Album Foto

Tetap Berjuang dan jangan menyerah !!! . Cobalah lakukan yang terbaik
Kita tidak wajib menjadi lebih baik dari orang lain, akan tetapi kita wajib menjadikan diri kita lebih baik dari hari ini, esok dan seterusnya
ini memang tidak mudah untuk di kerjakan (akan tetapi sulit bukan berarti tidak mungkin bisa di tuntaskan)
Bila kamu tidak mampu menahan susah nya belajar Maka kamu harus kuat menahan pedihnya kebodohan
Belajar itu memang pahit, tapi percayalah akhirnya akan berbuah manis.

Dasar Firewall MikroTik

 Klien tidak boleh konek internet blok pada firewall berdasarkan MAC klien


ip - firewall - filter rules - add

chain : forward

Advanced => src. MAC address : F4:F5:DB:EB:FF:CF (MAC laptop kita / HP / PC) 

action : drop

=============================================================================

Klien tidak boleh konek internet blok firewall berdasarkan IP klien


ip - firewall - filter rules - add

chain : forward

src address : 10.10.10.2 (ip laptop kita / HP / PC) 

action : drop

=============================================================================

Klien tidak boleh ping ke ip mikrotik


ip - firewall - filter rules - add

chain : input

protocol : icmp (karna ping)

src address : 10.10.10.254 (ip laptop kita / asal)

dst address : 192.168.2.54 (ip tujuan / ip mikrotik di ether wlan1, ether1 / ether2)

action : drop

==============================================================================

Mikrotik tidak bisa ping ke 8.8.8.8


ip - firewall - filter rules - add

chain : forward

src address : 10.10.10.254 (ip klien windows)

dst address : 8.8.8.8 (ip tujuan)

protocol : icmp (karna ping)

action : drop

==============================================================================

blokir akses webfig


ip - firewall - filter rules - add

chain = input

src address : 10.10.10.254 (ip Laptop)

dst address : 10.10.10.1 (ip ether2 mikrotik / ip akses webfig)

protocol : tcp (karna akses website)

action : drop


ip - firewall - filter rules - add

chain = forward

src address : 10.10.10.254 (ip Laptop)

dst address : 192.168.1.62 (ip ether1 / ip akses webfig) 

protocol : tcp (karna akses website)

action : drop

===========================================================================

Blok akses youtube di browser dengan layer7protocol

(KURANG EFEKTIF RESOURCES CPU LOAD MENINGKAT -+ 25%)


PERTAMA BUAT REGEXP

ip - firewall - layer7protocol

name   : youtube

regexp : ^.+(youtube.com).*$


ip - firewall - filter rules - add

chain = forward

pada menu advanced -> layer7protocol : youtube

action : drop

===========================================================================

Blok akses youtube di browser dengan address list

(youtube.com dan www.youtube.com)

(KURANG EFEKTIF RESOURCES CPU LOAD MENINGKAT -+ 17%)


PERTAMA BUAT ADDRESS LIST

ip - firewall - address list - add

name : IP-www.youtube.com

address : www.youtube.com


buat lagi


ip - firewall - address list - add

name : IP-youtube.com

address : youtube.com


kedua buat filter


ip - firewall - filter rules - add

chain = forward

src address : 0.0.0.0/0 (mengarah ke Network Klien)

pada menu advanced -> dst address list : IP-www.youtube.com

action : drop


buat filter lagi


ip - firewall - filter rules - add

chain = forward

src address : 0.0.0.0/0 (mengarah ke Network Klien)

pada menu advanced -> dst address list : IP-youtube.com

action : drop

===========================================================

Blok akses youtube di browser dengan firewall - raw - content

(paling efektif RESOURCES CPU LOAD RENDAH)

chain = prerouting

pada menu advanced -> content : youtube.com

action : drop

===========================================================

Merubah akses port webfig


ip - firewall - NAT - add

chain = dstnat

dst address : 10.10.10.1 

protocol : tcp (karna akses website)

