Mikrotik dan Web Proxynya
####################################################################TOKET - Terbitan Online Kecoak ElektronikDefending the classical hackers mind since 1995 Publisher : http://www.kecoak-elektronik.netContact : <!-- var prefix = 'ma' + 'il' + 'to'; var path = 'hr' + 'ef' + '='; var addy19341 = 'staff' + '@'; addy19341 = addy19341 + 'kecoak-elektronik' + '.' + 'net'; document.write( '' ); document.write( addy19341 ); document.write( '' ); //-->\n staff@kecoak-elektronik.net <!-- document.write( '' ); //--> #################################################################### Subject : Instalasi, Konfigurasi dan Optimasi MikrotikRouter OSWriter : r0t0r of Kecoak ElektronikContact : <!-- var prefix = 'ma' + 'il' + 'to'; var path = 'hr' + 'ef' + '='; var addy87393 = 'rotor' + '@'; addy87393 = addy87393 + 'kecoak-elektronik' + '.' + 'net'; document.write( '' ); document.write( addy87393 ); document.write( '' ); //-->\n rotor@kecoak-elektronik.net <!-- document.write( '' ); //--> Style : Unicode Transformation Format (UTF-8)
–[1]– Kecoak Elektronik License
Kecoak Elektronik secara aktif mendukung Blue Ribbon Campaign.Kami akan berusaha untuk menerbitkan semua informasi yang kami anggappatut diketahui, baik dokumen teks, artikel majalah, atau surat kabar.Seluruh kredit akan diberikan kepada sang pengarang.
Kecoak Elektronik tidak bertanggung jawab atas tindakan orang lain.Informasi yang disajikan di situs ini adalah untuk tujuan pendidikandan informasionil belaka. Jika Anda memutuskan untuk mengejawantahkandalam bentuk apapun informasi yang tersimpan di situs ini, Andamelakukan atas keputusan sendiri, dan tidak seorangpun selain Andabertanggung jawab atas tindakan tersebut.
Dipersilahkan untuk mengambil sebagian atau seluruh dari isi artikelyang kami terbitkan dengan tetap mencantumkan kredit atas pengarangdan Kecoak Elektronik sebagai penerbit online. Artikel yang dikutipatau diambil tidak dapat dipergunakan untuk kepentingan komersil.
–[2]– Intro
MikroTik RouterOS™, merupakan system operasi Linux base yang diperuntukkan sebagai network router. Didesain untuk memberikan kemudahan bagipenggunanya. Administrasinya bisa dilakukan melalui Windows application(WinBox). Webbrowser serta via Remote Shell (telnet dan SSH). Selainitu instalasi dapat dilakukan pada Standard computer PC. PC yang akandijadi kan router mikrotikpun tidak memerlukan resource yang cukup besaruntuk penggunaan standard, misalnya hanya sebagai gateway. Untuk keperluanbeban yang besar ( network yang kompleks, routing yang rumit dll)disarankan untuk mempertimbangkan pemilihan resource PC yang memadai.
Fasilitas pada mikrotik antara lain sebagai berikut :- Protokoll routing RIP, OSPF, BGP.- Statefull firewall- HotSpot for Plug-and-Play access- remote winbox GUI admin
Lebih lengkap bisa dilihat di www.mikrotik.com.
Meskipun demikian Mikrotik bukanlah free software, artinya kita harusmembeli licensi terhadap segala fasiltas yang disediakan. Free trialhanya untuk 24 jam saja. Kita bisa membeli software mikrotik dalambentuk CD yang diinstall pada Hard disk atau disk on module (DOM).Jika kita membeli DOM tidak perlu install tetapi tinggal menancapkanDOM pada slot IDE PC kita.
Instalasi Mikrotik ada beberapa cara :1. Instalasi melalui NetInstall via jaringan2. Instalasi melalui Floppy disk3. Instalasi melalui CD-ROM.
Kali ini kita akan membahasnya instalasi melalui CD-ROM. Untuk percobaanini silahkan download ISOnya di http://adminpreman.web.id/download
Langkah-langkah berikut adalah dasar-dasar setup mikrotik yangdikonfigurasikan untuk jaringan sederhana sebagai PC Router/Gateway,Web Proxy, DNS Server, DHCP, Firewall serta Bandwidth Management.Konfigurasi ini dapat dimanfaatkan untuk membangun jaringan padaInternet Cafe atau untuk Testing pada Laboratorium Pribadi.
