cara blokir situs jam tertentu

Berikut ini adalah suatu trik untuk memblok situs yang di atur sesuai jam. Salah satu contoh adalah situs facebook yang beberapa kantor ingin di blok pada jam kerja.

Pertama, supaya waktu yang berjalan di router sesuai dengan waktu lokasi setempat, maka kita perlu mengatur agar clock di MikroTik mengacu pada NTP Server. Jika kita memiliki NTP Server sendiri, maka kita tinggal mengarahkan MikroTik ke NTP Server tersebut, namun jika kita tidak memiliki NTP Server, maka tidak perlu khawatir karena banyak NTP Server di luar yang bisa kita gunakan sebagai acuan. Beberapa diantaranya adalah NTP Server milik LIPI (Lembaga Ilmu Pengetahuan Indonesia) dengan URL: ntp.kim.lipi.go.id (203.160.128.6) dan NTP Pool Project dengan salah satu URLnya: 0.id.pool.ntp.org (202.169.224.16). Untuk mensettingnya di MikroTik, ketikkan perintah berikut :

/system ntp client set primary-ntp=203.160.128.6 secondary-ntp=202.169.224.16 \ mode=unicast enabled=yes

Kedua, membuat rule di firewall filter. Dalam hal ini saya ingin memblokir situs Facebook yang menggunakan port HTTP (80), sehingga selain port tersebut masih diijinkan. Tujuannya agar pengguna masih dapat menerima update status facebook melalui email. Untuk mensettingnya ketikkan perintah berikut :

/ip firewall filter add chain=forward src-address=0.0.0.0/0 protocol=tcp \ dst-port=80 content="facebook" action=drop comment="Blokir Akses Facebook";

Via Winbox :

Ketiga, membuat script untuk mengaktifkan firewall tersebut selama jam kerja dan mematikannya pada jam istirahat dan diluar jam kerja. Disini saya membuat 3 script, yaitu script untuk mengaktifkan (enable) firewall, script untuk mematikan (disable) firewall serta script untuk dieksekusi pada hari libur (Sabtu-Minggu) dan hari kerja. Berikut ini scriptnya :

Script untuk mematikan (disable) firewall :

/system script add name="fb-allow" policy=write,read,policy,test,sniff source={/ip firewall filter set [/ip firewall filter find content="facebook"] disabled=yes

Via Winbox :

Script untuk mengaktifkan (enable) firewall :

/system script add name="fb-deny" policy=write,read,policy,test,sniff source={/ip firewall filter set [/ip firewall filter find content="facebook"] disabled=no}

Via Winbox :

Script untuk disable firewall di hari libur dan enable di hari kerja :

/system script add name="fb-holiday" policy=write,read,policy,test,sniff source={:if ([/system scheduler get [/system scheduler find on-event="fb-deny"] disabled] = true) do [/system scheduler set [/system scheduler find on-event="fb-deny"] disabled=no] else [/system scheduler set [/system scheduler find on-event="fb-deny"] disabled=yes]}

Keempat, membuat schedule untuk menentukan kapan firewall tersebut akan diaktifkan atau dinon-aktifkan. Disini saya membuat 6 scheduler berdasarkan jam kerja dan hari kerja, yaitu jam 08:00, jam 12:00, jam 13:00, jam 17:00, hari sabtu-minggu, dan hari senin. Berikut ini scriptnya :

Schedule untuk mengaktifkan (enable) firewall pada jam kerja (08:00) :

/system scheduler add name="fb-08:00" start-date=jan/01/2010 start-time=08:00:00 interval=1d on-event="fb-deny"

Via Winbox :

Schedule untuk mematikan (disable) firewall pada jam istirahat (12:00) :

/system scheduler add name="fb-12:00" start-date=jan/01/2010 start-time=11:30:00 interval=1d on-event="fb-allow"

Via Winbox :

Schedule untuk mengaktifkan kembali (enable) firewall pada jam kerja (13:00) :

/system scheduler add name="fb-13:00" start-date=jan/01/2010 start-time=13:00:00 interval=1d on-event="fb-deny"

