168.0.0/27 protocol=tcp src-port=1024-65535
dst-port=8080 action=drop comment=Block to Proxy disabled=no
add chain=input protocol=udp dst-port=12667 action=drop comment=Trinoo
disabled=no
add chain=input protocol=udp dst-port=27665 action=drop comment=Trinoo
disabled=no
add chain=input protocol=udp dst-port=31335 action=drop comment=Trinoo
disabled=no
PORT
ADDRESS
23
21
80
22
443
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
none
Misalkan service FTP akan dinonaktifkan, yaitu di daftar diatas terletak pada
nomor 1 (lihat bagian Flags) maka :
PORT
ADDRESS
23
21
80
22
443
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
0.0.0.0/0
none
Dari hasil scanning tersebut dapat kita ambil kesimpulan, bahwa service dan
port yang aktif adalah FTP dalam versi MikroTik router ftpd 2.9.27. Untuk
SSH dengan versi OpenSSH 2.3.0 mikrotik 2.9.27 (protocol 1.99). Serta Web
proxy memakai Squid dalam versi Squid webproxy 2.5.STABLE11.
Tentu saja pihak vendor mikrotik telah melakukan patch terhadap Hole atau
Vulnerabilities dari Versi Protocol diatas.
[11.2] Tool administrasi Jaringan
Secara praktis terdapat beberapa tool yang dapat dimanfaatkan dalam mela
kukan troubleshooting jaringan, seperti tool ping, traceroute, SSH, dll.
Beberapa tool yang sering digunakan nantinya dalam administrasi sehari-hari
adalah :
o
o
o
o
Telnet
SSH
Traceroute
Sniffer
a. Telnet
Perintah remote mesin ini hampir sama penggunaan dengan telnet yang ada
di Linux atau Windows.
[admin@routerku] > system telnet ?
Perintah diatas untuk melihat sekilias paramater apa saja yang ada. Misalnya
mesin remote dengan ip address 192.168.0.21 dan port 23. Maka
[admin@routerku] > system telnet 192.168.0.21
Penggunaan telnet sebaiknya dibatasi untuk kondisi tertentu dengan alasan
keamanan, seperti kita ketahui, packet data yang dikirim melalui telnet
belum di enskripsi. Agar lebih amannya kita pergunakan SSH.
b. SSH
Sama dengan telnet perintah ini juga diperlukan dalam remote mesin, serta
pringsipnya sama juga parameternya dengan perintah di Linux dan Windows.
[admin@routerku] > system ssh 192.168.0.21
Parameter SSH diatas, sedikit perbedaan dengan telnet. Jika lihat helpnya
memiliki parameter tambahan yaitu user.
Misalkan kita akan melakukan remote pada suatu mesin dengan sistem
operasinya Linux, yang memiliki Account, username Root dan Password
123456 pada Address 66.213.7.30. Maka perintahnya,
STATUS
d. Sniffer
Kita dapat menangkap dan menyadap packet-packet yang berjalan
di jaringan kita, tool ini telah disediakan oleh Mikrotik yang berguna
dalam menganalisa trafik.
[admin@routerku] > tool sniffer
Packet sniffering
.. go up to tool
start Start/reset sniffering
stop Stop sniffering
save Save currently sniffed packets
packet/ Sniffed packets management
protocol/ Protocol management
host/ Host management
connection/ Connection management
print
get get value of property
set
edit edit value of property
export
Untuk memulai proses sniffing dapat menggunakan perintah Start, sedangkan
web-proxy access
url=ds.eyeblaster.com action=deny comment=" disabled=no
url=duolaimi.net action=deny comment=" disabled=no
url=dutch-sex.com action=deny comment=" disabled=no
url=dvdbank.org action=deny comment=" disabled=no
url=eager-sex.com action=deny comment=" disabled=no
url=eases.net action=deny comment=" disabled=no
url=easyantispy.com action=deny comment=" disabled=no
url=easycategories.com action=deny comment=" disabled=no
url=easy-search.net action=deny comment=" disabled=no
url=ecosrioplatenses.org action=deny comment=" disabled=no
url=ecstasyporn.net action=deny comment=" disabled=no
url=ehg-bestbuy.hitbox.com action=deny comment=" disabled=no
add
add
add
add
################################################################
Entri ini ditulis oleh Yoyok Riawan dan dikirimkan oleh Juni 2, 2007 at 11:53 pm dan disimpan
di bawah Mikrotik, Networking, Security. Tandai permalink. Telusuri setiap komentar di sini
dengan RSS feed kiriman ini. Tulis komen atau tinggalkan trackback: URL Trackback.
Create Dota dimesin Mikrotik
Tutorial Step By Step Seting MikroTik
Tulisan Terakhir
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
Tulisan Teratas
o
o
o
o
o
o
o
o
o
o
o
o
Kita mulai setup dari modem adsl nya sebagai brigding protocol mode. Settingnya dapat anda
temukan dari manual masing-masing modem. Contoh setting bridging protocol pada modem
TECOM AR1031 pada menu Advance setup > WAN. Ikuti petunjuk gambar dibawah ini
kemudian lakukan save/reboot.
Selesai setting modem sebagai bridging yang tidak menyimpan password dan user ID anda di
modem, bagi anda yang ingin mencoba mengganti IP address default modem bisa di konfigurasi
terlebih dahulu melalui PC client. Caranya : kita ubah terlebih dahulu IP modem pada Advance
Setup > LAN IP Address contoh 10.10.10.1 lakukan save/reboot. Kemudian lakukan pengubahan
selanjutnya di IP client PC ke 10.10.10.2 selesai. Silahkan anda coba ketik di web browser anda
IP modem (10.10.10.1). Berhasil?
Kita lanjut ke CPU Mikrotik RouterOS nya.
Tentukan IP Address masing-masing LAN card anda, misal LAN connector dari modem
10.10.10.2 (public), dan 192.168.1.1 ke jaringan lokal anda (lokal). Lakukan perintah ini terlebih
dahulu jika anda ingin menspesifikasikan nama ethernet card anda.
interface ethernet set ether1 name=public
interface ethernet set ether2 name=lokal
Pastikan kembali dalam menentukan nama dan alur kabel tersebut, kemudian kita lanjut ke
setting IP Address.
/ip address add address=10.10.10.2/24 interface=public
/ip address add address=192.168.1.1/24 interface=lokal
/ip address> print
Pastikan LAN card anda tidak dalam posisi disabled.
Selanjutnya anda bisa memasukkan entry PPPoE Client.
/interface pppoe-client add name=pppoe-user-mike user=mike password=123 interface=public
service-name=internet disabled=no
Sebetulnya perintah diatas dapat anda lakukan di winbox, jika ingin lebih mudah sambil cek
koneksi jaringan anda ke mikrotik.
Selesai setting modem sebagai bridging yang tidak menyimpan password dan user ID anda di
modem, bagi anda yang ingin mencoba mengganti IP address default modem bisa di konfigurasi
terlebih dahulu melalui PC client. Caranya : kita ubah terlebih dahulu IP modem pada Advance
Setup > LAN IP Address contoh 10.10.10.1 lakukan save/reboot. Kemudian lakukan pengubahan
selanjutnya di IP client PC ke 10.10.10.2 selesai. Silahkan anda coba ketik di web browser anda
IP modem (10.10.10.1). Berhasil?
Kita lanjut ke CPU Mikrotik RouterOS nya.
Tentukan IP Address masing-masing LAN card anda, misal LAN connector dari modem
10.10.10.2 (public), dan 192.168.1.1 ke jaringan lokal anda (lokal). Lakukan perintah ini terlebih
dahulu jika anda ingin menspesifikasikan nama ethernet card anda.
interface ethernet set ether1 name=public
interface ethernet set ether2 name=lokal
Pastikan kembali dalam menentukan nama dan alur kabel tersebut, kemudian kita lanjut ke
setting IP Address.
/ip address add address=10.10.10.2/24 interface=public
/ip address add address=192.168.1.1/24 interface=lokal
/ip address> print
Pastikan LAN card anda tidak dalam posisi disabled.
Selanjutnya anda bisa memasukkan entry PPPoE Client.
/interface pppoe-client add name=pppoe-user-mike user=mike password=123 interface=public
service-name=internet disabled=no
Sebetulnya perintah diatas dapat anda lakukan di winbox, jika ingin lebih mudah sambil cek
koneksi jaringan anda ke mikrotik.
Menentukan Gateway dan Routingnya dilanjutkan ke masquerading
/ip route add gateway=125.168.125.1 (IP Gateway Telkom Speedy anda)
/ip route print
IP gateway diatas belum tentu sama, lihat terlebih dahulu ip pppoe client anda. Jika anda belum
yakin 100% ip client anda dan gateway nya, lakukan login dan dialing melalui modem anda
terlebih dahulu bukan pada mode bridging seperti diatas. Pada menu Device Info akan tampil
informasi Default Gateway dan IP client pppoe anda. Ok?
Selanjutnya masquerading, untuk penerusan perintah dari routing yang diteruskan ke nat firewall
mikrotik untuk proses routing ke semua client yang terkoneksi
/ip firewall nat add chain=srcnat action=masquerade
Selesai.. tahap routing sudah terlaksanakan. Coba lakukan ping ke mikrotik dan gateway nya.
Jika anda ingin sharing ke komputer client jangan lupa masukkan ip gateway pada settingan
Network Connection (windows) sesuai dengan IP lokal pada mikrotik anda.
Banyak sekali settingan mikrotik yang dapat anda pelajari dari berbagai sumber. Jika terkesan
terlalu rumit dengan sistem pengetikan anda bisa melakukannya dengan winbox mode, setiap
tutorial yang anda butuhkan pun dapat anda copy dan paste ke winbox nya mikrotik.
Setting DNS dan Web Proxy Transparant
Input DNS dan web-proxy pun terasa lebih mudah di winbox mode, masukkan primary,
secondary dan allow remote request nya, atau dengan perintah di terminal winbox.
/ip dns set primary-dns=203.130.206.250
/ip dns set primary-dns=202.134.2.5
/ip dns allow-remote-request=yes
/ip web-proxy set enabled=yes port=8080 hostname=proxy.koe transpa
rent-proxy=yes
/ip firewall nat add in-interface=lokal dst-port=80 protocol=tcp action=redirect to-ports=8080
chain=dstnat dst-address=!192.168.1.1/24
Ada beberapa macam modem speedy yang sering saya temui antara lain Sanex dan Aztech.
Untuk setting kedua modem ini ternyata nggak susah susah amat, cukup dengan ketelitian dan
sharing tentunya.
langkah-langkah untuk setting modem speedy Sanex antara lain :
1. Setelah anda mmemasang splitter dengan baik dan benar , satu keluaran splitter untuk line
telpon, satu lagi untuk ke modem speedy.
2. Pastikan Line telpon anda sudah di aktifkan oleh pihak speedy /Telkom. hal ini ditandai
dengan hidupnya lampu link di modem anda.
3. Colokan kabel Straight dari modem ke port lan pc anda. lalu atur alamat komputer /IP address
dengan cara klik start menu, control panel -> klik network connection lalu klik 2x pada gambar
komputer. pilih Properties lalu klik pada Internet Protocol/TCP IP lalu pilih properties yang ada
dibawanya. Pilih use the following IP address dan masukkan alamat ini 192.168.1.5dan subnet
mask akan terisi sendiri secara otomatis ketika anda mengklik default gateway, masukkan alamat
default gateway menjadi 192.168.1.1 dan Preffered DNS 192.168.1.1 lalu alternative DNS
202.134.0.155 setelah itu klik Ok dan ok.
Setelah itu kita masuk ke setting modem adsl nya: buka internet explorer atau browser lainnya,
ketikkan alamat 192.168.1.1 karena biasanya itu adalah IP default untuk modem Sanex atau
kamu bisa melihat di buku panduannya. Masukkan username dengan admin lalu password
admin, atau lihat lagi buku panduaanya. setelah itu, kamu akan dibawa menuju halaman setting
modem. Pilih menu WAN, klik pada kolom select yang ada di Current ATM VC Table. isi VPI=8
VCI =81 dan di channel mode terdapat beberapa pilihan:
1483 Bridge : pilih ini jika kamu ingin dial up speedy melalui komputer kamu, yang
bearti kamu menjadikan modem adsl sebagai jembatan.
PPoE : Jika kamu memilih ini kamu akan di minta untuk memasukkan username dan
password speedy, berarti kamu harus dial up melalui modem. di Connections type
terdapat pilihan antara lain : Continues : yang artinya modem akan melakukan dial up
secara otomatis ketika dihidupkan. Connect On Demand : modem akan melakukan dial
hanya jika diperlukan. Manual : kamu harus mendial up modem melalui menu Status ->
WAN klik connect.
Untuk sekedar saran, jika kamu berlangganan speedy paket personal sebaiknya pilih channel
mode 1483 Bridge, atau bisa juga PPoE dengan Connection type Manual agar speedy kamu
nggak meledak bayarnya hee....
setelah selesai pilih tombol modify yang ada dibawah dan klik Commit/Reboot dan modem
speedy akan merestart sendiri.
kalo modemnya tidak kamu Restart, biasanya modem akan kembali ke setting default (setting
awal) ketika kamu mematikan dan mmenghidupkan modem.
Sampai disini, setting nya udah selesai jika kamu memilih channel mode PPoE tinggal
mengkoneksikannya dengan internet. Untuk mengkoneksikannya dengan Channel mode PPoE,
silahkan klik menu Status lalu Connect.
Jika kamu memilih channel mode 1483 Bridge maka kamu harus membuat dial up speedy
dikomputer kamu dan caranya :
Masuk ke Control Panel, lalu Network Connection, disamping window terdapat Create a New
Connection, klik next dan pilih connect to the internet lalu pilih Setup My Connection a
Manually lalu pilih opsi yang di tengah yang artinya koneksi yang selalu meminta username dan
password. lalu buat Nama koneksi seperti Speedy, klik next dan masukkan Username dan
Password speedy kamu, masukkan password yang sama pada Confirmasi Password, klik next
dan beri check pada Add Shortcut untuk membuat shortcut speedy di desktop komputer kamu.
lalu Finish dan selesai. kamu bisa mendial up speedy kamu sekarang.
Untuk modem merk lainnya saya rasa settingnya tidak jauh beda, selamat mencoba...
selamat berinternet ria...
Maksud dari kode diatas adalah jika dalam 1 menit berusaha 10 kali login ( dst-limit=1/1m,9 di
login nya yg kesepuluh masuk daftar hitam dan dibanned selama 23jam, address-list=blacklist
address-list-timeout=23h).
untuk memberi range port edit bagian
Untuk blocking software ini anda bisa block ip dan domain berikut menggunakan squid maupun
iptables:
- login.camfrog.com
- 66.77.107.71
- 63.236.61.148
- 74.55.217.80
Untuk port yang di block adalah port 2778, 6005 dan 2112.
Berikut adalah contoh blocking paket out/floward menggunakan server mikrotik dan linux.