–[2.1]– Topologi Jaringan
Topologi jaringan ini di anggap koneksi Internetnya melalui MODEMxDSL (ADSL atau SDSL). Dengan catatan konfigurasi IP Publiknyaditanam didalam MODEM, artinya perlu pula dipilih MODEM yang memilikifasilitas seperti Routing, Firewall, dan lain-lain. Semakin lengkapsemakin bagus, namun biasanya harga semakin mahal, yang patutdipertimbangkan pilihlah MODEM yang memiliki fasilitas Firewall yangbagus.
Untuk MODEM SDSL, biasanya, IP dibawah NAT, artinya IP nya bukan IPPublik langsung. Dan umumnya untuk MODEM ADSL, IP Publiknya langsungditanam di MODEM itu sendiri.
Saat ini kita anggap IP Publiknya di tanam di MODEM, dimana InterfacePPPoE nya sudah di konfigurasikan dan sudah bisa DIAL ke server RASnya.
Agar memudahkan konfigurasi, perlu dirancang topologi jaringan yangdikonfigurasi. Sebagai contoh, skema dibawah ini:
(a) Skema Jaringan
_(o–+ ____| | / | Telpon | _/ -( +–[_] Splitter | | +—-+ +—| | Modem xDSL +–*-+ (1)| +—+ | | | (3) | | +|———+ | +—–+ | |. . . . . | | a| | | +–|-|-|-|-+ +—|=====| | | | | | | | | | | | | | |—+ +-|-|-|–[client 1] | |b +-|-|————[client 2] | | +-|———————-[client 3] L—–J +——–[client n] (2)
Keterangan skema(1) = Modem xDSL (Ip Address : 192.168.1.1/24)(2) = Mikrotik Box dengan 2 ethernet card yaitu a (publik) dan b (local)(3) = Switch Untuk sambungan ke Client. Asumsi Client Jumlahnya 20 Client Range Ip Address : 192.168.0.0/27 Alokasi Ip Client = 192.168.0.1-192.168.0.30 Ip Net ID : 192.168.0.0/27 Ip Broadcast : 192.168.0.31/27
(b) Alokasi IP Address
[*] Mikrotik Box
Keterangan Skema a = ethernet card 1 (Publik) -> Ip Address : 192.168.1.2/24 b = ethernet card 2 (Local) -> Ip Address : 192.168.0.30/27
Gateway : 192.168.1.1 (ke Modem)
[*] Client Client 1 - Client n, Ip Address : 192.168.0.n …. n (1-30)
Contoh: Client 6 Ip Address : 192.168.0.6/27 Gateway : 192.168.0.30 (ke Mikrotik Box)
CATATAN :Angka dibelakang Ip address ( /27) sama dengan nilai netmasknyauntuk angka (/27) nilainya sama dengan 255.255.255.224.
Untuk Sub Netmask blok ip address Local kelas C, dapat diuraikansebagai berikut :
Subnetmask kelas C——————-255.255.255.0 = 24 -> 254 mesin .. .128 = 25 -> 128 mesin .. .192 = 26 -> 64 mesin .. .224 = 27 -> 32 mesin .. .240 = 28 -> 16 mesin .. .248 = 29 -> 8 mesin .. .252 = 30 -> 4 mesin .. .254 = 31 -> 2 mesin .. .255 = 32 -> 1 mesin
–[2.2]– Persiapan
- Untuk PC Router Siapkan PC, minimal Pentium I, RAM 64, HD 500Matau pake flash memory 64 - Sebagai Web proxy, Siapkan PC, minimalPentium III 450Mhz, RAM 256 Mb, HD 20 Gb. Melihat berapa minimumRAM dan HD yang dibutuhkan untuk Cache Silahkan lihathttp://adminpreman.web.id/download/Rumus%20Web%20Proxy%20Mikrotik.xls
- Siapkan minimal 2 ethernet card, 1 ke arah luar/Internet dan 1 lagi ke Network local– Burn Source CD Mikrotik OS masukan ke CDROM.- Versi mikrotik yang digunakan adalah Mikrotik RouterOS versi 2.9.27
–[3]– Installasi Mikrotik RouterSetelah desain skema jaringan serta perangkat yang dibutuhkan telahdisiapkan, sekarang saatnya kita mulai proses instalasi ini.
–[3.1]– Booting melalui CD-ROM
Atur di BIOS agar, supaya boot lewat CD-ROM, kemudian tunggu beberapa saat di monitor akan muncul proses Instalasi.
