Jumat, 22 Juni 2012

cara blokir situs jam tertentu


Berikut ini adalah suatu trik untuk memblok situs yang di atur sesuai jam. Salah satu contoh adalah situs facebook yang beberapa kantor ingin di blok pada jam kerja.


Pertama, supaya waktu yang berjalan di router sesuai dengan waktu lokasi setempat, maka kita perlu mengatur agar clock di MikroTik mengacu pada NTP Server. Jika kita memiliki NTP Server sendiri, maka kita tinggal mengarahkan MikroTik ke NTP Server tersebut, namun jika kita tidak memiliki NTP Server, maka tidak perlu khawatir karena banyak NTP Server di luar yang bisa kita gunakan sebagai acuan. Beberapa diantaranya adalah NTP Server milik LIPI (Lembaga Ilmu Pengetahuan Indonesia) dengan URL: ntp.kim.lipi.go.id (203.160.128.6) dan NTP Pool Project dengan salah satu URLnya: 0.id.pool.ntp.org (202.169.224.16). Untuk mensettingnya di MikroTik, ketikkan perintah berikut :

/system ntp client set primary-ntp=203.160.128.6 secondary-ntp=202.169.224.16 \ mode=unicast enabled=yes

Kedua, membuat rule di firewall filter. Dalam hal ini saya ingin memblokir situs Facebook yang menggunakan port HTTP (80), sehingga selain port tersebut masih diijinkan. Tujuannya agar pengguna masih dapat menerima update status facebook melalui email. Untuk mensettingnya ketikkan perintah berikut :

/ip firewall filter add chain=forward src-address=0.0.0.0/0 protocol=tcp \ dst-port=80 content="facebook" action=drop comment="Blokir Akses Facebook";

Via Winbox :


Ketiga, membuat script untuk mengaktifkan firewall tersebut selama jam kerja dan mematikannya pada jam istirahat dan diluar jam kerja. Disini saya membuat 3 script, yaitu script untuk mengaktifkan (enable) firewall, script untuk mematikan (disable) firewall serta script untuk dieksekusi pada hari libur (Sabtu-Minggu) dan hari kerja. Berikut ini scriptnya :

Script untuk mematikan (disable) firewall :

/system script add name="fb-allow" policy=write,read,policy,test,sniff source={/ip firewall filter set [/ip firewall filter find content="facebook"] disabled=yes

Via Winbox :

Script untuk mengaktifkan (enable) firewall :

/system script add name="fb-deny" policy=write,read,policy,test,sniff source={/ip firewall filter set [/ip firewall filter find content="facebook"] disabled=no}

Via Winbox :

Script untuk disable firewall di hari libur dan enable di hari kerja :

/system script add name="fb-holiday" policy=write,read,policy,test,sniff source={:if ([/system scheduler get [/system scheduler find on-event="fb-deny"] disabled] = true) do [/system scheduler set [/system scheduler find on-event="fb-deny"] disabled=no] else [/system scheduler set [/system scheduler find on-event="fb-deny"] disabled=yes]}

Keempat, membuat schedule untuk menentukan kapan firewall tersebut akan diaktifkan atau dinon-aktifkan. Disini saya membuat 6 scheduler berdasarkan jam kerja dan hari kerja, yaitu jam 08:00, jam 12:00, jam 13:00, jam 17:00, hari sabtu-minggu, dan hari senin. Berikut ini scriptnya :

Schedule untuk mengaktifkan (enable) firewall pada jam kerja (08:00) :

/system scheduler add name="fb-08:00" start-date=jan/01/2010 start-time=08:00:00 interval=1d on-event="fb-deny"

Via Winbox :

Schedule untuk mematikan (disable) firewall pada jam istirahat (12:00) :

/system scheduler add name="fb-12:00" start-date=jan/01/2010 start-time=11:30:00 interval=1d on-event="fb-allow"

Via Winbox :

Schedule untuk mengaktifkan kembali (enable) firewall pada jam kerja (13:00) :

/system scheduler add name="fb-13:00" start-date=jan/01/2010 start-time=13:00:00 interval=1d on-event="fb-deny"

Via Winbox :

Schedule untuk mematikan (disable) firewall di luar jam kerja ke atas ( > 17:00) :

/system scheduler add name="fb-16:00" start-date=jan/01/2010 start-time=16:00:00 interval=1d on-event="fb-allow"

Via Winbox :

Schedule untuk mematikan (disable) firewall di hari libur (Sabtu-Minggu) :

/system scheduler add name="fb-sabtu-minggu" start-date=aug/01/2009 start-time=00:00:00 interval=7d on-event="fb-holiday"

Pastikan bahwa tanggal yang didefinisikan pada parameter "start-date" scheduler adalah Hari Sabtu. Dan parameter "interval" diberi nilai 7d.

