MIKROTIK Router, Firewall, Webproxy
Mikrotik merupakan sebuah software yang berlisence yang menggunakan kernel linux. Untuk menginstal software tsb sangat lah gampang, booting dari cd room pilihlah service yang yang kita butuhkan dengan menekan tanda silang (x) lalu tekan “i “ untuk menginstall.SELESAI
I. Mikrotik Sebagai Router.
Untuk awalan konfigurasi ip kita sebagai berikut :
IP 10.168.16.10/28 —à Internet dengan gateway 10.168.16.1 dan IP : 192.168.10.1/24 —-à LAN.
Interface Ethernet Set 0 Name=Internet .
Interface Ethernet Set 1 Name=LAN
Perintah diatas untuk merubah nama interface. Default nama interface yang di berikan adalah Eth0 dan Eth1.
Lalu berikut ini perintah untuk memberi IP
ip address add address=10.168.16.10/28 interface Internet
ip address add address=192.168.10.1/24 interface LAN
Berikan gateway dari router tsb dgn perintah :
ip route add gateway 10.168.16.1
Setelah itu kita NAT kan ip LAN yaitu 192.168.10.1/24 dengan perintah sbb :
/ ip firewall nat
add chain=srcnat out-interface=Internet src-address=192.168.10.0/24 action=masquerade comment=”” disabled=no
lalu:
Selesai sudah computer anda menjadi sebuah router sengan system operasi Mikrotik.
Untuk pengujian cobalah computer anda yang lain dengan konfigurasi ip yang di sesuaikan dengan IP LAN dengan gateway ip LAN routernya.
II. Firewall di Mikrotik
Apabila mesin anda hanya dapat di aksess hanya dari ip yang anda ingin kan, itu dapat di atur di perintah firewall filter nya.
Berikut cth firewall yang saya berikan :
Sebelumnya definisikan ip yang anda inginkan untuk di permitkan dengan perintah
ip firewall add address-list=192.168.10.0/24, 10.168.16.0/28 name=ournetwork
ip firewall filter
add chain=forward connection-state=established action=accept comment=”allow \
established connections” disabled=no
add chain=forward connection-state=related action=accept comment=”allow \
related connections” disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop \
Messenger Worm” disabled=no
add chain=forward connection-state=invalid action=drop comment=”drop invalid \
connections” disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop \
Blaster Worm” disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster \
Worm” disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster \
Worm” disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom” \
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment=”ndm requester” \
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment=”ndm server” \
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment=”screen cast” \
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment=”hromgrafx” \
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment=”cichlid” \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus” \
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y” \
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle” \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop \
Beagle.C-K” disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment=”Drop MyDoom” \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor \
OptixPro” disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser” \
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B” \
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop \
Dabber.A-B” disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop \
Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau \
webmin” disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop \
MyDoom.B” disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus” \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2″ \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop \
SubSeven” disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, \
Agobot, Gaobot” disabled=no
add chain=forward action=jump jump-target=virus comment=”jump to the virus \
chain” disabled=no
add chain=input connection-state=established action=accept comment=”Accept \
established connections” disabled=no
add chain=input connection-state=related action=accept comment=”Accept related \
connections” disabled=no
add chain=input connection-state=invalid action=drop comment=”Drop invalid \
connections” disabled=no
add chain=input protocol=udp action=accept comment=”UDP” disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment=”Allow \
limited pings” disabled=no
add chain=input protocol=icmp action=drop comment=”Drop excess pings” \
disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ournetwork \
action=accept comment=”FTP” disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ournetwork \
action=accept comment=”SSH for secure shell” disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=ournetwork \
action=accept comment=”Telnet” disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=ournetwork \
action=accept comment=”Web” disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=ournetwork \
action=accept comment=”winbox” disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment=”pptp-server” \
disabled=no
add chain=input src-address-list=ournetwork action=accept comment=”From \
Datautama network” disabled=no
add chain=input action=log log-prefix=”DROP INPUT” comment=”Log everything \
else” disabled=no
add chain=input action=drop comment=”Drop everything else” disabled=no
III. Mikrotik sebagai Mesin Web proxy
Setelah firewall di mesin anda berjalan dengan baik maka selanjutnya kita juga bisa gunakan mesin ada tsb sebagai mesin web proxy.Yang perlu saya informasikan yaitu computer yang di butuh kan untuk menjadi mesin web proxy minimal Pentium III dengan RAM minimal 128M.Semakin tinggi spesifikasi komputer anda semakin bagus.
