Aplikasi Filter

Selasa, 03 Agustus 2010

Melindungi RouterOS Anda

Untuk melindungi router Anda, Anda tidak hanya harus mengubah password admin tetapi juga mengatur packet filtering. Semua paket dengan tujuan ke router diproses terhadap rantai masukan ip firewall. Perhatikan, bahwa rantai masukan tidak mempengaruhi paket yang sedang ditransfer melalui router.

/ ip firewall filter
add chain=input connection-state=invalid action=drop \
 comment="Drop Invalid connections" 
add chain=input connection-state=established action=accept \
 comment="Allow Established connections" 
add chain=input protocol=udp action=accept \
 comment="Allow UDP" 
add chain=input protocol=icmp action=accept \
 comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept \
 comment="Allow access to router from known network"
add chain=input action=drop comment="Drop anything else" 

Melindungi Jaringan Users

Untuk melindungi jaringan pelanggan, kita harus memeriksa semua traffic yang melewati router dan blok yang tidak diinginkan. 
Untuk icmp, tcp, traffic udp kita akan menciptakan rantai, di mana akan droped semua paket yang tidak diinginkan:

/ip firewall filter
add chain=forward protocol=tcp connection-state=invalid \
 action=drop comment="drop invalid connections" 
add chain=forward connection-state=established action=accept \
 comment="allow already established connections" 
add chain=forward connection-state=related action=accept \
 comment="allow related connections" 

Blok IP addreses

add chain=forward src-address=0.0.0.0/8 action=drop 
add chain=forward dst-address=0.0.0.0/8 action=drop 
add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
add chain=forward src-address=224.0.0.0/3 action=drop
add chain=forward dst-address=224.0.0.0/3 action=drop

Make jumps to new chains:

add chain=forward protocol=tcp action=jump jump-target=tcp 
add chain=forward protocol=udp action=jump jump-target=udp 
add chain=forward protocol=icmp action=jump jump-target=icmp

Buat rantai dan menyangkal tcp tcp port di dalamnya:

add chain=tcp protocol=tcp dst-port=69 action=drop \
 comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop \
 comment="deny RPC portmapper" 
add chain=tcp protocol=tcp dst-port=135 action=drop \
 comment="deny RPC portmapper" 
add chain=tcp protocol=tcp dst-port=137-139 action=drop \
 comment="deny NBT" 
add chain=tcp protocol=tcp dst-port=445 action=drop \
 comment="deny cifs" 
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS" 
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" 
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus" 
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" 
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP" 

Deny udp ports in udp chain:

add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP" 
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper" 
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper" 
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT" 
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS" 
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"

Allow only needed icmp codes in icmp chain:

add chain=icmp protocol=icmp icmp-options=0:0 action=accept \
 comment="drop invalid connections" 
add chain=icmp protocol=icmp icmp-options=3:0 action=accept \
 comment="allow established connections" 
add chain=icmp protocol=icmp icmp-options=3:1 action=accept \
 comment="allow already established connections" 
add chain=icmp protocol=icmp icmp-options=4:0 action=accept \
 comment="allow source quench" 
add chain=icmp protocol=icmp icmp-options=8:0 action=accept \
 comment="allow echo request" 
add chain=icmp protocol=icmp icmp-options=11:0 action=accept \
 comment="allow time exceed" 
add chain=icmp protocol=icmp icmp-options=12:0 action=accept \
 comment="allow parameter bad" 
add chain=icmp action=drop comment="deny all other types"

Diposting oleh DenDie di 04.02 0 komentar

Filter

Informasi Umum

firewall packet filtering menerapkan dan dengan demikian menyediakan fungsi keamanan yang digunakan untuk mengelola aliran data ke, dari dan melalui router. Seiring dengan Network Address Translation itu digunakan sebagai alat untuk mencegah akses tidak sah ke jaringan langsung terpasang dan router sendiri juga sebagai filter untuk lalu lintas keluar.
Quick Setup Guide

 Untuk menambahkan aturan firewall yang turun semua paket TCP yang ditakdirkan untuk port 135 dan akan melalui router, gunakan perintah berikut:

/ip firewall filter add chain=forward dst-port=135 protocol=tcp action=drop

Untuk menolak akses ke router melalui Telnet (protokol TCP, port 23),
ketik perintah berikut:

/ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop

Untuk hanya membolehkan tidak lebih dari 5 koneksi simultan dari masing-masing klien,
lakukan hal berikut:

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

Diposting oleh DenDie di 02.11 0 komentar

Bandwidth Control

BANDWIDTH sharing antar pengguna

Contoh ini menunjukkan bagaimana sama 10Mibps berbagi download dan upload 2Mbps antara pengguna aktif dalam jaringan 192.168.0.0/24. Jika Host adalah men-download 2 Mbps, Host B mendapatkan 8 Mbps dan sebaliknya. Mungkin ada situasi ketika kedua host ingin menggunakan bandwidth maksimum (10 Mbps), maka mereka akan menerima 5 Mbps masing-masing, yang sama berlaku untuk upload. Pengaturan ini juga berlaku untuk lebih dari 2 pengguna.