Schedule untuk mengaktifkan kembali (enable) firewall di hari kerja (Senin) :

/system scheduler add name="fb-senin" start-date=aug/03/2009 start-time=00:00:00 interval=7d on-event="fb-holiday"

Pastikan bahwa tanggal yang didefinisikan pada parameter "start-date" scheduler adalah Hari Senin. Dan parameter "interval" diberi nilai 7d.

cara membedakan bandwith internasional dan local

karena banyak nya pertanyaan ke saya tentang memisah bw internasional dan IIX di Mikrotik

maka saya buat tutorial ini :

pertama :
Mikrotik nat untuk user :

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.1.0/24

kedua :

download Mikrotik file nice.rsc dari openixp

http://ixp.mikrotik.co.id/download/nice.rsc

ketiga :

selanjutnya kita masukin file nice.rsc nya ke Mikrotik

di Mikrotik winbox klik file trus drag file nice.src nya ke winbox file

jadi masuk ke Mikrotik winbox dan setelah selesai klik terminal

ketik

import nice.rsc
cek apakah ip address nice sudah masuk di mikrotik, silahkan cek di Mikrotik ip firewall – address list

ke empat :
Mikrotik Mangle

karena ini NATed network (contoh : 192.168.1.0/24) maka chain mangle nya prerouting
jika routed end2end (contoh : 192.168.1.1/24) maka pake nya forward

klo mau yang gampang tinggal copy paste saja :
Catatan : iix = koneksi untuk indonesia saja dan ix = koneksi untuk international


Mikrotik
chain=forward src-address-list=nice action=mark-connection new-connection-mark=mark-con-iix passthrough=yes
chain=forward dst-address-list=nice action=mark-connection new-connection-mark=mark-con-iix passthrough=yes
chain=forward src-address-list=!nice action=mark-connection new-connection-mark=mark-con-ix passthrough=yes
chain=forward dst-address-list=!nice action=mark-connection new-connection-mark=mark-con-ix passthrough=yes
chain=prerouting connection-mark=mark-con-indonesia action=mark-packet new-packet-mark=indonesia passthrough=yes
chain=prerouting connection-mark=mark-con-overseas action=mark-packet new-packet-mark=international passthrough=yes

perhatiin PASTROUGH nya jangan sampe salah, sesuaikan dengan topologi masing-masing. gunakan Prerouting atau FORWARD

perhatikan di Mikrotik winbox. Untuk memastikan apakah jalur sudah terpisah dengan baik semua traffic harus ketangkep (coba lakukan beberapa koneksi iix dan ix untuk memastikannya, contohnya : masuk ke speedtest.net, untuk test iix pilih jakarta untuk test internasional pilih yang singapore atau amerika sekalian)

buka ip –> firewall —> mangle

jika semua koneksi sudah terbaca di Mikrotik mangle… maka tinggal di seting Mikrotik queue

misalkan :

client 1
dengan ip :
192.168.1.2
mau kita kasi bandwith iix 512kbps internasional 64 kbps
maka :

Mikrotik
/queue simple

add
name=”client1-iix” target-addresses=192.168.100.2/32 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=512000/512000 total-queue=default-small

name=”client1-int” target-addresses=192.168.100.2/32 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=international direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=64000/64000 total-queue=default-small

client2
dengan ip : 192.168.1.3
hanya di berikan IIX saja sebesar 64 kbps dan tidak di berikan internasional sama sekali..
maka :

kita buat Mikrotik firewall untuk Mikrotik client 2 blokir jalur internasional

[admin@Mikrotik] > ip firewall filter add
chain=forward src-address=192.168.1.3 connection-mark=mark-con-ix action=drop
kemudian coba test dari client2 buka www.yahoo.com
jika tidak terbuka sukses kita memblokir jalur internasional untuk client 2
jika masih kebuka cek lagi configurasi yg kita buat.

setting ini biasanya di gunakan untuk game center yang hanya di beri akses IIX saja

kemudian kita tinggal membatasi untuk IIX saja atau malah buat saja que simple biasa saja karena kita tau bahwa
client 2 mustahil bisa akses internasional

contoh berikut ini beserta rule iix nya :

Mikrotik
/queue simple

add
name=”client2-iix” target-addresses=192.168.1.3/32 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=64000/64000 total-queue=default-small
jika kita tetap paranoid apabila si client masih bisa akses internasional alias takut bocor (padahal udah ga bisa lagi)
maka tambahin aja queue untuk internasional dengan besar 8 kbps

Mikrotik
/queue simple

add
name=”client2-int” target-addresses=192.168.1.3/32 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=international direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=8/8 total-queue=default-small
contoh selanjut nya untuk client 3
dengan ip 192.168.1.4
dengan besar bandwith 64 kbps.
maka kita buat queue biasa aja :

Mikrotik
/queue simple

add
name=”client3″ target-addresses=192.168.1.4/32 dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=64000/64000 total-queue=default-small
selesai
yang penting paham prinsipnya.
selanjut nya kembangkan imajinasi sendiri

setting firewall standar

Setting Firewall untuk Router Mikrotik





Pengamankan router mikrotik dari traffic virus dan excess ping dapat digunakan skrip firewall berikut

Pertama buat address-list "ournetwork" yang berisi alamat IP radio, IP LAN dan IP WAN atau IP lainnya yang dapat dipercaya

Dalam contoh berikut alamat IP radio adalah = 10.0.0.0/16, IP LAN = 192.168.2.0/24 dan IP WAN = 203.89.24.0/21 dan IP lainnya yang dapat dipercaya = 202.67.33.7

Untuk membuat address-list dapat menggunakan contoh skrip seperti berikut ini tinggal disesuaikan dengan konfigurasi jaringan Anda.