MIKROTIK
/ip firewall filter add chain=forward dst-address=66.77.107.71 action=drop disable=no
/ip firewall filter add chain=forward dst-address=63.236.61.148 action=drop disable=no
/ip firewall filter add chain=forward dst-address=74.55.217.80 action=drop disable=no
LINUX
/sbin/iptables -A OUTGOING -d 66.77.107.71 -j DROP
/sbin/iptables -A OUTGOING -d 63.236.61.148 -j DROP
/sbin/iptables -A OUTGOING -d 74.55.217.80 -j DROP
b. dalam contoh diatas saya sett untuk membuka jalur web server pada port 12 silahkan ganti
dst-port di rule no 0 jika anda menginginkan membuka web server pada port 2711 misalnya.
c. di rule no 0 to-address silahkan anda isi dengan ip lokal webserver anda, dalam contoh yaitu
192.168.1.200.
d. dst-address di rule no 0 itu anda isi dengan ip lokal mikrotik anda [pada Lan Card 1]
e. pada rule no 1 to -addresses anda isi dengan ip lokal mikrotik anda [pada Lan Card 2] dan dstaddress di rule no 1 isi dengan ip lokal web server anda.
wokeh jika anda mengikuti settingan diatas sama persis silahkan kunjungi http://ip-publicspeedy-anda/ pada port 12 atau http://ip-public-speedy-anda:12/
dengan cara ini anda bisa mempunyai webserver dalam jumlah yang banyak sesuai port aja
dalam 1 ip public.
*info jika anda ingin membuka port 80 untuk webserver harap ganti port services www
mikrotik di IP > Services ke port lain selain 80.
*ps sebagai info keamanan agaknya anda lebih bijaksana membuka port apakah memang
diperlukan pembukaan port dari range 0 65535 atau tidak karena saya baru buka port 15 menit
eh udah di bruteforce SSH mikrotik saya. entah darimana :p.
yaitu akses untuk membuka bandwith (simple queue) untuk beberapa client biasanya untuk
download dan main game DoTA.
untuk groups dan policy nya ialah dengan user budi dan groups budi:
view source
print?
ADDRESS
0.0.0.0/0
0.0.0.0/0
2. buat scheduler
view source
print?
Good Luck!
setelah itu arp akan aktif dan semua koneksi yang menuju LAN akan di deny / drop terkecuali
kita add IP yang kita perbolehkan
2. add IP address dan MAC address yang diperbolehkan
[admin@mikrotik] ip arp add address=172.16.0.8 interface=LAN macaddress:00:00:00:00:00:00
atau via winbox di IP > ARP
done, sampe sini untuk ip 172.16.0.8 dan MAC address bla bla bla bisa terkoneksi ke mikrotik
dan mendapat reply koneksi namun jika IP tersebut Mac Address nya diganti in case pake laptop
maka koneksi tidak akan terbentuk alias untuk MAC address itu aja.
karena waktu itu ada 30 komputer maka saya secara massal ngeliat MAC address mereka lewat
NetScan, dengan Scan Range 172.16.0.1 172.16.0.255 dan meng enable kan Mac Address scan
. contoh:
MAC Address nya dari dash (-) di convert ke titik dua (:).
*ps: Jika Anda setting seperti ini dari winbox atau remote comp maka Langkah awalnya yaitu
nge Add komputer Anda dulu ke dalam Arp, baru mengaktifkan Arpreply only, Agar comp anda
tidak terkena filter
Advanced-Tools
Ntp
Security
System
Ini adalah paket untuk menginstal sistem dasar di mana Anda dapat menyimpan jam dalam
sinkro dengan sumber eksternal, sebuah suite alat canggih yang memungkinkan pemantauan,
pelaporan dan memungkinkan Anda untuk berbicara dengan router aman.
Anda harus berpikir tentang peranan yang tepat akan memiliki router sebelum anda mulai
mengaktifkan lagi paket pada router, its a simple nirkabel pemancar maka mengapa perlu
diaktifkan DHCP atau tidak? Jika router adalah menjadi Ethernet berbasis firewall maka
mengapa tidak perlu nirkabel diaktifkan. Hanya memungkinkan paket router perlu untuk
melakukan pekerjaannya, jadi yang kita fikirkan adalah keadaan cukup aman pada router kita.
Secara default router bisa diakses mengguanakan :
Telnet
SSH
HTTP
Winbox
FTP
Mac-Telnet
Untuk itu maka gunakanlah 1 cara dengan cara menonaktifkan semuanya dan gunakan salah satu
cara saja untuk masuk ke sebuah router, itu adalah cara yang aman.
/ip services print
maka akan memunculkan
Flags: X disabled, I invalid # NAME PORT ADDRESS CERTIFICATE
0 telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0
3 ssh 22 0.0.0.0/0
4 X www-ssl 443 0.0.0.0/0
none
untuk menonaktifkan gunakan perintah
/ip service disable <name>
Anda telah mengkonfigurasi layanan yang Anda sukai sekarang saatnya untuk melihat cara lain
untuk antarmuka dengan router, pertama adalah atas SNMP yang digunakan oleh banyak
program untuk memonitor perangkat (Ie The Dude). SNMP dimatikan secara default dan jika
anda memiliki cara lain monitoring perangkat ini aman untuk meninggalkan dinonaktifkan. Saya
lebih suka menggunakan The Dude untuk memonitor jaringan, jadi saya akan pergi ke depan dan
memungkinkan akses dan membantu mengatur beberapa bidang.
/snmp set enabled=yes location=The Matrix contact=neo@zion.org
SNMP di RouterOs 2,9 adalah membaca saja, sehingga hanya bahaya yang memungkinkan akses
ke sana adalah bahwa tanpa firewall untuk menghentikan akses ada pada jaringan atau jika router
memiliki alamat IP publik akan dapat melihat sinyal nirkabel, tingkat jaringan, dll.
Sekarang bahwa Anda memiliki dasar keamanan router keamanan dan sekarang adalah waktu
untuk melihat pengguna yang mengakses router dan bahwa mereka memiliki hak istimewa atau
tidak.
2. Users & Passwords
Secara default mikrotik akan mempunyai user akses adalah admin
maka gunakanlah kebijakan di kantor anda untuk mengetahui user mana yang harus memiliki
privilage :
/user set admin password=putpasshere
gunakalah hanya satu jalur masuk, contohnya gunakan winbox, dan matikan semua layanan yang
berjalan diatas, ini berguna untuk melindungi diri dari attacker yang menggunakan ssh brute
force, maupun telnet, dan ftp begitu juga menggunakan browser untuk masuk ke router anda.
yang berikutnya adalah gunakan 1 komputer di jaringan lokal anda yang hanya bisa masuk
router. ini mencegah dari banyak client yang ingin menggunakan router anda dari client
menggunakan winbox, jadi meskipun client menginstall winbox dan mengetahui user dan
password admin maka tidak akan bisa diijinkan masuk karena hanya IP anda yang bisa anda
gunakan untuk masuk.
/user add name=badmin password=putpasshere group=full address=192.168.12.3/32
Setelah itu gunakan winbox untuk menyimpan user dan password anda.
3. Port Knocking
Di firewall kita akan meload ke router nanti kita bahas dibagi menjadi 2 bagian :
1. daftar alamat device yang bisa diakses router.
2. semua device yang lain punya batas waktu untuk akses ke router.
Satu hal bahwa semua perangkat lain yang hanya terbatas bagi mereka yang tidak memiliki
Winbox / SSH / telnet akses ke router, yang kadang-kadang berarti Anda tidak bisa
memasukinya. Salah satu cara untuk sementara membolehkan akses penuh ke router adalah port
ketukan.
port knocking RouterOs adalah salah satu cara untuk menambahkan alamat IP dinamis ke dalam
daftar alamat untuk jumlah waktu yang ditentukan. Cara kerjanya adalah seperti ini.
1. client mengirim paket ke router dengan port 1337
2. router menambah ip client ke address list temp misalkan dengan waktu 15 menit.
Aturan ini hanya berlaku pastikan sambungan pergi ke router dan akan mematikan apapun yang
tidak sah.
Aturan-aturan ini membentuk ICMP rantai yang kami melompat dari prediksi, ia terbatas
berbagai paket ICMP untuk menghentikan orang-orang yang ping flooding oleh attacker.
add chain=services src-address-list=127.0.0.1 dst-address=127.0.0.1
action=accept comment="accept localhost" disabled=no
add chain=services protocol=udp dst-port=20561 action=accept comment="allow
MACwinbox " disabled=no
add chain=services protocol=tcp dst-port=2000 action=accept
comment="Bandwidth server" disabled=no
add chain=services protocol=udp dst-port=5678 action=accept comment=" MT
Discovery Protocol" disabled=no
add chain=services protocol=tcp dst-port=161 action=accept comment="allow
SNMP" disabled=yes
add chain=services protocol=tcp dst-port=179 action=accept comment="Allow
BGP" disabled=yes
add chain=services protocol=udp dst-port=5000-5100 action=accept
comment="allow BGP" disabled=yes
add chain=services protocol=udp dst-port=123 action=accept comment="Allow
NTP" disabled=yes
add chain=services protocol=tcp dst-port=1723 action=accept comment="Allow
PPTP" disabled=yes
add chain=services protocol=gre action=accept comment="allow PPTP and EoIP"
disabled=yes
add chain=services protocol=tcp dst-port=53 action=accept comment="allow DNS
request" disabled=yes
add chain=services protocol=udp dst-port=53 action=accept comment="Allow DNS
request" disabled=yes
add chain=services protocol=udp dst-port=1900 action=accept comment="UPnP"
disabled=yes
add chain=services protocol=tcp dst-port=2828 action=accept comment="UPnP"
disabled=yes
add chain=services protocol=udp dst-port=67-68 action=accept comment="allow
DHCP" disabled=yes
add chain=services protocol=tcp dst-port=8080 action=accept comment="allow
Web Proxy" disabled=yes
add chain=services protocol=ipencap action=accept comment="allow IPIP"
disabled=yes
add chain=services protocol=tcp dst-port=443 action=accept comment="allow
https for Hotspot" disabled=yes
add chain=services protocol=tcp dst-port=1080 action=accept comment="allow
Socks for Hotspot" disabled=yes
add chain=services protocol=udp dst-port=500 action=accept comment="allow
IPSec connections" disabled=yes
add chain=services protocol=ipsec-esp action=accept comment="allow IPSec"
disabled=yes
add chain=services protocol=ipsec-ah action=accept comment="allow IPSec"
disabled=yes
add chain=services protocol=udp dst-port=520-521 action=accept comment="allow
RIP" disabled=yes
add chain=services protocol=ospf action=accept comment="allow OSPF"
disabled=yes
add chain=services action=return comment="" disabled=no
Ini adalah layanan yang kami Izinkan setiap mengakses, karena Anda dapat melihat kebanyakan
mereka dinonaktifkan secara default. Satu-satunya adalah layanan yang memungkinkan pribadi
saya merasa harus selalu dapat diakses.
Mac-Telnet
Bandwidth Test Server
MT Discovery
Semua layanan lainnya hanya boleh diaktifkan bila mereka merasa diperlukan, menjalankan
script ini pada produksi router yang sudah dikonfigurasi akan menyebabkan ia terjatuh ke IPSec,
BGP, dan EOIP a bunch dari layanan lainnya, jadi harus diperiksa aturan2 tersebut, jangan asal
copy paste. Sekali lagi baca dengan teliti, dan seksama untuk menerapkan aturan ini.
5. Logging & Syslog
Nah penyimpanan yang melebihi 100 baris akan hilang di router. maka log sangat diperlukan
untuk memantau semua jaringan.
berikut ini setting default log.
/system logging print
Flags: X disabled, I invalid
# TOPICS ACTION PREFIX
0 info memory
1 error memory
2 warning memory
3 critical echo
jadi yang terlihat adalah ketika terjadi booting ulang maka kita akan kehilangan semua log kita.
oleh sebab itu kita harus menanamnya di hardisk.
/system logging print
/system logging remove 0
/system logging remove 1
/system logging remove 2
/system logging remove 3
sekarang kita setup log beberapa ke disk.
/system logging add topics=critical action=disk
/system logging add topics=critical action=echo
/system logging add topics=error action=disk
(By default into syslogd_flags set -s option. Dont forget remove it. The -a options are
ignored if the -s option is also specified. See man syslogd. )
2. vi /etc/syslog.conf
+@ # syslog settings of current system +* # +<ip-address or host of your router> *.*
/var/log/mikrotik.log +*
3. /etc/rc.d/syslogd restart
Alatbantu:
- PortScanner . Nmap v4.2
- HTTP BruteForce . FScan v0.6
- SSH BruteForce
- FTP BruteForce
- Portknock
;;;;;;;;;;;; Ada lima Rule ;;;;;;;;;;
o1. Drop Port Scanner
o2. Drop SSH BruteForce
o3. Drop FTP BruteForce
o4. Drop HTTP/HTTPS BruteForce
o5. PortKnocking Rule
o1. Drop Port Scanner
Tambahkan rule;
Seperti:
banner
(mikrotik routeros)
D:\fscan>
banner
D:\fscan>
|PuTTY Fatal Error
[x]|
|-|
|
|
| (X) Network error: Connection timed out |
|
|
|
++
|
|
| OK |
|
|
++
|
|
|
D:\knock>knock.exe
usage: knock [options] <host> <port[:proto]> [port[:proto]]
options:
-u, udp
make all ports hits use UDP (default is TCP)
-v, verbose
be verbose
-V, version
display version
-h, help
this help
example: knock myserver.example.com 123:tcp 456:udp 789:tcp
D:\knock>knock 192.168.0.1 1337:tcp 17954:udp
D:\knock>
C:\Documents and Settings\adminz>ping 192.168.0.1 -t
Pinging 192.168.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Ping statistics for 192.168.0.1:
Packets: Sent = 18, Received = 11, Lost = 7 (38% loss),
disabled=no
add chain=input protocol=udp dst-port=17954 src-address-list=knock-knock \
action=add-src-to-address-list address-list=Save Haven \
address-list-timeout=3h comment=" disabled=no
add chain=input src-address-list=Save Haven action=accept comment=" \
disabled=no
add chain=input action=drop comment=" disabled=no
### Other Security
o SSH Preshated Key authentication
Generate Publik dan private key
Menggunakan ssh keygen pada *NIX
sh$ ssh-keygen -t dsa -f ./id_dsa
Generating public/private dsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ./id_dsa.
Your public key has been saved in ./id_dsa.pub.
The key fingerprint is:
91:d7:08:be:b6:a1:67:5e:81:02:cb:4d:47:d6:a0:3b admin-ssh@beka
Menggunakan PuTTYGen Pada Windows
Upload file publik key ke RouterOS gunakan Scp, selanjutnya import file,
[admin@MikroTik] user ssh-keys> import file=id_dsa.pub user=admin-ssh
[admin@MikroTik] user ssh-keys> print
# USER KEY-OWNER
0 admin-ssh admin-ssh@beka
[admin@MikroTik] user ssh-keys>
o Firewall - http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling
o Syslog Daemon
client bisa mendapatkan maksimal 200kbps. Di antara ketiga client tersebut, memiliki prioritas
yang berbeda, yaitu: 1,2, dan 3.
Untuk mempermudah pemantauan dan pembuktian, kita akan menggunakan queue tree.
Cara paling mudah untuk melakukan queue dengan queue tree, adalah dengan menentukan
parameter :
Untuk percobaan awal, semua priority diisi angka yang sama: 8, dan parameter limit-at tidak kita
isi. Gambar berikut ini adalah ilustrasi apa yang akan terjadi dengan konfigurasi di atas.
