Klien tidak boleh konek internet blok pada firewall berdasarkan MAC klien
ip - firewall - filter rules - add
chain : forward
Advanced => src. MAC address : F4:F5:DB:EB:FF:CF (MAC laptop kita / HP / PC)
action : drop
=============================================================================
Klien tidak boleh konek internet blok firewall berdasarkan IP klien
ip - firewall - filter rules - add
chain : forward
src address : 10.10.10.2 (ip laptop kita / HP / PC)
action : drop
=============================================================================
Klien tidak boleh ping ke ip mikrotik
ip - firewall - filter rules - add
chain : input
protocol : icmp (karna ping)
src address : 10.10.10.254 (ip laptop kita / asal)
dst address : 192.168.2.54 (ip tujuan / ip mikrotik di ether wlan1, ether1 / ether2)
action : drop
==============================================================================
Mikrotik tidak bisa ping ke 8.8.8.8
ip - firewall - filter rules - add
chain : forward
src address : 10.10.10.254 (ip klien windows)
dst address : 8.8.8.8 (ip tujuan)
protocol : icmp (karna ping)
action : drop
==============================================================================
blokir akses webfig
ip - firewall - filter rules - add
chain = input
src address : 10.10.10.254 (ip Laptop)
dst address : 10.10.10.1 (ip ether2 mikrotik / ip akses webfig)
protocol : tcp (karna akses website)
action : drop
ip - firewall - filter rules - add
chain = forward
src address : 10.10.10.254 (ip Laptop)
dst address : 192.168.1.62 (ip ether1 / ip akses webfig)
protocol : tcp (karna akses website)
action : drop
===========================================================================
Blok akses youtube di browser dengan layer7protocol
(KURANG EFEKTIF RESOURCES CPU LOAD MENINGKAT -+ 25%)
PERTAMA BUAT REGEXP
ip - firewall - layer7protocol
name : youtube
regexp : ^.+(youtube.com).*$
ip - firewall - filter rules - add
chain = forward
pada menu advanced -> layer7protocol : youtube
action : drop
===========================================================================
Blok akses youtube di browser dengan address list
(youtube.com dan www.youtube.com)
(KURANG EFEKTIF RESOURCES CPU LOAD MENINGKAT -+ 17%)
PERTAMA BUAT ADDRESS LIST
ip - firewall - address list - add
name : IP-www.youtube.com
address : www.youtube.com
buat lagi
ip - firewall - address list - add
name : IP-youtube.com
address : youtube.com
kedua buat filter
ip - firewall - filter rules - add
chain = forward
src address : 0.0.0.0/0 (mengarah ke Network Klien)
pada menu advanced -> dst address list : IP-www.youtube.com
action : drop
buat filter lagi
ip - firewall - filter rules - add
chain = forward
src address : 0.0.0.0/0 (mengarah ke Network Klien)
pada menu advanced -> dst address list : IP-youtube.com
action : drop
===========================================================
Blok akses youtube di browser dengan firewall - raw - content
(paling efektif RESOURCES CPU LOAD RENDAH)
chain = prerouting
pada menu advanced -> content : youtube.com
action : drop
===========================================================
Merubah akses port webfig
ip - firewall - NAT - add
chain = dstnat
dst address : 10.10.10.1
protocol : tcp (karna akses website)
dst port : 80
action : dst-nat
toAdresses : 10.10.10.1
To Ports : 80
penjelasan :
saat klien akses 10.10.10.1:8000 akan beralih akses ke 10.10.10.1:80
di uji pada webfig
===========================================================
membuat webfig bisa di akses dengan domain
ip - dns
centang yes "allow remote requests"
klik "static"
name : rija.net
address : 10.10.10.1 (ip ether2)
pada klien setting
preferred dns server : 10.10.10.1 (ip ether2)
alternate dns server : 8.8.8.8
=====================================================
memaksa klien menggunakan dns mikrotik kita
ip - firewall - nat
chain : dstnat
protocol : udp
dst port : 53
action : dst-nat
to-addresses : 10.10.10.1 (ip ether2)
to ports : 53
set pada klien :
menggunakan dns google secara static
cmd - ipconfig /dnsflush
pada mikrotik
ip dns - cache - flush dns
=====================================================
wireless mac filtering
jika mikrotik di set sbg
ap-bride = access list
station = connect list
blok klien wifi berdasarkan mac pada ap-bridge internal mikrotik
Wireless => access list
Mac Addrress : 70:5e:55:ee:7c:ad
Interface : wlan1
uncheck : authentication dan forwarding
menghilangkan centang => forwarding saja = blok internet tapi tetap terkoneksi wifi
menghilangkan centang authentication saja = HP tidak dpt menangkap sinyal wifi sama sekali
===============================================================================================
SHARE INTERNET KE NETWORK TERTENTU
ip firewall nat add action=masquerade chain=srcnat src-address=20.20.20.0/24 comment=INTERNET-ETHER2
ip firewall nat add action=masquerade chain=srcnat src-address=200.200.200.240-200.200.200.254 comment=INTERNET-ETHER3
ini artinya klien yang mendapatkan akses internet dari range ip (200.200.200.240-200.200.200.254) saja (14 Klien)
======================================================================================================
network ether2 tidak bisa ping ke network ether3 DAN SEBALIK NYA (semua service RDC/SMB tidak berfungsi)
ip - firewall - filter rules - add
chain : forward
src address : 20.20.20.0/24 (ip network ether2)
dst address : 200.200.200.0/24 (ip network ether3) atau 8.8.8.8 jika ingin blok uji ping ke 8.8.8.8
protocol : tidak di sebut atau disebut tcp
dst port : tidak boleh di sebut
action : drop
=================
jika protocol nya
icmp = ping (blokir ping)
tcp = blok web / sharing folder / remote desktop (tanpa menyebut port)
jika action nya
Accept : di setujui
drop : Request Time out
reject : icmp network unreacheable (Destination net unreacheable)
reject : icmp host unreacheable (Destination host unreacheable)
reject : icmp port unreacheable (Destination port unreacheable)
reject : icmp protocol unreacheable (Destination protocol unreacheable)
GAGAL
tcp dengan menyebut port tujuan
dst port = 445 (blok port sharing folder)
dst port = 3389 (blok port remote desktop connection)
dst port = 5938 (blok port teamviewer)
========================================================================================
32 protocol
igmp, ggp, ip-encap, st, egp, pup, udp, hmp, xns-idp, rdp, iso-tp4, dccp
xtp, ddp, idpr-cmtp, rsvp, gre, ipsec-esp, ipsec-ah, rspf, vmtp, ospf, ipip
etherip, encap, pim, vrrp, l2tp, sctp, udp-lite
========================================================================================
Limit ping client
/ip firewall filter add chain=input action=accept protocol=icmp limit=50/5s,2
====================================================================================================
blok tracert
/ip firewall filter
add chain=forward protocol=icmp icmp-options=11:0 action=drop comment="Drop Traceroute dari client 1"
add chain=forward protocol=icmp icmp-options=3:3 action=drop comment="Drop Traceroute dari client 2"
uji pada windows : tracert google.com
=====================================================================================
.jpg)