————————————————————————-
ISOLINUX 2.08 2003-12-12 Copyrigth (C) 1994-2003 H. Peter AnvinLoading linux………………Loading initrd.rgz………….ReadyUncompressing Linux… Ok, booting the kernel
————————————————————————
–[3.2]– Memilih paket software
Setelah proses booting akan muncul menu pilihan software yang mau di install, pilih sesuai kebutuhan yang akan direncanakan.
Paket yang tersedia di Mikrotik
advanced-tools-2.9.27.npk arlan-2.9.27.npk dhcp-2.9.27.npk gps-2.9.27.npk hotspot-2.9.27.npk hotspot-fix-2.9.27.npk isdn-2.9.27.npk lcd-2.9.27.npk ntp-2.9.27.npk ppp-2.9.27.npk radiolan-2.9.27.npk routerboard-2.9.27.npk routing-2.9.27.npk routing-test-2.9.27.npk rstp-bridge-test-2.9.27.npk security-2.9.27.npk synchronous-2.9.27.npk system-2.9.27.npk telephony-2.9.27.npk ups-2.9.27.npk user-manager-2.9.27.npk web-proxy-2.9.27.npk webproxy-test-2.9.27.npk wireless-2.9.27.npk wireless-legacy-2.9.27.npk
————————————————————————–
Welcome to Mikrotik Router Software Installation
Move around menu using ‘p’ and ‘n’ or arrow keys, select with ’spacebar’.Select all with ‘a’, minimum with ‘m’. Press ‘i’ to install locally or ‘r’ toinstall remote router or ‘q’ to cancel and reboot.
[X] system [ ] lcd [ ] telephony [ ] ppp [ ] ntp [ ] ups [ ] dhcp [ ] radiolan [ ] user-manager [X] andvanced-tools [ ] routerboard [X] web-proxy [ ] arlan [ ] routing [ ] webproxy-test [ ] gps [ ] routing-test [ ] wireless [ ] hotspot [ ] rstp-bridge-test [ ] wireless-legacy [ ] hotspot [X] security [ ] isdn [ ] synchronous
————————————————————————–
Umumnya Paket Mikrotik untuk Warnet, Kantor atau SOHO adalah :
a. SYSTEM : Paket ini merupakan paket dasar, berisi Kernel dari Mikrotik
b. DHCP : Paket yang berisi fasilitas sebagai DHCP Server, DHCP client, pastikan memilih paket ini jika Anda menginginkan agar Client diberikan IP address otomatis dari DHCP Server
c. SECURITY : Paket ini berisikan fasilitas yang mengutamakan Keamanan jaringan, seperti Remote Mesin dengan SSH, Remote via MAC Address
d. WEB-PROXY : Jika Anda memilih paket ini, maka Mikrotik Box anda telah dapat menjalan service sebagai Web proxy yang akan menyimpan cache agar traffik ke Internet dapat di reduksi serta browsing untuk Web dapat dipercepat.
e. ADVANCED TOOLS : Paket yang berisi Tool didalam melakukan Admnistrasi jaringan, seperti Bandwidth meter, Scanning, Nslookup, dan lain sebagainya.
–[3.3]– Instalasi Paket
ketik “i” setelah selesai memilih software, lalu akan muncul menu pilihan seperti ini :
- Do you want to keep old configuration ? [y/n] ketik Y - continue ? [y/n] ketik Y
Setelah itu proses installasi system dimulai, disini kita tidak perlu membuat partisi hardsik karena secara otomatis mikrotik akan membuat partisi sendiri.
—————————————————————————-
wireless-legacy (depens on system):Provides support for Cisco Aironet cards and for PrismlI and Atheros wirelessstation and AP.
Do you want to keep old configuraion? [y/n]:y
Warning: all data on the disk will be erased!
Continue? [y/n]:y
Creating partition……….Formatting disk…………………………………
Installing system-2.9.27 [################## ]
—————————————————————————
Proses installasi
—————————————————————————
Continue? [y/n]:y
Creating partition…………………..Formatting disk……………………….
Installed system-2.9.27Installed advanced-tools-2.9.27Installed dhcp-2.9.27Installed security-2.9.27installed web-proxy-2.9.27
Software installed.Press ENTER to reboot
——————————————————————————
CATATAN :Proses Installasi normalnya tidak sampai 15 menit, jika lebih berarti gagal,ulangike step awal. Setelah proses installasi selesai maka kita akan diminta untukmerestart system, tekan enter untuk merestart system.
–[3.5]– Proses Check system disk
Setelah komputer booting kembali ke system mikrotik, akan ada pilihan untukmelakukan check system disk, tekan “y”.
—————————————————————————-Loading system with initrdUncompressing Linux… Ok, booting the kernel.Starting.