Karena alokasi bandwidth yang tersedia hanya 400kbps, sedangkan total akumulasi ketiga client
melebihinya (600 kbps), maka ketiga client akan saling berebut, dan tidak bisa diprediksikan
siapa yang akan menang (menggunakan bandwidth secara penuh) dan siapa yang akan kalah
(tidak mendapatkan bandwidth yang sesuai).
Misalkan q1 adalah client dengan prioritas tertinggi, dan q3 adalah client dengan prioritas
terbawah. Kita akan mencoba memasukkan nilai prioritas untuk masing-masing client sesuai
dengan prioritasnya.
Tampak pada gambar di atas, meskipun sekarang q1 sudah memiliki prioritas tertinggi, namun
ketiga client masih berebutan bandwidth dan tidak terkontrol.
Gambar berikut akan mencoba mengimplementasikan nilai limit-at. Seharusnya, limit-at adalah
CIR (Committed Information Rate), merupakan parameter di mana suatu client akan
mendapatkan bandwidthnya, apapun kondisi lainnya, selama bandwidthnya memang tersedia.
Ternyata q1 masih tidak mendapatkan bandwidth sesuai dengan limit-at (CIR) nya. Padahal,
karena bandwidth yang tersedia adalah 400kbps, seharusnya mencukupi untuk mensuplai
masing-masing client sesuai dengan limit-at nya.
Berikutnya, kita akan menggunakan parent queue, dan menempatkan ketiga queue client tadi
sebagai child queue dari parent queue yang akan kita buat. Pada parent queue, kita cukup
memasukkan outgoing-interface pada parameter parent, dan untuk ketiga child, kita mengubah
parameter parent menjadi nama parent queue. Pertama-tama, kita belum akan memasukkan nilai
max-limit pada parent-queue, dan menghapus semua parameter limit-at pada semua client.
Tampak pada contoh di atas, karena kita tidak memasukkan nilai max-limit pada parent, maka
priority pada child pun belum bisa terjaga.
Setelah kita memasang parameter max-limit pada parent queue, barulah prioritas pada client
akan berjalan.
Tampak pada contoh di atas, q1 dan q2 mendapatkan bandwidth hampir sebesar max-limitnya,
sedangkan q3 hampir tidak kebagian bandwidth. Prioritas telah berjalan dengan baik. Namun,
pada kondisi sebenarnya, tentu kita tidak ingin ada client yang sama sekali tidak mendapatkan
bandwidth.
Untuk itu, kita perlu memasang nilai limit-at pada masing-masing client. Nilai limit-at ini adalah
kecepatan minimal yang akan di dapatkan oleh client, dan tidak akan terganggu oleh client
lainnya, seberapa besarpun client lainnya menyedot bandwidth, ataupun berapapun
prioritasnya. Kita memasang nilai 75kbps sebagai limit-at di semua client.
Tampak bahwa q3, yang memiliki prioritas paling bawah, mendapatkan bandwidth sebesar limitat nya. q1 yang memiliki prioritas tertinggi, bisa mendapatkan bandwidth sebesar max-limitnya,
sedangkan q2 yang prioritasnya di antara q1 dan q3, bisa mendapatkan bandwidth di atas limitat, tapi tidak mencapai max-limit. Pada contoh di atas, semua client akan terjamin mendapatkan
bandwidth sebesar limit-at, dan jika ada sisa, akan dibagikan hingga jumlah totalnya mencapai
max-limit parent, sesuai dengan prioritas masing-masing client.
Jumlah akumulatif dari limit-at tidaklah boleh melebihi max-limit parent. Jika hal itu terjadi,
seperti contoh di bawah ini, jumlah limit-at ketiga client adalah 600kbps, sedangkan nilai maxlimit parent hanyalah 400kbps, maka max-limit parent akan bocor. Contoh di bawah ini
mengasumsikan bahwa kapasitas keseluruhan memang bisa mencapai nilai total limit-at. Namun,
apabila bandwidth yang tersedia tidak mencapai total limit-at, maka client akan kembali
berebutan dan sistem prioritas menjadi tidak bekerja.
Sedangkan, mengenai max-limit, max-limit sebuah client tidak boleh melebihi max-limit parent.
Jika hal ini terjadi, maka client tidak akan pernah mencapai max-limit, dan hanya akan
mendapatkan kecepatan maksimum sebesar max-limit parent (lebih kecil dari max-limit client).
Jika semua client memiliki prioritas yang sama, maka client akan berbagi bandwidth sisa.
Tampak pada contoh di bawah ini, semua client mendapatkan bandwidth yang sama, sekitar
130kbps (total 400kbps dibagi 3).
1. HTB hanya bisa berjalan, apabila rule queue client berada di bawah setidaknya 1 level
parent, setiap queue client memiliki parameter limit-at dan max-limit, dan parent queue
harus memiliki besaran max-limit.
2. Jumlah seluruh limit-at client tidak boleh melebihi max-limit parent.
3. Max-limit setiap client harus lebih kecil atau sama dengan max-limit parent.
4. Untuk parent dengan level tertinggi, hanya membutuhkan max-limit (tidak membutuhkan
parameter limit-at).
5. Untuk semua parent, maupun sub parent, parameter priority tidak diperhitungkan.
Priority hanya diperhitungkan pada child queue.
6. Perhitungan priority baru akan dilakukan setelah semua limit-at (baik pada child queue
maupun sub parent) telah terpenuhi.
Panduan praktis cara perhitungan limit-at dan max-limit
Di asumsikan bandwidth yang tersedia sebesar 1000kbps. Dan jumlah seluruh client adalah 70.
Yang perlu diketahui adalah :
1. Berapa jumlah maksimal client yang menggunakan internet pada saat yang bersamaan.
Jumlah ini belum tentu sama dengan jumlah komputer yang ada, apabila semua client
tidak pernah terkoneksi secara bersamaan. Sebagai contoh, untuk kasus ini kita
asumsikan adalah 50.
2. Berapa jumlah minimal client yang menggunakan internet pada saat yang bersamaan.
Sebagai contoh, untuk kasus ini kita asumsikan adalah 10
Maka, untuk setiap client (1 client dibuatkan 1 rule queue), limit-at nya adalah 1000 / 50 =
20kbps, dan max-limit nya adalah 1000 / 10 = 100 kbps.
Jangan lupa untuk menambahkan parent dengan max-limit sebesar 1000kbps (tidak perlu limitat), dan memasukkan semua queue client di bawah parent queue. Jika untuk terminal tertentu
membutuhkan priority lebih besar, maka kita bisa menggunakan priority yang berbeda-beda,
tergantung dengan urutan prioritasnya.
1. Ubah IP dan Nama interface ethernet tiap port ehternet seperti contoh gambar di atas.
Ex : Ether1 -> Nama interface diganti menjadi local dan IP di set 192.168.10.1/24
2. Mulai dengan menambah gateway di mikrotik
3. ip route add dst-address=0.0.0.0/0 gateway 192.168.1.1 scope=255
target-scope=10 routing-mark=satu comment="" disabled=no
4.
5. ip route add dst-address=0.0.0.0/0 gateway 192.168.2.1 scope=255
target-scope=10 routing-mark=dua comment="" disabled=no
6.
ip route add dst-address=0.0.0.0/0 gateway 192.168.3.1 scope=255
target-scope=10 routing-mark=tiga comment="" disabled=no
8. ip firewall mangle
9.
10. add chain=prerouting in-interface=local connection-state=new nth=2,3,0
action=mark-connection new-connection-mark=satu passtrough=yes
comment="load balancing" disabled=no
11.
12. add chain=prerouting in-interface=local connection-mark=satu
action=mark-routing new-routing-mark=satu passthrough=no comment=""
disabled=no
13.
14. add chain=prerouting in-interface=local connection-state=new nth=2,3,1
action=mark-connection new-connection-mark=dua passtrough=yes
comment="" disabled=no
15.
16. add chain=prerouting in-interface=local connection-mark=dua
action=mark-routing new-routing-mark=dua passthrough=no comment=""
disabled=no
17.
18. add chain=prerouting in-interface=local connection-state=new nth=2,3,2
action=mark-connection new-connection-mark=tiga passtrough=yes
comment="" disabled=no
19.
add chain=prerouting in-interface=local connection-mark=tiga
action=mark-routing new-routing-mark=tiga passthrough=no comment=""
disabled=no
Selamat mencoba
Sumber : http://infonesia.info
Tags:
<!-- >
Wed 22 Apr 2009
comment= disabled=yes
add chain=prerouting protocol=encap action=mark-connection new-connectionmark=prio_conn_comm_services passthrough=yes \
comment= disabled=yes
add chain=prerouting connection-mark=prio_conn_comm_services action=mark-packet newpacket-mark=prio_comm_packet \
passthrough=no comment= disabled=yes
add chain=prerouting in-interface=Local connection-state=new nth=2,1,0 action=markconnection new-connection-mark=speedy1 \
passthrough=yes comment=LB 3 Line Speedy disabled=no
add chain=prerouting in-interface=Local connection-mark=speedy1 action=mark-routing newrouting-mark=speedy1 \
passthrough=no comment= disabled=no
add chain=prerouting in-interface=Local connection-state=new nth=2,1,1 action=markconnection new-connection-mark=speedy2 \
passthrough=yes comment= disabled=no
add chain=prerouting in-interface=Local connection-mark=speedy2 action=mark-routing newrouting-mark=speedy2 \
passthrough=no comment= disabled=no
add chain=prerouting in-interface=Local connection-state=new nth=2,1,2 action=markconnection new-connection-mark=speedy3 \
passthrough=yes comment= disabled=no
add chain=prerouting in-interface=Local connection-mark=speedy3 action=mark-routing newrouting-mark=speedy3 \
passthrough=no comment= disabled=no
/ ip firewall nat
add chain=srcnat connection-mark=speedy1 action=src-nat to-addresses=192.168.1.2 to-ports=065535 comment=NAT 2 CLIENT \
disabled=no
add chain=srcnat connection-mark=speedy2 action=src-nat to-addresses=125.165.115.184 toports=0-65535 comment= \
disabled=no
add chain=srcnat connection-mark=speedy3 action=src-nat to-addresses=192.168.3.2 to-ports=065535 comment= disabled=no
add chain=srcnat src-address=172.16.1.0/29 action=masquerade comment=NAT VPN
disabled=no
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s tcp-establishedtimeout=1d tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s tcp-time-wait-timeout=10s tcp-closetimeout=10s udp-timeout=10s \
udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m tcp-syncookie=no
/ ip firewall filter
add chain=forward src-address=0.0.0.0/8 action=drop comment=Block Bogus IP Address
disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment= disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment= disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment= disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment= disabled=no
add chain=forward dst-address=224.0.0.0/3 action=drop comment= disabled=no
add chain=forward src-address=192.168.1.99 protocol=tcp content=www action=drop
disabled=no
add chain=tcp protocol=tcp dst-port=2049 action=drop comment= disabled=no
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment= disabled=no
add chain=tcp protocol=tcp dst-port=20034 action=drop comment= disabled=no
add chain=tcp protocol=tcp dst-port=3133 action=drop comment= disabled=no
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment= disabled=no
add chain=icmp protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept
comment=Limited Ping Flood disabled=no
add chain=icmp protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment=
disabled=no
add chain=icmp protocol=icmp icmp-options=3:3 limit=5,5 action=accept comment=
disabled=no
add chain=icmp protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment=
disabled=no
add chain=icmp protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment=
disabled=no
add chain=icmp protocol=icmp action=drop comment= disabled=no
add chain=input dst-address-type=broadcast action=accept comment=Allow Broadcast Traffic
disabled=no
add chain=input connection-state=established action=accept comment=Connection State
disabled=no
add chain=input connection-state=related action=accept comment= disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment= disabled=no
add chain=input connection-state=invalid action=drop comment= disabled=no
/ ip firewall service-port
set ftp ports=21 disabled=yes
set tftp ports=69 disabled=yes
set irc ports=6667 disabled=yes
set h323 disabled=yes
set quake3 disabled=yes
set gre disabled=yes
set pptp disabled=yes
/ ip hotspot service-port
set ftp ports=21 disabled=no
/ ip hotspot profile
set default name=default hotspot-address=0.0.0.0 dns-name= html-directory=hotspot ratelimit= http-proxy=0.0.0.0:0 \
smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d split-user-domain=no
use-radius=no
/ ip hotspot user profile
set default name=default idle-timeout=none keepalive-timeout=2m status-autorefresh=1m
shared-users=1 \
transparent-proxy=yes open-status-page=always advertise=no
/ ip dhcp-server
add name=dhcp1? interface=Local lease-time=3d address-pool=dhcp_pool1 bootpsupport=static authoritative=after-2sec-delay \
disabled=no
/ ip dhcp-server config
set store-leases-disk=5m
/ ip dhcp-server lease
/ ip dhcp-server network
disabled=no
add name=Client1? target-addresses=192.168.1.15/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=Client2? target-addresses=192.168.1.4/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=Client3? target-addresses=192.168.1.5/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=Client4? target-addresses=192.168.1.6/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=Client5? target-addresses=192.168.1.7/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=Client6? target-addresses=192.168.1.8/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=Client7? target-addresses=192.168.1.9/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=Client8? target-addresses=192.168.1.10/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=Client9? target-addresses=192.168.1.11/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
add name=Client10? target-addresses=192.168.1.12/32 dst-address=0.0.0.0/0 interface=Local
parent=DreamNet direction=both \
priority=8 queue=default-small/default-small limit-at=16000/32000 max-limit=32000/128000
total-queue=default \
disabled=no
/ user
add name=admin group=full address=0.0.0.0/0 comment=system default user disabled=yes
add name=areksitiung group=full address=0.0.0.0/0 comment= disabled=no
add name=nanda group=full address=0.0.0.0/0 comment= disabled=no
add name=riko group=full address=0.0.0.0/0 comment= disabled=no
add name=padang group=full address=0.0.0.0/0 comment= disabled=no
/ user group
add name=read policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!ftp,!write,!
policy
add name=write policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!
policy
add name=full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web
/ user aaa
set use-radius=no accounting=yes interim-update=0s default-group=read
/ radius incoming
set accept=no port=1700
/ driver
/ snmp
set enabled=no contact= location=
/ snmp community
set public name=public address=0.0.0.0/0 read-access=yes
/ tool bandwidth-server
set enabled=yes authenticate=yes allocate-udp-ports-from=2000 max-sessions=10
/ tool mac-server ping
set enabled=yes
/ tool e-mail
set server=0.0.0.0 from=<>
/ tool sniffer
set interface=all only-headers=no memory-limit=10 file-name= file-limit=10 streamingenabled=no streaming-server=0.0.0.0 \
filter-stream=yes filter-protocol=ip-only filter-address1=0.0.0.0/0:0-65535 filteraddress2=0.0.0.0/0:0-65535
/ tool graphing
set store-every=5min
/ tool graphing queue
add simple-queue=all allow-address=0.0.0.0/0 store-on-disk=yes allow-target=yes disabled=no
/ tool graphing resource
add allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
/ tool graphing interface
add interface=all allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
/ routing ospf
set router-id=0.0.0.0 distribute-default=never redistribute-connected=no redistribute-static=no
redistribute-rip=no \
redistribute-bgp=no metric-default=1 metric-connected=20 metric-static=20 metric-rip=20
metric-bgp=20
/ routing ospf area
set backbone area-id=0.0.0.0 type=default translator-role=translate-candidate
authentication=none prefix-list-import= \
prefix-list-export= disabled=no
/ routing bgp
set enabled=no as=1 router-id=0.0.0.0 redistribute-static=no redistribute-connected=no
redistribute-rip=no \
redistribute-ospf=no
/ routing rip
set redistribute-static=no redistribute-connected=no redistribute-ospf=no redistribute-bgp=no
metric-static=1 \
metric-connected=1 metric-ospf=1 metric-bgp=1 update-timer=30s timeout-timer=3m garbagetimer=2m
Setelah itu klik tanda maka akan muncul MAC Address Mikrotik yang sedang aktif dalam hal
ini klik dua kali Mac Address 00:0B:CD:64:D9:22 dan isikan user admin dan password secara
default adalah kosong kemudian klik Connect
New Terminal
Maka akan muncul tampilan konsole sebagai berikut dan kemudian lakukan ping ke Gateway
Internet anda, ketikkan ping 192.168.1.1 Jika berhasil maka akan tampilan seperti gambar di
bawah ini dan itu artinya jaringan dari Mikrotik ke Gateway/Modem telah terhubung dengan
normal.