Buat skrtip berikut menggunakan notepad kemudian copy-paste ke console mikrotik

/ ip firewall address-list
add list=ournetwork address=203.89.24.0/21 comment="Datautama Network"
disabled=no
add list=ournetwork address=10.0.0.0/16 comment="IP Radio" disabled=no
add list=ournetwork address=192.168.2.0/24 comment="LAN Network" disabled=no


Selanjutnya copy-paste skrip berikut pada console mikrotik

/ ip firewall filter
add chain=forward connection-state=established action=accept comment="allow
established connections" disabled=no
add chain=forward connection-state=related action=accept comment="allow
related connections" disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop
Messenger Worm" disabled=no
add chain=forward connection-state=invalid action=drop comment="drop invalid
connections" disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop
Blaster Worm" disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm"
disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster
Worm" disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster
Worm" disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment="________"
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom"
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y"
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle"
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop
Beagle.C-K" disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment="Drop MyDoom"
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor
OptixPro" disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser"
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop
Dabber.A-B" disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop
Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau
webmin" disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop
MyDoom.B" disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus"
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2"
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop
SubSeven" disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot,
Agobot, Gaobot" disabled=no
add chain=forward action=jump jump-target=virus comment="jump to the virus
chain" disabled=no
add chain=input connection-state=established action=accept comment="Accept
established connections" disabled=no
add chain=input connection-state=related action=accept comment="Accept related
connections" disabled=no
add chain=input connection-state=invalid action=drop comment="Drop invalid
connections" disabled=no
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Allow
limited pings" disabled=no
add chain=input protocol=icmp action=drop comment="Drop excess pings"
disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ournetwork
action=accept comment="FTP" disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ournetwork
action=accept comment="SSH for secure shell" disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=ournetwork
action=accept comment="Telnet" disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=ournetwork
action=accept comment="Web" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=ournetwork
action=accept comment="winbox" disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment="pptp-server"
disabled=no
add chain=input src-address-list=ournetwork action=accept comment="From
Datautama network" disabled=no
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything
else" disabled=no
add chain=input action=drop comment="Drop everything else" disabled=no

Efek dari skrip diatas adalah:
1. Router mikrotik hanya dapat diakses FTP, SSH, Web dan Winbox dari IP yang didefinisikan dalam address-list "ournetwork" sehingga tidak bisa diakses dari sembarang tempat.
2. Port-port yang sering dimanfaatkan virus di blok sehingga traffic virus tidak dapat dilewatkan, tetapi perlu diperhatikan jika ada user yang kesulitan mengakses service tertentu harus dicek pada chain="virus" apakah port yang dibutuhkan user tersebut terblok oleh firewall.
3. Packet ping dibatasi untuk menghindari excess ping.
Selain itu yang perlu diperhatikan adalah: sebaiknya buat user baru dan password dengan group full kemudian disable user admin, hal ini untuk meminimasi resiko mikrotik Anda di hack orang.

simple queue

[Mikrotik] Bandwidth Management Warnet Dgn Simple Queue

By
Sebenernya ini dah paling simple banget buat limit kecepatan internet pada PC Client anda. Misal dalam kasus anda mempunyai warnet, anda mau menghindari dari yang namanya berebutan bandwidth atau mengatur yg namanya “pengunjung tukang download”.
Kok perlu di limit2 segala sih bos? hehehe, situ kan langganan bandwidth sharing dan otomatis jika anda membuka usaha warnet sama saja anda juga menjual/menyewakan bandwidth secara sharing lagi.
Contohnya anda langganan Speedy 1Mbps, anda mempunyai 10 Client… Jadinya 1Mbps itu dibagi lagi dengan 10 PC Client Anda
1024kbps : 10 = 102.4kbps kecepatan yg didapat PC client (kalo semuanya lgi download MP4 miyabi barengan)
Note : Bandwidth Speedy jga sharing/up to lgi loh, bukan pure 1Mbps.. efek naik turun kyk ingus pasti dirasakan.
Dah ah teorinye, lanjut nyok
  • Pertama anda harus tau bisa dapet total bandwith dari ISP, misal anda dapet rata2 di 1Mbps
  • Trus anda punya PC Client berapa? 10 biji bos
  • Ya udah berati rata2 speed client kalo lgi penuh (penuh dlm arti smuanya ada aktifitas koneksinya) sekitar 100kbps an yak
Masuk ke Queue > Simple Queue > Tab General
Simple Queue Mikrotik
Simple Queue Mikrotik
Name : (diisi bebas, misal Client 1)
Target Address : (IP Address Client 1)
Target Upload / Target Download : Centang dah dua2nya
Max Limit : Pilih option kecepatan Upload/Download buat Client 1

