Anda di halaman 1dari 13

Langkah-langkah berikut adalah dasar-dasar setup address=172.16.0.

1
mikrotik yang netmask=255.255.255.0 interface=ether2

dikonfigurasikan untuk jaringan sederhana sebagai 7. Melihat konfigurasi IP address yang sudah kita
gateway server. berikan
[admin@Andre-Network] >ip address print
1. Langkah pertama adalah install Mikrotik Flags: X – disabled, I – invalid, D – dynamic
RouterOS pada PC atau pasang DOM. # ADDRESS NETWORK BROADCAST
INTERFACE
2. Login Pada Mikrotik Routers melalui console : 0 192.168.0.1/24 192.168.0.0 192.168.0.63 ether1
MikroTik v2.9.7 1 172.16.0.1/24 172.16.0.0 172.16.0.255 ether2
Login: admin <enter> [admin@Andre-Network] >
Password: (kosongkan) <enter>
8. Memberikan default Gateway, diasumsikan
Sampai langkah ini kita sudah bisa masuk pada gateway untuk koneksi internet adalah
mesin Mikrotik. User default adalah 192.168.0.254
admin [admin@Andre-Network] > /ip route add
dan tanpa password, tinggal ketik admin kemudian gateway=192.168.0.254
tekan tombol enter.
9. Melihat Tabel routing pada Mikrotik Routers
3. Untuk keamanan ganti password default [admin@Andre-Network] > ip route print
[admin@Mikrotik] > password Flags: X – disabled, A – active, D – dynamic,
old password:***** C – connect, S – static, r – rip, b – bgp, o – ospf
new password:***** # DST-ADDRESS PREFSRC G GATEWAY
retype new password:***** DISTANCE INTERFACE
[admin@ Mikrotik]] > 0 ADC 172.16.0.0/24 172.16.0.1 ether2
1 ADC 192.168.0.0/26 192.168.0.1 ether1
4. Mengganti nama Mikrotik Router, pada langkah 2 A S 0.0.0.0/0 r 192.168.0.254 ether1
ini nama server akan diganti menjadi [admin@Andre-Network] >
“Andre-Network” (nama ini sih bebas2 aja mo
diganti) 10. Tes Ping ke Gateway untuk memastikan
[admin@Mikrotik] > system identity set konfigurasi sudah benar
name=Andre-Network [admin@Andre-Network] > ping 192.168.0.254
[admin@Andre-Network] > 192.168.0.254 64 byte ping: ttl=64 time<1 ms
192.168.0.254 64 byte ping: ttl=64 time<1 ms
5. Melihat interface pada Mikrotik Router 2 packets transmitted, 2 packets received, 0% packet
[admin@Andre-Network] > interface print loss
Flags: X – disabled, D – dynamic, R – running round-trip min/avg/max = 0/0.0/0 ms
# NAME TYPE RX-RATE TX-RATE MTU [admin@Andre-Network] >
0 R ether1 ether 0 0 1500
11. Setup DNS pada Mikrotik Routers
1 R ether2 ether 0 0 1500 [admin@Andre-Network] > ip dns set primary-
dns=192.168.0.10 allow-
[admin@Andre-Network] > remoterequests=no
[admin@Andre-Network] > ip dns set secondary-
6. Memberikan IP address pada interface Mikrotik. dns=192.168.0.11 allow-
Misalkan ether1 akan kita gunakan untuk koneksi ke remoterequests=no
Internet dengan IP 192.168.0.1 dan ether2 akan kita
gunakan untuk network local kita dengan IP 12. Melihat konfigurasi DNS
172.16.0.1
[admin@Andre-Network] > ip dns print
[admin@Andre-Network] > ip address add
address=192.168.0.1 primary-dns: 192.168.0.10
netmask=255.255.255.0 interface=ether1 secondary-dns: 192.168.0.11
[admin@Andre-Network] > ip address add allow-remote-requests: no
cache-size: 2048KiB
cache-max-ttl: 1w 2. Tambahkan DHCP Network dan gatewaynya
cache-used: 16KiB yang akan didistribusikan ke client Pada
[admin@Andre-Network] > contoh ini networknya adalah 172.16.0.0/24 dan
gatewaynya 172.16.0.1
13. Tes untuk akses domain, misalnya dengan ping /ip dhcp-server network add address=172.16.0.0/24
nama domain gateway=172.16.0.1
[admin@Andre-Network] > ping yahoo.com
216.109.112.135 64 byte ping: ttl=48 time=250 ms 3. Tambahkan DHCP Server ( pada contoh ini dhcp
10 packets transmitted, 10 packets received, 0% diterapkan pada interface ether2 )
packet loss
round-trip min/avg/max = 571/571.0/571 ms /ip dhcp-server add interface=ether2 address-
[admin@Andre-Network] > pool=dhcp-poo

