1
mikrotik yang netmask=255.255.255.0 interface=ether2
dikonfigurasikan untuk jaringan sederhana sebagai 7. Melihat konfigurasi IP address yang sudah kita
gateway server. berikan
[admin@Andre-Network] >ip address print
1. Langkah pertama adalah install Mikrotik Flags: X – disabled, I – invalid, D – dynamic
RouterOS pada PC atau pasang DOM. # ADDRESS NETWORK BROADCAST
INTERFACE
2. Login Pada Mikrotik Routers melalui console : 0 192.168.0.1/24 192.168.0.0 192.168.0.63 ether1
MikroTik v2.9.7 1 172.16.0.1/24 172.16.0.0 172.16.0.255 ether2
Login: admin <enter> [admin@Andre-Network] >
Password: (kosongkan) <enter>
8. Memberikan default Gateway, diasumsikan
Sampai langkah ini kita sudah bisa masuk pada gateway untuk koneksi internet adalah
mesin Mikrotik. User default adalah 192.168.0.254
admin [admin@Andre-Network] > /ip route add
dan tanpa password, tinggal ketik admin kemudian gateway=192.168.0.254
tekan tombol enter.
9. Melihat Tabel routing pada Mikrotik Routers
3. Untuk keamanan ganti password default [admin@Andre-Network] > ip route print
[admin@Mikrotik] > password Flags: X – disabled, A – active, D – dynamic,
old password:***** C – connect, S – static, r – rip, b – bgp, o – ospf
new password:***** # DST-ADDRESS PREFSRC G GATEWAY
retype new password:***** DISTANCE INTERFACE
[admin@ Mikrotik]] > 0 ADC 172.16.0.0/24 172.16.0.1 ether2
1 ADC 192.168.0.0/26 192.168.0.1 ether1
4. Mengganti nama Mikrotik Router, pada langkah 2 A S 0.0.0.0/0 r 192.168.0.254 ether1
ini nama server akan diganti menjadi [admin@Andre-Network] >
“Andre-Network” (nama ini sih bebas2 aja mo
diganti) 10. Tes Ping ke Gateway untuk memastikan
[admin@Mikrotik] > system identity set konfigurasi sudah benar
name=Andre-Network [admin@Andre-Network] > ping 192.168.0.254
[admin@Andre-Network] > 192.168.0.254 64 byte ping: ttl=64 time<1 ms
192.168.0.254 64 byte ping: ttl=64 time<1 ms
5. Melihat interface pada Mikrotik Router 2 packets transmitted, 2 packets received, 0% packet
[admin@Andre-Network] > interface print loss
Flags: X – disabled, D – dynamic, R – running round-trip min/avg/max = 0/0.0/0 ms
# NAME TYPE RX-RATE TX-RATE MTU [admin@Andre-Network] >
0 R ether1 ether 0 0 1500
11. Setup DNS pada Mikrotik Routers
1 R ether2 ether 0 0 1500 [admin@Andre-Network] > ip dns set primary-
dns=192.168.0.10 allow-
[admin@Andre-Network] > remoterequests=no
[admin@Andre-Network] > ip dns set secondary-
6. Memberikan IP address pada interface Mikrotik. dns=192.168.0.11 allow-
Misalkan ether1 akan kita gunakan untuk koneksi ke remoterequests=no
Internet dengan IP 192.168.0.1 dan ether2 akan kita
gunakan untuk network local kita dengan IP 12. Melihat konfigurasi DNS
172.16.0.1
[admin@Andre-Network] > ip dns print
[admin@Andre-Network] > ip address add
address=192.168.0.1 primary-dns: 192.168.0.10
netmask=255.255.255.0 interface=ether1 secondary-dns: 192.168.0.11
[admin@Andre-Network] > ip address add allow-remote-requests: no
cache-size: 2048KiB
cache-max-ttl: 1w 2. Tambahkan DHCP Network dan gatewaynya
cache-used: 16KiB yang akan didistribusikan ke client Pada
[admin@Andre-Network] > contoh ini networknya adalah 172.16.0.0/24 dan
gatewaynya 172.16.0.1
13. Tes untuk akses domain, misalnya dengan ping /ip dhcp-server network add address=172.16.0.0/24
