Artikel Populer

Thursday, 15 April 2021

Konfigurasi Tambahan Pada Mikrotik

 Tujuan: 

  • Peserta dapat mengatur Bandwidth sederhana di Mikrotik 
  • Peserta dapat memblok port Virus di Mikrotik 
  • Peserta mampu memblokir situs tertentu menggunakan Web Proxy Mikrotik 
  • Peserta mampu menggunakan DNS Nawala untuk memblokir Situs-Situs Dewasa pada Mikrotik

3.1 Membagi Bandwidth Sederhana 

        Mikrotik RouterOS memiliki fitur yang berfungsi melakukan management bandwidth yang dinamakan Queue Simple dan Queue Tree.

  1. Queues Simple – yaitu di desain untuk konfigurasi sederhana, misalnya pembatasan/pembagian bandwidth per client atau p2p traffic dan yang lainnya.
  2. Queue Tree – adalah fitur untuk penerapan bandwidth management yang lebih kompleks daripada Queue Simple, penerapan Queue Tree memerlukan markin dari fitur Mangle yang ada pada menu Firewall.

        Cara yang paling mudah untuk membatasi bandwidth IP Address atau subnet yang spesifik adalah dengan menggunakan simple queue. Berikut ini yang akan kita coba konfigurasikan bandwidth managementnya dengan Queue Simple, kita akan membatasi bandwidth untuk download dan upload pada jaringan local dengan limitasi download = 256Kbps dan upload = 128Kbps. Misalkan nama untuk aturan ini adalah LAN_traffic, commandnya adalah :

[Router1@adminswt]> queue simple add name=LAN_traffic targetaddresses=192.168.8.0/24 max-limit=256/128K interface=Local

Jika menggunakan winbox adalah: Queues | Simple Queues | +



        Dengan konfigurasi tersebut maka berapapun bandwidth yang tersedia, bagi ip address dalam network 192.168.8.0/24 tetap akan mendapatkan bandwidth maksimal 256Kbps untuk upload dan 128Kbps untuk download. Jika kita ingin ip address tertentu dalam network tersebut (misalkan web server) agar tidak terkena limitasi yang telah kita buat, maka caranya adalah dengan membuat konfigurasi simple queue yang baru (misalkan dengan nama webserver_traffic) dengan max-limit 0 (unlimited), kemudian konfigurasi tersebut di posisikan di atas konfigurasi LAN_traffic. Commandnya adalah :

[Router1@adminswt]> queue simple add name=webserver_traffic target-addresses=192.168.8.8/32 max-limit=0/0

[Router1@adminswt]> queue simple move webserver_traffic destimation=0

Jika menggunakan winbox adalah :



3.2 Memblokir Situs menggunakan Web Proxy Mikrotik

        Penggunaan Web Proxy diantaranya adalah untuk menerapkan caching content yaitu web proxy akan menyimpan kontek website yang pernah di akses yang mana konten tersebut akan tersimpan selama waktu yang ditentukan untuk di akses oleh client Mikrotik yang membuka halaman website yang sama, hal ini dapat menghemat website karena client tidak perlu terhubung langsung ke halaman sumber website tersebut, tapi cukup ke web proxy yang ada di Mikrotik.

        Kegunaan lain dari web proxy adalah dapat mengatur website yang boleh dan yang tidak boleh di akses atau bahkan men-redirect halaman website tertentu ke halaman yang kita inginkan. Perlu di perhatikan bahwa penggunaan web proxy dapat cukup memperbesar pengunaan resources router Mikrotik, maka jika anda menggunakan Mikrotik dengan spec yang rencah sebaiknya tidak mengaktifkan fungsi web proxy , jika ingin menggunakan web proxy sebaiknya pada Mikrotik yang diinstall pada PC Router dengan spec yang memadai.

Cara konfigurasi web proxy cukup sederhanya, commandnya adalah: 

[admin@Mikrotik] > ip proxy set enabled=yes port=8080 max-cache-size=unlimited cache-on-disk=yes

Jika menggunakan winbox : IP | Web Proxy


    Selanjutnya kita akan coba memblokir sebuah situs tertentu menggunakan fitur filtering Web Proxy ini. Pastikan Transparent Web Proxy Mikrotik sudak aktif. Jika belum silahkan anda setting sesuai tutorial berikut ini :

  1. Login ke Mikrotik dengan Winbox. 
  2. Masuk ke menu IP --> Web Proxy --> Access --> Add rule baru. 
  3. Masukkan detail website yang mau di blok > Dst. Port : isikan port http 80 > Dst. Host : isikan alamat website yang mau di blok misalnya www.yahoo.com > Action : pilih deny untuk memblokir akses nya.