Via Winbox :

Schedule untuk mematikan (disable) firewall di luar jam kerja ke atas ( > 17:00) :

/system scheduler add name="fb-16:00" start-date=jan/01/2010 start-time=16:00:00 interval=1d on-event="fb-allow"

Via Winbox :

Schedule untuk mematikan (disable) firewall di hari libur (Sabtu-Minggu) :

/system scheduler add name="fb-sabtu-minggu" start-date=aug/01/2009 start-time=00:00:00 interval=7d on-event="fb-holiday"

Pastikan bahwa tanggal yang didefinisikan pada parameter "start-date" scheduler adalah Hari Sabtu. Dan parameter "interval" diberi nilai 7d.

Schedule untuk mengaktifkan kembali (enable) firewall di hari kerja (Senin) :

/system scheduler add name="fb-senin" start-date=aug/03/2009 start-time=00:00:00 interval=7d on-event="fb-holiday"

Pastikan bahwa tanggal yang didefinisikan pada parameter "start-date" scheduler adalah Hari Senin. Dan parameter "interval" diberi nilai 7d.

Read more »

cara membedakan bandwith internasional dan local

karena banyak nya pertanyaan ke saya tentang memisah bw internasional dan IIX di Mikrotik

maka saya buat tutorial ini :

pertama :
Mikrotik nat untuk user :

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.1.0/24

kedua :

download Mikrotik file nice.rsc dari openixp

http://ixp.mikrotik.co.id/download/nice.rsc

ketiga :

selanjutnya kita masukin file nice.rsc nya ke Mikrotik

di Mikrotik winbox klik file trus drag file nice.src nya ke winbox file

jadi masuk ke Mikrotik winbox dan setelah selesai klik terminal

ketik

import nice.rsc
cek apakah ip address nice sudah masuk di mikrotik, silahkan cek di Mikrotik ip firewall – address list

ke empat :
Mikrotik Mangle

karena ini NATed network (contoh : 192.168.1.0/24) maka chain mangle nya prerouting
jika routed end2end (contoh : 192.168.1.1/24) maka pake nya forward

klo mau yang gampang tinggal copy paste saja :
Catatan : iix = koneksi untuk indonesia saja dan ix = koneksi untuk international


Mikrotik
chain=forward src-address-list=nice action=mark-connection new-connection-mark=mark-con-iix passthrough=yes
chain=forward dst-address-list=nice action=mark-connection new-connection-mark=mark-con-iix passthrough=yes
chain=forward src-address-list=!nice action=mark-connection new-connection-mark=mark-con-ix passthrough=yes
chain=forward dst-address-list=!nice action=mark-connection new-connection-mark=mark-con-ix passthrough=yes
chain=prerouting connection-mark=mark-con-indonesia action=mark-packet new-packet-mark=indonesia passthrough=yes
chain=prerouting connection-mark=mark-con-overseas action=mark-packet new-packet-mark=international passthrough=yes

perhatiin PASTROUGH nya jangan sampe salah, sesuaikan dengan topologi masing-masing. gunakan Prerouting atau FORWARD

perhatikan di Mikrotik winbox. Untuk memastikan apakah jalur sudah terpisah dengan baik semua traffic harus ketangkep (coba lakukan beberapa koneksi iix dan ix untuk memastikannya, contohnya : masuk ke speedtest.net, untuk test iix pilih jakarta untuk test internasional pilih yang singapore atau amerika sekalian)

buka ip –> firewall —> mangle

jika semua koneksi sudah terbaca di Mikrotik mangle… maka tinggal di seting Mikrotik queue

misalkan :

client 1
dengan ip :
192.168.1.2
mau kita kasi bandwith iix 512kbps internasional 64 kbps
maka :