Untuk konfigurasinya sebagai berikut :
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=3128 hostname=”mesin.proxy.net” transparent-proxy=yes parent-proxy=0.0.0.0:0 \
cache-administrator=”admin@mesin.proxy.net” max-object-size=4096KiB cache-drive=system max-cache-size=unlimited \
max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment=”block telnet & spam e-mail relaying” disabled=no
add dst-port=443-563 action=deny comment=”” disabled=no
add dst-port=21 action=deny comment=”” disabled=no
add dst-port=21 action=deny comment=”” disabled=no
add dst-port=1025-65535 action=deny comment=”” disabled=no
add dst-port=280,488,591,777 action=deny comment=”” disabled=no
add dst-port=81,82,10000 action=deny comment=”” disabled=no
add dst-port=8291 action=allow comment=”” disabled=no
add src-address=127.0.0.1/32 action=allow comment=”localhost” disabled=no
add src-address=10.168.16.0/28 action=allow comment=”” disabled=no
add src-address=192.168.10.0/24 action=allow comment=”local address” disabled=no
add action=deny comment=”” disabled=no
/ ip web-proxy cache
add url=”:cgi-bin \\?” action=deny comment=”don’t cache dynamic http pages” disabled=no
Setelah melakukan perintah diatas lalu kita harus mentransparankan ip local nya (LAN) agar ip di bawah nya (LAN) di redirect melalui mesin proxynya.Perintah untuk transparan proxynya sebagai berikut
/ ip firewall nat
add chain=dstnat in-interface=Local protocol=tcp dst-port=80 src-address-list=iplan dst-address-list=192.168.10.0/24 action=redirect \
to-ports=3128 comment=”” disabled=no
add chain=dstnat in-interface=Local protocol=tcp dst-port=8080 src-address-list=iplan dst-address-list=192.168.10.0/24 \
action=redirect to-ports=3128 comment=”” disabled=no
add chain=dstnat protocol=tcp dst-port=80 action=accept comment=”” disabled=no
add chain=dstnat protocol=tcp dst-port=8080 action=accept comment=”” disabled=no
Setelah itu mesin anda sudah selesai menjadi mesin Web Proxy.
IV. Mikrotik sebagai Bandwith Limiter
Setelah anda berhasil mesin anda menjadi Web proxy, anda juga dapat mengkonfigurasi kan mesin anda sebagai Bandwith Limiter.Ini berguna jika anda yang mempunyai sebuah warnet selalu mengeluhkan lambatnya access. Tidak sepenuh nya access anda yang lambat di sebabkan oleh jeleknya link access ISP tempat anda berlangganan.Bisa saja salah satu user anda sedang melakukan download yang besar atw pun user anda sedang browsing dengan image/gambar yang banyak seperti situs-situs porno sehingga BW yang anda miliki terkuras oleh salah satu user yang tamak sehingga dapat menggaggu user lainnya yang sangat membutuhkan.
Dengan cara ini anda dapat mengatur BW yang anda miliki dan memberi jatah kepada user yang tamak sehingga tidak menggaggu user lainnya yang lebih membutuhkan.
Konfigurasi ini di set untuk setiap computer dengan definisi setiap IP nya.
Untuk settingan awal kita harus mendefinisikan setiap paket dari setiap ip di ip mangle nya.Berikut konfigurasinya :
/ ip firewall mangle
add chain=prerouting in-interface=Local protocol=!icmp src-address-list=192.168.10.2/32 action=mark-packet new-packet-mark=02-UP \
passthrough=no comment=”O1″ disabled=no
add chain=forward protocol=!icmp src-address-list=192.168.10.2/32 action=mark-connection new-connection-mark=02-MC passthrough=yes \
comment=”” disabled=no
add chain=forward in-interface=Internet protocol=!icmp connection-mark=02-MC src-address-list=192.168.10.2/32 action=mark-packet \
new-packet-mark=02-DOWN passthrough=no comment=”” disabled=no
add chain=output out-interface=Local protocol=!icmp dst-address-list=192.168.10.2/32 action=mark-packet new-packet-mark=02-DOWN \
passthrough=no comment=”” disabled=no
Konfigurasi diatas di set hanya untuk ip : 192.168.10.2, untuk set ip yang lainnya dapat anda ganti dan di tambahkan sesuai dengan jumlah ip yang aktif di user anda.
Setelah anda definisikan paket dan ip anda dengan perintah ip mangle di atas, lalu anda tinggal membuat konfigurasi Bandwith Limiternya dengan menggunakan queue tree.
Berikut perintahnya :
/ queue tree
add name=”DOWNLOAD” parent=Local packet-mark=”” limit-at=800000 queue=default priority=8 max-limit=800000 burst-limit=0 \
burst-threshold=0 burst-time=0s disabled=no
add name=”02″ parent=DOWNLOAD packet-mark=02-DOWN limit-at=30000 queue=default priority=8 max-limit=80000 \
burst-limit=150000 burst-threshold=78000 burst-time=2m disabled=yes
Untuk perintah diatas saya definisikan dahulu paket download secara keseluruhan, ini berguna agar kita dapat melihat pemakaian total Bandwith dari seluruh user yang aktif.. Bandwith Total maksimal yang saya set adalah 800 Kbps.
Lalu kemudian saya tambahkan BW untuk paket ip 192.168.10.2 dengan parent=DOWNLOAD dan packet-mark=02-DOWN yang telah kita definisikan sebelumnya di ip mangle diatas.
Limit Bandwith (minimal bandwith yang di dapat) untuk user 192.168.10.2 saya set hanya 30Kbps dan untuk maksimal Bandwith nya saya set mencapai 80Kbps.
Untuk burst-limit itu berfungsi jika user kita masih sedikit kita bisa set lebih dari Maksimal yang kita berikan diatas 80Kbps disini saya set mencapai 150 Kbps.
Pencapaian BW pada 150 Kbps jika BW user nya sudah mencapai 78Kbps harus di bawah Bandwith Maksimal anda 80 Kbps.Perintah ini ada pada burst-threshold.Bandwirth yang di hasilkan 150 kbps tsb kita set dengan waktu hanya 2 menit dengan perintah burst-time=2m.
Selesai sudah mesin anda telah menjadi sebuah mesin router, firewall, web-proxy dan Bandwith Limiter yang dapat di lakukan oleh 1 komputer saja.Saya sarankan agar computer anda mempunyai spesifikasi minimum Pentium III dengan RAM minimal 128M.
Namun jika anda hanya membutuh kan sebagai router dan Bandwith Limiter dapat anda lakukan di computer Pentium II atw bahkan Pentium I dengan spesifikasi RAM di bawah 128M.