Web Internet of Thing go Blog: Setting Mikrotik

Showing posts with label Setting Mikrotik. Show all posts

Sunday, June 29, 2014

Cara Memblokir Pencarian Winbox Mikrotik

Winbox Mikrotik dapat mencari/menemukan perangkat Mikrotik yang terhubung dengan jaringan PC/Laptop kita. Dengan fitur Winbox ini kita bisa tau Mac Address, IP Address, Identisa Mikrotik, Versi RouterOS, dan tipe Routerboard nya seperti gambar berikut ini :

Fitur ini tentunya dapat memudahkan kita untuk mengidentifikasi Mikrotik yang terhubung ke jaringan kita. Namun dengan adanya fitur ini juga akan mengurangi keamanan jaringan terutama Mikrotik itu sendiri, karena dapat ditemukan oleh siapa saja yang menggunakan Winbox. Lebih parah lagi kalau orang itu sampai bisa login ke Mikrotik nya dan mengacak-acak konfigurasi di dalamnya. Jangan sampai dehh..

Nah, oleh karena itu akan lebih baik dan aman kalau fitur pencarian Mikrotik di Winbox ini diblokir saja. Sehingga ketika siapa saja membuka winbox dan melakukan pencarian, maka Mikrotik kita tidak akan muncul di pencarian Winbox tersebut.

Oke, langsung saja lanjut ke Cara Memblokir Pencarian Winbox Mikrotik :

1. Download Winbox Mikrotik. Yang udah punya gak usah gak apa2 :D

2. Login Mikrotik via Winbox

3. Masuk ke menu Tools --> MAC Server --> MAC Ping Server --> Hilangkan centang MAC Ping Server Enabled

4. Masuk ke tab Winbox Interface --> Klik pada "all" --> Klik tanda silang untuk disable

5. Masuk ke menu IP --> Neighbors. Disini interface yang terhubung ke perangkat lain akan muncul.

6. Masuk tab Discovery Interfaces --> Pilih interface mana saja yang akan memblokir pencarian Winbox --> Klik tanda silang.

7. Sekarang coba buka Winbox lagi kemudian coba lakukan pencarian. Mikrotik tidak akan ditemukan oleh Winbox seperti gambar berikut :

NB :

Tutorial ini selain memblokir pencarian winbox juga akan memblokir login via MAC Address Mikrotik. Jadi hanya bisa login di Winbox menggunakan IP Address saja. Kalau masih ingin bisa login via MAC Address, langkah 3 dan 4 di atas bisa dilewati saja.

Oke demikianlah Tutorial Cara Memblokir Pencarian Winbox Mikrotik untuk meningkatkan keamanan Mikrotik. Semoga bermanfaat :)

Sunday, May 25, 2014

Tutorial Membuat Koneksi WDS di Mikrotik

Teori Dasar Wireless Distribution System (WDS)

WDS (Wireless Distribution System) adalah sistem yang memungkinkan interkoneksi antar Access point (AP). Sistem ini digunakan untuk memperluas jangkauan area wireless, dengan menggunakan beberapa perangkat AP yang menjadi satu kesatuan, tanpa membangun backbone jaringan. Syarat dalam membangun jaringan WDS adalah AP harus menggunakan Band, Frequency, dan SSID yang sama.

Perbedaan Wireless non-WDS dan Wireless dengan WDS

Wireless AP non-WDS

Pada gambar di atas apabila user berpindahtempat dari area AP 1 ke area AP lain (AP2/AP3), maka user akan mengalami kehilangan koneksi beberapa saat sebelum terhubung ke area AP yang baru.

Wireless AP dengan WDS

Pada gambar di atas apabila user berpindah tempat dari area AP1 ke area AP lain (AP2/AP3), maka user seakan-akan tetap berada di area yang sama tanpa perlu kehilangan koneksi.