limit bandwith siang dan malam

Andaikan kita punya jaringan 192.168.1.0/24 dan mau dilimit berdasarkan siang dan malam hari
Network 192.168.1.0/24
Bandwidth = 06:00am – 18:00pm – 1Mbps. <Max-Limit>
Bandwidth = 18:00pm – 06:00am – 2Mbps. <Max-Limit>
Buat 2 Simple Queue untuk jaringan LAN yg sama dengan beda bandwidth.
/queue simple
#name=”Siang” target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0
interface=<ether-x> parent=none direction=both priority=8
queue=default-small/default-small limit-at=512k/512k
max-limit=1M/1M total-queue=default-small

#name=”Malam” target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0
interface=<ether-x> parent=none direction=both priority=8
queue=default-small/default-small limit-at=1M/1M
max-limit=2M/2M total-queue=default-small
Sekarang, buat script nya

/system script
#name=”Siang” source=/queue simple enable Siang; /queue simple disable Malam
#name=”Malam” source=/queue simple enable Malam; /queue simple disable Siang
 
Jika script yang diberi nama “Siang” dieksekusi,script tersebut akan 
mengenable simple queue yang diberi nama “Siang dan mendisable simple 
queue “Malam”

Untuk script yang malam adalah sebaliknya
 
 
/system scheduler
#name=”Siang” on-event=Siang start-date=may/15/2008 start-time=06:00:00 interval=1d
#name=”Malam” on-event=Malam start-date=may/15/2008 start-time=18:00:00 interval=1d
 

cara blokir client ganti ip

Mikrotik | Mencegah Client Mengganti Statik IP Address

By
mikrotik firewallPosting pertama di hosting yang baru, kali ini saya mao sharing bagaimana mencegah client mengganti statik IP Address yang kita berikan. Biasanya setting ini dibutuhkan untuk ISP kecil2an atau rt/rw net. Sering client mencoba ganti-ganti ip address, niat mereka sih sapa tau dapet IP address yang ga di limit. Jadi dengan setting ini jika client mengganti ip address yang tidak sesuai yang kita berikan maka mereka tidak dapat menggunakan koneksi internet. Mari kita memanfaatkan fungsi firewall mikrotik.

Contoh Kasus :
Anda membuat bandwidth management dengan setting seperti ini :
Client 1 : IP 172.22.0.23, limit download  256kbps limit upload 64kbps
Client 2 : IP 172.22.0.34, limit download 1mbps, limit upload 256kbps
Nah, si client 1 nyoba2 nih ganti-ganti ip address sampai dia ketemu memakai IP client 2. Otomatis dia bisa dapet batas limit client 2 yang lebih besar. Jingkrak-jingkrak deh client 1 karena internetnya jadi lebih ngebut 4x lipat.
Berikut salah satu tehnik  menghindari hal tersebut ini, dengan menggunakan firewall mikrotik.
/ip firewall filter
chain=forward action=drop src-address=!172.22.0.23
src-mac-address=00:75:34:65:8Z:5D
chain=forward action=drop src-address=!172.22.0.34
src-mac-address=00:34:62:15:5A:9E
Penjelasan script di atas :
Mac address salah satu client anda (00:75:34:65:8Z:5D) dengan chain=forward (melewati router mikrotik/akses ke internet) jika menggunakan IP address SELAIN 172.22.0.23 akan di drop alias di bikin matot.
Kita bikin begini dengan niat untuk menjaga kenyamanan client-client kita, soalne bnyak loh client yang lebih pinter dari admin. Apalagi yang isengnya ga ketulungan.

blok situs porno

  1. Pertama anda buat account dulu disini
  2. Pilih OpenDNS BASIC (yg pasti itu yg gratis)
  3. Abis proses registrasinya berhasil nanti dikasih IP DNS yg bisa kita pakai “208.67.222.222 dan 208.67.220.220″ sama cara set up dns di beberapa device
  4. Cek email yg dipakai untuk registrasi, klik URL tuk aktifasi
  5. Masuk ke tab “Setting”
  6. Masukin IP Public/WAN anda di kolom “Add Network”. Harusnya langsung terisi dengan ip public anda (IP public anda harus static dari provider jika setting untuk mikrotik, untuk windows xp ada software untuk update ip public dynamic anda)
  7. Setelah selesai, anda pilih Setting for IP Publik Anda
    Pilih Filtering level sesuai kebutuhan anda / anda bisa memasukan website yang mau anda block “Manage individual domains”
Dah step diatas sekarang kita masuk ke mikrotik…
Masukan ip dns yang diberikan OpenDNS