It is recomended to check your disk drive for error,but it may take while (~1min for 1Gb).It can be done later with “/system check-disk”.Do you want to do it now? [y/n]—————————————————————————–
–[3.6]– Proses Instalasi Selesai
Setelah proses instalasi selesai, maka akan muncul menu login dalam modusterminal, kondisi sistem saat ini dalam keadaan default.
Mikrotik login = admin Password = (kosong, enter saja)
—————————————————————————Mikrotik 2.9.27Mikrotik Login:
MMM MMM KKK TTTTTTTTTTT KKK MMMM MMMM KKK TTTTTTTTTTT KKK MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK
MikroTik RouterOS 2.9.27 (c) 1999-2005 http://www.mikrotik.com/
Terminal vt102 detected, using multiline input mode[admin@Mikrotikl] >
—————————————————————————-
CATATAN :Konfigurasi Standar untuk mikrotik ada 2 modus, yaitu modus teks danmodus GUI. Modus Gui ada 2 juga, yaitu Via Browser serta Via Winbox.Untuk sekarang saya akan bahas via Teks. Karena cepat serta lebih memahamiterhadap sistem operasi ini.
–[4]– Perintah Dasar
Perintah mikrotik sebenarnya hampir sama dengan perintah yang ada dilinux,sebab pada dasarnya mikrotik ini merupakan kernel Linux, hasil pengolahankembali Linux dari Distribusi Debian. Pemakaian perintah shellnya sama,seperti penghematan perintah, cukup menggunakan tombol TAB di keyboardmaka perintah yang panjang, tidak perlu lagi diketikkan, hanya ketikkanawal nama perintahnya, nanti secara otomatis Shell akan menampilkan sendiriperintah yang berkenaan. Misalnya perintah IP ADDRESS di mikrotik. Cukuphanya mengetikkan IP ADD spasi tekan tombol TAB, maka otomatis shellakan mengenali dan menterjemahkan sebagai perintah IP ADDRESS.
Baiklah kita lanjutkan pengenalan perintah ini.
Setelah login, cek kondisi interface atau ethernet card.
–[4.1]– Melihat kondisi interface pada Mikrotik Router
[admin@Mikrotik] > interface print Flags: X - disabled, D - dynamic, R - running# NAME TYPE RX-RATE TX-RATE MTU0 R ether1 ether 0 0 15001 R ether2 ether 0 0 1500
[admin@Mikrotik]>
Jika interfacenya ada tanda X (disabled) setelah nomor (0,1), maka periksa lagietherned cardnya, seharusnya R (running).
a. Mengganti nama interface [admin@Mikrotik] > interface(enter)
b. Untuk mengganti nama Interface ether1 menjadi Public (atau terserah namanya), maka [admin@Mikrotik] interface> set 0 name=Public
c. Begitu juga untuk ether2, misalkan namanya diganti menjadi Local, maka [admin@Mikrotik] interface> set 1 name=Local
d. atau langsung saja dari posisi root direktori, memakai tanda “/”, tanpa tanda kutip [admin@Mikrotik] > /interface set 0 name=Public
e. Cek lagi apakah nama interface sudah diganti. [admin@Mikrotik] > /interface print
Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R Local ether 0 0 1500 1 R Public ether 0 0 1500
–[4.2]– Mengganti password defaultUntuk keamanan ganti password default [admin@Mikrotik] > password old password: ***** new password: ***** retype new password: ***** [admin@ Mikrotik]]>
–[4.3]– Mengganti nama hostnameMengganti nama Mikrotik Router untuk memudahkan konfigurasi, pada langkah ini nama server akan diganti menjadi “routerku”
[admin@Mikrotik] > system identity set name=routerku [admin@routerku]>
–[5]– Setting IP Address, Gateway, Masqureade dan Name Server
–[5.1]– IP Address
Bentuk Perintah konfigurasi
ip address add address ={ip address/netmask} interface={nama interface}
a. Memberikan IP address pada interface Mikrotik. Misalkan Public akan kita gunakan untuk koneksi ke Internet dengan IP 192.168.1.2 dan Local akan kita gunakan untuk network LAN kita dengan IP 192.168.0.30 (Lihat topologi)
[admin@routerku] > ip address add address=192.168.1.2 netmask=255.255.255.0 interface=Public comment=”IP ke Internet”
[admin@routerku] > ip address add address=192.168.0.30 netmask=255.255.255.224 interface=Local comment = “IP ke LAN”
b. Melihat konfigurasi IP address yang sudah kita berikan
[admin@routerku] >ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 ;;; IP Address ke Internet 192.168.0.30/27 192.168.0.0 192.168.0.31 Local 1 ;;; IP Address ke LAN 192.168.1.2/24 192.168.0.0 192.168.1.255 Public [admin@routerku]>
–[5.2]– Gateway
Bentuk Perintah Konfigurasi
ip route add gateway={ip gateway}
a. Memberikan default Gateway, diasumsikan gateway untuk koneksi internet adalah 192.168.1.1