nama domain gateway=172.16.0.1
[admin@Andre-Network] > ping yahoo.com
216.109.112.135 64 byte ping: ttl=48 time=250 ms 3. Tambahkan DHCP Server ( pada contoh ini dhcp
10 packets transmitted, 10 packets received, 0% diterapkan pada interface ether2 )
packet loss
round-trip min/avg/max = 571/571.0/571 ms /ip dhcp-server add interface=ether2 address-
[admin@Andre-Network] > pool=dhcp-poo
Jika sudah berhasil reply berarti seting DNS sudah 4. Lihat status DHCP server
benar. [admin@Andre-Network]> ip dhcp-server print
Flags: X – disabled, I – invalid
14. Setup Masquerading, Jika Mikrotik akan kita
pergunakan sebagai gateway server # NAME INTERFACE RELAY ADDRESS-POOL
maka agar client computer pada network dapat LEASE-TIME ADD-ARP
terkoneksi ke internet perlu kita
masquerading. 0 X dhcp1 ether2
[admin@Andre-Network]> ip firewall nat add Tanda X menyatakan bahwa DHCP server belum
action=masquerade outinterface= enable maka perlu dienablekan
ether1 chain:srcnat terlebih dahulu pada langkah 5.
[admin@Andre-Network] >
5. Jangan Lupa dibuat enable dulu dhcp servernya
15. Melihat konfigurasi Masquerading
[admin@Andre-Network]ip firewall nat print /ip dhcp-server enable 0
Flags: X – disabled, I – invalid, D – dynamic
0 chain=srcnat out-interface=ether1 kemudian cek kembali dhcp-server seperti langkah
action=masquerade 4, jika tanda X sudah tidak ada
[admin@Andre-Network] >
berarti sudah aktif.
Setelah langkah ini bisa dilakukan pemeriksaan
untuk koneksi dari jaringan local. Dan 6. Tes Dari client
jika berhasil berarti kita sudah berhasil melakukan
instalasi Mikrotik Router sebagai c:\>pingww w. yahoo.com
Gateway server. Setelah terkoneksi dengan jaringan
Mikrotik dapat dimanage untuk bandwith controller, bisa dengan sistem
menggunakan WinBox simple queue ataupun bisa dengan
yang bisa di download dari Mikrotik.com atau dari mangle
server mikrotik kita. [admin@Andre-Network] queue simple> add
name=Komputer01
Misal Ip address server interface=ether2 target-address=172.16.0.1/24 max-
mikrotik kita 192.168.0.1, via browser limit=65536/131072
bukahttp://192.168.0.1 dan download WinBox [admin@Andre-Network] queue simple> add
dari situ. name=Komputer02
Jika kita menginginkan client mendapatkan IP interface=ether2 target-address=172.16.0.2/24 max-
address secara otomatis maka perlu kita limit=65536/131072
setup dhcp server pada Mikrotik. Berikut langkah- dan seterusnya…
langkahnya :
lengkap nya ada disini
1.Buat IP address pool
http://www.mikrotik.com/docs/ros/2.9/root/queue
/ip pool add name=dhcp-pool ranges=172.16.0.10- http://linux-ip.net/articles/Traffic…/overview.html
172.16.0.20
http://luxik.cdi.cz/~devik/qos/htb/ comment=”” \
http://www.docum.org/docum.org/docs/ disabled=no
ip firewall filter add chain=input protocol=tcp dst- ip firewall filter add chain=input src-address=Subnet
port=1337 action= add-src-to- WAN action=accept
address-list address-list=DDOS address-list- comment=”List Ip yang boleh akses ke router”
timeout=15s comment=”” ip firewall filter add chain=input src-address=Subnet
disabled=no Lan action=accept
ip firewall filter add chain=input protocol=tcp dst- ip firewall filter add chain=input src-address=Subnet
port=7331 src-address- DMZ action=accept