Itulah beberapa penjelasan dan teori singkat tentang WDS. Mikrotik dapat digunakan untuk membangun jaringan WDS. Fitur WDS pada wireless ini dapat kita aktifkan dengan masuk ke menu

wireless --> wlan1 --> tab WDS

Penjelasan Mode WDS Mikrotik :

WDS Dynamic adalah Interface WDS secara otomatis akan terbuat ketika sudah menentukan perangkat AP lain yang kompetibel
WDS Static adalah mode WDS yang Interface WDS nya dibuat secara manual
WDS Dynamic-Mesh adalah mode WDS yang sama seperti WDS Dynamic, namun hanya menggunakan protocol HWMP+ (Pengembangan dari WDS standar)
WDS Static-Mesh adalah mode WDS yang sama dengan mode Static, hanya menggunakan protocol HWMP+

HWMP (Hybrid Wireless Mesh Protocol) adalah protocol routing untuk mengimplementasikan topologi mesh di jaringan wireless yang didasari dari AODV (Adhoc On Demand Distance Vector) dan tree-based routing.

Untuk contoh penggunaan WDS pada Mikrotik akan saya share tutorial dari blog lain karena keterbatasan alat untuk praktek :D.

Wireless Distribution System (WDS) pada Mikrotik yang akan dibuat adalah seperti topologi pada gambar berikut ini :

Metode WDS pada prinsipnya membuat access point dengan satu SSID yang sama, kita perlu mengetahui MAC Address masing-masing access point, anggaplah anda sudah mengerti, mari kita lanjutkan dengan mengkonfigurasi masing-masing access point.

Disisi MikroTik

Buatlah Interface Bridge dan pada tab STP pilih Protocol Mode di rstp.

Masukkan interface wireless ke interface bridge port yang kita buat.

Konfigurasi Wireless Interface, baik Mode Wirelessnya, Frequency dan SSIDnya.

Setelah itu di Interface Wireless pada tab WDS setting WDS Mode dan WDS Default Bridgenya.

Setting Di Access Point MikroTik sudah selesai selanjutnya kita lanjutkan ke konfigurasi di access point NanoStation2

Disisi Ubiquiti NanoStation2

Setelah kita login pada wireless Nanostation2 kita, pilih tab Wireless dan pada Wireless Mode Kita pilih Access Point WDS dan masukkan WDS Peers (MAC Address Interface Wireless MikroTik) yang dapat kita lihat di tab General pada Interface Wireless di Intreface Wireless MikroTik.

Rubah SSID dan Channel (Frequency) sesuikan dengan Konfigurasi Access Point MikroTik.

Setelah konfigurasi selesai lakukan test ping dari PC Desktop ke Laptop (pastikan Subnet IP dan Firewall di kedua komputer paket ICMPnya tidak di blok), jika berhasil kita ping dari kedua sisi maka konfigurasi kita sudah benar, jika belum berhasil silahkan ulangi atau cek kembali konfigurasi yang kita buat.

Demikianlah penjelasan dan tutorial Membuat Koneksi WDS di Mikrotik. Silakan dicoba dan semoga bermanfaat :)

Sumber :

http://sujianto.wordpress.com/2012/03/20/bagaimana-membuat-wds-di-mikrotik/

Modul Praktikum WDS Teknik Jaringan DTE UGM

Tutorial Membuat Koneksi WDS di Mikrotik

Teori Dasar Wireless Distribution System (WDS)

Perbedaan Wireless non-WDS dan Wireless dengan WDS

Wireless AP non-WDS

Pada gambar di atas apabila user berpindahtempat dari area AP 1 ke area AP lain (AP2/AP3), maka user akan mengalami kehilangan koneksi beberapa saat sebelum terhubung ke area AP yang baru.

Wireless AP dengan WDS

Pada gambar di atas apabila user berpindah tempat dari area AP1 ke area AP lain (AP2/AP3), maka user seakan-akan tetap berada di area yang sama tanpa perlu kehilangan koneksi.

Itulah beberapa penjelasan dan teori singkat tentang WDS. Mikrotik dapat digunakan untuk membangun jaringan WDS. Fitur WDS pada wireless ini dapat kita aktifkan dengan masuk ke menu

wireless --> wlan1 --> tab WDS

Penjelasan Mode WDS Mikrotik :

WDS Dynamic adalah Interface WDS secara otomatis akan terbuat ketika sudah menentukan perangkat AP lain yang kompetibel
WDS Static adalah mode WDS yang Interface WDS nya dibuat secara manual
WDS Dynamic-Mesh adalah mode WDS yang sama seperti WDS Dynamic, namun hanya menggunakan protocol HWMP+ (Pengembangan dari WDS standar)
WDS Static-Mesh adalah mode WDS yang sama dengan mode Static, hanya menggunakan protocol HWMP+

Untuk contoh penggunaan WDS pada Mikrotik akan saya share tutorial dari blog lain karena keterbatasan alat untuk praktek :D.

