ebagai pengguna teknologi informasi, tidak asing bagi kita dengan istilah

�proxy�. Secara umum arti dari proxy adalah sebuah komputer server atau
program komputer yang dapat bertindak sebagai komputer lainnya untuk
melakukan request terhadap content dari Internet atau intranet. Dengan kata
lain proxy merupakan sebuah media keamanan bagi akses jaringan internet
kita.
Terdapat beberapa macam tipe proxy, diantaranya SSL Proxy, Web Proxy,
Intercepting Proxy, Reverse Proxy, dll. Setiap tipe proxy memiliki fungsi
masing-masing. Nah, kali ini kita akan membahas salah satu proxy yang
merupakan fitur dari RouterOS MikroTik, yaitu Web Proxy.

Dalam pembahasan ini kita akan menekankan bagaimana cara melakukan

pemblokiran website menggunakan �Web Proxy Access�. Contoh kasus,
kita akan memblokir akses internet dari client ke www.playboy.com 

 
Aktifkan web-proxy 
Pertama, aktifkan terlebih dulu service dari web-proxy pada MikroTik dengan
pengaturan pad menu IP -> Web Proxy. 
  
Centang pilihan Enable, dan tentukan pada port berapa proxy bekerja. By
default web-proxy akan bekerja pada port 8080. 

Sampai langkah ini, web-proxy pada Router Mikrotik sudah aktif sebagai
Regular HTTP Proxy. Dengan kata lain jika PC Client ingin menggunakan
service proxy ini, maka harus disetting secara manual pada web browser
masing-masing client dengan menunjuk ip-mikrotik port 8080. 
Agar tidak perlu setting web-browser client satu per satu, ubah web-proxy
Mikrotik agar berfungsi sebagai Transparent Proxy. Implementasinya,
gunakan fitur NAT untuk membelokan semua traffic browsing HTTP (tcp 80)
yang berasal dari client ke fitur internal web-proxy yang sudah diaktifkan
sebelumnya. 
Untuk membuatnya masuk pada menu IP->Firewall->NAT->Klik �+�.

Selanjutnya, karena semua traffic HTTP dari client sudah masuk ke web-
proxy, maka bisa dilakukan manajemen. Salah satunya adalah melakukan
blocking akses client ke website tertentu.
Block Website 
Untuk melakukan block akses client ke website tertentu dapat dilakukan pada
menu Webproxy -> Access

Tambahkan rule web-proxy access baru. Dalam contoh ini, client tidak
diperbolehkan akses ke www.playboy.com

Definisikan website yang akan diblock pada parameter dst-host dengan

action=deny. 

Jika  diperhatikan, penulisan dst-host tidak menggunakan alamat website

lengkap akan tetapi menggunakan tanda bintang (*) di depan dan belakang
nama/alamat website. Tanda * dimaksudkan sebagai wildcard untuk
menggantikan semua karakter. Dengan ditambahkan wildcard, traffic client
yang menuju ke website yang URL-nya terdapat kata "playboy" akan
diblock. 
Coba browsing ke alamat www.playboy.com , maka secara otomatis Web-
Proxy MikroTik akan melakukan pemblokiran terhadap website tersebut dan
menampilkan pesan error pada browser client.

 
Block & Redirect Website 

Kita juga bisa memodifikasi rule-nya dengan me-redirect ke situs lain.

Misalnya ketika ada Client yang mengakses www.playboy.com maka akan
langsung dialihkan (redirect) ke www.mikrotik.co.id

Block File extention 

Selain bisa melakukan blocking berdasarkan nama domain/URL , web-proxy

Mikrotik juga dapat melakukan pemblokiran berdasarkan extention file yang
ada pada sebuah halaman web. 

Kemampuan ini dapat dimanfaatkan untuk melakukan blocking traffic client

yang akan melakukan download untuk extention file tertentu,
misal .iso, .exe, .zip, dsb. 
  

Jika blocking URL didefinisikan pada parameter dst-host, pemblokiran file

extention dapat didefinisikan pada parameter Path dengan action=deny.
Gunakan wildcard (*) untuk menggantikan semua karakter di depan dan
belakang file extention. 

Sama halnya dengan Firewall Filter, NAT, Simple Queue, dsb, rule web-proxy
access akan dibaca secara berurutan mulai dari rule no. 0. 

Penyimpanan Cache Proxy 

Disamping fungsi filtering, web-proxy juga dapat digunakan untuk

penyimpanan object cache. Content pada sebuah website akan disimpan dan
diberikan kembali ke client jika ada yang melakukan akses pada
object/content yang sama, sehingga tidak perlu langsung mengambil dari
internet dan menggunakan bandwidth. 
  

Definisikan kapasitas storage yang digunakan untuk penyimpanan cache

pada parameter Max-Cache-Size. Centang opsi Cache-On-Disk agar cache
disimpan pada storage Router. 

Konsep penyimpanan cache akan lebih baik diterapkan jika Router

mempunyai storage tambahan, sehingga cache tidak disimpan pada system
disk. 
 Tutorial Mikrotik untuk memblokir facebook menggunakan Mikrotik L7 Protokol
(Layer 7). Protokol Layer7 adalah metode untuk mencari pola dalam ICMP / TCP / UDP
stream, atau istilah lainnya regex pattern.

Cara kerja L7 adalah mencocokan (mathcer) 10 paket koneksi pertama atau 2KB koneksi
pertama dan mencari pola/pattern data yang sesuai dengan yang tersedia. Jika pola ini tidak
ditemukan dalam data yang tersedia, matcher tidak memeriksa lebih lanjut. Dan akan
dianggap unknown connections. Anda harus mempertimbangkan bahwa banyak koneksi
secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC Router anda.
Untuk menghindari itu tambahkan regular firewall matchers (pattern) untuk mengurangi
jumlah data yang dikirimkan ke layer-7 filter.