/ip dns
set primary-dns=208.67.222.222 secondary-dns=208.67.220.220 allow-remote-requests=yes

blok situs tertentu

Blok Akses Facebook Dengan Mikrotik

By
Yang ga mau karyawannya maen pesbuk an mulu…
Tutor nie dengan basis address list tanpa web proxy

Pertama buat mangle dulu atau marking yang berbau facebook

/ip firewall mangle
add action=add-dst-to-address-list address-list=facebook
 address-list-timeout=1m chain=prerouting comment="" content=facebook.com
 disabled=no
 
 
Kedua bru eksekusi facebooknya

/ip firewall filter add action=drop chain=forward comment="Drop Facebook" disabled=no dst-address-list=facebook
 

memisahkan browsing download game

Untuk Perintah Dibawah buatkan Pada bagian IP-Firewall-Mangle

-------------------------------------------------------------------------------------------------
chain=game action=mark-connection new-connection-mark=Game passthrough=yes protocol=tcp dst-address=203.89.146.0/23 dst-port=39190 comment=”Point Blank”
-------------------------------------------------------------------------------------------------
chain=game action=mark-connection new-connection-mark=Game passthrough=yes protocol=udp dst-address=203.89.146.0/23 dst-port=40000-40010
-------------------------------------------------------------------------------------------------
chain=game action=mark-packet new-packet-mark=Game_pkt passthrough=no connection-mark=Game
-------------------------------------------------------------------------------------------------
chain=prerouting action=jump jump-target=game
-------------------------------------------------------------------------------------------------

  • Settingan Untuk GAME Poker

Untuk Perintah Dibawah buatkan Pada bagian IP-Firewall-Mangle

-------------------------------------------------------------------------------------------------
chain=forward action=mark-connection new-connection-mark=Poker_con passthrough=yes protocol=tcp dst-address-list=LOAD POKER comment=”POKER”

-------------------------------------------------------------------------------------------------
chain=forward action=mark-connection new-connection-mark=Poker_con passthrough=yes protocol=tcp content=statics.poker.static.zynga.com
-------------------------------------------------------------------------------------------------
chain=forward action=mark-packet new-packet-mark=Poker passthrough=no connection-mark=Poker_con
-------------------------------------------------------------------------------------------------

  • BROWSING
-------------------------------------------------------------------------------------------------
chain=forward action=mark-connection new-connection-mark=http passthrough=yes protocol=tcp in-interface=WAN out-interface=Lan packet-mark=!Game_pkt connection-mark=!Game connection-bytes=0-262146 comment=”BROWSE”
-------------------------------------------------------------------------------------------------
chain=forward action=mark-packet new-packet-mark=http_pkt passthrough=no protocol=tcp connection-mark=http
-------------------------------------------------------------------------------------------------
chain=forward action=mark-packet new-packet-mark=http_pkt passthrough=no protocol=tcp connection-mark=http
-------------------------------------------------------------------------------------------------

  • UPLOAD
-------------------------------------------------------------------------------------------------
chain=prerouting action=mark-packet new-packet-mark=Upload passthrough=no protocol=tcp src-address=192.168.0.0/24 in-interface=Lan packet-mark=!icmp_pkt comment=”UPLOAD”
-------------------------------------------------------------------------------------------------

  • LIMIT DOWNLOAD
-------------------------------------------------------------------------------------------------
chain=forward action=mark-connection new-connection-mark=Download passthrough=yes protocol=tcp in-interface=WAN out-interface=Lan packet-mark=!Game_pkt connection-mark=!Poker_con connection bytes=262146-4294967295 comment=”LIMIT DOWNLOAD”
-------------------------------------------------------------------------------------------------
chain=forward action=mark-packet new-packet-mark=Download_pkt passthrough=no packet-mark=!Game_pk> connection-mark=Download
-------------------------------------------------------------------------------------------------

  • QUEUE
Queue Type
-------------------------------------------------------------------------------------------------
name=”Download” kind=pcq pcq-rate=256000 pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=2000


name=”Http” kind=pcq pcq-rate=1M pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=2000

name=”Game” kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-address,dst-address,src-port,dst-port pcq-total-limit=2000

name=”Upload” kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-address pcq-total-limit=2000
-------------------------------------------------------------------------------------------------