IP ==> DNS
Kemudian klik Setting pada Primary DNS isikan DNS1 misal 202.134.1.10 dan pada
Secondary DNS isikan DNS2 misal 202.134.0.155 dan jika setelah klik OK
New Terminal
Lakukan testing ping keluar yaitu ke internet misal ke google.com dengan mengetikkan perintah
ping google.com jika hasil seperti di bawah ini maka koneksi internet anda sudah konek.
Pada Local Address of Network adalah Gateway Hotspot anda, kemudian klik Next
Pada Address Pool of Network adalah Range IP DHCP yang nantinya di berikan ke user
hotspot. Anda bisa tentukan berapa range IP inginkan dalam hal ini adalah dari 10.5.50.2 s/d
10.5.50.254 kemudian klik Next
Pada DNS Servers sudah terisi DNS anda dengan benar dan langsung aja klik Next
Setelah selesai maka akan muncul kotak dialog sebagai berikut kemudian klik OK
Kemudian lanjutkan dengan konfigurasi Hotspot Mikrotik agar terkoneksi dengan software
Billing Hotspot sebaik berikut :
IP ==> Hotspot ==> Server Profiles ==> hsprof1 (klik 2x)
Dari tab General pindah ke tab Login kemudian hilangkan tanda centang (uncheck) pada
Cookies kemudian klik Apply
Kemudian pindah ke tab Radius dan hilangkan tanda centang (uncheck) pada Use
RADIUS kemudian klik Apply lalu klik OK
Radius
Klik tanda plus |+| dan pada tab General beri tanda centang pada service hotspot kemudian pada
Address isikan IP Address radius server Billing Hotspot (PC Linux) dan Secret isikan
secret id misal 123457890 sesuai yang anda isikan di Linux, kemudian jika selesai klik OK
Agar Halaman Login User Hotspot muncul halaman login Billing Hotspot seperti gambar di
bawah ini
Setelah berhasil masuk ke Billing Hotspot Manager, masuk Menu Preference ==> Setting
Service ==> Pilih /var/www/html/config.client.php kemudian klik Edit dan jika selesai klik
Save
$ipServer=192.168.1.2; ==> isikan nomor IP Server Billing Hotspot
$ipMikrotik=192.168.1.10; ==> isikan nomor IP Router Mikrotik
$userMikrotik=admin; ==> isikan nama user Router Mikrotik
$passMikrotik=admin; ==> isikan password Router Mikrotik
Bila tidak bisa di simpan masuk ke Konsole sebagai root di Linux dan ketikkan perintah chmod
775 /var/www/html/config.client.php
Masuk Preference ==> Setting Service ==> Pilih /etc/raddb/clients.conf kemudian klik Edit
tarik scroll ke baris paling bawah kemudian tambahkan empat baris perintah sebagai berikut dan
jika selesai klik Save
Masuk Preference ==> Setting Service ==> Pilih /etc/raddb/naslist kemudian klik Edit
Bila tidak bisa di simpan masuk ke Konsole sebagai root di Linux dan ketikkan perintah chmod
775 /etc/raddb/naslist
Kemudian tentukan IP lokal hospot yang akan ada gunakan, misal 192.168.10.1 dan Tentukan IP
DHCP ke clientnya yang akan anda gunakan, dalam contoh ini adalah 192.168.10.2192.168.10.255
Untuk SMTP Server sebaiknya anda kosongin saja, Kemudian DNS servernya anda isikan
sesuaikan dengan Provider anda, dalam contoh ini adalah DNS1=202.47.78.1
DNS2=202.47.78.9
DNS lokal hotspot anda NEXT saja kemudian pada Hotspot user anda dalam contoh berikut diisi
admin password admin123
Hotspot Server Profile digunakan untuk mensetting server yang akan sering digunakan untuk
semua user seperti metode autentikasi dan Limitasi data rate. Ada 6 jenis autentikasi Hotspot
mikrotik yang berbeda dalam profile setting, jenis autentikas tersebut adalah : HTTP PAP, HTTP
CHAP, HTTPS, HTTP cookie, MAC address, Trial
Metode autentikasi yang akan digunakan, biasanya cukup menggunakan metode HTTP CHAP
Data rate limitation digunakan sebagai default setting untuk user yang belum di setting
bandwidth limit pemakaiannya. Dimana RX adalah Client upload dan TX adalah Client
download. Misal setting default data rate di 64k/128k (upload/download)
Hotspot user profile digunakan untuk menyimpan data user yang akan dibuatkan rule profilenya.
Dimana didalamnya bisa dilakukan setting firewall filter chain untuk traffic yang keluar/masuk,
juga bisa untuk mensetting limitasi data rate dan selain itu dapat juga dilakukan paket marking
untuk setiap user yang masuk kedalam profile tersebut secara otomatis.
Hotspot user yaitu nama-nama user yang akan diautentikasi pada sistem hotspot. Beberapa hal
yang dapat dilakukan dalam konfigurasi hotspot user yaitu : username dan password, Membatasi
user berdasarkan waktu dan paket data yang akan digunakan, hanya ip address tertentu dari ip
address dhcp yang ditawarkan atau hanya mengizinkan user untuk koneksi ke sistem hotspot dari
MAC Address tertentu saja.
IP Bindings digunakan untuk mengizinkan ip tertentu untuk membypass autentikasi hotpot, ini
sangat berguna sekali ketika kita ingin menjalankan layanan server, atau IP telephony dibawah
system hotspot. Misal, PC atau Notebook anda untuk dapat membypass hotspot system, dengan
demikian anda dapat melakukan browsing tanpa autentikasi
have full speed for their downloads from the very first second. RapidShare is connected by many
HUGE carriers, like Global Crossing (Tier 1), Cogent (Tier 1), Level3 (Tier 1), which is just
great for the person downloading, but on the other hand its sometimes a pain in the admins a**.
The bandwidth you are giving your customers will be used for the download completelly! A
lets say 8mbit cable client will download with 8mbit. If you want the customers to browse the
web lightning fast but dont want him to constantly consume his full bandwidth by downloading
multiple gigs from RapidShare, you could do the following:
Create an address list with all RapidShare networks (2008-12-03)
/ip firewall address-list
add address=62.140.31.0/24 list=RapidShare
add address=62.153.244.0/24 list=RapidShare
add address=62.67.46.0/24 list=RapidShare
add address=62.67.50.0/24 list=RapidShare
add address=62.67.57.0/24 list=RapidShare
add address=64.211.146.0/24 list=RapidShare
add address=64.214.225.0/24 list=RapidShare
add address=64.215.245.0/24 list=RapidShare
add address=80.152.62.0/24 list=RapidShare
add address=80.231.128.0/24 list=RapidShare
add address=80.231.24.0/24 list=RapidShare
add address=80.231.41.0/24 list=RapidShare
add address=80.231.56.0/24 list=RapidShare
add address=80.239.137.0/24 list=RapidShare
add address=80.239.151.0/24 list=RapidShare
add address=80.239.152.0/24 list=RapidShare
add address=80.239.159.0/24 list=RapidShare
add address=80.239.226.0/24 list=RapidShare
add address=80.239.236.0/24 list=RapidShare
add address=80.239.239.0/24 list=RapidShare
add address=82.129.33.0/24 list=RapidShare
add address=82.129.35.0/24 list=RapidShare
add address=82.129.36.0/24 list=RapidShare
add address=82.129.39.0/24 list=RapidShare
add address=195.122.131.0/24 list=RapidShare
add address=195.122.149.0/24 list=RapidShare
add address=195.122.151.0/24 list=RapidShare
add address=195.122.152.0/24 list=RapidShare
add address=195.122.153.0/24 list=RapidShare
add address=195.219.1.0/24 list=RapidShare
add address=206.57.14.0/24 list=RapidShare
add address=207.138.168.0/24 list=RapidShare
add address=208.48.186.0/24 list=RapidShare
add address=212.162.2.0/24 list=RapidShare
add address=212.162.63.0/24 list=RapidShare
add address=217.243.210.0/24 list=RapidShare
BTW: It was a quick and dirty awk hack with /24 only, but 195.122.152.0 could be added as /23
as well!
Now lets mark all traffic that matches the address list
/ip firewall mangle
add action=mark-connection chain=prerouting comment=Entire Traffic \
disabled=no new-connection-mark=Entire Traffic \
passthrough=yes
add action=mark-connection chain=prerouting \
comment=RapidShare Connections connection-mark=Entire Traffic \
disabled=no new-connection-mark=RapidShare Connections \
passthrough=yes src-address-list=RapidShare
add action=mark-packet chain=prerouting comment=RapidShare Traffic \
connection-mark=RapidShare Connections disabled=no \
new-packet-mark=RapidShare Traffic passthrough=no
This is the interessting part: Limit em *G* (in this case its 1M)
/queue simple
add comment=RapidShare direction=both disabled=no \
dst-address=0.0.0.0/0 interface=all limit-at=1000000/1000000 \
max-limit=1000000/1000000 name=RapidShare \
packet-marks=RapidShare Traffic parent=none priority=8 \
queue=default-small/default-small total-queue=default-small
Posted in Mikrotik | No Comments
queue=default-small/default-small limit-at=1M/1M
max-limit=2M/2M total-queue=default-small
Now, write scripts
/system script
#name=Day source=/queue simple enable Day; /queue simple disable Night
#name=Night source=/queue simple enable Night; /queue simple disable Day
Finally, Schedule it
/system scheduler
#name=Day on-event=Day start-date=oct/13/2007 start-time=06:00:00 interval=1d
#name=Night on-event=Night start-date=oct/13/2007 start-time=18:
Posted in Mikrotik | No Comments
MikroTik box 192.168.1.2 and the gateway (ie the broadband router) as 192.168.1.1 and the
DNS given to you by your ISP. In this case, our example is using the DNS from Plusnet of
212.159.13.50
Code:
[admin@MikroTik] > /ip
[admin@MikroTik] ip> address add address=192.168.1.2/24 interface=internet
[admin@MikroTik] ip> route add gateway=192.168.1.1
[admin@MikroTik] ip> dns
[admin@MikroTik] ip dns> set primary-dns=212.159.13.50
[admin@MikroTik] ip dns> set secondary-dns=212.159.11.50
To speed things up a little, you can cache dns requests local to the MikroTik box as follows:
Code:
[admin@MikroTik] ip dns> set allow-remote-requests=yes
[admin@MikroTik] ip dns> ..
Now set up the hotspot side:
Code:
[admin@MikroTik] ip> hotspot
[admin@MikroTik] ip hotspot> setup
Select interface on which to run HotSpot
Hotspot interface: hotspot
Enable universal client configuration?
Enable universal client: yes
This is a feature that allows remote computers to connect even if they have totally different
network settings already set up on them
Code:
Local address of hotspot network gateway: 10.5.50.1/24
Masquerade hotspot network: yes
Address pool of hotspot network will be: 10.5.50.2-10.5.50.254
ip address of smtp server: 192.168.1.3
(We have to enter here the IP address of your ISP SMTP server, or otherwise put the address of
your local one. If you dont have one, then just give it an an address on the internet side of the
MikroTik box)
Code:
Use local DNS cache?
use local DNS cache: yes
Setup DNS Configuration
dns servers: 192.168.1.2
We enter here the IP address of the MikroTik box on the internet side, becasue we have already
set up a DNS cache earlier.
Code:
Name of hotspot user: admin
Password for the user: admin
(This is the hotspot administrator username and password keep the details safe)
Code:
Select another port for (www) service
Another port for service: 8081
The port that you specify here is the port for Winbox.
Code:
Use transparent web proxy for hotspot clients?
Use transparent web proxy: yes
And thats about it. Connect to your MikroTik box from either the internet side using the address
of http://192.168.1.2:8081 or on the hotspot side (use your admin password).
Download the Winbox from that link, and go to the Hotspot section to manage users. And there
you have it your Hotspot.
Taken From Mikrotik Forum
Posted in Mikrotik | No Comments
- Harddisk 40 GB
- 2 Card LAN Dlink + 1 prolink
Mesin silahkan disesuaikan sesuai kondisi yang ada.
(a) Skema/topologi jaringan
Asumsi:
Koneksi Internet dengan menggunakan xDSL menggunakan modem, bisa lewat
infrastuktur telkom atau provider lainnya. Untuk koneksi melalui provider
wireless bisa disesuaikan.
_(
o--+
____|
|
/
| Telpon
|
_/
-(
+--[_] Splitter
|
|
+----+
+---|
| Modem xDSL
+--*-+
(1)|
+---+
|
|
|
(3)
|
| +|---------+
|
+-----+
| |. . . . . |
| a|
|
| +--|-|-|-|-+
+---|=====|
|
| | | |
|
|
|
| | | |
|
|---+
+-|-|-|--[client 1]
+----|
|b
+-|-|------------[client 2]
|
c|
|
+-|----------------------[client 3]
|
L-----J
+--------[client n]
|
(2)
d|
+-----+
|
| (4)
|=====|
|
|
|
|
|
|
|
|
L-----J
Keterangan skema
(1) = Modem xDSL (Ip Address : 192.168.1.1/24)
(2) = Mikrotik Box dengan 3 ethernet card yaitu a (publik), b (local) dan c (Proxy)
(3) = Switch
Untuk sambungan ke Client. Asumsi Client Jumlahnya 20 Client
Range Ip Address : 192.168.0.0/27
Alokasi Ip Client = 192.168.0.1-192.168.0.30
Ip Net ID : 192.168.0.0/27
Ip Broadcast : 192.168.0.31/27
Sebagaimana di gambarkan pada skema jaringan diatas, jenis sistem operasi yang perlu
disiapkan ada Sistem Operasi untuk Router yaitu Mikrotik RouterOS versi 2.9.27 level 6 dan
Sistem Operasi Gnu/Linux distro CentOs versi 4.4 yang dipakai nantinya untuk mesin Proxy.
Informasi untuk mikrotik ini dapat dilihat pada official websitenya di http://www.mikrotik.com
dan http://www.mikrotik.co.id untuk Indonesia.