Layer7 matcher harus melihat kedua arah lalu lintas (masuk dan keluar). Untuk memenuhi
persyaratan ini rule l7  harus diatur dalam chain Forward. Jika rule pada chain
input/prerouting maka aturan yang sama harus diatur juga dalam chain output/postrouting ,
jika tidak maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap tidak
benar /cocok.

Oke udah tau kan tentang Layer 7 Protocol? Kita lanjut aja ya. Jadi skenario yang akan kita
gunakan adalah seperti gambar berikut ini :
Tutorial ini ada dua bagian :
1. Block facebook website buat semua orang yang konek ke local network.
Pertama, kita cek dulu situs Facebook bisa dibuka apa tidak.

Cek IP address client yang tidak boleh buka Facebook

Selanjutnya, masuk ke Winbox Mikrotik, masuk ke menu IP --> Firewall --> Layer 7
Protocols. Buat rule regexp baru untuk memblokir Facebook.
Langkah nya seperti pada gambar berikut ini :
 
Beri nama rule tersebut facebook, masukkan script regexp berikut ini :
^.+(facebook.com).*$

Selanjutnya, buat Firewall Rule baru dengan :

Chain : forward
Src Address : alamat jaringan dari client (172.16.10.0/24)
Masuk tab Advanced, pada Layer 7 Protocol pilih "facebook"

Masuk tab Action, pilih Action drop.

Sekarang coba tes setingan tadi berhasil apa tidak.
Cek juga apa setingan ini ngeblok situs selain facebook
Oke bisa, setingannya berjalan dengan lancar gan 

2. Membuat facebook hanya bisa dibuka oleh beberapa user saja.

Oke lanjut ya, kali ini kita coba buka koneksi salah satu client biar bisa
buka facebook untuk client kedua (172.16.10.199/24) tapi masih tetap memblokir
akses ke facebook buat client lainnya.
Buat Filter rule keduadengan Src Address spesifik ke IP address client nya yaitu
172.16.10.199 bukannya alamat jaringannya (network address).
Jangan lupa Action nya pilih accept.
Pindah rule yang baru dibuat tadi ke paling atas ya.
Coba tes setingan ini pada client kedua (172.16.10.199/24):

Detail pada rule nya ada paket dan data yang lewat.
Cek juga pada client lainnya pada network yang sama apakah facebook bisa
diakses apa tidak.

Coba lihat lagi rule nya

Drop packets rate nya naik kan. Ini berarti setingan kita berhasil memblokir
Facebook menggunakan Layer 7 Protocol Mikrotik.
A. Pengertian

     Protokol Layer7 adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream, atau istilah
lainnya regex pattern.

B. Latar Belakang
     Web proxy di mikrotik hanya bisa memblock situs dengan tipe http maka saya akan mencoba
memblock situs dengan tipe https dengan menggunakan salah satu fitur firewall di mikrotik yaitu layer
7.  Cara kerja L7 adalah mencocokan (mathcer) 10 paket koneksi pertama atau 2KB koneksi pertama
dan mencari pola/pattern data yang sesuai dengan yang tersedia.

C. Maksud dan Tujuan

   Memblokir situs dengan tipe https menggunakan firewall layer 7 di routerboard mikrotik.

D. Alat dan Bahan

    Alat dan Bahan yang dibutuhkan adalah :
     1. Routerboard Mikrotik
     2. Aplikasi Winbox 

E. Jangka waktu pengerjaan

    Waktu yang saya butuhkan untuk konfigurasi kali ini kurang lebih 35 menit. 

F. Tahapan pelaksanaan

1. Langkah Pertama adalah bukalah aplikasi winbox dan masuk ke konfigurasi mikrotik anda.

2. Setelah itu masuk ke menu, IP>Firewall

3. Lalu masuk ke Layer 7 Protocols>Add (+)>Berikan nama pada kotak name (Nama bisa
terserah) dan masukan script regexp seperti contoh dibawah. Jika sudah klik Apply OK.
^.+(kaskus.com)*$ 
>kaskus.com dapat anda ganti dengan nama situs yang lain tergantung
pengguna yang mau ngebclock situs apa yang mau kita block

4. Setelah itu kita masuk pada menu Firewall rule baru dengan cara klik Filter Rules>Add(+). lalu
pada menu General
Chain : Forward
Dst.Address : 0.0.0.0/0
>(Mengapa saya memasukan ip 0.0.0.0/0? Karena saya ingin memblokir
semua ip   dengan network apapun maupun prefix berapun agar tidak bisa
mengakses situs yang saya blokir)

5. selanjutnya kita masuk ke menu Advanced di menu anda cukup mengarahkan rule yang telah kita
buat di Layer 7 protocol tadi.

Layer 7 Protocol : Blokir situs dengan Layer 7

6. Kemudian kita ke menu Action jika sudah memilih aksi klik Apply OK

Action : Drop
7. Maka akan muncul rule baru yang telah kita buat tadi di menu Firewall Rules 

8. Nah disini kita tes Coba untuk akses situs yang barusan kita blokir dengan Layer 7. Jika berhasil
maka saat mengakses situs tersebut kita tidak akan berhasil.
 G. Hasil dan Kesimpulan
    Kita telah berhasil konfigurasi Firewall Layer 7 Protocol di mikrotik. Kelebihan situs ini adalah dapat
memblokir situs dengan tipe http maupun https tapi sayang fitur ini memiliki kelemahan yaitu dapat
meningkatkan penggunaan memori pada RB maupun PC Router anda.