[admin@routerku] > /ip route add gateway=192.168.1.1
b. Melihat Tabel routing pada Mikrotik Routers
[admin@routerku] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf # DST-ADDRESS PREFSRC G GATEWAY DISTANCE INTERFACE 0 ADC 192.168.0.0/24 192.168.0.30 Local 1 ADC 192.168.0.0/27 192.168.1.2 Public 2 A S 0.0.0.0/0 r 192.168.1.1 Public [admin@routerku]>
c. Tes Ping ke Gateway untuk memastikan konfigurasi sudah benar
[admin@routerku] > ping 192.168.1.1 192.168.1.1 64 byte ping: ttl=64 time<1 ms 192.168.1.1 64 byte ping: ttl=64 time<1 ms 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 0/0.0/0 ms [admin@routerku]>
–[5.3]– NAT (Network Address Translation)
Bentuk Perintah Konfigurasi
ip firewall nat add chain=srcnat action=masquerade out-inteface={ethernet yang langsung terhubung ke Internet atau Public}
a. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server maka agar client computer pada network dapat terkoneksi ke internet perlu kita masquerading.
[admin@routerku] > ip firewall nat add chain=scrnat out-interface=Public action=masquerade [admin@routerku]>
b. Melihat konfigurasi Masquerading
[admin@routerku] ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat out-interface=Public action=masquerade [admin@routerku]>
–[5.4] Name server
Bentuk Perintah Konfigurasi
ip dns set primary-dns={dns utama} secondary-dns={dns ke dua}
a. Setup DNS pada Mikrotik Routers, misalkan DNS dengan Ip Addressnya Primary = 202.134.0.155, Secondary = 202.134.2.5
[admin@routerku] > ip dns set primary-dns=202.134.0.155 allow-remoterequests=no [admin@routerku] > ip dns set secondary-dns=202.134.2.5 allow-remoterequests=no
b. Melihat konfigurasi DNS
[admin@routerku] > ip dns print primary-dns: 202.134.0.155 secondary-dns: 202.134.2.5 allow-remote-requests: no cache-size: 2048KiB cache-max-ttl: 1w cache-used: 16KiB
[admin@routerku]>
c. Tes untuk akses domain, misalnya dengan ping nama domain
[admin@routerku] > ping yahoo.com 216.109.112.135 64 byte ping: ttl=48 time=250 ms 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max = 571/571.0/571 ms [admin@routerku]>
Jika sudah berhasil reply berarti seting DNS sudah benar.
Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan jikaberhasil berarti kita sudah berhasil melakukan instalasi Mikrotik Router sebagai Gatewayserver. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage menggunakan WinBox yangbisa di download dari Mikrotik.com atau dari server mikrotik kita. Misal Ip address servermikrotik kita 192.168.0.30, via browser buka http://192.168.0.30. Di Browser akan ditampilkandalam bentuk web dengan beberapa menu, cari tulisan Download dan download WinBox dari situ.Simpan di local harddisk. Jalankan Winbox, masukkan Ip address, username dan password.
–[7]– DHCP Server
DHCP merupakan singkatan dari Dynamic Host Configuration Protocol, yaitu suatu program yangmemungkinkan pengaturan IP Address di dalam sebuah jaringan dilakukan terpusat di server,sehingga PC Client tidak perlu melakukan konfigurasi IP Addres. DHCP memudahkan administratoruntuk melakukan pengalamatan ip address untuk client.
Bentuk perintah konfigurasi
ip dhcp-server setupdhcp server interface = { interface yang digunakan }dhcp server space = { network yang akan di dhcp }gateway for dhcp network = { ip gateway }address to give out = { range ip address }dns servers = { name server }lease time = { waktu sewa yang diberikan }
Jika kita menginginkan client mendapatkan IP address secara otomatis maka perlu kita setupdhcp server pada Mikrotik. Berikut langkah-langkahnya :
a. Tambahkan IP address pool
/ip pool add name=dhcp-pool ranges=192.168.0.1-192.168.0.30
b. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client. Pada contoh ini networknya adalah 192.168.0.0/27 dan gatewaynya 122.168.0.30
/ip dhcp-server network add address=192.168.0.0/27 gateway=192.168.0.30 dns-server=192.168.0.30 comment=”"
c. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface Local )
/ip dhcp-server add interface=local address-pool=dhcp-pool
d. Lihat status DHCP server
[admin@routerku] > ip dhcp-server print
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0dhcp1 Local
Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan terlebihdahulu pada langkah e.