Silahkan siapkan dulu ISOnya, andaikata pembaca belum mempunyainya, untuk ISO sample
silahkan download di SINI.
Begitu juga untuk Linux CentOsnya, silahkan download
http://mirror.nsc.liu.se/CentOS/4.4/isos/i386/. CentOS ini versi 4.4.
dahulu
ISOnya
di
Sesuaikan saja Sistem Operasinya jika pembaca ingin memamakai Sistem Operasi yang berbeda
dari percobaan yang dilakukan. Misalnya untuk mikrotik memakai MT Versi 2.8.x atau diatasnya
lagi, begitu juga dengan Linux, silahkan dipilih sendiri Distrobusi yang disukai. Secara konsep
konfigurasinya sama.
Nah, di anggap kedua mesin telah siap beroperasi tentu telah di installkan pada kedua mesin,
Untuk Mikrotik silahkan lihat metode instalasinya di SINI juga di SINI. Sedangkan untuk
CentOs, jika pembaca ingin membuat partisi khusus untuk /cache/ silahkan saja, Memang
percobaan kali ini partisinya dibuat khusus.
Konfigurasi dasar.
(a) Mikrotik
- Instalasi paket SYSTEM, SECURITY, DHCP (optional)
- Set Ip addressnya sesuai dengan Skema, karena memeliki 3 card lan, maka
di set IP address untuk ketiga card tersebut. Sesuaikan nama interfacenya
berdasarkan skema diatas, berarti ada nama interface yaitu:
1. interface Public
2. interface Local
3. interface Proxy
#Interface
[admin@MikroTik] interface> print
Flags: X disabled, D dynamic, R running
# NAME TYPE RX-RATE TX-RATE MTU
0 R public ether 0 0 1500
1 R proxy ether 0 0 1500
2 R local ether 0 0 1500
[admin@MikroTik] interface>
Tentu saja nama interface boleh tidak sesuai dengan nama diatas, terserah
pembaca. Yang jelas ketiga interface diatas memiliki Subnet Ip address ber
beda, perhatikan skema.
# IP Address
- Set Ip Gateway atau routing. Untuk mikrotik gatewaynya ke Modem yaitu 192.168.1.1
# Ip Gateway
- Set DNS
#Ip DNS
#
rotor - www.somethink.org
$
#
SQUID PROXY CACHE
$
#
alpha version
$
#============================================================$
http_port 8080 transparent
icp_port 3130
icp_query_timeout 0
mcast_icp_query_timeout 2000
dead_peer_timeout 10 seconds
#============================================================$
hierarchy_stoplist cgi-bin ? .js .jsp localhost visicom indosat.net.id
acl QUERY urlpath_regex cgi-bin ? .js .jsp localhost visicom indosat.net.id
no_cache deny QUERY
#============================================================$
#============================================================$
# OPTIONS WHICH AFFECT THE CACHE SIZE
#============================================================$
cache_mem 8 MB
maximum_object_size 128 MB
maximum_object_size_in_memory 32 KB
cache_swap_low 98%
cache_swap_high 99%
store_dir_select_algorithm round-robin
ipcache_size 2048
ipcache_low 98
ipcache_high 99
fqdncache_size 2048
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
#============================================================$
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
#============================================================$
cache_dir aufs /cache/squid 4500 18 256
cache_access_log /var/log/squid/access.log
cache_log none
cache_store_log none
mime_table /etc/mime.conf
pid_filename /var/run/squid.pid
log_fqdn off
log_mime_hdrs off
log_ip_on_direct off
logfile_rotate 7
debug_options ALL,1
buffered_logs off
emulate_httpd_log off
#============================================================$
# FTP section
#============================================================$
ftp_user anonymous@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
#============================================================$
# DNS resolution section
#============================================================$
cache_dns_program /squid/libexec/dnsserver
dns_children 24
dns_nameservers 127.0.0.1 XXX.XXX.XXX.XXX
#============================================================$
# Refresh Rate
#============================================================$
refresh_pattern -i .(swf|png|jpg|jpeg|bmp|tiff|png|gif) 43200 90% 129600
override-expire
refresh_pattern -i (.*html$|.*htm|.*shtml|.*aspx|.*asp) 0 90% 1440
refresh_pattern ^ftp: 10080 95% 241920 reload-into-ims override-lastmod
refresh_pattern . 180 95% 120960 reload-into-ims override-lastmod
quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 98
negative_ttl 3 minutes
positive_dns_ttl 53 seconds
negative_dns_ttl 29 seconds
forward_timeout 4 minutes
connect_timeout 2 minutes
peer_connect_timeout 1 minutes
pconn_timeout 120 seconds
shutdown_lifetime 10 seconds
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
client_lifetime 60 minutes
half_closed_clients off
#============================================================$
# ACL section
#============================================================$
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl skynet src xxx.xxx.xxx.xxx/xx
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
# https, snews
acl Safe_ports port 80
# http
acl Safe_ports port 21
# ftp
acl Safe_ports port 443 563
# https, snews
acl Safe_ports port 70
# gopher
acl Safe_ports port 210
# wais
acl Safe_ports port 1025-65535
# unregistered ports
acl Safe_ports port 280
# http-mgmt
acl Safe_ports port 488
# gss-http
acl Safe_ports port 591
# filemaker
acl Safe_ports port 777
# multiling http
acl Safe_ports port 631
# cups
acl Safe_ports port 873
# rsync
acl Safe_ports port 901
# SWAT
acl purge method PURGE
acl CONNECT method CONNECT
#acl badip url_regex -i "/squid/ip-deny"
#acl badurl url_regex -i "/squid/bad-url"
acl warnet src xxx.xxx.xxx.xxx/xx
acl virus dst 204.177.92.204/32 64.191.99.145/32
acl gator dstdom_regex gator hot_indonesia.exe
acl exploit urlpath_regex winnt/system32/cmd.exe?
acl exploit urlpath_regex splashPages/black.sps?
icp_hit_stale on
minimum_direct_hops 4
minimum_direct_rtt 400
store_avg_object_size 13 KB
store_objects_per_bucket 20
client_db on
netdb_low 9900
netdb_high 10000
netdb_ping_period 30 seconds
query_icmp off
pipeline_prefetch on
reload_into_ims on
vary_ignore_expire on
max_open_disk_fds 100
nonhierarchical_direct on
prefer_direct off
#============================================================$
# MISCELLANEOUS
#============================================================$
logfile_rotate 3
store_dir_select_algorithm round-robin
shutdown_lifetime 10 seconds
cachemgr_passwd disable shutdown
cachemgr_passwd all
buffered_logs off
offline_mode off
coredump_dir /squid
ignore_unknown_nameservers on
acl hotmail dstdomain .hotmail.com .msn.com .passport.net .msn.co.id
.passport.com
header_access Accept-Encoding deny hotmail
#============================================================$
# DELAY POOLS
#============================================================$
acl download url_regex -i ftp .exe .mp3 .vqf .tar.gz .wmv .tar.bz
.tar.bz2 .gz .rpm .zip
acl download url_regex -i .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso
.raw .wav .tar .doc
acl download url_regex -i .ppt .z .wmf .mov .arj .lzh .gzip .bin .wma
# delay_pools 2
delay_pools 2
delay_class 1 2
delay_parameters 1 8000/8000 6000/8000
delay_access 1 allow download
delay_access 1 deny all
delay_class 2 2
delay_parameters 2 25000/25000 10000/16000 #200kb/200kb 80Kb/128Kb
delay_access 2 allow user
delay_access 2 deny all
# Silahkan diisi
#============================================================$
# DOWNLOAD LIMIT
#============================================================$
#reply_body_max_size 3072000 deny !client> Ganti nilai dengan yang
dikehendaki
#============================================================$
# SNMP
#============================================================$
acl snmpcommunity snmp_community public
snmp_port 3401
snmp_access allow snmpcommunity localhost
snmp_access deny all
[3] Evaluasi
[4] Troubleshooting
- Subnetmask antara interface Public dengan interface Proxy Sama, ping dari mikrotik ke mesin
linux tidak reply
[5] Referensi
http://primadonal.wordpress.com/category/mikrotik/page/10/
Posted in Mikrotik | No Comments
Kopi Paste ke Terminal Mikrotik. Dengan Syarat, Mikrotik telah terinstall System Packet Webproxy, dan telah dijalankan.
Script diatas, berguna membuat skedule pembersihan Cache web-proxy, dengan Jarak waktu
selama tujuh hari. Script diatas melakukan proses pencarian berdasarkan Comment=proxy, jadi
pada ip firewall nat nya, dituliskan comment Proxy, tulisan bersifat Case sensitive. Silahkan di
kustomais sesuai kebutuhan. Ada baiknya dilakukan test-script, pada script-list di Winbox,
Jalankan Run script, untuk melihat benar tidaknya script yang dituliskan.
How ?
You can of course add 2 ( two ) queues for each limit you want to put, but you can also put a
single queue, and modify its limits from a script.
Thats the way we will do it. Might just be simpler. Why ? You keep the limits for different type
of users in a single place ( the script). Also you can graph a single queue, that may be more
acceptable for you and for some users if you allow them to view their traffic graphs.
Premises:
You are using simple queues to limit the traffic.
( This can be easily adapted to queue tree, by modifying limits in the queue tree. but thats
another story. Work it out yourself.)
You have 3 types of users:
- 256k/256k at day, 1M/1M at night
- 512k/512k at day, 2M/2M at night
\
\
\
\
NIGHT:
/queue simple
set [find comment=CAT1] max-limit=1024000/1024000
set [find comment=CAT2] max-limit=2048000/2048000
set [find comment=CAT3] max-limit=4096000/4096000
Each script is put to run at 1 day interval, Day script starts at 06.00, Night script starts at
18.00.
Suppose we have one network 192.168.1.0/24 and want to limit Bandwidth for day and Night
Time.
Network 192.168.1.0/24
Bandwidth = 06:00am 18:00pm 1Mbps. <Max-Limit>
Bandwidth = 18:00pm 06:00am 2Mbps. <Max-Limit>
Create two simple queues for the same network with different Bandwidth Limit.
/queue simple
#name=Day target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0
interface=<ether-x> parent=none direction=both priority=8
queue=default-small/default-small limit-at=512k/512k
max-limit=1M/1M total-queue=default-small
#name=Night target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0
interface=<ether-x> parent=none direction=both priority=8
queue=default-small/default-small limit-at=1M/1M
max-limit=2M/2M total-queue=default-small
Finally, Schedule it
/system scheduler
#name=Day on-event=Day start-date=oct/13/2007 start-time=06:00:00
interval=1d
source = wiki.mikrotik.com
#name=Night on-event=Night start-date=oct/13/2007 start-time=18:00:00
interval=1d
First, lets set the basic setting first. Im using a machine with 3 or more network interfaces:
[admin@instaler] > in pr
#
NAME
TYPE
RX-RATE
0 R public
ether
0
1 R wifi1
wlan
0
2 R wifi2
wlan
0
TX-RATE
0
0
0
MTU
1500
1500
1500
R wifi3
wlan
1500
D - dynamic
BROADCAST
10.20.1.255
10.10.2.255
10.10.3.255
10.10.4.255
INTERFACE
public
wifi1
wifi2
wifi3
Mangle Setup
And now is the most important part in this case.
We need to mark our users. One connection for upload and second for download. In this example
I add mangle for one user. At the end I add mangle for local transmission because I dont QoS
local trafic emong users. But for user I need to separate upload and download.
[admin@instaler] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
disabled=no
0 chain=forward src-address=10.10.2.36 action=mark-connection \
new-connection-mark=users-userU passthrough=yes comment="" disabled=no
1 chain=forward dst-address=10.10.2.36 action=mark-connection \
new-connection-mark=users-userD passthrough=yes comment="" disabled=no
2 chain=forward connection-mark=users-userU action=mark-packet \
new-packet-mark=userU passthrough=yes comment="" disabled=no
3 chain=forward connection-mark=users-userD action=mark-packet \
new-packet-mark=userD passthrough=yes comment="" disabled=no
98 chain=forward src-address=10.10.0.0/16 dst-address=10.10.0.0/16
action=mark-connection new-connection-mark=users-lokal passthrough=yes
99 chain=forward connection-mark=users-lokal action=mark-packet
new-packet-mark=lokalTrafic passthrough=yes
Basic Setup
First, lets set the basic setting first. Im using a machine with 2 network interface:
admin@instaler]
#
NAME
0 R public
1 R lan
> in pr
TYPE
RX-RATE
ether
0
wlan
0
TX-RATE
0
0
MTU
1500
1500
D - dynamic
BROADCAST
192.168.0.255
172.21.1.255
INTERFACE
public
lan
max-fresh-time: 3d
serialize-connections: yes
cache-hit-dscp: 4
Firewall NAT
Make 2 NAT rules, 1 for Masquerading, and the other for redirecting transparant proxy.
[admin@instaler] ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic
0
chain=srcnat out-interface=public
src-address=172.21.1.0/24 action=masquerade
1
chain=dstnat in-interface=lan src-address=172.21.1.0/24
protocol=tcp dst-port=80 action=redirect to-ports=3128
Mangle Setup
And now is the most important part in this case.
If we want to make HIT traffic from web proxy not queued, we have to make a mangle to handle
this traffic. Put this rule on the beginning of the mangle, as it will check first.
[admin@instaler] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0
;;; HIT TRAFFIC FROM PROXY
chain=output out-interface=lan
dscp=4 action=mark-packet
new-packet-mark=proxy-hit passthrough=no
As we will make Queue for uplink and downlink traffic, we need 2 packet-mark. In this example,
we use test-up for uplink traffic, and test-down for downlink traffic.
For uplink traffic, its quite simple. We need only one rule, using SRC-ADDRESS and ININTERFACE parameters, and using PREROUTING chain. Rule number #1.
But for downlink, we have to make sevaral rules. As we use masquerading, we need Connection
Mark, named as test-conn. Rule no #2.
Then we have to make 2 more rules. First rule is for non-HTTP connection / direct connection.
We use chain forward, as the data traveling through the router. Rule no #3.
The second rule is for data coming from web-proxy to the client (MISS traffic). We use
OUTPUT chain, as the data coming from internal process in the router itself. Rule no #4.
For both rules (no #3 and #4) we named it test-down.
Please be aware, we use passthrough only for connection mark (rule no #2).
[admin@instaler] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
1
;;; UP TRAFFIC
chain=prerouting in-interface=lan
src-address=172.21.1.0/24 action=mark-packet
new-packet-mark=test-up passthrough=no
;;; CONN-MARK
chain=forward src-address=172.21.1.0/24
action=mark-connection
new-connection-mark=test-conn passthrough=yes
name="upstream" parent=global-in
packet-mark=test-up limit-at=32000
queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s
Mrtg Report
Mrtg Report
Mik SNMP
trafic monitoring
interface 1
interface 2
ether2 diganti nama (interface) menjadi lan (koneksi dari dan ke jaringan LAN)
tujuannya biar mudah di ingat gak ada pengaruh ke akses-nya.