Queue Tree
-------------------------------------------------------------------------------------------------
name=”Main Browse” parent=Lan limit-at=0 priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s

name=”Browse” parent=Main Browse packet-mark=http_pkt limit-at=0 queue=Http priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s

name=”Game” parent=global-total packet-mark=Game_pkt limit-at=0 queue=Game priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

name=”Poker” parent=global-out packet-mark=Poker limit-at=0 queue=Game priority=3 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

name=”Download” parent=global-out packet-mark=Download_pkt limit-at=0 queue=Download priority=8 max-limit=256k burst-limit=0 burst-threshold=0 burst-time=0s

name=”Main Upload” parent=global-in limit-at=0 priority=8 max-limit=256k burst-limit=0 burst-threshold=0 burst-time=0s

name=”Upload” parent=Main Upload packet-mark=Upload limit-at=0 queue=Upload priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

limit bandwith dengan pcq

Membagi Bandwidth Rata dengan PCQ di Mikrotik

Dengan menggunakan queue type pcq di Mikrotik, kita bisa membagi bandwidth yang ada secara merata untuk para “pelahap-bandwidth” saat jaringan pada posisi peak.
Contohnya, kita berlangganan 256 Kbps. Kalau ada yang sedang berinternet ria, maka beliau dapat semua itu jatah bandwidth. Tetapi begitu teman-temannya datang, katakanlah 9 orang lagi, maka masing-masingnya dapat sekitar 256/10 Kbps.
Yah.. masih cukup layaklah untuk buka-buka situs non-porn atau sekedar cek e-mail & blog.
OK, langsung saja ke caranya :
  1. Asumsi : Network Address 192.168.169.0/28, interface yang mengarah ke pengguna diberi nama LAN, dan interface yang mengarah ke upstream provider diberi nama INTERNET;
  2. Ketikkan di console atau terminal :
    > /ip firewall mangle add chain=forward src-address=192.168.169.0/28 action=mark-connection new-connection-mark=NET1-CM
    > /ip firewall mangle add connection-mark=NET1-CM action=mark-packet new-packet-mark=NET1-PM chain=forward
    > /queue type add name=downsteam-pcq kind=pcq pcq-classifier=dst-address
    > /queue type add name=upstream-pcq kind=pcq pcq-classifier=src-address
    > /queue tree add parent=LAN queue=DOWNSTREAM packet-mark=NET1-PM
    > /queue tree add parent=INTERNET queue=UPSTREAM packet-mark=NET1-PM
  3. Good Luck!!

kalo pake cara diatas targetnya cuman sebisa mungkin membagi bandwidth sama rata antar client..
kalo menghadapi IDM pengalaman saya gak bisa pake cara di atas, harus ditambah masing-masing client dibuat mangle-nya dan queue tree typenya pake pcq.
contoh: nama client = unyil ip-nya=192.168.1.12/32 bw-limitnya=64k/128k
caranya:

> /ip firewall mangle add chain=forward src-address=192.168.1.12/32 action=mark-connection new-connection-mark=UNYIL-CM
> /ip firewall mangle add connection-mark=UNYIL-CM action=mark-packet new-packet-mark=UNYIL-PM chain=forward
> /queue type add name=downsteam-pcq kind=pcq pcq-classifier=dst-address
> /queue type add name=upstream-pcq kind=pcq pcq-classifier=src-address
> /queue tree add parent=LAN queue=UNYIL_DOWNSTREAM packet-mark=UNYIL-PM max-limit=128k
> /queue tree add parent=INTERNET queue=UNYIL_UPSTREAM packet-mark=UNYIL-PM max-limit=64k

Ok, dijamin ga bakal tembus oleh IDM…

blok scan winbox

/ip firewall filter
chain=forward in-interface=ether1 mac-protocol=ip dst-port=5678
ip-protocol=udp action=drop
chain=input in-interface=ether1 mac-protocol=ip dst-port=5678
ip-protocol=udp action=drop
chain=output mac-protocol=ip dst-port=5678 ip-protocol=udp action=drop
chain=input in-interface=ether1 mac-protocol=ip dst-port=8291
ip-protocol=tcp action=drop
chain=forward in-interface=ether1 mac-protocol=ip dst-port=8291
ip-protocol=tcp action=drop
chain=input mac-protocol=ip dst-port=68 ip-protocol=udp action=drop

blok ping

cuma mau nambahin buat blok traceroute dan ping
soanya kadang2 ada user yang "jago" dia bisa dapat ip yang sejajar dengan interface yang langsung menuju ke internet
=====================
contoh :

ISP----MIKROTIK---CLIENT

tetapi dengan trace route dia bisa dapat nomor ip yang sejajar dengan INterface mikrotik yang menuju internet, seperti ini

ISP-----MIKROTIK---------CLIENT
-----CLIENT"JAGO"

=========================

nah untuk menanggulangi kita bisa bikin rule pada firewall seperti ini

/ip firewall filter add chain=forward protocol=icmp icmp-options=11:0 action=drop comment="Drop Traceroute"
/ip firewall filter add chain=forward protocol=icmp icmp-options=3:3 action=drop comment="Drop Traceroute"


nah untuk membatasi ping, kadang2 ada client yang sukanya iseng menuhin traffic dengan picg yang gak jelas,ada baiknya kita batasi ping-nya