Mikrotik
/queue simple

add
name=”client1-iix” target-addresses=192.168.100.2/32 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=512000/512000 total-queue=default-small

name=”client1-int” target-addresses=192.168.100.2/32 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=international direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=64000/64000 total-queue=default-small

client2
dengan ip : 192.168.1.3
hanya di berikan IIX saja sebesar 64 kbps dan tidak di berikan internasional sama sekali..
maka :

kita buat Mikrotik firewall untuk Mikrotik client 2 blokir jalur internasional

[admin@Mikrotik] > ip firewall filter add
chain=forward src-address=192.168.1.3 connection-mark=mark-con-ix action=drop
kemudian coba test dari client2 buka www.yahoo.com
jika tidak terbuka sukses kita memblokir jalur internasional untuk client 2
jika masih kebuka cek lagi configurasi yg kita buat.

setting ini biasanya di gunakan untuk game center yang hanya di beri akses IIX saja

kemudian kita tinggal membatasi untuk IIX saja atau malah buat saja que simple biasa saja karena kita tau bahwa
client 2 mustahil bisa akses internasional

contoh berikut ini beserta rule iix nya :

Mikrotik
/queue simple

add
name=”client2-iix” target-addresses=192.168.1.3/32 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=64000/64000 total-queue=default-small
jika kita tetap paranoid apabila si client masih bisa akses internasional alias takut bocor (padahal udah ga bisa lagi)
maka tambahin aja queue untuk internasional dengan besar 8 kbps

Mikrotik
/queue simple

add
name=”client2-int” target-addresses=192.168.1.3/32 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=international direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=8/8 total-queue=default-small
contoh selanjut nya untuk client 3
dengan ip 192.168.1.4
dengan besar bandwith 64 kbps.
maka kita buat queue biasa aja :

Mikrotik
/queue simple

add
name=”client3″ target-addresses=192.168.1.4/32 dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=64000/64000 total-queue=default-small
selesai
yang penting paham prinsipnya.
selanjut nya kembangkan imajinasi sendiri

Read more »

setting firewall standar

Setting Firewall untuk Router Mikrotik

Selasa, Juli 14, 2009

Pengamankan router mikrotik dari traffic virus dan excess ping dapat digunakan skrip firewall berikut

Pertama buat address-list "ournetwork" yang berisi alamat IP radio, IP LAN dan IP WAN atau IP lainnya yang dapat dipercaya

Dalam contoh berikut alamat IP radio adalah = 10.0.0.0/16, IP LAN = 192.168.2.0/24 dan IP WAN = 203.89.24.0/21 dan IP lainnya yang dapat dipercaya = 202.67.33.7

Untuk membuat address-list dapat menggunakan contoh skrip seperti berikut ini tinggal disesuaikan dengan konfigurasi jaringan Anda.

Buat skrtip berikut menggunakan notepad kemudian copy-paste ke console mikrotik

/ ip firewall address-list
add list=ournetwork address=203.89.24.0/21 comment="Datautama Network"
disabled=no
add list=ournetwork address=10.0.0.0/16 comment="IP Radio" disabled=no
add list=ournetwork address=192.168.2.0/24 comment="LAN Network" disabled=no


Selanjutnya copy-paste skrip berikut pada console mikrotik

/ ip firewall filter
add chain=forward connection-state=established action=accept comment="allow
established connections" disabled=no
add chain=forward connection-state=related action=accept comment="allow
related connections" disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop
Messenger Worm" disabled=no
add chain=forward connection-state=invalid action=drop comment="drop invalid
connections" disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop
Blaster Worm" disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm"
disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster
Worm" disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster
Worm" disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment="________"
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom"
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y"
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle"
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop
Beagle.C-K" disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment="Drop MyDoom"
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor
OptixPro" disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser"
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop
Dabber.A-B" disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop
Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau
webmin" disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop
MyDoom.B" disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus"
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2"
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop
SubSeven" disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot,
Agobot, Gaobot" disabled=no
add chain=forward action=jump jump-target=virus comment="jump to the virus
chain" disabled=no
add chain=input connection-state=established action=accept comment="Accept
established connections" disabled=no
add chain=input connection-state=related action=accept comment="Accept related
connections" disabled=no
add chain=input connection-state=invalid action=drop comment="Drop invalid
connections" disabled=no
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Allow
limited pings" disabled=no
add chain=input protocol=icmp action=drop comment="Drop excess pings"
disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ournetwork
action=accept comment="FTP" disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ournetwork
action=accept comment="SSH for secure shell" disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=ournetwork
action=accept comment="Telnet" disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=ournetwork
action=accept comment="Web" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=ournetwork
action=accept comment="winbox" disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment="pptp-server"
disabled=no
add chain=input src-address-list=ournetwork action=accept comment="From
Datautama network" disabled=no
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything
else" disabled=no
add chain=input action=drop comment="Drop everything else" disabled=no