Jika sudah berhasil reply berarti seting DNS sudah 4. Lihat status DHCP server
benar. [admin@Andre-Network]> ip dhcp-server print
Flags: X – disabled, I – invalid
14. Setup Masquerading, Jika Mikrotik akan kita
pergunakan sebagai gateway server # NAME INTERFACE RELAY ADDRESS-POOL
maka agar client computer pada network dapat LEASE-TIME ADD-ARP
terkoneksi ke internet perlu kita
masquerading. 0 X dhcp1 ether2
[admin@Andre-Network]> ip firewall nat add Tanda X menyatakan bahwa DHCP server belum
action=masquerade outinterface= enable maka perlu dienablekan
ether1 chain:srcnat terlebih dahulu pada langkah 5.
[admin@Andre-Network] >
5. Jangan Lupa dibuat enable dulu dhcp servernya
15. Melihat konfigurasi Masquerading
[admin@Andre-Network]ip firewall nat print /ip dhcp-server enable 0
Flags: X – disabled, I – invalid, D – dynamic
0 chain=srcnat out-interface=ether1 kemudian cek kembali dhcp-server seperti langkah
action=masquerade 4, jika tanda X sudah tidak ada
[admin@Andre-Network] >
berarti sudah aktif.
Setelah langkah ini bisa dilakukan pemeriksaan
untuk koneksi dari jaringan local. Dan 6. Tes Dari client
jika berhasil berarti kita sudah berhasil melakukan
instalasi Mikrotik Router sebagai c:\>pingww w. yahoo.com
Gateway server. Setelah terkoneksi dengan jaringan
Mikrotik dapat dimanage untuk bandwith controller, bisa dengan sistem
menggunakan WinBox simple queue ataupun bisa dengan
yang bisa di download dari Mikrotik.com atau dari mangle
server mikrotik kita. [admin@Andre-Network] queue simple> add
name=Komputer01
Misal Ip address server interface=ether2 target-address=172.16.0.1/24 max-
mikrotik kita 192.168.0.1, via browser limit=65536/131072
bukahttp://192.168.0.1 dan download WinBox [admin@Andre-Network] queue simple> add
dari situ. name=Komputer02
Jika kita menginginkan client mendapatkan IP interface=ether2 target-address=172.16.0.2/24 max-
address secara otomatis maka perlu kita limit=65536/131072
setup dhcp server pada Mikrotik. Berikut langkah- dan seterusnya…
langkahnya :
lengkap nya ada disini
1.Buat IP address pool
http://www.mikrotik.com/docs/ros/2.9/root/queue
/ip pool add name=dhcp-pool ranges=172.16.0.10- http://linux-ip.net/articles/Traffic…/overview.html
172.16.0.20
http://luxik.cdi.cz/~devik/qos/htb/ comment=”” \
http://www.docum.org/docum.org/docs/ disabled=no

2 ISP IN 1 ROUTER WITH LOADBALANCING Mangle


/ ip address
/ ip address add address=192.168.0.1/24 network=192.168.0.0
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255
broadcast=192.168.0.255 interface=Local comment=”” \
interface=Local comment=”” \ disabled=no
disabled=no add address=10.111.0.2/24 network=10.111.0.0
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255
broadcast=10.111.0.255 interface=wlan2 \
interface=wlan2 \ comment=”” disabled=no
comment=”” disabled=no add address=10.112.0.2/24 network=10.112.0.0
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255
broadcast=10.112.0.255 interface=wlan1 \
interface=wlan1 \ comment=”” disabled=no
comment=”” disabled=no
/ ip firewall mangle router punya 2 upstream (WAN) interfaces dengan
add chain=prerouting in-interface=Local ip address 10.111.0.2/24 and
connection-state=new nth=1,1,0 \ 10.112.0.2/24.
action=mark-connection new-connection-mark=odd dan interface LAN dengan nama interface “Local”
passthrough=yes comment=”” \ dan ip address 192.168.0.1/24.
disabled=no
add chain=prerouting in-interface=Local / ip firewall mangle
connection-mark=odd action=mark-routing \ add chain=prerouting in-interface=Local
new-routing-mark=odd passthrough=no connection-state=new nth=1,1,0 \
comment=”” disabled=no action=mark-connection new-connection-mark=odd
passthrough=yes comment=”” \
add chain=prerouting in-interface=Local disabled=no
connection-state=new nth=1,1,1 \ add chain=prerouting in-interface=Local
action=mark-connection new-connection- connection-mark=odd action=mark-routing \
mark=even passthrough=yes comment=”” \ new-routing-mark=odd passthrough=no
disabled=no comment=”” disabled=no
add chain=prerouting in-interface=Local add chain=prerouting in-interface=Local
connection-mark=even action=mark-routing \ connection-state=new nth=1,1,1 \
new-routing-mark=even passthrough=no action=mark-connection new-connection-
comment=”” disabled=no mark=even passthrough=yes comment=”” \
/ ip firewall nat disabled=no
add chain=srcnat connection-mark=odd action=src- add chain=prerouting in-interface=Local
nat to-addresses=10.111.0.2 \ connection-mark=even action=mark-routing \
to-ports=0-65535 comment=”” disabled=no new-routing-mark=even passthrough=no
add chain=srcnat connection-mark=even comment=”” disabled=no
action=src-nat to-addresses=10.112.0.2 \
to-ports=0-65535 comment=”” disabled=no / ip firewall nat
/ ip route add chain=srcnat connection-mark=odd action=src-
add dst-address=0.0.0.0/0 gateway=10.111.0.1 nat to-addresses=10.111.0.2 \
scope=255 target-scope=10 routing- to-ports=0-65535 comment=”” disabled=no
mark=odd \ add chain=srcnat connection-mark=even
comment=”” disabled=no action=src-nat to-addresses=10.112.0.2 \
add dst-address=0.0.0.0/0 gateway=10.112.0.1 to-ports=0-65535 comment=”” disabled=no
scope=255 target-scope=10 routing-
mark=even \ Routing
comment=”” disabled=no / ip route
add dst-address=0.0.0.0/0 gateway=10.112.0.1 add dst-address=0.0.0.0/0 gateway=10.111.0.1
scope=255 target-scope=10 scope=255 target-scope=10 routing-
mark=odd \ action=accept
comment=”” disabled=no ip firewall filter add chain=input in-
add dst-address=0.0.0.0/0 gateway=10.112.0.1 interface=intranet action=accept
scope=255 target-scope=10 routing- ip firewall filter add chain=input in-
mark=even \ interface=internet action=accept
comment=”” disabled=no
add dst-address=0.0.0.0/0 gateway=10.112.0.1 dhcp
scope=255 target-scope=10 server____________________________________
comment=”” \ __
disabled=no comment=”gateway for the router itself ip dhcp-server setup
dhcp server interface: intranet
1. instal pake cd mikrotik dhcp address space: 192.168.0.0/24
a. boot dg cd mikrotik gateway for dhcp network: 192.168.0.1
b. setelah bisa boot pake iso linux, pilih beberapa addresses to give out: 192.168.0.2-192.168.0.254
paket yang dibutuhkan. (kalo bingung dns servers:XXXXX (dari ISP),XXXXX (dari ISP)
lease time: 3d
centang aja semua)
c ikuti aja langkahnya tekan (Yes) (Yes) web proxy_________________________
setelah restart, login : admin pass : (kosong) ip web-proxy
trus copy paste aja tulisan berikut ; set enabled=yes
DASAR_______________ set src-address=0.0.0.0
set port=8080
system identity set name=warnet.beenet set hostname=”proxy-apaaja”
set transparent-proxy=yes
user set admin password=sukasukalu set parent-proxy=0.0.0.0:0
set cache-
ethernet____________________ administrator=”silahkan.pannggil.operator”
interface ethernet enable ether1 set max-object-size=4096KiB
interface ethernet enable ether2 set cache-drive=system
interface Ethernet set ether1 name=intranet set max-cache-size=unlimited
interface Ethernet set ether2 name=internet set max-ram-cache-size=unlimited