/ip firewall filter add chain=input action=accept protocol=icmp limit=50/5s,2

setting ntp

Setting NTP Client pada Mikrotik

Posted on 18th August 2010 in mikrotik
Sebelum kita ke tutorial ada baiknya kalo kita mengenal apa itu NTP . NTP adalah network time protocol , jadi NTP digunakan untuk mensingkronkan waktu antara NTP server dan NTP client  melalui jaringan baik internet maupun intranet . Salah satu manfaat dari NTP server itu kita gak perlu ngeset waktu cukup disinkronkan dengan antara NTP server dan NTP client pada jaringan kita.
Salah satu NTP server yang ada di dunia dimiliki oleh United States Naval Observatory

Sebetulnya Indonesia juga punya NTP server milik LIPI , cuma saya masih belum punya fotonya :D .
Sepertinya pembukaan dah cukup kita langsung ke Tutorial setting NTP client pada mikrotik .
Langkah awal silahkan login pada winbox anda dan masuk  ke bagian System – NTP Client :
1
Setelah itu isi Primary NTP server dengan alamat LIPI dan secondary isi dengan punya ntp.org , kemudian jangan lupa klik APPLY
4
Setelah anda klik APPLY maka alamat NTP server akan berubah menjadi IP dari NTP server tersebut , sekarang tinggal klik OK
5
Cukup mudah kan, kalo ada pertanyaan silahkan kirim ke alamat email saya :D

rederect sejajar dengan client

Redirect Mikrotik ke Komputer Proxy Squid (tanpa parent proxy MT)

Siang rekan-rekan semua, saya mau berbagi pengalaman tapi sebelumnya mohon dima`afkan kalau ada kesalahan ya, maklum masih newbie banget. Begini Saya meredirect Mikrotik (MT) ke squid Proxy tanpa menghidupkan web-proxy yang ada di MT nya, saya sempat kesulitan mencari solusi supaya dapat me redirect port 80, 8080, ke port 3128 (transparent proxy), karena kalau saya pakai web-proxy MT internet saya jadi lemot koneksinya, pernah saya pakai parent proxy MT redirect ke squid tapi hasilnya gak maksimal internet kadang masih lemot karena web-proxy di hidupkan (enable), makanya saya mencoba meng kotak-kotak eh meng kotak-katik akhirnya dapet referensi dari http://tldp.org/HOWTO/TransparentProxy-6.html, yang intinya bisa redirect port 80 ke 3128 tanpa menghidupkan web-proxy mikrotik. Topology yang saya gunakan adalah sebagai berikut

ISP - Mikrotik -- Switch - Client
.......... |
.......... |
.......Squid-Box

Spesifikasi Mikrotik saya DOM 256Mb + Licensi level 5 Versi 3.3 up-grade (intel P3 1Ghz, Mem 512Mb)

Spesifikasi squid (Intel P4 3.0Ghz DDR 1Gb, HDD 80Gb SATA) OS Linux Ubuntu server 7.10 Gitsu Gibbon

Di mikrotik ada 3 LAN card terus saya namai lan, wan, proxy
Lan = 192.168.1.1
Wan = 202.114.12.112
Proxy = 192.168.0.1

Squid (Ubuntu 7.10 server)
Eth0 = 192.168.0.2

Untuk settingan awal MT gak perlu saya tulis disini ya, termasuk pembagian bandwidth nya, serta konfigurasi squidnya. saya langsung saja cara translasinya

Buat NAT nya dulu di IP firewall NAT (sharing internet)

/ip firewall nat add chain=srcnat out-interface=wan action=masquerade

Terus buat nat untuk redirect ke squid

/ip firewall nat add chain=dst-nat src-address=!192.168.0.2 protocol=tcp dst-port=80 in-interface=lan action=dst-nat to-address=192.168.0.2 to-port=3128

/ip firewall nat add chain=dst-nat src-address=!192.168.0.2 protocol=tcp dst-port=8080 in-interface=lan action=dst-nat to-address=192.168.0.2 to-port=3128

/ip firewall nat add chain=src-nat src-address=192.168.1.0 out-interface=lan action=srcnat src-address=192.168.1.1 to-port=3128


Terus buat filter rules nya

/ip firewall filter add chain=forward src-address=192.168.1.0 dst-address=192.168.0.2 dst-port=3128 in-interface=lan out-interface=wan action=accept


Nah sekarang coba deh, jadi bisa simpan cache di squid-proxy external tanpa harus lewat parent proxy nya mikrotik…

Kalau ada kendala coba di ubuntu servernya di tambahin ini (sebaiknya jgn diisi dulu di Ubuntunya kalau belum bisa konek baru isi iptables dibawah ini) :
iptables –t nat –A PREROUTNG –I eth0 –s ! SQUID – tcp –dport 80 –j DNAT –to SQUID:3128
iptables –t nat –A PREROUTNG –I eth0 –s ! SQUID – tcp –dport 8080 –j DNAT –to SQUID:3128
iptables –t nat –A POSTROUTING –o eth0 –s LAN –d SQUID –j SNAT –to iptables-box
iptables –A FORWARD –s LAN –d SQUID -i eth0 -p tcp -dport 3128 –j ACCEPT



sekali lagi mohon ma`af rekan-rekan semua, karena masih tahap belajar, mungkin kalau ada kesalahan mohon dikoreksi, atau ada tambahan mohon di benahi

redereck sejajar router

Berikut ini adalah konfigurasi mikrotik sejajar dengan squid proxy. Distro yang saya pake adalah slackware 13.0, squid yang saya pakai adalah squid-2.6.STABLE17, mikrotik v3.31.