Efek dari skrip diatas adalah:
1. Router mikrotik hanya dapat diakses FTP, SSH, Web dan Winbox dari IP yang didefinisikan dalam address-list "ournetwork" sehingga tidak bisa diakses dari sembarang tempat.
2. Port-port yang sering dimanfaatkan virus di blok sehingga traffic virus tidak dapat dilewatkan, tetapi perlu diperhatikan jika ada user yang kesulitan mengakses service tertentu harus dicek pada chain="virus" apakah port yang dibutuhkan user tersebut terblok oleh firewall.
3. Packet ping dibatasi untuk menghindari excess ping.
Selain itu yang perlu diperhatikan adalah: sebaiknya buat user baru dan password dengan group full kemudian disable user admin, hal ini untuk meminimasi resiko mikrotik Anda di hack orang.

Read more »

simple queue

[Mikrotik] Bandwidth Management Warnet Dgn Simple Queue

By Adam Rachmad

Sebenernya ini dah paling simple banget buat limit kecepatan internet pada PC Client anda. Misal dalam kasus anda mempunyai warnet, anda mau menghindari dari yang namanya berebutan bandwidth atau mengatur yg namanya “pengunjung tukang download”.
Kok perlu di limit2 segala sih bos? hehehe, situ kan langganan bandwidth sharing dan otomatis jika anda membuka usaha warnet sama saja anda juga menjual/menyewakan bandwidth secara sharing lagi.
Contohnya anda langganan Speedy 1Mbps, anda mempunyai 10 Client… Jadinya 1Mbps itu dibagi lagi dengan 10 PC Client Anda

1024kbps : 10 = 102.4kbps kecepatan yg didapat PC client (kalo semuanya lgi download MP4 miyabi barengan)

Note : Bandwidth Speedy jga sharing/up to lgi loh, bukan pure 1Mbps.. efek naik turun kyk ingus pasti dirasakan.
Dah ah teorinye, lanjut nyok

• Pertama anda harus tau bisa dapet total bandwith dari ISP, misal anda dapet rata2 di 1Mbps
• Trus anda punya PC Client berapa? 10 biji bos
• Ya udah berati rata2 speed client kalo lgi penuh (penuh dlm arti smuanya ada aktifitas koneksinya) sekitar 100kbps an yak

Masuk ke Queue > Simple Queue > Tab General

Simple Queue Mikrotik

Name : (diisi bebas, misal Client 1)
Target Address : (IP Address Client 1)
Target Upload / Target Download : Centang dah dua2nya
Max Limit : Pilih option kecepatan Upload/Download buat Client 1

Read more »

limit bandwith siang dan malam

Andaikan kita punya jaringan 192.168.1.0/24 dan mau dilimit berdasarkan siang dan malam hari

Network 192.168.1.0/24
Bandwidth = 06:00am – 18:00pm – 1Mbps. <Max-Limit>
Bandwidth = 18:00pm – 06:00am – 2Mbps. <Max-Limit>

Buat 2 Simple Queue untuk jaringan LAN yg sama dengan beda bandwidth.