IP ADDRESS_______________ bikinredirect port ke transparant


proxy__________________________
ip address add interface=internet address=XXXXX /ip firewall nat add chain=dstnat protocol=tcp dst-
(dari ISP) port=80 action=redirect to-ports=8080
/ip firewall nat add chain=dstnat protocol=tcp dst-
ip address add interface=intranet port=3128 action=redirect to-
address=192.168.0.1/24 ports=8080
/ip firewall nat add chain=dstnat protocol=tcp dst-
route_______________ port=8080 action=redirect to-
ports=8080
ip route add gateway=XXXXX (dari ISP)
PCQ________________________
dns___________ /ip firewall mangle add chain=forward src-
address=192.168.169.0/28 action=mark-
ip dns set primary-dns=XXXXX (dari ISP) 2 connection new-connection-mark=client1-cm
secondary-dns=XXXXX (dari ISP) /ip firewall mangle add connection-mark=client1-
cm action=mark-packet new-packet-
nat & filter firewall standar_______________ mark=client1-pm chain=forward
ip firewall nat add action=masquerade chain=srcnat /queue type add name=downsteam-pcq kind=pcq
ip firewall filter add chain=input connection- pcq-classifier=dst-address
state=invalid action=drop /queue type add name=upstream-pcq kind=pcq pcq-
ip firewall filter add chain=input protocol=udp classifier=src-address
action=accept /queue tree add parent=intranet queue=downsteam-
ip firewall filter add chain=input protocol=icmp pcq packet-mark=client1-pm
/queue tree add parent=internet queue=upstream- connection-limit=10,32 disabled=no protocol=tcp
pcq packet-mark=client1-pm add action=log chain=input comment=”Log ddos”
connection-limit=3,32 disabled=\
simpel queue______________________________ no log-prefix=”FILTER, DDOS DROPPED:”
queue simple add name=kbu-01 target- protocol=tcp src-address-list=\
addresses=192.168.0.11 black_list
queue simple add name=kbu-02 target- add action=tarpit chain=input comment=”Tarpit
addresses=192.168.0.12 ddos” connection-limit=3,32 \
disabled=no protocol=tcp src-address-
queue simple add name=kbu-03 target- list=black_list
addresses=192.168.0.13 queue simple add
name=kbu-04 target-addresses=192.168.0.14 queue [toor@extreme] /ip firewall connection tracking>
simple add name=kbu-05 target- export
addresses=192.168.0.15 queue simple add # mar/13/2009 17:42:47 by RouterOS 3.20
name=kbu-06 target-addresses=192.168.0.16 queue # software id = 4H1M-LTT
simple add name=kbu-07 target- #/ip firewall connection tracking
addresses=192.168.0.17 queue simple add
name=kbu-08 target-addresses=192.168.0.18 queue set enabled=yes generic-timeout=10m icmp-
simple add name=kbu-09 target- timeout=10s tcp-close-timeout=10s \
addresses=192.168.0.19 queue simple add tcp-close-wait-timeout=10s tcp-established-
name=kbu-10 target-addresses=192.168.0.20 queue timeout=1d \
simple add name=xbilling target- tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \
addresses=192.168.0.2 tcp-syn-received-timeout=5s tcp-syn-sent-
timeout=5s tcp-syncookie=yes \
BLOX SPAM____________________________ tcp-time-wait-timeout=10s udp-stream-timeout=3m
udp-timeout=10s
/ip firewall filter add chain=forward dst-port=135- [toor@extreme] /ip firewall connection tracking>
139 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=135- chain=forward protocol=tcp
139 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=445 tcp-flags=syn,!fin,!rst,!psh,!ack,!urg,!ece,!cwr
protocol=tcp action=drop connection-limit=20,32
/ip firewall filter add chain=forward dst-port=445
protocol=udp action=drop limit=25,10 src-address-list=!Safe-List action=add-
/ip firewall filter add chain=forward dst-port=593 src-to-address-list
protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=4444 address-list=tcp-syn-violators address-list-
protocol=tcp action=drop timeout=3h
/ip firewall filter add chain=forward dst-port=5554
protocol=tcp action=drop Anti DDoS di Mikrotik
/ip firewall filter add chain=forward dst-port=9996
protocol=tcp action=drop •
/ip firewall filter add chain=forward dst-port=995-
999 protocol=udp action=drop Memang mencegah adalah lebih baik dari pada tidak
/ip firewall filter add chain=forward dst-port=53 sama sekali. begitu juga
protocol=tcp action=drop dengan dijaringan asal-asalan di tempat saya
/ip firewall filter add chain=forward dst-port=55 mencari makan , dengan bandwith
protocol=tcp action=drop yang sangat terbatas adalah sasaran empuk bagi para
penjahat dan orang yang
the best anti-ddos rule suka isegin di dunia cyber, bandwith yang saadanya