list=knock action= add-src-to-address-list address- ip firewall filter add chain=input action=drop
list=DDOS address-list- comment=”Blok Semua yang aneh2″
timeout=15m comment=”” disabled=no disabled=no
ip firewall filter add chain=input connection- ip firewall filter add chain=ICMP protocol=icmp
state=established action=accept icmp-options=0:0-255 limit=5,5
comment=”accept established connection packets” action=accept comment=”0:0 dan limit utk 5pac/s”
disabled=no disabled=no
ip firewall filter add chain=input connection- ip firewall filter add chain=ICMP protocol=icmp
state=related action=accept icmp-options=3:3 limit=5,5
comment=”accept related connection packets” action=accept comment=”3:3 dan limit utk 5pac/s”
disabled=no disabled=no
ip firewall filter add chain=input connection- ip firewall filter add chain=ICMP protocol=icmp
state=invalid action=drop icmp-options=3:4 limit=5,5
comment=”drop Paket Invalid” disabled=no action=accept comment=”3:4 dan limit for 5pac/s”
disabled=no
ip firewall filter add chain=input protocol=tcp ip firewall filter add chain=ICMP protocol=icmp
psd=21,3s,3,1 action=drop icmp-options=8:0-255 limit=5,5
comment=”Mendetek serangan Port Scaner” action=accept comment=”8:0 and limit utk 5pac/s”
disabled=no disabled=no
ip firewall filter add chain=input protocol=tcp ip firewall filter add chain=ICMP protocol=icmp
connection-limit=3,32 src-address- icmp-options=11:0-255 limit=5,5
list=black_list action=tarpit comment=”Bikin action=accept comment=”11:0 and limit utk 5pac/s”
kejutan ke ip penyerang” disabled=no
disabled=no ip firewall filter add chain=ICMP protocol=icmp
ip firewall filter add chain=input protocol=tcp action=drop comment=”Blok
connection-limit=10,32 action=add- semua yang aneh2″ disabled=no
src-to-address-list address-list=black_list address-
list-timeout=1d ip firewall filter add chain=forward protocol=icmp
comment=”Masukin ke karung Ip penyerang” comment=”Perbolehkan ping”
disabled=no ip firewall filter add chain=forward protocol=udp
comment=”Perbolehkan ke udp”
ip firewall filter add chain=input protocol=icmp ip firewall filter add chain=forward src-
action=jump jump-target=ICMP address=Subnet WAN action=accept
comment=”jump chain ICMP” disabled=no comment=”Akses hanya dari ip terdaftar”
ip firewall filter add chain=forward src- Simpanlah file tersebut ke komputer anda dengan
address=Subnet LAN action=accept nama nice.rsc, lalu lakukan FTP ke router Mikrotik,
ip firewall filter add chain=forward src- dan uploadlah file tersebut di router. Contoh di
address=Subnet DMZ action=accept bawah ini adalah proses upload MS DOS-Promt.
ip firewall filter add chain=forward action=drop
comment=”blok semua yang C:\>dir nice.*ftp
aneh2″ 192.168.0.1admin********asciiput nice.rscbye
Mulai Mikrotik RouterOs versi 2.9, dikenal dengan Volume Serial Number is 5418-6EEF
vitur yang disebut IP address list.
Directory of C:\
Fitur ini adalah pengelompokan IP address tertentu
dan setiap IP address tersebut bisa 04/26/2007 06:42p
# Script created by: Valens Riyadi @ Berikut adalah perintah untuk melakukan
http://www.mikrotik.co.id konfigurasi mangle yang bisa dilakukan lewat
# Generated at 26 April 2007 05:30:02 WIB … 431 tampilan text pada MikrotikOs atau terminal pada
lines Winbox.