        Kita juga bisa memodifikasi rule nya dengan me-redirect ke situs lain. Misalnya ketika ada user yang mengakses web www.yahoo.com maka akan langsung dialihkan (redirect) ke www.google.com Tinggal isikan saja alamat website-nya di kolom Redirect To :

3.3 Cara Mudah Memblokir Situs-situs Dewasa dengan DNS

        Memblokir Situs-situs Dewasa dengan Mudah di Mikrotik. Menciptakan suasana internet yang sehat itu penting. Apalagi jika banyak client dari jaringan kita adalah anak-anak atau anak sekolah yang belum boleh mengakses konten dewasa. Masalahnya, banyak sekali situs-situs dewasa yang beredar di internet. Hal ini akan menjadi susah jika kita harus memblokir situsnya satu per satu.Untuk dapat memblokir situs atau konten terentu di internet pada Mikrotik dapat dilakukan dengan cara : Web Proxy, DNS Static, Firewall.

        Ketiganya harus memasukkan daftar situs yang akan diblokir secara manual satu per satu. Hal ini tentu akan sangat merepotkan jika jumlah situs yang akan diblokir sampai ratusan bahkan ribuan. Kendala lainnya adalah kita tidak tahu situs apa saja yang harus diblokir. Oleh karena itu solusi yang cocok adalah dengan menggunakan DNS Static. Dalam hal ini kita dapat menggunakan DNS Gratis dari Nawala atau OpenDNS yang sudah memfilter konten berbahaya. Jadi kita tidak perlu lagi repot-repot memfilter manual semua situs-situs berbahaya tersebut. Caranya sangat mudah, silahkan anda login ke Mikrotik via Winbox.

        Jika anda menggunakan DHCP Client, misalnya menggunakan internet dari speedy atau modem GSM maka anda harus menonaktifkan fitur "Use Peer DNS" Masuk ke menu IP à DHCP Client à Buka DHCP client nya à unchecklis "Use Peer DNS".



    Masuk ke menu IP - DNS - Masukkan DNS Server nya di kolom Servers - checklis Allow Remote Request.


    DNS Nawala (gratis tanpa register) : • 180.131.144.144 • 180.131.145.145, DNS OpenDNS (gratis register dulu) - opendns.com.

        Bedanya jika menggunakan DNS Nawala jika masuk ke situs yang terblokir akan muncul pesan tetapi tidak dapat diganti. Sedangkan kalo OpenDNS bisa kita masukkan pesan tertentu sesuai keinginan seperti pada gambar pertama diatas. Selain itu, jika menggunakan DNS Nawala kita ga bisa menambahkan atau mengurangi situs yang diblokir, sedangkan kalo menggunakan DNS OpenDNS bisa diatur situs apa saja yang mau diblokir. Namun jika menggunakan OpenDNS harus register dulu.

        Setelah diganti DNS nya, jangan lupa untuk Flush DNS Cachenya. Pada menu DNS Settings - Cache - Flush Cache.

3.4 Memblokir Port Virus di Mikrotik Menggunakan Firewall

        Penyebaran virus dan malware di jaringan dapat terjadi jika kita tidak selektif dalam mengaktifkan port apa saja yang digunakan. Untuk mengamankan jaringan dari penyebaran virus dan malware, kita dapat menutup port komunikasi yang tidak digunakan dan rentan dimanfaatkan oleh virus. Caranya dengan menggunakan rule firewall Mikrotik untuk mendrop paket yang masuk ke port yang tidak digunakan.

        Caranya sangat mudah, silahkan anda copy paste perintah berikut ini ke terminal Mikrotik :


/ ip firewall filter 

add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Blaster Worm" 

add chain=virus protocol=udp dst-port=135-139 action=drop comment="Messenger Worm" 

add chain=virus protocol=tcp dst-port=445 action=drop comment="Blaster Worm" 

add chain=virus protocol=udp dst-port=445 action=drop comment="Blaster Worm" 

add chain=virus protocol=tcp dst-port=593 action=drop comment="________" 

add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"

add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom" 

add chain=virus protocol=tcp dst-port=1214 action=drop comment="________" 

add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester" 

add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server" 

add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast" 

add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx" 

add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"

add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus" 

add chain=virus protocol=tcp dst-port=2283 action=drop comment="Dumaru.Y" 