e. Jangan Lupa dibuat enable dulu dhcp servernya
/ip dhcp-server enable 0
kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak ada berartisudah aktif
f. Tes Dari client
Misalnya :D:>ping www.yahoo.com
–[8]– Transparent Proxy Server
Proxy server merupakan program yang dapat mempercepat akses ke suatu webyang sudah diakses oleh komputer lain, karena sudah di simpan didalamcaching server.Transparent proxy menguntungkan dalam management client,karena system administrator tidak perlu lagi melakukan setup proxy disetiap browser komputer client karena redirection dilakukan otomatis di sisiserver.
Bentuk perintah konfigurasi :a. Setting web proxy :
- ip proxy set enable=yes port={ port yang mau digunakan } maximal-client-connections=1000 maximal-server-connections=1000
- ip proxy direct add src-address={ network yang akan di NAT} action=allow
- ip web-proxy set parent-proxy={proxy parent/optional} hostname={ nama host untuk proxy/optional} port={port yang mau digunakan} src-address={ address yang akan digunakan untuk koneksi ke parent proxy/default 0.0.0.0} transparent-proxy=yes max-object-size={ ukuran maximal file yang akan disimpan sebagai cache/default 4096 in Kilobytes} max-cache-size= { ukuran maximal hardisk yang akan dipakai sebagai penyimpan file cache/unlimited | none | 12 in megabytes} cache-administrator={ email administrator yang akan digunakan apabila proxy error, status akan dikirim ke email tersebut} enable==yes
Contoh konfigurasi——————-
a. Web proxy setting
/ ip web-proxyset enabled=yes src-address=0.0.0.0 port=8080 hostname=”proxy.routerku.co.id” transparent-proxy=yes parent-proxy=0.0.0.0:0 cache-administrator=” <!-- var prefix = 'ma' + 'il' + 'to'; var path = 'hr' + 'ef' + '='; var addy69722 = 'support' + '@'; addy69722 = addy69722 + 'routerku' + '.' + 'co' + '.' + 'id'; document.write( '' ); document.write( addy69722 ); document.write( '' ); //-->\n support@routerku.co.id <!-- document.write( '' ); //--> ” max-object-size=131072KiB cache-drive=system max-cache-size=unlimited max-ram-cache-size=unlimited
Nat Redirect, perlu ditambahkan yaitu rule REDIRECTING untuk membelokkantraffic HTTP menuju ke WEB-PROXY.
b. Setting firewall untuk Transparant Proxy
Bentuk perintah konfigurasi :
ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports={ port proxy }
Perintahnya:
——————————————————————————–/ ip firewall natadd chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 comment=”" disabled=noadd chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080 comment=”" disabled=noadd chain=dstnat protocol=tcp dst-port=8000 action=redirect to-ports=8080——————————————————————————–
perintah diatas dimaksudkan, agar semua trafik yang menuju Port 80,3128,8000dibelokkan menuju port 8080 yaitu portnya Web-Proxy.
CATATAN:Perintah
/ip web-proxy print { untuk melihat hasil konfigurasi web-proxy}/ip web-proxy monitor { untuk monitoring kerja web-proxy}
–[9]– Bandwidth Management
QoS memegang peranan sangat penting dalam hal memberikan pelayananyang baik pada client. Untuk itu kita memerlukan bandwidth managementuntuk mengatur tiap data yang lewat, sehingga pembagian bandwidth menjadiadil. Dalam hal ini Mikrotik RouterOs juga menyertakan packet softwareuntuk memanagement bandwidth.
Bentuk perintah konfigurasi:
queue simple add name={ nama }target-addresses={ ip address yang dituju }interface={ interface yang digunakan untuk melewati data }max-limit={ out/in }
Dibawah ini terdapat konfigurasi Trafik shaping atau bandwidth managementdengan metode Simple Queue, sesuai namanya, Jenis Queue ini memangsederhana, namun memiliki kelemahan, kadangkala terjadi kebocoran bandwidthatau bandwidthnya tidak secara real di monitor. Pemakaian untuk 10 Client,Queue jenis ini tidak masalah.