ini jika di serang dengan
/ip firewall filter DDos (bagi yang tidak mengerti DDos cari aja
add action=add-src-to-address-list address- sendiri digoogle ya….. ). Apalagi
list=black_list \ yang nyerang mempunyai bandwith yang melimpah
address-list-timeout=1d chain=input bisa dikatan jaringan di
comment=”Add ddos to adress list” \ tempat saya ini akan mati total. Makanya kalau
kamu tidak mempunyai ip firewall filter add chain=input action=jump jump-
bandwith sebesar punya mbah google, trus tiba-tiba target=services
akses internet kamu jadi comment=”jump chain service” disabled=no
lelet, lemot ping ke dns time out jangan langsung
salahkan ISP dimana kamu ip firewall filter add chain=input dst-address-
berlangganan, silahkan di chek dulu di jaringan lokal type=broadcast action=accept
kamu! !! !!, ehm
comment=”Allow Broadcast Traffic” disabled=no
Tips cara mencegah bagaimana menghindari
serangan DDos attach, di pasang ip firewall filter add chain=input action=log log-
di Mikrotik router. biarpun tidak menjamin 100% prefix=”Filter:” comment=”Catat
tapi mencegah adalah jalan
terbaik dari pada tidak sama sekali… kegiatan penyerang” disabled=no

ip firewall filter add chain=input protocol=tcp dst- ip firewall filter add chain=input src-address=Subnet
port=1337 action= add-src-to- WAN action=accept
address-list address-list=DDOS address-list- comment=”List Ip yang boleh akses ke router”
timeout=15s comment=”” ip firewall filter add chain=input src-address=Subnet
disabled=no Lan action=accept
ip firewall filter add chain=input protocol=tcp dst- ip firewall filter add chain=input src-address=Subnet
port=7331 src-address- DMZ action=accept
list=knock action= add-src-to-address-list address- ip firewall filter add chain=input action=drop
list=DDOS address-list- comment=”Blok Semua yang aneh2″
timeout=15m comment=”” disabled=no disabled=no

ip firewall filter add chain=input connection- ip firewall filter add chain=ICMP protocol=icmp
state=established action=accept icmp-options=0:0-255 limit=5,5
comment=”accept established connection packets” action=accept comment=”0:0 dan limit utk 5pac/s”
disabled=no disabled=no
ip firewall filter add chain=input connection- ip firewall filter add chain=ICMP protocol=icmp
state=related action=accept icmp-options=3:3 limit=5,5
comment=”accept related connection packets” action=accept comment=”3:3 dan limit utk 5pac/s”
disabled=no disabled=no
ip firewall filter add chain=input connection- ip firewall filter add chain=ICMP protocol=icmp
state=invalid action=drop icmp-options=3:4 limit=5,5
comment=”drop Paket Invalid” disabled=no action=accept comment=”3:4 dan limit for 5pac/s”
disabled=no
ip firewall filter add chain=input protocol=tcp ip firewall filter add chain=ICMP protocol=icmp
psd=21,3s,3,1 action=drop icmp-options=8:0-255 limit=5,5
comment=”Mendetek serangan Port Scaner” action=accept comment=”8:0 and limit utk 5pac/s”
disabled=no disabled=no
ip firewall filter add chain=input protocol=tcp ip firewall filter add chain=ICMP protocol=icmp
connection-limit=3,32 src-address- icmp-options=11:0-255 limit=5,5
list=black_list action=tarpit comment=”Bikin action=accept comment=”11:0 and limit utk 5pac/s”
kejutan ke ip penyerang” disabled=no
disabled=no ip firewall filter add chain=ICMP protocol=icmp
ip firewall filter add chain=input protocol=tcp action=drop comment=”Blok
connection-limit=10,32 action=add- semua yang aneh2″ disabled=no
src-to-address-list address-list=black_list address-
list-timeout=1d ip firewall filter add chain=forward protocol=icmp
comment=”Masukin ke karung Ip penyerang” comment=”Perbolehkan ping”
disabled=no ip firewall filter add chain=forward protocol=udp
comment=”Perbolehkan ke udp”
ip firewall filter add chain=input protocol=icmp ip firewall filter add chain=forward src-
action=jump jump-target=ICMP address=Subnet WAN action=accept
comment=”jump chain ICMP” disabled=no comment=”Akses hanya dari ip terdaftar”
ip firewall filter add chain=forward src- Simpanlah file tersebut ke komputer anda dengan
address=Subnet LAN action=accept nama nice.rsc, lalu lakukan FTP ke router Mikrotik,
ip firewall filter add chain=forward src- dan uploadlah file tersebut di router. Contoh di
address=Subnet DMZ action=accept bawah ini adalah proses upload MS DOS-Promt.
ip firewall filter add chain=forward action=drop
comment=”blok semua yang C:\>dir nice.*ftp
aneh2″ 192.168.0.1admin********asciiput nice.rscbye