add chain=virus protocol=tcp dst-port=2535 action=drop comment="Beagle" 

add chain=virus protocol=tcp dst-port=2745 action=drop comment="Beagle.C-K" 

add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="MyDoom" 

add chain=virus protocol=tcp dst-port=3410 action=drop comment="Backdoor OptixPro"

add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm" 

add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm" 

add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser" 

add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B" 

add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop Dabber.AB" 

add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop Dumaru.Y" 

add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop MyDoom.B" 

add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus" 

add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2" 

add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop SubSeven" 

add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot,Agobot, Gaobot" 

add chain=virus protocol=udp dst-port=12667 action=drop comment="Trinoo" disabled=no 

add chain=virus protocol=udp dst-port=27665 action=drop comment="Trinoo" disabled=no 

add chain=virus protocol=udp dst-port=31335 action=drop comment="Trinoo" disabled=no

add chain=virus protocol=udp dst-port=27444 action=drop comment="Trinoo" disabled=no 

add chain=virus protocol=udp dst-port=34555 action=drop comment="Trinoo" disabled=no 

add chain=virus protocol=udp dst-port=35555 action=drop comment="Trinoo" disabled=no 

add chain=virus protocol=tcp dst-port=27444 action=drop comment="Trinoo" disabled=no 

add chain=virus protocol=tcp dst-port=27665 action=drop comment="Trinoo" disabled=no 

add chain=virus protocol=tcp dst-port=31335 action=drop comment="Trinoo" disabled=no 

add chain=virus protocol=tcp dst-port=31846 action=drop comment="Trinoo" disabled=no 

add chain=virus protocol=tcp dst-port=34555 action=drop comment="Trinoo" disabled=no 

add chain=virus protocol=tcp dst-port=35555 action=drop comment="Trinoo" disabled=no 

add action=drop chain=forward comment=";;Block W32.Kido - Conficker" disabled=no protocol=udp src-port=135-139,445 

add action=drop chain=forward comment="" disabled=no dst-port=135-139,445 protocol=udp 

add action=drop chain=forward comment="" disabled=no protocol=tcp src-port=135- 139,445,593

add action=drop chain=forward comment="" disabled=no dst-port=135-139,445,593 protocol=tcp 

add action=accept chain=input comment="Allow limited pings" disabled=no limit=50/5s,2 protocol=icmp 

add action=accept chain=input comment="" disabled=no limit=50/5s,2 protocol=icmp 

add action=drop chain=input comment="drop FTP Brute Forcers" disabled=no dstport=21 protocol=tcp src-address-list=FTP_BlackList 

add action=drop chain=input comment="" disabled=no dst-port=21 protocol=tcp srcaddress-list=FTP_BlackList 

add action=accept chain=output comment="" content="530 Login incorrect" disabled=no dst-limit=1/1m,9,dst-address/1m protocol=tcp

add action=add-dst-to-address-list address-list=FTP_BlackList address-listtimeout=1d chain=output comment="" content="530 Login incorrect" disabled=no protocol=tcp 

add action=drop chain=input comment="drop SSH&TELNET Brute Forcers" disabled=no dst-port=22-23 protocol=tcp src-address-list=IP_BlackList 

add action=add-src-to-address-list address-list=IP_BlackList address-list-timeout=1d chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_3 

add action=add-src-to-address-list address-list=SSH_BlackList_3 address-listtimeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22- 23 protocol=tcp src-address-list=SSH_BlackList_2 

add action=add-src-to-address-list address-list=SSH_BlackList_2 address-listtimeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22- 23 protocol=tcp src-address-list=SSH_BlackList_1 

add action=add-src-to-address-list address-list=SSH_BlackList_1 address-listtimeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22- 23 protocol=tcp add action=drop chain=input comment="drop port scanners" disabled=no srcaddress-list=port_scanners 

add action=add-src-to-address-list address-list=port_scanners address-listtimeout=2w chain=input comment="" disabled=no protocol=tcp tcpflags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list=port_scanners address-listtimeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=fin,syn 

add action=add-src-to-address-list address-list=port_scanners address-listtimeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=syn,rst 

add action=add-src-to-address-list address-list=port_scanners address-listtimeout=2w chain=input comment="" disabled=no protocol=tcp tcpflags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list=port_scanners address-listtimeout=2w chain=input comment="" disabled=no protocol=tcp tcpflags=fin,syn,rst,psh,ack,urg 

add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcpflags=!fin,!syn,!rst,!psh,!ack,!urg


Hasilnya akan jadi seperti ini :