Diasumsikan Client ada sebanyak 15 client, dan masing-masing client diberijatah bandwidth minimum sebanyak 8kbps, dan maksimum 48kbps. SedangkanBandwidth totalnya sebanyak 192kbps. Untuk upstream tidak diberi rule,berarti masing-masing client dapat menggunakan bandwidth uptream secaramaksimum. Perhatikan perintah priority, range priority di Mikrotik sebanyakdelapan. Berarti dari 1 sampai 8, priority 1 adalah priority tertinggi,sedangkan priority 8 merupakan priority terendah.
Berikut Contoh kongirufasinya.——————————————————————————–/ queue simpleadd name=”trafikshaping” target-addresses=192.168.0.0/27 dst-address=0.0.0.0/0 interface=all parent=none priority=1 queue=default/default limit-at=0/64000 max-limit=0/192000 total-queue=default disabled=noadd name=”01″ target-addresses=192.168.0.1/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”02″ target-addresses=192.168.0.2/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”03″ target-addresses=192.168.0.3/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”04″ target-addresses=192.168.0.4/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”10″ target-addresses=192.168.0.25/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”05″ target-addresses=192.168.0.5/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”06″ target-addresses=192.168.0.6/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”07″ target-addresses=192.168.0.7/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”08″ target-addresses=192.168.0.8/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”09″ target-addresses=192.168.0.9/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”10″ target-addresses=192.168.0.10/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”11″ target-addresses=192.168.0.11/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”12″ target-addresses=192.168.0.12/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”13″ target-addresses=192.168.0.13/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”14″ target-addresses=192.168.0.14/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=noadd name=”15″ target-addresses=192.168.0.15/32 dst-address=0.0.0.0/0 interface=all parent=trafikshaping priority=1 queue=default/default limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
Perintah diatas karena dalam bentuk command line, bisa juga di copypaste, selanjutnya di paste saja ke consol mikrotiknya. ingat lihatdulu path atau direktory aktif. Silahkan dipaste saja, kalau posisidirektorynya di Root.
——————————————————————-Terminal vt102 detected, using multiline input mode[admin@mikrotik] >——————————————————————
Pilihan lain metode bandwidth manajemen ini, kalau seandainya inginbandwidth tersebut dibagi sama rata oleh Mikrotik, seperti bandwidth256kbps downstream dan 256kbps upstream. Sedangkan client yang akanmengakses sebanyak 10 client, maka otomatis masing-masing clientmendapat jatah bandwidth upstream dan downstream sebanyak 256kbpsdibagi 10. Jadi masing-masing dapat 25,6kbps. Andaikata hanya 2 Clientyang mengakses maka masing-masing dapat 128kbps.
Untuk itu dipakai type PCQ (Per Connection Queue), yang bisa secaraotomatis membagi trafik per client. Tentang jenis queue di mikrotikini dapat dibaca pada manualnya di http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php.
Sebelumnya perlu dibuat aturan di bagian MANGLE. Seperti :
——————————————————————–/ip firewall mangle add chain=forward src-address=192.168.0.0/27 action=mark-connection new-connection-mark=users-con/ip firewall mangle add connection-mark=users-con action=mark-packet new-packet-mark=users chain=forward———————————————————————-
Karena type PCQ belum ada, maka perlu ditambah, ada 2 type PCQ ini.Pertama diberi nama pcq-download, yang akan mengatur semua trafikmelalui alamat tujuan/destination address. Trafik ini melewatiinterface Local. Sehingga semua traffik download/downstream yangdatang dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Tipe PCQ kedua, dinamakan pcq-upload, untuk mengatur semua trafik upstreamyang berasal dari alamat asal/source address. Trafik ini melewatiinterface public. Sehingga semua traffik upload/upstream yang berasaldari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Perintah:————————————————————————-/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address————————————————————————-
Setelah aturan untuk PCQ dan Mangle ditambahkan, sekarang untuk aturanpembagian trafiknya. Queue yang dipakai adalah Queue Tree, Yaitu:
————————————————————————-/queue tree add parent=Local queue=pcq-download packet-mark=users/queue tree add parent=Public queue=pcq-upload packet-mark=users————————————————————————-
Perintah diatas mengasumsikan, kalau bandwidth yang diterima dari providerInternet berflukstuasi atau berubah-rubah. Jika kita yakin bahwa bandwidthyang diterima, misalkan dapat 256kbs downstream, dan 256kbps upstream, makaada lagi aturannya, seperti :
Untuk trafik downstreamnya :————————————————————————/queue tree add name=Download parent=Local max-limit=256k/queue tree add parent=Download queue=pcq-download packet-mark=users————————————————————————-
Dan trafik upstreamnya :—————————————————————————/queue tree add name=Upload parent=Public max-limit=256k/queue tree add parent=Upload queue=pcq-upload packet-mark=users—————————————————————————
–[10]– Monitor MRTG via Web
Fasilitas ini diperlukan untuk monitoring trafik dalam bentuk grafik, dapatdilihat dengan menggunakan browser. MRTG (The Multi Router Traffic Grapher)telah dibuild sedemikian rupa, sehingga memudahkan kita memakainya. Telahtersedia dipaket dasarnya.