Wireless Distribution System (WDS) pada Mikrotik yang akan dibuat adalah seperti topologi pada gambar berikut ini :

Disisi MikroTik

Buatlah Interface Bridge dan pada tab STP pilih Protocol Mode di rstp.

Masukkan interface wireless ke interface bridge port yang kita buat.

Konfigurasi Wireless Interface, baik Mode Wirelessnya, Frequency dan SSIDnya.

Setelah itu di Interface Wireless pada tab WDS setting WDS Mode dan WDS Default Bridgenya.

Setting Di Access Point MikroTik sudah selesai selanjutnya kita lanjutkan ke konfigurasi di access point NanoStation2

Disisi Ubiquiti NanoStation2

Rubah SSID dan Channel (Frequency) sesuikan dengan Konfigurasi Access Point MikroTik.

Demikianlah penjelasan dan tutorial Membuat Koneksi WDS di Mikrotik. Silakan dicoba dan semoga bermanfaat :)

Sumber :

http://sujianto.wordpress.com/2012/03/20/bagaimana-membuat-wds-di-mikrotik/

Modul Praktikum WDS Teknik Jaringan DTE UGM

Saturday, April 19, 2014

Cara Membagi Bandwidth Sederhana di Mikrotik

Membagi Bandwidth internet secara sederhana berdasarkan interface menggunakan Mikrotik. Hal ini yang akan kita bahas kali pada artikel ini. Sebelum saya lanjutkan, saya sarankan untuk membaca artikel sebelumnya tentang Cara Membatasi (Limit) Bandwidth Mikrotik dengan Simple Queue Mikrotik.

Oke, langsung saja kita mulai. Jadi kali ini kita akan membuat pembagian bandwidth secara sederhana berdasarkan interface yang digunakan. Untuk lebih jelasnya silakan lihat topologi jaringannya berikut ini :

Bandwidth internet yang saya gunakan adalah seperti berikut ini :

Koneksi Internet dari ISP 3 dengan Bandwidth 4 Mbps (Download) dan 1 Mbps (Upload).

Nah, dari koneksi internet itu, saya akan membagi bandwidth nya menjadi 3 dibagi per interface. Jadi disini saya menggunakan 4 interface ether.

-> interface ether1 : koneksi ke internet (DHCP Client)

-> interface ether2 : koneksi ke client 1

-> interface ether3 : koneksi ke client 2

-> interface ether4 : koneksi ke client 3

Masing-masing interface ether akan dikasih bandwidth

Download : 4 Mb/3 = 1333 Kb

Upload : 1 Mb/3 = 333 Kb

Oke, kita mulai langkah-langkah Cara Membagi Bandwidth Sederhana di Mikrotik :

1. Pastikan Mikrotik anda sudah bisa terhubung ke Internet (Seting DHCP Client, DNS, Firewall Masquerde, IP Address, dll).

2. Seting IP address untuk masing-masing interce yang tehubung ke client :

--> ether2 : 10.10.10.1/24

--> ether3 : 10.10.20.1/24

--> ether4 : 10.10.30.1/24

3. Buat DHCP Server untuk masing-masing client, masuk menu IP --> DHCP Server --> DHCP Setup

(Jika anda ingin konfigurasi IP client secara manual point ini bisa dilewati)

4. Untuk Membagi Bandwidth, masuk ke menu Queues --> Simple Queues --> Buat rule baru

[Tab General]

--> Beri nama rule nya

--> Target : ether2 atau 10.10.10.0/24

--> Max limit :

---> Target Upload : 333k

---> Target Download : 1333k

[Tab Advanced]

--> Limit At :

---> Target Upload : 333k

---> Target Download : 1333k

Untuk membuat rule pada interface selanjutnya, tinggal klik saja tombol Copy terus ganti nama dan target nya supaya lebih cepat.