/queue simple
#name=”Siang” target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0
interface=<ether-x> parent=none direction=both priority=8
queue=default-small/default-small limit-at=512k/512k
max-limit=1M/1M total-queue=default-small

#name=”Malam” target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0
interface=<ether-x> parent=none direction=both priority=8
queue=default-small/default-small limit-at=1M/1M
max-limit=2M/2M total-queue=default-small

Sekarang, buat script nya

/system script
#name=”Siang” source=/queue simple enable Siang; /queue simple disable Malam
#name=”Malam” source=/queue simple enable Malam; /queue simple disable Siang

Jika script yang diberi nama “Siang” dieksekusi,script tersebut akan 
mengenable simple queue yang diberi nama “Siang dan mendisable simple 
queue “Malam”

Untuk script yang malam adalah sebaliknya

/system scheduler
#name=”Siang” on-event=Siang start-date=may/15/2008 start-time=06:00:00 interval=1d
#name=”Malam” on-event=Malam start-date=may/15/2008 start-time=18:00:00 interval=1d

Read more »

cara blokir client ganti ip

Mikrotik | Mencegah Client Mengganti Statik IP Address

By Adam Rachmad

Posting pertama di hosting yang baru, kali ini saya mao sharing bagaimana mencegah client mengganti statik IP Address yang kita berikan. Biasanya setting ini dibutuhkan untuk ISP kecil2an atau rt/rw net. Sering client mencoba ganti-ganti ip address, niat mereka sih sapa tau dapet IP address yang ga di limit. Jadi dengan setting ini jika client mengganti ip address yang tidak sesuai yang kita berikan maka mereka tidak dapat menggunakan koneksi internet. Mari kita memanfaatkan fungsi firewall mikrotik.

Contoh Kasus :
Anda membuat bandwidth management dengan setting seperti ini :

Client 1 : IP 172.22.0.23, limit download  256kbps limit upload 64kbps
Client 2 : IP 172.22.0.34, limit download 1mbps, limit upload 256kbps

Nah, si client 1 nyoba2 nih ganti-ganti ip address sampai dia ketemu memakai IP client 2. Otomatis dia bisa dapet batas limit client 2 yang lebih besar. Jingkrak-jingkrak deh client 1 karena internetnya jadi lebih ngebut 4x lipat.
Berikut salah satu tehnik  menghindari hal tersebut ini, dengan menggunakan firewall mikrotik.

/ip firewall filter
chain=forward action=drop src-address=!172.22.0.23
src-mac-address=00:75:34:65:8Z:5D

chain=forward action=drop src-address=!172.22.0.34
src-mac-address=00:34:62:15:5A:9E

Penjelasan script di atas :
Mac address salah satu client anda (00:75:34:65:8Z:5D) dengan chain=forward (melewati router mikrotik/akses ke internet) jika menggunakan IP address SELAIN 172.22.0.23 akan di drop alias di bikin matot.
Kita bikin begini dengan niat untuk menjaga kenyamanan client-client kita, soalne bnyak loh client yang lebih pinter dari admin. Apalagi yang isengnya ga ketulungan.

Read more »

blok situs porno

1. Pertama anda buat account dulu disini
2. Pilih OpenDNS BASIC (yg pasti itu yg gratis)
3. Abis proses registrasinya berhasil nanti dikasih IP DNS yg bisa kita pakai “208.67.222.222 dan 208.67.220.220″ sama cara set up dns di beberapa device
4. Cek email yg dipakai untuk registrasi, klik URL tuk aktifasi
5. Masuk ke tab “Setting”
6. Masukin IP Public/WAN anda di kolom “Add Network”. Harusnya langsung terisi dengan ip public anda (IP public anda harus static dari provider jika setting untuk mikrotik, untuk windows xp ada software untuk update ip public dynamic anda)
7. Setelah selesai, anda pilih Setting for IP Publik Anda
   Pilih Filtering level sesuai kebutuhan anda / anda bisa memasukan website yang mau anda block “Manage individual domains”

Dah step diatas sekarang kita masuk ke mikrotik…
Masukan ip dns yang diberikan OpenDNS

/ip dns
set primary-dns=208.67.222.222 secondary-dns=208.67.220.220 allow-remote-requests=yes

Read more »