Pengaturan IP address list Volume in drive C has no label.

Mulai Mikrotik RouterOs versi 2.9, dikenal dengan Volume Serial Number is 5418-6EEF
vitur yang disebut IP address list.
Directory of C:\
Fitur ini adalah pengelompokan IP address tertentu
dan setiap IP address tersebut bisa 04/26/2007 06:42p

kita namai. Kelompok ini bisa digunakan sebagai 17,523 nice.rsc


parameter dalam mangle, firewall
1 File(s)
filter, NAT, maupun queue.
17,523 bytes
Mikrotik Indonesia telah menyediakan daftar IP
address yang diavertise di OpenIXP dan 0 Dir(s) 47,038,779,392 bytes free

IIX, yang bisa didownload dengan bebas di URL : C:\>


Connected to 192.168.0.1.
http://www.mikrotik.co.id/getfile.php?nf=nice.rsc 220 R&D FTP server (MikroTik 2.9.39) ready
User (192.168.0.1:(none)):
File nice.rsc ini dibuat secara otomatis di server 331 Password required for admin
Mikrotik Indonesia setiap pagi sekitar Password:
pukul 05.30, dan meruapakan data yang telah 230 User admin logged in
dioptimasi untuk menghilangkan duplikat ftp>
entry dan tumpang tindih subnet. Saat ini jumlah 200 Type set to A
pada baris pada script tersebut ftp>
berkisar 430 baris. 200 PORT command successful

Contoh Pengaturan Mangle

# Script created by: Valens Riyadi @ Berikut adalah perintah untuk melakukan
http://www.mikrotik.co.id konfigurasi mangle yang bisa dilakukan lewat

# Generated at 26 April 2007 05:30:02 WIB … 431 tampilan text pada MikrotikOs atau terminal pada
lines Winbox.

/ip firewall address-list /ip firewall mangl


add list=nice address=”1.2.3.4″
rem [find list=nice]
add list=nice address=”125.162.0.0/16″
add list=nice address=”125.163.0.0/16″
add list=nice address=”152.118.0.0/16″
add list=nice address=”125.160.0.0/16″
add list=nice address=”125.161.0.0/16″
add list=nice address=”125.164.0.0/16″
..dst…
add chain=forward src-address-list=!nice
action=mark-connection new-connection-
mark=mark-con-overseas passtrough=yes
comment=”mark all overseas destination connection
traffic” disabled=no

add chain=prerouting connection-mark=mark-con-


indonesia action=mark-packet new-
packet-mark=indonesia passtrough=yes
comment=”mark all indonesia traffic”
disabled=no