5. Kalo setingan sudah beres, sekarang kita coba tes dengan melakukan Bandwidth test pada Client, dan hasilnya adalah sebagai berikut :

Hasilnya hampir sama seperti yang sudah kita seting sebelumnya yakni :

Bandwidth 1190 Kb (Download) dan 333 Kb (Upload)

Sekarang pertanyaan nya, kenapa pembagian nya dibuat per interface? Karena itu adalah permintaan klien saya :D. Waktu saya di Makassar, saya diminta oleh Polda Sulsel untuk membagi bandwidth internet menjadi tiga menggunakan Mikrotik RB750. Masing-masing dibuat sama rata per interface karena mau digunakan untuk koneksi Video Conference dengan Mabes Polri. Sekalian saya bantu seting juga video conference nya. Sedikit curhat boleh ya :D

https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-prn1/t1.0-9/1979600_10201812431500035_1383645642_n.jpg

Oke, sekian saja tutorial Cara Membagi Bandwidth Sederhana di Mikrotik. Semoga bermanfaat :)

Cara Membagi Bandwidth Sederhana di Mikrotik

Bandwidth internet yang saya gunakan adalah seperti berikut ini :

Koneksi Internet dari ISP 3 dengan Bandwidth 4 Mbps (Download) dan 1 Mbps (Upload).

Nah, dari koneksi internet itu, saya akan membagi bandwidth nya menjadi 3 dibagi per interface. Jadi disini saya menggunakan 4 interface ether.

-> interface ether1 : koneksi ke internet (DHCP Client)

-> interface ether2 : koneksi ke client 1

-> interface ether3 : koneksi ke client 2

-> interface ether4 : koneksi ke client 3

Masing-masing interface ether akan dikasih bandwidth

Download : 4 Mb/3 = 1333 Kb

Upload : 1 Mb/3 = 333 Kb

Oke, kita mulai langkah-langkah Cara Membagi Bandwidth Sederhana di Mikrotik :

1. Pastikan Mikrotik anda sudah bisa terhubung ke Internet (Seting DHCP Client, DNS, Firewall Masquerde, IP Address, dll).

2. Seting IP address untuk masing-masing interce yang tehubung ke client :

--> ether2 : 10.10.10.1/24

--> ether3 : 10.10.20.1/24

--> ether4 : 10.10.30.1/24

3. Buat DHCP Server untuk masing-masing client, masuk menu IP --> DHCP Server --> DHCP Setup

(Jika anda ingin konfigurasi IP client secara manual point ini bisa dilewati)

4. Untuk Membagi Bandwidth, masuk ke menu Queues --> Simple Queues --> Buat rule baru

[Tab General]

--> Beri nama rule nya

--> Target : ether2 atau 10.10.10.0/24

--> Max limit :

---> Target Upload : 333k

---> Target Download : 1333k

[Tab Advanced]

--> Limit At :

---> Target Upload : 333k

---> Target Download : 1333k

Untuk membuat rule pada interface selanjutnya, tinggal klik saja tombol Copy terus ganti nama dan target nya supaya lebih cepat.

5. Kalo setingan sudah beres, sekarang kita coba tes dengan melakukan Bandwidth test pada Client, dan hasilnya adalah sebagai berikut :

Hasilnya hampir sama seperti yang sudah kita seting sebelumnya yakni :

Bandwidth 1190 Kb (Download) dan 333 Kb (Upload)

Oke, sekian saja tutorial Cara Membagi Bandwidth Sederhana di Mikrotik. Semoga bermanfaat :)

Tuesday, March 18, 2014

Memblokir Port Virus di Mikrotik Menggunakan Firewall

Penyebaran virus dan malware di jaringan dapat terjadi jika kita tidak selektif dalam mengaktifkan port apa saja yang digunakan. Untuk mengamankan jaringan dari penyebaran virus dan malware, kita dapat menutup port komunikasi yang tidak digunakan dan rentan dimanfaatkan oleh virus. Caranya dengan menggunakan rule firewall Mikrotik untuk men-drop paket yang masuk ke port yang tidak digunakan.