Memanipulasi ToS ICMP & DNS di MikroTik Queue dengan SRC-NAT dan WEB-PROXY
Berikut ini adalah langkah terpenting dalam proses 3 ;;; DOWN-VIA PROXY
ini, yaitu pembuatan MANGLE. Kita
akan membutuhkan 2 buah PACKET-MARK. Satu chain=output out-interface=lan
untuk paket data upstream, yang
pada contoh ini kita sebut test-up. Dan satu lagi dst-address=172.21.1.0/24 action=mark-packet
untuk paket data downstream, yang
pada contoh ini kita sebut test-down. new-packet-mark=test-down passthrough=no
Untuk paket data upstream, proses pembuatan Untuk tahap terakhir, tinggal mengkonfigurasi
manglenya cukup sederhana. Kita bisa langsung queue. Di sini kita menggunakan queue
melakukannya dengan 1 buah rule, cukup dengan tree. Satu buah rule untuk data dowstream, dan satu
menggunakan parameter SRC-ADDRESS dan IN- lagi untuk upstream. Yang penting
INTERFACE. Di sini kita menggunakan chain di sini, adalah pemilihan parent. Untuk downstream,
kita menggunakan parent lan, / ip firewall mangle
sesuai dengan interface yang mengarah ke jaringan add chain=prerouting dst-address=202.168.47.17
lokal, dan untuk upstream, kita protocol=udp dst-port=5060-5080 \
menggunakan parent global-in. action=mark-connection new-connection-
[admin@instaler] > queue tree pr mark=voip-con passthrough=yes \
Flags: X – disabled, I – invalid comment=”” disabled=no
0 name=”downstream” parent=lan packet- add chain=prerouting dst-address=202.168.47.17
mark=test-down protocol=udp \
limit-at=32000 queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s
1 name=”upstream” parent=global-in
packet-mark=test-up limit-at=32000
dst-port=19000-20000 action=mark-connection
queue=default priority=8
new-connection-mark=voip-con \
max-limit=32000 burst-limit=0
passthrough=yes comment=”” disabled=no
burst-threshold=0 burst-time=0s
add chain=prerouting connection-mark=voip-con
action=mark-packet \
Variasi lainnya, untuk bandwidth management,
new-packet-mark=voip passthrough=no
dimungkinkan juga kita menggunakan
comment=”” disabled=no
add chain=prerouting protocol=tcp dst-port=22-23
tipe queue PCQ, yang bisa secara otomatis membagi action=mark-connection \
trafik per client. new-connection-mark=sshtelnet-con
passthrough=yes comment=”” disabled=no
Blocking Virus di Firewall Mikrotik add chain=prerouting connection-mark=sshtelnet-
con action=mark-packet \
1;;; BLOCK SPAMMERS OR INFECTED USERS new-packet-mark=sshtelnet passthrough=no
comment=”” disabled=no
/ ip firewall filter add chain=prerouting p2p=all-p2p action=mark-
connection \
chain=forward protocol=tcp dst-port=25 src- new-connection-mark=p2p-con passthrough=yes
address-list=spammer comment=”” disabled=no
add chain=prerouting connection-mark=p2p-con
action=drop action=mark-packet \
new-packet-mark=p2p passthrough=no
2;;; Detect and add-list SMTP virus or spammers comment=”” disabled=no
chain=forward protocol=tcp dst-port=25 add chain=prerouting action=mark-connection new-
connection-limit=30,32 limit=50,5 src-address- connection-mark=everything-con \
list=!spammer action=add-src-to-address-list passthrough=yes comment=”” disabled=no
address-list=spammer address-list-timeout=1d add chain=prerouting connection-mark=everything-
con action=mark-packet \
/ip firewall nat chain=srcnat out-interface=”your new-packet-mark=everything passthrough=yes
interface which provides internet” src- comment=”” disabled=no
address=”network 1? action=masquerade Drop virus conficker pake firewall mikrotik
you need to add chains for each subnet you have ,for buat mangle yang menuju ke situs2 yg dituju
the head office subnet you need conficker..
to add this in interface adalah yang menghadap ke jaringan kita
/ip firewall nat chain=srcnat out-interface=”your admin@mikrotik> ip firewall mangle add
interface which provides internet” chain=prerouting in-interface=ether-download dst-
address-list=jaringan-kita content=loadadv.-exe
action=masquerade
action=add-dst-to-address-list address- /sbin/iptables -A OUTGOING -d 74.55.217.80 -j
list=worm-dst time=02-00,00 DROP