Pada awalnya, menandai semua lalu lintas, yang datang dari jaringan lokal 192.168.0.0/24 dengan pengguna tanda:

/ip firewall mangle add chain=forward src-address=192.168.0.0/24 \
  action=mark-connection new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=mark-packet \
  new-packet-mark=users chain=forward
Sekarang kita akan menambahkan 2 jenis baru PCQ. Pertama, disebut pcq-download akan mengelompokkan lalu lintas semua dengan alamat tujuan. Seperti yang akan kita lampirkan jenis ini antrian untuk antarmuka lokal, itu akan membuat antrian yang dinamis untuk setiap alamat tujuan (user) yang men-download ke jaringan 192.168.0.0/24. Tipe kedua, disebut pcq-upload akan mengelompokkan lalu lintas dengan alamat sumber. Kami akan melampirkan antrian ini untuk antarmuka Publik sehingga akan membuat satu antrian dinamis untuk setiap pengguna yang meng-upload ke Internet dari jaringan lokal 192.168.0.0/24.

/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address

Akhirnya, membuat pohon antrian untuk lalu lintas download:

/queue tree add name=Download parent=Local max-limit=10240000
/queue tree add parent=Download queue=pcq-download packet-mark=users

Dan untuk lalu lintas upload:

/queue tree add name=Upload parent=Public max-limit=2048000
/queue tree add parent=Upload queue=pcq-upload packet-mark=users

Catatan! Jika
ISP Anda tidak bisa menjamin anda suatu jumlah tetap lalu lintas, Anda
dapat menggunakan hanya satu antrian untuk upload dan satu untuk
men-download, melekat secara langsung ke antarmuka:

/queue tree add parent=Local queue=pcq-download packet-mark=users
/queue tree add parent=Public queue=pcq-upload packet-mark=users


Diposting oleh DenDie di 01.54 0 komentar

PROSES PENGINSTALAN MIKROTIK

Senin, 02 Agustus 2010

PROSES PENGINSTALAN MIKROTIK

1.Pertama isi login dengan nama admin

2.set nama mikrotik dengan format system identity name=dan nama yg di inginkan (contoh system identity set name ).

3.lalu ganti nama ip dari ether1dan 2 menjadi internet dan local seperti gambar dibawah.

4. setelah di ganti nama kemudain beri ip address,dengan mengetik ip ddress add adress dan ip yg kita inginkan (contoh ip local 172.16.4.1 sesuai absen) dan netmask.

5.Dan lalu ketik pr untuk mengecek ip address yang telah kita ganti lalu akan muncul gambar seperti yang ada di atas.

6.kemudian kita masukan defult gateway dengan mengetik ip route add gateway=dan ip yang kita inginkan (contoh ip route add gateway=192.168.0.254).

7.dan untuk melihatnya kembali ketik pr .lalu akan muncul tulisan gateway lalu di bawahnya ip yang kita masukan.

8.setelah default gateway lalu setup dns denagan mengetik ip dns setup primary-dns=192.168.0.10 allow-remote-requests=no.dana baut satu lagi yang kedua yaitu tinggal di ganti menjadi secondary dan ip. Seperti yang tertera pada gambar di bawah ini.dan mengeceknya kembali dengan mengetik pr.

9.setelah itu kita buat ip farewall dengan mengetik ip farewall nat add action=masquerade out-interface=internet kemudian akan muncul chain:dan isi dengan mengetik scrnat.dan untuk melihatnya kembali mengetik pr dan enter .

10.lalu membuat ip pool engan mengetik ip pool add name=dhcp-pool ranges=172.16.4.5-172.16.4.10 lalu mengeceknya kembali.

11. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client dengan mengetik ip dhcp-server network add address=172.16.4.0/24 gateway=172.16.4.1 dan tekan ENTER

12. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface local ) dengan mengetikip dhcp-server add interface=local address-pool=dhcp-pool

13.dan terakhir enablekan dhcp1 dengan mengetik enable 0 ,seperi pada gambar di atas.

14. lalu ping untuk memastikan komputer connect pada client.dengan cara buka cmd dan ketik ping 172.16.4.1 lalu enter. Apbila connect akan ada tulisan reply from 172.16.4.1 bytes=32 ttl=64 seperti pada gambar, berarti komputer sudah connect dan instal mikrotik telah selesai dan lancar

Diposting oleh DenDie di 03.54 0 komentar

Langganan: Postingan (Atom)