 

3.5 Menangkal Netcut dengan Mikrotik

        Cara menangkal dan mengatasi Netcut dengan Mikrotik Ini bisa digunakan ketika jaringan anda misalnya hotspot diputuskan oleh orang jahil yang menggunakan Netcut. Netcut adalah sebuah tool yang dapat digunakan untuk memutus koneksi pada jaringan Misalnya kita mau memutus koneksi internet di jaringan hotspot supaya bisa memakai semua bandwidth di hotspot itu. Cara mengatasi netcut menggunakan Mikrotik, lakukan langkah-langkah berikut ini :

  1. Masuk ke IP --> DHCP Server.  
  2. Pilih konfigurasi DHCP yang digunakan untuk hotspot anda.
  3. Ganti waktu sewa (lease time) IP menjadi 1 hari. 
  4. Dan yang paling penting, aktifkan opsi Add ARP for Leases, opsi ini untuk mencegah ARP Spoofing oleh NetCut

 Untuk lebih jelasnya lihat gambar di bawah ini :


Tambahkan netmask /32 untuk single host (255.255.255.255) contonya seperti gambar di bawah ini:



            Sampai sini sudah selesai settingan untuk menghindari tangan-tangan jahil. 

3.6 Limited Download dan Unlimited Browsing

        Pada sub bab ini membahas salah satu teknik manajemen Bandwidth yang efektif untuk membagi bandwidth secara adil. Karena, jika bandwidth download tidak dibatasi, maka akan menggangu kecepatan internet pengguna lain dalam satu jaringan. Akibatnya, jika ada beberapa pengguna yang melakukan download apalagi menggunakan IDM, maka pengguna lain yang cuma browsing tidak kebagian bandwidth. Untuk mengatasi hal ini, maka teknik Limited Download dan Unlimited Browsing ini kita terapkan. Pada Mikrotik, teknik ini bisa dilakukan dengan banyak cara. Salah satu cara yang simpel dan efektif adalah menggunakan filter Layer 7 Protocol. Langkahnya sebagai berikut :

1. Buat daftar ekstensi file yang masuk filter download di Layer 7 protocol. Silahkan copy dan paste script berikut ke Terminal Mikrotik kemudian tekan enter. Jika ekstensi file nya dirasa kurang banyak silahkan ditambahkan sendiri.

/ip firewall layer7-protocol add comment="" name=donlotan regexp="^.*get.+\\.(exe|rar|zip|7z|cab|asf|mov|wmv\ |mpg|mpeg|mkv|avi|flv|pdf|wav|rm|mp3|mp4|ram|rmvb|dat|daa|iso|nrg|bin|vcd|\ mp2|3gp|mpe|qt|raw|wma|ogg|doc|deb|tar|bzip|gzip|gzip2|0[0-9][0-9]).*\$"


2. Buat Firewall Mangle untuk menandai paket yang mau dilimit. Silahkan copy paste juga script berikut ini ke Terminal dan tekan enter.

/ip firewall mangle add action=mark-packet chain=forward comment=Donlotan disabled=no \ layer7-protocol=donlotan new-packet-mark=paket-donlot passthrough=no protocol=tcp


Silahkan cek apakah script tadi berhasil dieksekusi menjadi settingan atau tidak. Cek Settingan Layer 7 protocol : IP à Firewall à Layer7 Protocol.


Cek Settingan Mangle : IP à Firewall -à Mangle




        Selanjutnya buat limit bandwidth nya dengan Queue. Queue Type : Masuk ke Queue à Queue Types à add - Beri nama limit dl - Kind : pcq - Rate : 64k (silahkan sesuaikan dengan keinginan berapa max speed download nya) jika diisi 64k, maksudnya membatasi kecepatan download 64 kbps dibagi 8 à 8 KB/s jika ingin lebih tinggi bisa saja diisi 256k sehingga throughput : 256/8 = 32 KB/s NB : ingat 1 byte = 8 bit.

        Silahkan diisi sesuai keinginan anda. Settingan lainnya biarkan saja, lihat gambar berikut ini :


        Queue Tree : masuk ke Queue à Queue Tree à add - Beri nama : Limit Download - Parent : global (Router OS saya versi 6, cuma ada satu parent global) - Packet Marks : paket-donlot - Queue Type : limit dl - Max Limit : 64k (Sesuaikan dengan kebutuhan anda).


Settingan selesai. Jadi settingan di atas membatasi bandwidth download sebesar 64kbps = 8KB/s.

Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)