#2. Setting IP address
/ip address
add address=192.168.1.2/24 interface=modem
add address=192.168.10.1/24 interface=lan
keterangan :
ip address standart (umumnya) modem 192.168.1.1 jadi ip interface dari-ke modem antara
192.168.1.2-254 (suka-suka)
#3. Setting Gateway
/ip route
/add gateway=192.168.1.1
#4. Setting DNS
/ip dns
set primary-dns=202.134.1.10
set secondary-dns=203.130.196.155
set allow-remote-requests=yes
Keterangan :
DNS digunakan untuk menerjemahkan alamat IP ke domain (****.com, ****.net, dll) atau
sebaliknya, ada beberapa DNS untuk speedy pilih yang latency-nya kecil dengan nge-ping agar
akses ke dns-nya agak cepat dikit.
#5. Setting NAT
/ip firewall nat
add chain=srcnat action=masquerade out-interface=modem
keterangan :
Network Address Translation (NAT) fasilitas router untuk meneruskan paket dari ip asal dan atau
ke ip tujuan dan merupakan standart internet yang mengizinkan komputer host dapat
berkomunikasi dengan jaringan luar menggunakan ip address public.
#6. Setting web Proxy (transparent)
/ip web-proxy
set enabled=yes
set hostname=proxywarnetku
set transparent-proxy=yes
set cache-administrator=admin@warnetmu
Keterangan :
settingan web proxy yang lain menggunakan default bawaan mikrotik.
hostname=hostname dns atau ip address web proxy
cache-administrator=email admin yang bisa dihubungi ketika proxy error, yang akan ditampilkan
pada browser client ketika proxy error.
6. Packet mark
/ ip firewall mangleadd chain=prerouting protocol=tcp dst-port=80 action=mark-connection
\new-connection-mark=http_conn passthrough=yes comment= disabled=noadd
chain=prerouting protocol=tcp dst-port=443 action=mark-connection \new-connectionmark=http_conn passthrough=yes comment= disabled=noadd chain=prerouting protocol=tcp
dst-port=53 action=mark-connection \new-connection-mark=dns_conn passthrough=yes
comment= disabled=noadd chain=prerouting protocol=udp dst-port=53 action=markconnection \new-connection-mark=dns_conn passthrough=yes comment= disabled=noadd
chain=prerouting protocol=tcp dst-port=5050-5061 action=mark-connection \new-connectionmark=ym_conn passthrough=yes comment= disabled=noadd chain=prerouting protocol=udp
dst-port=27015 action=mark-connection \new-connection-mark=cs_conn passthrough=yes
comment= disabled=noadd chain=prerouting protocol=tcp dst-port=6000-7000 action=markconnection \new-connection-mark=irc_conn passthrough=yes comment= disabled=noadd
chain=prerouting protocol=tcp dst-port=8291 action=mark-connection \new-connectionmark=mt_conn passthrough=yes comment= disabled=noadd chain=prerouting protocol=tcp
dst-port=110 action=mark-connection \new-connection-mark=email_conn passthrough=yes
comment= disabled=noadd chain=prerouting protocol=tcp dst-port=25 action=markconnection \new-connection-mark=email_conn passthrough=yes comment= disabled=noadd
chain=prerouting protocol=tcp dst-port=22 action=mark-connection \new-connectionmark=ssh_conn passthrough=yes comment= disabled=noadd chain=prerouting connectionmark=http_conn action=mark-packet \new-packet-mark=http passthrough=no comment=
disabled=noadd chain=prerouting connection-mark=dns_conn action=mark-packet \new-packetmark=dns passthrough=no comment= disabled=noadd chain=prerouting connectionmark=ym_conn action=mark-packet \new-packet-mark=ym passthrough=no comment=
disabled=noadd chain=forward src-address=192.168.0.0/27 action=mark-connection \newconnection-mark=local passthrough=yes comment= disabled=noadd chain=prerouting
connection-mark=irc_conn action=mark-packet \new-packet-mark=irc passthrough=no
comment= disabled=noadd chain=prerouting connection-mark=mt_conn action=markpacket \new-packet-mark=mt passthrough=no comment= disabled=noadd chain=prerouting
connection-mark=email_conn action=mark-packet \new-packet-mark=email passthrough=no
comment= disabled=noadd chain=prerouting connection-mark=ssh_conn action=markpacket \new-packet-mark=ssh passthrough=no comment= disabled=noadd chain=forward dstaddress=192.168.0.0/27 action=mark-connection \new-connection-mark=local passthrough=yes
comment= disabled=noadd chain=forward src-address=192.168.0.2 protocol=tcp connectionmark=local \action=mark-packet new-packet-mark=billing passthrough=no comment=
\disabled=noadd chain=forward dst-address=192.168.0.2 protocol=tcp connection-mark=local
\action=mark-packet new-packet-mark=billing passthrough=no comment= \disabled=noadd
chain=forward src-address=192.168.0.3 protocol=tcp connection-mark=local \action=markpacket new-packet-mark=meja1 passthrough=no comment= \disabled=noadd chain=forward
dst-address=192.168.0.3 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja1 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.4 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja2 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.4 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja2 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.5 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja3 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.5 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja3 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.6 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja4 passthrough=no comment= \disabled=noadd chain=forward dst-
address=192.168.0.6 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja4 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.7 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja5 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.7 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja5 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.8 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja6 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.8 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja6 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.9 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja7 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.9 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja7 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.10 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja8 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.10 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja8 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.11 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja9 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.11 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja9 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.12 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja10 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.12 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja10 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.13 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja11 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.13 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja11 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.14 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja12 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.14 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja12 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.15 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja13 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.15 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja13 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.16 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja14 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.16 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja14 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.17 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja15 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.17 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja15 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.18 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja16 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.18 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja16 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.19 protocol=tcp connection-mark=local \action=mark-packet new-packet-
mark=meja17 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.19 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja17 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.20 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja18 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.20 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja18 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.21 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja19 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.21 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja19 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.22 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja20 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.22 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja20 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.23 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja21 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.23 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja21 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.24 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja22 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.24 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja22 passthrough=no comment= \disabled=noadd chain=forward srcaddress=192.168.0.25 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja23 passthrough=no comment= \disabled=noadd chain=forward dstaddress=192.168.0.25 protocol=tcp connection-mark=local \action=mark-packet new-packetmark=meja23 passthrough=no comment= \disabled=no
7. Netwotrk Address Translator
/ ip firewall natadd chain=srcnat out-interface=PUBLIC action=masquerade comment=
disabled=noadd chain=dstnat src-address=192.168.0.0/27 protocol=tcp dst-port=80 \action=dstnat to-addresses=192.168.2.2 to-ports=3128 comment= \disabled=yesadd chain=dstnat srcaddress=192.168.0.0/27 protocol=tcp dst-port=8080 \action=dst-nat to-addresses=192.168.2.2
to-ports=3128 comment= \disabled=yesadd chain=dstnat src-address=192.168.0.0/27
protocol=tcp dst-port=3128 \action=dst-nat to-addresses=192.168.2.2 to-ports=3128
comment= \disabled=yesadd chain=dstnat src-address=192.168.0.0/27 protocol=tcp dstport=8081 \action=dst-nat to-addresses=192.168.2.2 to-ports=3128 comment=
\disabled=yesadd chain=dstnat src-address=192.168.0.0/27 protocol=tcp dst-port=8090
\action=dst-nat to-addresses=192.168.2.2 to-ports=3128 comment= \disabled=yesadd
chain=dstnat src-address=192.168.0.0/27 protocol=tcp dst-port=3127 \action=dst-nat toaddresses=192.168.2.2 to-ports=3128 comment= \disabled=yesadd chain=dstnat protocol=tcp
dst-port=8050 action=dst-nat \to-addresses=192.168.2.2 to-ports=3128 comment=
disabled=yes8. Paket Firewall fiter
/ ip firewall filteradd chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp
\src-port=0-65535 dst-port=80 action=accept comment= disabled=noadd chain=forward srcaddress=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp \src-port=0-65535 dst-port=8291
action=accept comment= disabled=noadd chain=forward src-address=0.0.0.0/0 action=accept
comment= disabled=noadd chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0
protocol=tcp \src-port=0-65535 dst-port=5000-5050 action=accept comment= disabled=noadd
chain=forward src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=tcp \src-port=0-65535 dstport=6667-7000 action=accept comment= disabled=noadd chain=forward connectionstate=established action=accept comment=allow \established connections disabled=noadd
protocol=tcp \dst-port=6000-6667 action=drop comment= disabled=noadd chain=forward srcaddress=208.65.153.251 action=drop comment= \disabled=noadd chain=forward srcaddress=208.65.153.253 action=drop comment= \disabled=no
9. service port yang di aloow dan tidak
/ ip firewall service-portset ftp ports=21 disabled=yesset tftp ports=69 disabled=yesset irc
ports=6667 disabled=yesset h323 disabled=yesset quake3 disabled=yesset gre disabled=yesset
pptp disabled=yes
10. Services dhcp server
/ ip dhcp-serveradd name=dhcp1? lease-time=3d address-pool=dhcp_pool1 bootpsupport=static \authoritative=after-2sec-delay disabled=yes
11. Log System di mikrotik
/ system loggingadd topics=info prefix= action=remote disabled=noadd topics=error prefix=
action=remote disabled=noadd topics=firewall prefix= action=remote disabled=noadd
topics=critical prefix= action=remote disabled=noadd topics=debug prefix= action=remote
disabled=noadd topics=web-proxy prefix= action=remote disabled=noadd topics=firewall
prefix= action=remote disabled=noadd topics=packet prefix= action=remote disabled=noadd
topics=state prefix= action=remote disabled=noadd topics=system prefix= action=remote
disabled=noadd topics=watchdog prefix= action=remote disabled=noadd topics=keepalive
prefix= action=memory disabled=noadd topics=web-proxy prefix= action=remote
disabled=no/ system logging actionset memory name=memory target=memory memorylines=100 memory-stop-on-full=noset disk name=disk target=disk disk-lines=100 disk-stopon-full=noset echo name=echo target=echo remember=yesset remote name=remote
target=remote remote=192.168.0.24:514/ system upgrade mirrorset enabled=no primaryserver=0.0.0.0 secondary-server=0.0.0.0 \check-interval=1d user=
12. Name router
/ system identityset name=Payau.NET13. Tipe quee/ queue typeset default name=default
kind=bfifo bfifo-limit=15000set ethernet-default name=ethernet-default kind=pfifo pfifolimit=50set wireless-default name=wireless-default kind=sfq sfq-perturb=5 \sfq-allot=1514set
synchronous-default name=synchronous-default kind=red red-limit=60 \red-min-threshold=10
red-max-threshold=50 red-burst=20 red-avg-packet=1000set hotspot-default name=hotspotdefault kind=sfq sfq-perturb=5 \sfq-allot=1514add name=default-small kind=pfifo pfifolimit=10
14. bw management pakai quee tree
/ queue treeadd name=UPSTREAM parent=PUBLIC packet-mark= limit-at=0
queue=default \priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=BILLING-UP parent=UPSTREAM packet-mark=billing limit-at=0
\queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 \burst-time=0s
disabled=noadd name=MEJA1-UP parent=UPSTREAM packet-mark=meja1 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=MEJA2-UP parent=UPSTREAM packet-mark=meja2 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=MEJA3-UP parent=UPSTREAM packet-mark=meja3 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=MEJA4-UP parent=UPSTREAM packet-mark=meja4 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=MEJA5-UP parent=UPSTREAM packet-mark=meja5 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=MEJA6-UP parent=UPSTREAM packet-mark=meja6 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
\disabled=noadd name=MEJA7-UP parent=UPSTREAM packet-mark=meja7 limit-at=0
queue=default \priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
scanners \
address-list-timeout=2w comment=SYN/FIN scan disabled=no
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port
scanners \
address-list-timeout=2w comment=SYN/RST scan disabled=no
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list
address-list=port \
scanners address-list-timeout=2w comment=FIN/PSH/URG scan disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list
address-list=port scanners \
address-list-timeout=2w comment=ALL/ALL scan disabled=no
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-addresslist address-list=port \
scanners address-list-timeout=2w comment=NMAP NULL scan disabled=no
/ ip firewall service-port
set ftp ports=21 disabled=yes
set tftp ports=69 disabled=yes
set irc ports=6667 disabled=yes
set h323 disabled=yes
set quake3 disabled=yes
set gre disabled=yes
set pptp disabled=yes
/ ip hotspot service-port
set ftp ports=21 disabled=no
/ ip hotspot profile
set default name=default hotspot-address=0.0.0.0 dns-name=" html-directory=hotspot ratelimit=" http-proxy=0.0.0.0:0 \
smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d split-user-domain=no
use-radius=no
/ ip hotspot user profile
set default name=default idle-timeout=none keepalive-timeout=2m status-autorefresh=1m
shared-users=1 \
transparent-proxy=yes open-status-page=always advertise=no
/ ip dhcp-server config
set store-leases-disk=5m
/ ip ipsec proposal
add name=default auth-algorithms=sha1 enc-algorithms=3des lifetime=30m lifebytes=0 pfsgroup=modp1024 disabled=no
/ ip web-proxy
set enabled=no src-address=0.0.0.0 port=3128 hostname=proxy transparent-proxy=no parentproxy=0.0.0.0:0 \
cache-administrator=webmaster max-object-size=4096KiB cache-drive=system max-cachesize=none \
max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment=block telnet & spam e-mail relaying disabled=no
/ ip web-proxy cache
add url=:cgi-bin \\? action=deny comment=dont cache dynamic http pages disabled=no
/ system logging
add topics=info prefix=" action=memory disabled=no
add topics=error prefix=" action=memory disabled=no
pcq-total-limit=2000
add name=pcq-upload kind=pcq pcq-rate=64000 pcq-limit=50 pcq-classifier=src-address pcqtotal-limit=2000
add name=PFIFO-64 kind=pfifo pfifo-limit=64
add name=default-small kind=pfifo pfifo-limit=10
/ queue simple
add name=99.net target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0 interface=Local
parent=none direction=both \
priority=1 queue=ethernet-default/ethernet-default limit-at=0/0 max-limit=0/0 totalqueue=default-small disabled=yes
add name=Server target-addresses=192.168.1.100/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=0/0 max-limit=0/0 totalqueue=default-small disabled=yes
add name=Meja-1 target-addresses=192.168.1.11/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-2 target-addresses=192.168.1.12/32 dst-address=0.0.0.0/0 interface=all
parent=none direction=both \
priority=8 queue=default-small/default-small limit-at=0/0 max-limit=64000/128000 totalqueue=default-small \
disabled=yes
add name=Meja-3 target-addresses=192.168.1.13/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-4 target-addresses=192.168.1.14/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-5 target-addresses=192.168.1.15/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-6 target-addresses=192.168.1.16/32 dst-address=0.0.0.0/0 interface=all
parent=none direction=both \
priority=8 queue=default-small/default-small limit-at=0/0 max-limit=64000/128000 totalqueue=default-small disabled=no
add name=Meja-7 target-addresses=192.168.1.17/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-8 target-addresses=192.168.1.18/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 max-
limit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-9 target-addresses=192.168.1.19/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-10 target-addresses=192.168.1.20/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-11 target-addresses=192.168.1.25/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small time=0s-0s, disabled=no
add name=Meja-12 target-addresses=192.168.1.22/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-13 target-addresses=192.168.1.23/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-14 target-addresses=192.168.1.24/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-15 target-addresses=192.168.1.21/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=64000/128000 maxlimit=64000/128000 \
total-queue=default-small disabled=no
add name=Meja-16 target-addresses=192.168.1.22/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=0/0 max-limit=64000/128000 totalqueue=default-small \
disabled=no
add name=Meja-17 target-addresses=192.168.1.27/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=0/96000 max-limit=0/96000 totalqueue=default-small \
disabled=no
add name=Meja-18 target-addresses=192.168.1.28/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=0/96000 max-limit=0/96000 totalqueue=default-small \
disabled=no
add name=Meja-19 target-addresses=192.168.1.29/32 dst-address=0.0.0.0/0 interface=all
parent=99.net direction=both \
priority=8 queue=ethernet-default/ethernet-default limit-at=0/96000 max-limit=0/96000 totalqueue=default-small \
disabled=no
add name=Printer target-addresses=192.168.1.26/32 dst-address=0.0.0.0/0 interface=all
parent=none direction=both \
priority=8 queue=default-small/default-small limit-at=0/0 max-limit=0/0 total-queue=defaultsmall disabled=no
/ queue tree
add name=ICMP parent=global-in packet-mark=ICMP-PM limit-at=8000 queue=PFIFO-64
priority=1 max-limit=16000 burst-limit=0 \
burst-threshold=0 burst-time=0s disabled=no
add name=DNS parent=global-in packet-mark=DNS-PM limit-at=8000 queue=PFIFO-64
priority=1 max-limit=16000 burst-limit=0 \
burst-threshold=0 burst-time=0s disabled=no
/ user
add name=admin group=full address=0.0.0.0/0 comment=system default user disabled=yes
add name=areksitiung group=full address=0.0.0.0/0 comment=" disabled=no
add name=99net group=full address=0.0.0.0/0 comment=" disabled=no
/ user group
add name=read policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!ftp,!write,!