dst port : 80

action : dst-nat

toAdresses : 10.10.10.1

To Ports : 80


penjelasan :

saat klien akses 10.10.10.1:8000 akan beralih akses ke 10.10.10.1:80

di uji pada webfig

===========================================================

membuat webfig bisa di akses dengan domain


ip - dns

centang yes "allow remote requests"

klik "static"

name : rija.net

address : 10.10.10.1 (ip ether2)


pada klien setting 

preferred dns server : 10.10.10.1 (ip ether2)

alternate dns server : 8.8.8.8

=====================================================

memaksa klien menggunakan dns mikrotik kita


ip - firewall - nat

chain : dstnat

protocol : udp

dst port : 53


action : dst-nat

to-addresses : 10.10.10.1 (ip ether2)

to ports : 53


set pada klien :

menggunakan dns google secara static

cmd - ipconfig /dnsflush 


pada mikrotik

ip dns - cache - flush dns

=====================================================

wireless mac filtering


jika mikrotik di set sbg

ap-bride = access list

station = connect list 


blok klien wifi berdasarkan mac pada ap-bridge internal mikrotik

Wireless => access list

Mac Addrress : 70:5e:55:ee:7c:ad

Interface : wlan1

uncheck : authentication dan forwarding


menghilangkan centang => forwarding saja = blok internet tapi tetap terkoneksi wifi


menghilangkan centang authentication saja = HP tidak dpt menangkap sinyal wifi sama sekali

===============================================================================================

SHARE INTERNET KE NETWORK TERTENTU


ip firewall nat add action=masquerade chain=srcnat src-address=20.20.20.0/24 comment=INTERNET-ETHER2


ip firewall nat add action=masquerade chain=srcnat src-address=200.200.200.240-200.200.200.254 comment=INTERNET-ETHER3

ini artinya klien yang mendapatkan akses internet dari range ip (200.200.200.240-200.200.200.254) saja (14 Klien)

======================================================================================================

network ether2 tidak bisa ping ke network ether3 DAN SEBALIK NYA (semua service RDC/SMB tidak berfungsi)


ip - firewall - filter rules - add

chain : forward

src address : 20.20.20.0/24 (ip network ether2)

dst address : 200.200.200.0/24  (ip network ether3)  atau 8.8.8.8 jika ingin blok uji ping ke 8.8.8.8

protocol : tidak di sebut atau disebut tcp

dst port : tidak boleh di sebut

action : drop

=================

jika protocol nya

icmp = ping (blokir ping)

tcp = blok web / sharing folder / remote desktop (tanpa menyebut port)


jika action nya

Accept : di setujui

drop : Request Time out

reject : icmp network unreacheable (Destination net unreacheable)

reject : icmp host unreacheable (Destination host unreacheable)

reject : icmp port unreacheable (Destination port unreacheable)

reject : icmp protocol unreacheable (Destination protocol unreacheable)


GAGAL

tcp dengan menyebut port tujuan

dst port = 445 (blok port sharing folder)

dst port = 3389 (blok port remote desktop connection)

dst port = 5938 (blok port teamviewer)

========================================================================================

32 protocol 


igmp, ggp, ip-encap, st, egp, pup, udp, hmp, xns-idp, rdp, iso-tp4, dccp

xtp, ddp, idpr-cmtp, rsvp, gre, ipsec-esp, ipsec-ah, rspf, vmtp, ospf, ipip

etherip, encap, pim, vrrp, l2tp, sctp, udp-lite

========================================================================================

Limit ping client


/ip firewall filter add chain=input action=accept protocol=icmp limit=50/5s,2

====================================================================================================

blok tracert


/ip firewall filter 

add chain=forward protocol=icmp icmp-options=11:0 action=drop comment="Drop Traceroute dari client 1" 

add chain=forward protocol=icmp icmp-options=3:3 action=drop comment="Drop Traceroute dari client 2"

uji pada windows : tracert google.com

=====================================================================================


Posted by