Berikut adalah topologinya:
Internet - MIKROTIK - Squid Box - klien

Saya asumsikan squid proxy sudah berjalan dengan baik. bagi yang belum menginstal squidnya, silahkan anda baca artikel saya tentang instalasi squid proxy di link bawah.

Untuk konfigurasi di mesin slackware:
- http_port 3128 transparent
- isi dari /etc/rc.d/rc.local adalah
/usr/local/squid/sbin/squid -D
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Untuk konfigurasi mikrotik:
- chain=dstnat action=redirect to-ports=3228 protocol=tcp src-address=!10.10.10.2 dst-address=0.0.0.0/0 dst-port=80
- ip proxy pr
enabled: yes
src-address: 0.0.0.0
port: 3228
parent-proxy: 10.10.10.2
parent-proxy-port: 3128
cache-administrator: " mitran3t@usa.com"
max-cache-size: none
cache-on-disk: no
max-client-connections: 600
max-server-connections: 600
max-fresh-time: 3d
serialize-connections: no
always-from-cache: no
cache-hit-dscp: 4
cache-drive: system

blokir ip tidak bisa login internet

Cara yang aku lakukan :
Buat nat rule untuk webproxy-nya
/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080
enable webproxy-nya
ip web-proxy set enabled=yes
masukkan content yang ingin di blok
/ip web-proxy access add src-address=0.0.0.0/0 dst-address=0.0.0.0/0 url=*.facebook.com* action=deny comment=situs
Lalu create script (system >> script)
Name : bloksiang
Policy : write, read, policy (yang dicentang)
Source:
/ip web-proxy access enable [/ip web-proxy access find comment=situs]
Name : blokmalam
Policy : write, read, policy (yang dicentang)
Source:
/ip web-proxy access disable [/ip web-proxy access find comment=situs]
Buat scheduler yang diinginkan (system >> scheduler).
name=bloksiang
start-date=Jan/01/2010
start-time=08:30:00
interval=1d 00:00:00
on-event= bloksiang
name=blokmalam
start-date=Jan/01/2010
start-time=18:30:00
interval=1d 00:00:00
on-event= blokmalam
Nah setelah itu maka liat aja hasilnya maka situs yang masuk di dalam list di web proxy akan terblok. Kalo ada banyak situs atau address atau file yang ingin di blok maka tinggal di add di web proxy serta diberi comment yang sama (dalam hal ini saya menggunakan comment=situs), maka pada waktu yang bersamaan semua situs yang ada list akan terblok.
Misalnya :
/ip web-proxy access add src-address=0.0.0.0/0 dst-address=0.0.0.0/0 url=*.youtube* action=deny comment=situs
/ip web-proxy access add src-address=0.0.0.0/0 dst-address=0.0.0.0/0 url=*mpeg* action=deny comment=situs
/ip web-proxy access add src-address=0.0.0.0/0 dst-address=0.0.0.0/0 url=*exe* action=deny comment=situs

blokir ip tertentu

Block IP Address di Mikrotik

Posted by Taryan
Buat teman2 yg punya Router Mikrotik mungkin kalau sering lihat log bakalan kesal kalau banyak yg mencoba untuk login ke route kita. ini saya alami sendiri setiap ol masuk ke route dan lihat log waduh banyak ip yg mencoba melakukan BRUTE FORCE untuk masuk…..
code :
ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=22 src-address-list=ftp_blacklist action=drop # accept 10 incorrect logins per minute
/ ip firewall filter add chain=output action=accept protocol=tcp content=”530 Login incorrect” dst-limit=1/1m,9,dst-address/1m #add to blacklist add chain=output action=add-dst-to-address-list protocol=tcp content=”530 Login incorrect” address-list=blacklist address-list-timeout=24h
Maksud dari kode diatas adalah jika dalam 1 menit berusaha 10 kali login ( dst-limit=1/1m,9 di login nya yg kesepuluh masuk daftar hitam dan dibanned selama 24jam, address-list=blacklist address-list-timeout=24h). untuk memberi range port edit bagian
CODE
/ ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=22 src-address-list=ftp_blacklist action=drop
menjadi
CODE
/ ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=21-23 src-address-list=ftp_blacklist action=drop

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Best Web Host