add chain=prerouting connection-mark=mark-con-


overseas action=mark-packet new-
packet-mark=overseas passtrough=yes
comment=”mark all overseas traffic”
disabled=no
150 Opening ASCII mode data connection for
Membuat simple queue
‘/nice.rsc’
226 ASCII transfer complete
Langkah selanjutnya adalah mengatur bandwith
ftp: 17523 bytes sent in 0.00Seconds
melalui simple queue, untuk mengatur
17523000.00Kbytes/sec.
bandwith internasional 128 Kbps dan bandwith lokal
ftp>
IIX 256 Kbps pada komputer
221 Closing
dengan IP 192.168.2.4 dapat dilakukan dengan
perintah sebagai berikut.
C:\>
queue simple
Setelah file di upload, import-lah file tersebut.
add name=kom1-indonesia target-
[admin@MikroTik] > import nice.rsc
address=192.168.2.4/32 dst-address=0.0.0.0/0
Opening script file nice.rsc
interface=all parent=none packet-marks=indonesia
Script file loaded and executed successfully
direction=both priority=8
queue=default/default limit-at=0/0 max-
Pastikan bahwa proses import telah berlangsung
limit=256000/256000 total-queue=default
dengan sukses, dengan mengecek
disabled=no
Address-List pada menu IP – Firewall.
add name=kom1-overeas target-
address=192.168.2.4/32 dst-address=0.0.0.0/0
add chain=forward src-address-list=nice
interface=all parent=none packet-marks=overseas
action=mark-connection new-connection-
direction=both priority=8
mark=mark-con-indonesia passtrough=yes
queue=default/default limit-at=0/0 max-
comment=”mark all indonesia source connection
limit=128000/128000 total-queue=default
traffic” disabled=no
disabled=no]
add chain=forward src-address-list=nice
Script di atas berarti hanya komputer dengan IP
action=mark-connection new-connection-
192.168.2.4 saja yang dibatasi
mark=mark-con-indonesia passtrough=yes
bandwithnya 128 Kbps internasional (overseas) dan
comment=”mark all indonesia destination
256 Kbps lokal IIX (Indonesia),
connection traffic” disabled=no
sedangkan yang lainnya tidak dibatasi.
add chain=forward src-address-list=!nice
Pengecekan akhir
action=mark-connection new-connection-
mark=mark-con-overseas passtrough=yes
Setelah selesai, lakukanlah pengecekan dengan
comment=”mark all overseas source
melakukan akses ke situs lokal
connection traffic” disabled=no
maupun ke situs internasional, dan perhatikanlah
counter baik pada firewall mangle 2. Memanipulasi Type of Service untuk DNS
maupun pada simple queue. Resolving :
> ip firewall mangle add chain=prerouting src-
Anda juga dapat mengembangkan queue type address=10.10.10.0/28 protocol=tcp dst-
menggunakan pcq sehingga trafik pada port=53 action=mark-connection new-connection-
mark=DNS-CM passthrough=yes
setiap client dapat tersebar secara merata. > ip firewall mangle add chain=prerouting src-
address=10.10.10.0/28 protocol=udp dst-
Memblokir Situs dengan MikrotikRouterOS port=53 action=mark-connection new-connection-
mark=DNS-CM passthrough=yes
Untuk memblokir suatu situs dengan > ip firewall mangle add chain=prerouting
MikrotikRouterOS maka langkahnya adalah: connection-mark=DNS-CM action=mark-
packet new-packet-mark=DNS-PM
1. Aktifkan webproxynya passthrough=yes
> ip firewall mangle add chain=prerouting packet-
[gungun@smanelaeuy] > ip web-proxy [enter] mark=DNS-PM action=change-tos
[gungun@smanelaeuy] ip web-proxy> set new-tos=min-delay
enabled=yes max-ram-cache-size=none 3. Menambahkan Queue Type :
max-cache-size=1GB transparent-proxy=yes [enter] > queue type add name=”PFIFO-64″ kind=pfifo
* sesuaikan dengan Hardware Anda! pfifo-limit=64
4. Mengalokasikan Bandwidth untuk ICMP Packet :
2. Setelah aktif kemudian lakukan perintah
[gungun@smanelaeuy] ip web-proxy > acc [enter] > queue tree add name=ICMP parent=INTERNET
[gungun@smanelaeuy] ip web-proxy access> add packet-mark=ICMP-PM priority=1
action=deny comment=”porn situs” limit-at=8000 max-limit=16000 queue=PFIFO-64
url=”*sex*” [enter] 5. Mengalokasikan Bandwidth untuk DNS
*untuk yang berbau sex Resolving :
ato klo tau alamatnya > queue tree add name=DNS parent=INTERNET
[gungun@smanelaeuy] ip web-proxy access> add packet-mark=DNS-PM priority=1 limit-
action=deny comment=”porn situs” at=8000 max-limit=16000 queue=PFIFO-64
url=”www.17tahun.com” [enter] 6. Selamat Mencoba n Good Luck!!!