Caranya sangat mudah, silakan anda copy paste command berikut ini ke terminal Mikrotik :

/ ip firewall filter
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Blaster Worm"
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Messenger Worm"
add chain=virus protocol=tcp dst-port=445 action=drop comment="Blaster Worm"
add chain=virus protocol=udp dst-port=445 action=drop comment="Blaster Worm"
add chain=virus protocol=tcp dst-port=593 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"

add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Dumaru.Y"
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Beagle"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Beagle.C-K"
add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="MyDoom"
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Backdoor OptixPro"
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser"
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop Dabber.A-B"
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop MyDoom.B"
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus"
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2"
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop SubSeven"
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot,Agobot, Gaobot"
add chain=virus protocol=udp dst-port=12667 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=udp dst-port=27665 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=udp dst-port=31335 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=udp dst-port=27444 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=udp dst-port=34555 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=udp dst-port=35555 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=27444 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=27665 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=31335 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=31846 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=34555 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=35555 action=drop comment="Trinoo" disabled=no
add action=drop chain=forward comment=";;Block W32.Kido - Conficker" disabled=no protocol=udp src-port=135-139,445
add action=drop chain=forward comment="" disabled=no dst-port=135-139,445 protocol=udp
add action=drop chain=forward comment="" disabled=no protocol=tcp src-port=135-139,445,593
add action=drop chain=forward comment="" disabled=no dst-port=135-139,445,593 protocol=tcp
add action=accept chain=input comment="Allow limited pings" disabled=no limit=50/5s,2 protocol=icmp
add action=accept chain=input comment="" disabled=no limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="drop FTP Brute Forcers" disabled=no dst-port=21 protocol=tcp src-address-list=FTP_BlackList
add action=drop chain=input comment="" disabled=no dst-port=21 protocol=tcp src-address-list=FTP_BlackList
add action=accept chain=output comment="" content="530 Login incorrect" disabled=no dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=FTP_BlackList address-list-timeout=1d chain=output comment="" content="530 Login incorrect" disabled=no protocol=tcp
add action=drop chain=input comment="drop SSH&TELNET Brute Forcers" disabled=no dst-port=22-23 protocol=tcp src-address-list=IP_BlackList
add action=add-src-to-address-list address-list=IP_BlackList address-list-timeout=1d chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_3
add action=add-src-to-address-list address-list=SSH_BlackList_3 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_2
add action=add-src-to-address-list address-list=SSH_BlackList_2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_1
add action=add-src-to-address-list address-list=SSH_BlackList_1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp
add action=drop chain=input comment="drop port scanners" disabled=no src-address-list=port_scanners
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

Hasilnya akan jadi seperti ini :

Nah, sekarang kita sudah berhasil Memblokir Port Virus Menggunakan Firewall di Mikrotik.
Semoga bermanfaat :)

Memblokir Port Virus di Mikrotik Menggunakan Firewall

Caranya sangat mudah, silakan anda copy paste command berikut ini ke terminal Mikrotik :

/ ip firewall filter
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Blaster Worm"
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Messenger Worm"
add chain=virus protocol=tcp dst-port=445 action=drop comment="Blaster Worm"
add chain=virus protocol=udp dst-port=445 action=drop comment="Blaster Worm"
add chain=virus protocol=tcp dst-port=593 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"