policy
add name=write policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!
policy
add name=full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web
/ user aaa
set use-radius=no accounting=yes interim-update=0s default-group=read
/ radius incoming
set accept=no port=1700
/ driver
/ snmp
set enabled=no contact=" location="
/ snmp community
set public name=public address=0.0.0.0/0 read-access=yes
/ tool bandwidth-server
set enabled=yes authenticate=yes allocate-udp-ports-from=2000 max-sessions=10
/ tool mac-server ping
set enabled=yes
/ tool e-mail
set server=0.0.0.0 from=<>
/ tool sniffer
set interface=all only-headers=no memory-limit=10 file-name=" file-limit=10 streamingenabled=no streaming-server=0.0.0.0 \
filter-stream=yes filter-protocol=ip-only filter-address1=0.0.0.0/0:0-65535 filteraddress2=0.0.0.0/0:0-65535
/ tool graphing
set store-every=5min
/ tool graphing queue
add simple-queue=all allow-address=0.0.0.0/0 store-on-disk=yes allow-target=yes disabled=no
http://www.mikrotik.com/
mark=prio_conn_comm_services passthrough=yes \
comment=" disabled=no
add chain=prerouting protocol=encap action=mark-connection new-connectionmark=prio_conn_comm_services passthrough=yes \
comment=" disabled=no
add chain=prerouting connection-mark=prio_conn_comm_services action=mark-packet newpacket-mark=prio_comm_packet \
passthrough=no comment=" disabled=no
add chain=postrouting out-interface=pppoe-out1 protocol=tcp tcp-flags=syn connectionstate=new packet-size=40-100 \
action=mark-connection new-connection-mark=upstream_conn passthrough=yes
comment=Testing TCP Flags disabled=no
add chain=postrouting out-interface=pppoe-out1 protocol=tcp tcp-flags=rst connectionstate=new packet-size=40-100 \
action=mark-connection new-connection-mark=upstream_conn passthrough=yes comment="
disabled=no
add chain=postrouting out-interface=pppoe-out1 protocol=tcp tcp-flags=ack connectionstate=new packet-size=40-100 \
action=mark-connection new-connection-mark=upstream_conn passthrough=yes comment="
disabled=no
add chain=postrouting out-interface=pppoe-out1 protocol=tcp tcp-flags=fin connectionstate=new packet-size=40-100 \
action=mark-connection new-connection-mark=upstream_conn passthrough=yes comment="
disabled=no
add chain=postrouting out-interface=pppoe-out1 protocol=tcp tcp-flags=syn connectionstate=established packet-size=40-100 \
action=mark-connection new-connection-mark=upstream_conn passthrough=yes comment="
disabled=no
add chain=postrouting protocol=tcp connection-mark=upstream_conn action=mark-packet newpacket-mark=upstream_ack \
passthrough=no comment=" disabled=no
add chain=prerouting src-address=192.168.1.0/24 action=mark-packet new-packetmark=upstream_ack passthrough=no comment=Up \
Traffic disabled=no
add chain=forward src-address-list=user action=mark-connection new-connection-mark=userconn passthrough=yes comment=Mark \
user traffic disabled=no
add chain=output out-interface=Local dst-address-list=user action=mark-packet new-packetmark=user-conn-traffic \
passthrough=no comment=" disabled=no
add chain=forward src-address-list=kasir action=mark-connection new-connection-mark=kasirconn passthrough=yes \
comment=Mark kasir traffic disabled=no
add chain=forward in-interface=pppoe-out1 connection-mark=kasir-conn src-address-list=kasir
action=mark-packet \
new-packet-mark=kasir-conn-traffic passthrough=yes comment=" disabled=no
add chain=output out-interface=Local dst-address-list=kasir action=mark-packet new-packetmark=kasir-conn-traffic \
passthrough=no comment=" disabled=no
/ ip firewall nat
add chain=srcnat out-interface=pppoe-out1 action=masquerade comment=" disabled=no
/ ip hotspot profile
set default name=default hotspot-address=0.0.0.0 dns-name=" html-directory=hotspot ratelimit=" http-proxy=0.0.0.0:0 \
smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d split-user-domain=no
use-radius=no
/ ip hotspot user profile
set default name=default idle-timeout=none keepalive-timeout=2m status-autorefresh=1m
shared-users=1 \
transparent-proxy=yes open-status-page=always advertise=no
/ ip dhcp-server
add name=dhcp1 interface=Local lease-time=3d address-pool=dhcp_pool1 bootpsupport=static authoritative=after-2sec-delay \
disabled=no
/ ip dhcp-server config
set store-leases-disk=5m
/ ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 comment="
/ ip ipsec proposal
add name=default auth-algorithms=sha1 enc-algorithms=3des lifetime=30m lifebytes=0 pfsgroup=modp1024 disabled=no
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=3128 hostname=proxy.dream.net transparentproxy=yes parent-proxy=0.0.0.0:0 \
cache-administrator=Maintenance max-object-size=4096KiB cache-drive=system max-cachesize=unlimited \
max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment=block telnet & spam e-mail relaying disabled=no
add url=xxx action=deny comment=" disabled=no
add url=porn action=deny comment=" disabled=no
add url=koncek action=deny comment=" disabled=no
add url=sperms action=deny comment=" disabled=no
add url=redtube.com action=deny comment=" disabled=no
add url=memek action=deny comment=" disabled=no
add url=rape action=deny comment=" disabled=no
add url=susuaku action=deny comment=" disabled=no
add url=lalatx action=deny comment=" disabled=no
add url=17tahun action=deny comment=" disabled=no
add url=tube8 action=deny comment=" disabled=no
add url=duniasex.com action=deny comment=" disabled=no
add url=ninjaclock.com action=deny comment=" disabled=no
add url=adult action=deny comment=" disabled=no
add url=sex action=deny comment=" disabled=no
add url=Hacker action=allow comment=" disabled=no
add url=kontol action=deny comment=" disabled=no
add src-address=192.168.1.15/32 dst-port=80 url=http://www action=deny comment=Block
Browsing disabled=no
add src-address=192.168.1.4/32 dst-port=80 url=http://www action=deny comment="
disabled=no
add src-address=192.168.1.5/32 dst-port=80 url=http://www action=deny comment="
disabled=no
/ routing rip
set redistribute-static=no redistribute-connected=no redistribute-ospf=no redistribute-bgp=no
metric-static=1 \
metric-connected=1 metric-ospf=1 metric-bgp=1 update-timer=30s timeout-timer=3m garbagetimer=2m
[areksitiung@DREAMNET] >
=====================================================================
====
Firmware: Version : TMH141-A V1023-MB2.4-E
Release Date : Dec 28 2006
Printout Time : FRI JAN 02 12:35:04 1970
Time Zone : GM+06:00
Primary NTP IP: time.nist.gov
Secondary NTP : stdtime.gov.hk
=========================================================
LAN status: IP address : 192.168.1.254
MAC address : 00:D0:DA:00:3B:5F
Mask : 255.255.255.0
Dhcp status : Disable
Dhcp IP Start : 192.168.1.12 - 192.168.1.20
DNS IP address: 168.95.1.1
=========================================================
DHCP
reserved IP: MAC address IP address
=========================================================
WAN status: 1.IP address : 192.168.11.100
Netmask : 255.255.255.0
MAC address : 00.d0.da.00.3b.60
Connect To : InterNet
Current status: Enable
Healthy Check : NoDefault
Type : Static IP
Primary DNS : 203.130.193.74
Secondary DNS : 202.134.0.155
GatewayAddress: 192.168.11.254
Schedule : Disable
=========================================================
DoS Defense: Function Parameter Time of Lock Status
=========================================================
Multi-DMZ Host: No. DMZ_Host_IP_address IP_address_from_ISP Status
=========================================================
Load Balance: Weight Round Robin
Wan 1: 1
Wan 2: 1
Wan 3: 1
Wan 4: 1
=========================================================
Dynamic DNS: Status : Disable
=========================================================
Proxy Server: Status: Disable
=========================================================
Mail Alert : Status: Disable
=========================================================
URL Filtering : Status: Disable
=========================================================
Throughput
Control : Wan DownLoad(kbits/s) UpLoad(kbits/s) Port Usage% Status
1. 384 64
2. 384 64 80 60 Enable
25 1 Enable
21 30 Enable
3128 30 Enable
8080 30 Enable
3. 0 0
4. 0 0
=========================================================
WAN CONTROL:
=========================================================
QoS IP Control: Local_IP_address DownLoad(kbits) UpLoad(kbits) Wan-Apply Min/Max Status
=========================================================
Remote Control: Status: Disable
=========================================================
MAC IP binding: Status: Disable
=====================================================================
===
b. mikrotik configuration
# jan/26/2008 20:00:05 by RouterOS 2.9.27
# software id = IMAX-IAN
#
/ interface ethernet
set Public name=Public mtu=1500 mac-address=00:19:21:5E:E4:9D arp=enabled \
disable-running-check=yes auto-negotiation=yes full-duplex=yes \
cable-settings=default speed=100Mbps comment=" disabled=no
set Local name=Local mtu=1500 mac-address=00:1C:F0:5C:BA:5F arp=enabled \
disable-running-check=yes auto-negotiation=yes full-duplex=yes \
cable-settings=default speed=100Mbps comment=" disabled=no
/ ip pool
add name=dhcp_pool1 ranges=192.168.0.1-192.168.0.29
/ ip dns
set primary-dns=203.130.193.74 secondary-dns=202.134.0.155 \
allow-remote-requests=yes cache-size=2048KiB cache-max-ttl=1w
/ ip address
add address=192.168.0.30/27 network=192.168.0.0 broadcast=192.168.0.31 \
interface=Local comment=" disabled=no
add address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255 \
interface=Public comment=" disabled=no
/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.254 scope=255 target-scope=10 \
comment=" disabled=no
/ ip firewall mangle
add chain=prerouting src-address=192.168.0.0/27 protocol=icmp \
action=mark-connection new-connection-mark=ICMP-CM passthrough=yes \
comment=ToS disabled=no
add chain=prerouting connection-mark=ICMP-CM action=mark-packet \
new-packet-mark=ICMP-PM passthrough=yes comment=" disabled=no
add chain=prerouting packet-mark=ICMP-PM action=change-tos new-tos=min-delay \
comment=" disabled=no
add chain=prerouting src-address=192.168.0.0/27 protocol=tcp dst-port=53 \
action=mark-connection new-connection-mark=DNS-CM passthrough=yes \
comment=" disabled=no
add chain=prerouting src-address=192.168.0.0/27 protocol=udp dst-port=53 \
action=mark-connection new-connection-mark=DNS-CM passthrough=yes \
comment=" disabled=no
add chain=prerouting connection-mark=DNS-CM action=mark-packet \
new-packet-mark=DNS-PM passthrough=yes comment=" disabled=no
add chain=prerouting packet-mark=DNS-PM action=change-tos new-tos=min-delay \
comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=80 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=Services \
disabled=no
add chain=prerouting protocol=tcp dst-port=443 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=8080 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=3128 action=mark-connection \
new-connection-mark=http_conn passthrough=yes comment=" disabled=no
add chain=prerouting connection-mark=http_conn action=mark-packet \
new-packet-mark=http passthrough=no comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=5050-5061 action=mark-connection \
new-connection-mark=ym_conn passthrough=yes comment=" disabled=no
add chain=prerouting connection-mark=ym_conn action=mark-packet \
new-packet-mark=ym passthrough=no comment=" disabled=no
add chain=prerouting protocol=udp dst-port=27015 action=mark-connection \
new-connection-mark=cs_conn passthrough=yes comment=" disabled=no
add chain=prerouting connection-mark=cs_conn action=mark-packet \
new-packet-mark=cs passthrough=no comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=6667-7000 action=mark-connection \
new-connection-mark=irc_conn passthrough=yes comment=" disabled=no
add chain=prerouting connection-mark=irc_conn action=mark-packet \
new-packet-mark=irc passthrough=no comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=8291 action=mark-connection \
new-connection-mark=mt_conn passthrough=yes comment=" disabled=no
add chain=prerouting connection-mark=mt_conn action=mark-packet \
new-packet-mark=mt passthrough=no comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=110 action=mark-connection \
new-connection-mark=email_conn passthrough=yes comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=25 action=mark-connection \
new-connection-mark=email_conn passthrough=yes comment=" disabled=no
add chain=prerouting connection-mark=email_conn action=mark-packet \
new-packet-mark=email passthrough=no comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=22 action=mark-connection \
new-connection-mark=ssh_conn passthrough=yes comment=" disabled=no
add chain=prerouting connection-mark=ssh_conn action=mark-packet \
new-packet-mark=ssh passthrough=no comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=500-3127 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=3129-6665 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=" disabled=no
add chain=prerouting protocol=tcp dst-port=7001-65535 action=mark-connection \
new-connection-mark=games_conn passthrough=yes comment=" disabled=no
comment=" disabled=no
add chain=input connection-state=established action=accept comment=accept \
established connection packets disabled=no
add chain=input connection-state=related action=accept comment=accept related \
connection packets disabled=no
add chain=input connection-state=invalid action=drop comment=drop invalid \
packets disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=detect and \
drop port scan connections disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list \
action=tarpit comment=suppress DoS attack disabled=no
add chain=input protocol=tcp connection-limit=10,32 \
action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d comment=detect DoS attack disabled=no
add chain=input protocol=icmp action=jump jump-target=ICMP comment=jump to \
chain ICMP disabled=no
add chain=input action=jump jump-target=services comment=jump to chain \
services disabled=no
add chain=input dst-address-type=broadcast action=accept comment=Allow \
Broadcast Traffic disabled=no
add chain=input action=log log-prefix=Filter: comment=" disabled=no
add chain=input action=accept comment=Allow access to router from known \
network disabled=no
add chain=input src-address=192.168.0.0/27 action=accept comment=" \
disabled=no
add chain=input src-address=192.168.1.0/24 action=accept comment=" \
disabled=no
add chain=input src-address=63.219.6.0/24 action=accept comment=" disabled=no
add chain=input src-address=125.0.0.0/8 action=accept comment=" disabled=no
add chain=input action=drop comment=drop everything else disabled=no
add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept \
comment=0:0 and limit for 5pac/s disabled=no
add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept \
comment=3:3 and limit for 5pac/s disabled=no
add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept \
comment=3:4 and limit for 5pac/s disabled=no
add chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept \
comment=8:0 and limit for 5pac/s disabled=no
add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept \
comment=11:0 and limit for 5pac/s disabled=no
add chain=ICMP protocol=icmp action=drop comment=Drop everything else \
disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list \
address-list=port scanners address-list-timeout=2w comment=Port \
scanners to list disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg \
action=add-src-to-address-list address-list=port scanners \
address-list-timeout=2w comment=NMAP FIN Stealth scan disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list \
address-list=port scanners address-list-timeout=2w comment=SYN/FIN \
scan disabled=no
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment=Drop Beagle \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=Drop \