Memanipulasi ToS ICMP & DNS di MikroTik Queue dengan SRC-NAT dan WEB-PROXY

Tujuan : Pada penggunaan queue (bandwidth limiter),


penentuan CHAIN pada MENGLE sangat
o Memperkecil delay ping dari sisi klien ke arah menentukan jalannya sebuah rule. Jika kita
Internet. memasang SRC-NAT dan WEB-PROXY
pada mesin yang sama, sering kali agak sulit untuk
o Mempercepat resolving hostname ke ip address. membuat rule QUEUE yang
sempurna. Penjelasan detail mengenai pemilihan
Asumsi : Klien-klien berada pada subnet CHAIN, dapat dilihat pada manual
10.10.10.0/28 Mikrotik di sini.
1. Memanipulasi Type of Service untuk ICMP
Packet : Percobaan yang dilakukan menggunakan sebuah PC
> ip firewall mangle add chain=prerouting src- dengan Mikrotik RouterOS versi
address=10.10.10.0/28 protocol=icmp 2.9.28. Pada mesin tersebut, digunakan 2 buah
action=mark-connection new-connection- interface, satu untuk gateway yang
mark=ICMP-CM passthrough=yes dinamai PUBLIC dan satu lagi untuk jaringan lokal
> ip firewall mangle add chain=prerouting yang dinamai LAN.
connection-mark=ICMP-CM action=mark- [admin@instaler] > in pr
packet new-packet-mark=ICMP-PM Flags: X – disabled, D – dynamic, R – running
passthrough=yes # NAME TYPE RX-RATE TX-RATE MTU
> ip firewall mangle add chain=prerouting packet- 0 R public ether 0 0 1500
mark=ICMP-PM action=change-tos 1 R lan wlan 0 0 1500
new-tos=min-delay
Dan berikut ini adalah IP Address yang digunakan. prerouting. Paket data untuk upstream ini kita namai
Subnet 192.168.0.0/24 adalah test-up.
subnet gateway untuk mesin ini.
[admin@instaler] > ip ad pr Namun, untuk paket data downstream, kita
Flags: X – disabled, I – invalid, D – dynamic membutuhkan beberapa buah rule. Karena kita
# ADDRESS NETWORK BROADCAST menggunakan translasi IP/masquerade, kita
INTERFACE membutuhkan Connection Mark. Pada contoh ini,
0 192.168.0.217/24 192.168.0.0 192.168.0.255 kita namai test-conn.
public
1 172.21.1.1/24 172.21.1.0 172.21.1.255 lan Kemudian, kita harus membuat juga 2 buah rule.
Rule yang pertama, untuk paket data
Fitur web-proxy dengan transparan juga diaktifkan. downstream non HTTP yang langsung dari internet
[admin@instaler] > ip web-proxy pr (tidak melewati proxy). Kita
enabled: yes menggunakan chain forward, karena data mengalir
src-address: 0.0.0.0 melalui router.
port: 3128
hostname: “proxy” Rule yang kedua, untuk paket data yang berasal dari
transparent-proxy: yes WEB-PROXY. Kita menggunakan chain output,
parent-proxy: 0.0.0.0:0 karena arus data berasal dari aplikasi internal di
cache-administrator: “webmaster” dalam router ke mesin di luar router.
max-object-size: 4096KiB
cache-drive: system Paket data untuk downstream pada kedua rule ini
max-cache-size: none kita namai test-down.
max-ram-cache-size: unlimited
status: running Jangan lupa, parameter passthrough hanya
reserved-for-cache: 0KiB diaktifkan untuk connection mark saja.
reserved-for-ram-cache: 154624KiB [admin@instaler] > ip firewall mangle print
Flags: X – disabled, I – invalid, D – dynamic
Fungsi MASQUERADE diaktifkan, juga satu buah 0 ;;; UP TRAFFIC
rule REDIRECTING untuk chain=prerouting in-interface=lan
src-address=172.21.1.0/24 action=mark-packet
membelokkan traffic HTTP menuju ke WEB- new-packet-mark=test-up passthrough=no
PROXY
1 ;;; CONN-MARK
[admin@instaler] ip firewall nat> pr chain=forward src-address=172.21.1.0/24
Flags: X – disabled, I – invalid, D – dynamic action=mark-connection
0 chain=srcnat out-interface=public new-connection-mark=test-conn passthrough=yes
src-address=172.21.1.0/24 action=masquerade
1 chain=dstnat in-interface=lan src- 2 ;;; DOWN-DIRECT CONNECTION
address=172.21.1.0/24 chain=forward in-interface=public
protocol=tcp dst-port=80 action=redirect to- connection-mark=test-conn action=mark-packet
ports=3128 new-packet-mark=test-down passthrough=no

Berikut ini adalah langkah terpenting dalam proses 3 ;;; DOWN-VIA PROXY
ini, yaitu pembuatan MANGLE. Kita
akan membutuhkan 2 buah PACKET-MARK. Satu chain=output out-interface=lan
untuk paket data upstream, yang
pada contoh ini kita sebut test-up. Dan satu lagi dst-address=172.21.1.0/24 action=mark-packet
untuk paket data downstream, yang
pada contoh ini kita sebut test-down. new-packet-mark=test-down passthrough=no

Untuk paket data upstream, proses pembuatan Untuk tahap terakhir, tinggal mengkonfigurasi
manglenya cukup sederhana. Kita bisa langsung queue. Di sini kita menggunakan queue
melakukannya dengan 1 buah rule, cukup dengan tree. Satu buah rule untuk data dowstream, dan satu
menggunakan parameter SRC-ADDRESS dan IN- lagi untuk upstream. Yang penting
INTERFACE. Di sini kita menggunakan chain di sini, adalah pemilihan parent. Untuk downstream,
kita menggunakan parent lan, / ip firewall mangle
sesuai dengan interface yang mengarah ke jaringan add chain=prerouting dst-address=202.168.47.17
lokal, dan untuk upstream, kita protocol=udp dst-port=5060-5080 \
menggunakan parent global-in. action=mark-connection new-connection-
[admin@instaler] > queue tree pr mark=voip-con passthrough=yes \
Flags: X – disabled, I – invalid comment=”” disabled=no
0 name=”downstream” parent=lan packet- add chain=prerouting dst-address=202.168.47.17
mark=test-down protocol=udp \
limit-at=32000 queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s