add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Dumaru.Y"
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Beagle"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Beagle.C-K"
add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="MyDoom"
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Backdoor OptixPro"
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser"
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop Dabber.A-B"
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop MyDoom.B"
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus"
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2"
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop SubSeven"
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot,Agobot, Gaobot"
add chain=virus protocol=udp dst-port=12667 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=udp dst-port=27665 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=udp dst-port=31335 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=udp dst-port=27444 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=udp dst-port=34555 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=udp dst-port=35555 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=27444 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=27665 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=31335 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=31846 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=34555 action=drop comment="Trinoo" disabled=no
add chain=virus protocol=tcp dst-port=35555 action=drop comment="Trinoo" disabled=no
add action=drop chain=forward comment=";;Block W32.Kido - Conficker" disabled=no protocol=udp src-port=135-139,445
add action=drop chain=forward comment="" disabled=no dst-port=135-139,445 protocol=udp
add action=drop chain=forward comment="" disabled=no protocol=tcp src-port=135-139,445,593
add action=drop chain=forward comment="" disabled=no dst-port=135-139,445,593 protocol=tcp
add action=accept chain=input comment="Allow limited pings" disabled=no limit=50/5s,2 protocol=icmp
add action=accept chain=input comment="" disabled=no limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="drop FTP Brute Forcers" disabled=no dst-port=21 protocol=tcp src-address-list=FTP_BlackList
add action=drop chain=input comment="" disabled=no dst-port=21 protocol=tcp src-address-list=FTP_BlackList
add action=accept chain=output comment="" content="530 Login incorrect" disabled=no dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=FTP_BlackList address-list-timeout=1d chain=output comment="" content="530 Login incorrect" disabled=no protocol=tcp
add action=drop chain=input comment="drop SSH&TELNET Brute Forcers" disabled=no dst-port=22-23 protocol=tcp src-address-list=IP_BlackList
add action=add-src-to-address-list address-list=IP_BlackList address-list-timeout=1d chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_3
add action=add-src-to-address-list address-list=SSH_BlackList_3 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_2
add action=add-src-to-address-list address-list=SSH_BlackList_2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_1
add action=add-src-to-address-list address-list=SSH_BlackList_1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp
add action=drop chain=input comment="drop port scanners" disabled=no src-address-list=port_scanners
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

Hasilnya akan jadi seperti ini :

Nah, sekarang kita sudah berhasil Memblokir Port Virus Menggunakan Firewall di Mikrotik.
Semoga bermanfaat :)

Wednesday, March 12, 2014

Cara Memblokir Penggunaan Web Proxy External di Mikrotik

Web Proxy external dapat digunakan untuk mem-bypass firewall dan membuka situs yang tadinya diblokir. Hal ini tentunya bisa bikin kita gigit jari, ketika sudah susah payah bikin sistem dengan firewall untuk memblokir situs macam-macam, ternyata client menggunakan proxy untuk mem-bypass firewall nya. Cape deh..

Nah, supaya client tidak bisa menggunakan proxy external untuk mem-bypass firewall, kita perlu memblokir penggunaan web proxy external dengan menggunakan Mikrotik. Caranya dengan membuat rule firewall mikrotik yang memblokir penggunaan port proxy. Hal ini dapat mencegah user/client untuk menggunakan proxy.

Ok, langsung saja ya ikuti Cara Memblokir Penggunaan Web Proxy External di Mikrotik berikut ini :

1. Jika anda menggunakan web proxy internal di Mikrotik, pastikan port nya diganti ke port yang tidak biasa dipake proxy, misalnya port 88

2. Jika anda menggunakan mode transparent proxy, pastikan port redirect nya juga sudah diganti ke port baru, misalnya port 88

3. Buat rule firewall baru dengan melakukan "drop" semua port yang digunakan oleh proxy. Anda bisa copy - paste script berikut ini di terminal :

/ip firewall filter
add action=drop chain=forward comment="Blokir Proxy Port #1" dst-port=\
    3128,54321,6515,6666,8000,8001,8008,808,8080,8081,8088 protocol=tcp \
    src-address=0.0.0.0/0
add action=drop chain=forward comment="Blokir Proxy Port #2" dst-port=\
    8090,81,8118,8181,82,83,84,85,86,8888,8909,9000,9090 protocol=tcp \
    src-address=0.0.0.0/0

4. Jika anda menemukan port lain yang digunakan proxy, silakan ditambahkan sendiri ya.

5. Berikut contoh penggunaannya ketika saya mencoba membuka sebuah web yang diblokir :

=> Sebelum menggunakan proxy

=> Menggunakan proxy

=> Setelah port proxy di "drop"

Nah, jadi dengan trik ini kita bisa mencegah user/client untuk menggunakan proxy selama port proxy yang mereka gunakan sudah masuk ke daftar blokir.

Oke, demikianlah tutorial mikrotik tentang Cara Memblokir Penggunaan Web Proxy External di Mikrotik. Silakan dicoba dan semoga bermanfaat :)