Beagle.C-K disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment=Drop MyDoom \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment=Drop Backdoor \
OptixPro disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment=Worm \
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment=Worm \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment=Drop Sasser \
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment=Drop Beagle.B \
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment=Drop \
Dabber.A-B disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment=Drop \
Dumaru.Y disabled=no
add chain=virus protocol=tcp dst-port=10080 action=drop comment=Drop \
MyDoom.B disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment=Drop NetBus \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment=Drop Kuang2 \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment=Drop \
SubSeven disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment=Drop PhatBot, \
Agobot, Gaobot disabled=no
add chain=forward action=jump jump-target=virus comment=jump to the virus \
chain disabled=no
add chain=input connection-state=invalid action=drop comment=Drop Invalid \
connections disabled=no
add chain=input connection-state=established action=accept comment=Allow \
Established connections disabled=no
add chain=input protocol=udp action=accept comment=Allow UDP disabled=no
add chain=input protocol=icmp action=accept comment=Allow ICMP disabled=no
add chain=input action=drop comment=Drop anything else disabled=no
add chain=forward protocol=tcp connection-state=invalid action=drop \
comment=drop invalid connections disabled=no
add chain=forward connection-state=established action=accept comment=allow \
already established connections disabled=no
add chain=forward connection-state=related action=accept comment=allow \
related connections disabled=no
add chain=forward src-address=0.0.0.0/8 action=drop comment=" disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment=" disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment=" disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment=" disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment=" disabled=no
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=8080 \
hostname=proxy.smart.war.net.id transparent-proxy=yes \
parent-proxy=0.0.0.0:0 cache-administrator=webmaster@smart.war.net.id \
max-object-size=4096KiB cache-drive=system max-cache-size=unlimited \
max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment=block telnet & spam e-mail relaying \
disabled=no
add url=suck*** action=deny comment=" disabled=yes
add url=nude**** action=deny comment=" disabled=yes
add url=bugil**** action=deny comment=" disabled=yes
add url=gay*** action=deny comment=" disabled=yes
add url=penis action=deny comment=" disabled=yes
add url=vagina action=deny comment=" disabled=yes
add url=vagina action=deny comment=" disabled=yes
/ ip web-proxy cache
add url=:cgi-bin \\? action=deny comment=dont cache dynamic http pages \
disabled=no
add url=\\.exe\$ action=allow comment=" disabled=no
add url=\\.zip\$ action=allow comment=" disabled=no
add url=\\.mpeg\$ action=allow comment=" disabled=no
add url=\\.mp3\$ action=allow comment=" disabled=no
add url=\\.avi\$ action=allow comment=" disabled=no
add url=\\.pdf\$ action=allow comment=" disabled=no
add url=\\.rar\$ action=allow comment=" disabled=no
add url=\\.mov\$ action=allow comment=" disabled=no
add url=\\.mpg\$ action=allow comment=" disabled=no
add url=\\.dat\$ action=allow comment=" disabled=no
add url=\\.3gp\$ action=allow comment=" disabled=no
add url=\\.jpg\$ action=allow comment=" disabled=no
add url=\\.gif\$ action=allow comment=" disabled=no
add action=allow comment=" disabled=no
add url=http*youtube*get_video* action=allow comment=YouTube disabled=no
add url=http*friendster.com action=allow comment=Friendster disabled=no
add url=http*pu.go.id action=allow comment=PU disabled=no
add url=http*detik*com action=allow comment=Detik disabled=no
add url=http*domai.com action=allow comment=Domai disabled=no
add url=http*nigmae.net action=allow comment=Nigmae disabled=no
add url=http*kompas.com action=allow comment=Kompas disabled=no
add url=http*lalatx.com action=allow comment=Lalatx disabled=no
add url=http*yahoo.com action=allow comment=Yahoo disabled=no
add url=http*kapanlagi.com action=allow comment=Kapanlagi disabled=no
add url=http*plasa.com action=allow comment=Plasa disabled=no
add url=http*kaskus.us action=allow comment=Kaskus disabled=no
add url=http*avaxhome*org action=allow comment=Avaxhome disabled=no
add url=www.worth1000.com action=allow comment=Worth1000 disabled=no
add url=http*rf-online*.web.id action=allow comment=Eramuslim disabled=no
add url=http*** action=allow comment=semua http disabled=no
add url=http*hi5.com action=allow comment=PU disabled=no
add action=allow comment=Allow sado alahe disabled=no
total-queue=default disabled=no
add name=04 target-addresses=192.168.0.4/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=05 target-addresses=192.168.0.5/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=06 target-addresses=192.168.0.6/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=07 target-addresses=192.168.0.7/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=08 target-addresses=192.168.0.8/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=09 target-addresses=192.168.0.9/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=10 target-addresses=192.168.0.10/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=11 target-addresses=192.168.0.11/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=12 target-addresses=192.168.0.12/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=13 target-addresses=192.168.0.13/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=14 target-addresses=192.168.0.14/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=15 target-addresses=192.168.0.15/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
queue=default/default limit-at=0/8000 max-limit=16000/48000 \
total-queue=default disabled=no
add name=16 target-addresses=192.168.0.16/32 dst-address=0.0.0.0/0 \
interface=Local parent=Smart.Net direction=both priority=1 \
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment=Drop Beagle \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=Drop \
Beagle.C-K disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment=Drop MyDoom \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment=Drop Backdoor \
OptixPro disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment=Worm \
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment=Worm \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment=Drop Sasser \
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment=Drop Beagle.B \
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment=Drop \
Dabber.A-B disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment=Drop \
Dumaru.Y disabled=no
add chain=virus protocol=tcp dst-port=10080 action=drop comment=Drop \
MyDoom.B disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment=Drop NetBus \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment=Drop Kuang2 \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment=Drop \
SubSeven disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment=Drop PhatBot, \
Agobot, Gaobot disabled=no
add chain=forward action=jump jump-target=virus comment=jump to the virus \
chain disabled=no
add chain=input connection-state=invalid action=drop comment=Drop Invalid \
connections disabled=no
add chain=input connection-state=established action=accept comment=Allow \
Established connections disabled=no
add chain=input protocol=udp action=accept comment=Allow UDP disabled=no
add chain=input protocol=icmp action=accept comment=Allow ICMP disabled=no
add chain=input action=drop comment=Drop anything else disabled=no
add chain=forward protocol=tcp connection-state=invalid action=drop \
comment=drop invalid connections disabled=no
add chain=forward connection-state=established action=accept comment=allow \
already established connections disabled=no
add chain=forward connection-state=related action=accept comment=allow \
related connections disabled=no
add chain=forward src-address=0.0.0.0/8 action=drop comment=" disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment=" disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment=" disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment=" disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment=" disabled=no
/ queue tree
add name=ICMP parent=global-in packet-mark=ICMP-PM limit-at=8000 \
queue=PFIFO-64 priority=1 max-limit=16000 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
add name=DNS parent=global-in packet-mark=DNS-PM limit-at=8000 \
queue=PFIFO-64 priority=1 max-limit=16000 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
add name=downstream parent=Local packet-mark=Turun limit-at=0 \
queue=pcq-download priority=1 max-limit=0 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
add name=upstream parent=global-in packet-mark=Naik limit-at=0 \
queue=pcq-upload priority=1 max-limit=0 burst-limit=0 burst-threshold=0 \
burst-time=0s disabled=no
k. queue simple
/ queue simple
add name=Fantasy.net dst-address=0.0.0.0/0 interface=Local parent=none \
priority=1 queue=default/default limit-at=0/786000 max-limit=0/786000 \
total-queue=default disabled=no
add name=01 target-addresses=192.168.0.1/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default time=0s-0s, p2p=fasttrack \
disabled=no
add name=02 target-addresses=192.168.0.2/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default disabled=no
add name=03 target-addresses=192.168.0.3/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default disabled=no
add name=04 target-addresses=192.168.0.4/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default time=0s-0s, disabled=no
add name=06 target-addresses=192.168.0.6/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default p2p=fasttrack disabled=no
add name=05 target-addresses=192.168.0.5/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/60000 total-queue=default disabled=no
add name=07 target-addresses=192.168.0.7/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
max-limit=8000/48000 total-queue=default disabled=no
add name=08 target-addresses=192.168.0.8/32 dst-address=0.0.0.0/0 \
interface=Local parent=Fantasy.net priority=8 \
queue=ethernet-default/ethernet-default limit-at=0/16000 \
202.134.2.5;
};
};
d. resolve.conf
[root@proxies squid]# cat /etc/resolv.conf
nameserver 192.168.1.1
nameserver 203.130.193.74
nameserver 202.134.0.155
nameserver 202.134.2.5
e. Squid.conf
http_port 8080
#icp_port 3130
icp_query_timeout 0
maximum_icp_query_timeout 5000
mcast_icp_query_timeout 2000
dead_peer_timeout 10 seconds
hierarchy_stoplist cgi-bin ? localhost
acl QUERY urlpath_regex cgi-bin \? localhost
### Opsi Cache
cache_mem 6 MB
cache_swap_low 98
cache_swap_high 99
maximum_object_size 128 MB
minimum_object_size 0 KB
maximum_object_size_in_memory 32 KB
ipcache_size 10240
ipcache_low 98
ipcache_high 99
fqdncache_size 256
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
### Opsi Tuning Squid
refresh_pattern -i \.(swfpngjpgjpegbmptiffpnggif) 43200 90% 129600 reload-into-ims overridelastmod
refresh_pattern -i \.(movmpgmpegflvavimp33gpsiswma) 43200 90% 129600 reload-into-ims
override-lastmod
refresh_pattern -i \.(zipraracebzbz2targzexe) 43200 90% 129600 reload-into-ims overridelastmod
refresh_pattern -i (.*html$.*htm.*shtml.*aspx.*asp) 43200 90% 1440 reload-into-ims overridelastmod
refresh_pattern -i \.(classcssjsgifjpg)$ 10080 100% 43200 override-expire
refresh_pattern -i \.(jpejpegpngbmptif)$ 10080 100% 43200 override-expire
refresh_pattern -i \.(tiffmovaviqtmpeg)$ 10080 100% 43200 override-expire
negative_dns_ttl 5 minutes
range_offset_limit 0 KB
### Opsi Timeout
connect_timeout 1 minute
peer_connect_timeout 5 seconds
read_timeout 30 minute
request_timeout 1 minute
#client_lifetime 10 hour
half_closed_clients off
pconn_timeout 15 second
shutdown_lifetime 15 second
### Opsi ACL
acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl client src 192.168.1.0/29
acl tidakbebasdownload time 08:00-22:00
acl porn url_regex -i /usr/local/squid/etc/bokep.txt time 08:00-22:00
acl noporn url_regex -i /usr/local/squid/etc/nobokep.txt time 08:00-22:00
acl file_terlarang url_regex -i hot_indonesia.exe
acl file_terlarang url_regex -i hotsurprise_id.exe
acl file_terlarang url_regex -i best-mp3-download.exe
acl file_terlarang url_regex -i R32.exe
acl file_terlarang url_regex -i rb32.exe
acl file_terlarang url_regex -i mp3.exe
acl file_terlarang url_regex -i HOTSEX.exe
acl file_terlarang url_regex -i Browser_Plugin.exe
acl file_terlarang url_regex -i DDialer.exe
acl file_terlarang url_regex -i od-teen
acl file_terlarang url_regex -i URLDownload.exe
acl file_terlarang url_regex -i od-stnd67.exe
acl file_terlarang url_regex -i Download_Plugin.exe
acl file_terlarang url_regex -i od-teen52.exe
acl file_terlarang url_regex -i malaysex
acl file_terlarang url_regex -i edita.html
acl file_terlarang url_regex -i info.exe
acl file_terlarang url_regex -i run.exe
acl file_terlarang url_regex -i Lovers2Go
acl file_terlarang url_regex -i GlobalDialer
acl file_terlarang url_regex -i WebDialer
acl file_terlarang url_regex -i britneynude
acl file_terlarang url_regex -i download.exe
acl file_terlarang url_regex -i backup.exe
acl file_terlarang url_regex -i GnoOS2003
acl file_terlarang url_regex -i wintrim.exe
acl file_terlarang url_regex -i MPREXE.EXE
acl file_terlarang url_regex -i exengd.EXE
acl file_terlarang url_regex -i xxxvideo.exe
acl file_terlarang url_regex -i Save.exe
acl file_terlarang url_regex -i ATLBROWSER.DLL
nonhierarchical_direct on
prefer_direct off
### Pendukung Transparan Proxy
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
### Membatasi Besar File untuk download
reply_body_max_size 3512000 allow client block tidakbebasdownload
### SNMP
#snmp_port 3401
#acl snmppublic snmp_community public
#snmp_access allow all
header_access User-Agent deny all
header_replace User-Agent Mozilla/5.0 (compatible; MSIE 6.0)
header_access Accept deny all
header_replace Accept */*
header_access Accept-Language deny all
header_replace Accept-Language id, en
f. firewall tambahan di proxy
#05-12-05
/sbin/iptables -I INPUT -p tcp -s 0/0 -d 0/0 destination-port 12 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 0/0 -d 0/0 destination-port 12 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 12 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 12 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 0/0 -d 0/0 destination-port 16 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 0/0 -d 0/0 destination-port 16 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 16 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 16 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 0/0 -d 0/0 destination-port 17 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 0/0 -d 0/0 destination-port 17 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 17 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 17 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 0/0 -d 0/0 destination-port 12:20 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 0/0 -d 0/0 destination-port 12:20 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 12:20 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 12:20 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 0/0 -d 0/0 destination-port 110 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 0/0 -d 0/0 destination-port 110 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 110 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 110 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 25 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/32 -d 0/0 destination-port 25 -j REJECT
/sbin/iptables -I INPUT -p tcp -s 0/0 -d 0/0 destination-port 25 -j DROP