1 name=”upstream” parent=global-in
packet-mark=test-up limit-at=32000
dst-port=19000-20000 action=mark-connection
queue=default priority=8
new-connection-mark=voip-con \
max-limit=32000 burst-limit=0
passthrough=yes comment=”” disabled=no
burst-threshold=0 burst-time=0s
add chain=prerouting connection-mark=voip-con
action=mark-packet \
Variasi lainnya, untuk bandwidth management,
new-packet-mark=voip passthrough=no
dimungkinkan juga kita menggunakan
comment=”” disabled=no
add chain=prerouting protocol=tcp dst-port=22-23
tipe queue PCQ, yang bisa secara otomatis membagi action=mark-connection \
trafik per client. new-connection-mark=sshtelnet-con
passthrough=yes comment=”” disabled=no
Blocking Virus di Firewall Mikrotik add chain=prerouting connection-mark=sshtelnet-
con action=mark-packet \
1;;; BLOCK SPAMMERS OR INFECTED USERS new-packet-mark=sshtelnet passthrough=no
comment=”” disabled=no
/ ip firewall filter add chain=prerouting p2p=all-p2p action=mark-
connection \
chain=forward protocol=tcp dst-port=25 src- new-connection-mark=p2p-con passthrough=yes
address-list=spammer comment=”” disabled=no
add chain=prerouting connection-mark=p2p-con
action=drop action=mark-packet \
new-packet-mark=p2p passthrough=no
2;;; Detect and add-list SMTP virus or spammers comment=”” disabled=no
chain=forward protocol=tcp dst-port=25 add chain=prerouting action=mark-connection new-
connection-limit=30,32 limit=50,5 src-address- connection-mark=everything-con \
list=!spammer action=add-src-to-address-list passthrough=yes comment=”” disabled=no
address-list=spammer address-list-timeout=1d add chain=prerouting connection-mark=everything-
con action=mark-packet \
/ip firewall nat chain=srcnat out-interface=”your new-packet-mark=everything passthrough=yes
interface which provides internet” src- comment=”” disabled=no
address=”network 1? action=masquerade Drop virus conficker pake firewall mikrotik
you need to add chains for each subnet you have ,for buat mangle yang menuju ke situs2 yg dituju
the head office subnet you need conficker..
to add this in interface adalah yang menghadap ke jaringan kita
/ip firewall nat chain=srcnat out-interface=”your admin@mikrotik> ip firewall mangle add
interface which provides internet” chain=prerouting in-interface=ether-download dst-
address-list=jaringan-kita content=loadadv.-exe
action=masquerade
action=add-dst-to-address-list address- /sbin/iptables -A OUTGOING -d 74.55.217.80 -j
list=worm-dst time=02-00,00 DROP

dst-address-list kasih tanda seru>>>maksudnya agar FTP Brute Force di Mikrotik


content tsb hanya di cek kalau destina-
[xco@rouTer] ip firewall filter> add chain=input
tionnya bukan address-list ournetwork protocol=tcp dst-port=21
src-address-list=ftp_blacklist action=drop
buat firewall rule [xco@rouTer] ip firewall filter> add chain=output
protocol=tcp content=”530
admin@mikrotik> ip firewall filter add Login Incorrect” dst-limit=1/1m,9,dst-address/1m
chain=forward dst-address-list=worm-dst action=accept
action=drop [xco@rouTer] ip firewall filter> add chain=output
protocol=tcp content=”530
setelah rule ini diterapkan maka di tab address-list Login Incorrect” address-list=ftp_blacklist address-
akan tercapture address untuk download list-timeout=3h
action=add-dst-to-address-list
worm ini
/ip firewall filter add chain=output protocol=tcp
Block ip dan port camfrog messenger content=”530 Login Incor-
rect” address-list=ftp_blacklist address-list-
Untuk blocking software ini anda bisa block ip dan timeout=3h action=add-dst-to-
domain berikut menggunakansquid maupun address-list
/ip firewall filter add chain=output protocol=tcp
iptables: content=”530 Login Incor-
rect” dst-limit=1/1m,9,dst-address/1m
– l o g i n . c a m f ro g . c o m action=accept
/ip firewall filter add chain=input protocol=tcp dst-
-66.77.107.71 port=21 src-address-
list=ftp_blacklist action=drop
-63.236.61.148
preventing SSH brute force
-74.55.217.80
/ip firewall filter add chain=input protocol=tcp dst-
Untuk port yang di block adalah port2778,6005 port=22 src-address-
dan2112. list=ssh_blacklist action=drop \
comment=”drop ssh brute forcers” disabled=no
Berikut adalah contoh blocking paket out/floward
menggunakan server mikrotik dan linux. /ip firewall filter add chain=input protocol=tcp dst-
port=22 connection-
MIKROTIK state=new \
src-address-list=ssh_stage3 action=add-src-to-
/ip firewall filter add chain=forward dst- address-list address-
address=66.77.107.71 action=drop disable=no /ip list=ssh_blacklist \
firewall filter add chain=forward dst- address-list-timeout=10d comment=”” disabled=no
address=63.236.61.148 action=drop disable=no /ip
firewall filter add chain=forward dst- /ip firewall filter add chain=input protocol=tcp dst-
address=74.55.217.80 action=drop disable=no port=22 connection-
state=new \
LINUX src-address-list=ssh_stage2 action=add-src-to-
address-list address-
/sbin/iptables -A OUTGOING -d 66.77.107.71 -j list=ssh_stage3 \
DROP address-list-timeout=1m comment=”” disabled=no
/sbin/iptables -A OUTGOING -d 63.236.61.148 -j
DROP /ip firewall filter add chain=input protocol=tcp dst-
port=22 connection-
state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-
list=ssh_stage2 address-list-
timeout=1m comment=”” disabled=no

/ip firewall filter add chain=input protocol=tcp dst-


port=22 connection-
state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m
comment=”” disabled=no