Contoh konfigurasinya
————————————————————————-/ tool graphingset store-every=5min/ tool graphing interfaceadd interface=all allow-address=0.0.0.0/0 store-on-disk=yes disabled=no—————————————————————————
Perintah diatas akan menampilkan grafik dari trafik yang melewati interfacejaringan baik berupa Interface Public dan Interface Local, yang direndersetiap 5 menit sekali. Juga dapat diatur Alamat apa saja yang dapat mengaksesMRTG ini, pada parameter allow-address.
–[11]– Keamanan di Mikrotik
Setelah beberapa Konfigurasi diatas telah disiapkan, tentu tidak lupa kitaperhatikan keamanan dari Mesin gateway Mikrotik ini, ada beberapa fasilitasyang dipergunakan. Dalam hal ini akan dibahas tentang Firewallnya. FasilitasFirewall ini secara pringsip serupa dengan IP TABLES di Gnu/Linux hanya sajabeberapa perintah telah di sederhanakan namun berdaya guna.
Di Mikrotik perintah firewall ini terdapat dalam modus IP, yaitu
[admin@routerku] > /ip firewall
Terdapat beberapa packet filter seperti mangle, nat, dan filter.
————————————————————————-[admin@routerku] ip firewall> ?
Firewall allows IP packet filtering on per packet basis.
.. — go up to ipmangle/ — The packet marking managementnat/ — Network Address Translationconnection/ — Active connectionsfilter/ — Firewall filtersaddress-list/ –service-port/ — Service port managementexport –————————————————————————–
Untuk kali ini kita akan lihat konfigurasi pada ip firewall filternya.
Karena Luasnya parameter dari firewall filter ini untuk pembahasan FirewallFilter selengkapnya dapat dilihat pada manual mikrotik, dihttp://www.mikrotik.com/testdocs/ros/2.9/ip/filter.php
Konfigurasi dibawah ini dapat memblokir beberapa Trojan, Virus, Backdooryang telah dikenali sebelumnya baik Nomor Port yang dipakai serta Protokolnya.Juga telah di konfigurasikan untuk menahan Flooding dari Jaringan Publik danjaringan Lokal. Serta pemberian rule untuk Access control agar, Rentangjaringan tertentu saja yang bisa melakukan Remote atau mengakses servicetertentu terhadap Mesin Mikrotik kita.
Contoh Aplikasi Filternya—————————————————————————–/ ip firewall filteradd chain=input connection-state=invalid action=drop comment=”Drop Invalid connections” disabled=noadd chain=input src-address=!192.168.0.0/27 protocol=tcp src-port=1024-65535 dst-port=8080 action=drop comment=”Block to Proxy” disabled=noadd chain=input protocol=udp dst-port=12667 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=udp dst-port=27665 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=udp dst-port=31335 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=udp dst-port=27444 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=udp dst-port=34555 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=udp dst-port=35555 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=tcp dst-port=27444 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=tcp dst-port=27665 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=tcp dst-port=31335 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=tcp dst-port=31846 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=tcp dst-port=34555 action=drop comment=”Trinoo” disabled=noadd chain=input protocol=tcp dst-port=35555 action=drop comment=”Trinoo” disabled=noadd chain=input connection-state=established action=accept comment=”Allow Established connections” disabled=noadd chain=input protocol=udp action=accept comment=”Allow UDP” disabled=noadd chain=input protocol=icmp action=accept comment=”Allow ICMP” disabled=noadd chain=input src-address=192.168.0.0/27 action=accept comment=”Allow access to router from known network” disabled=noadd chain=input action=drop comment=”Drop anything else” disabled=noadd chain=forward protocol=tcp connection-state=invalid action=drop comment=”drop invalid connections” disabled=noadd chain=forward connection-state=established action=accept comment=”allow already established connections” disabled=noadd chain=forward connection-state=related action=accept comment=”allow related connections” disabled=noadd chain=forward src-address=0.0.0.0/8 action=drop comment=”" disabled=noadd chain=forward dst-address=0.0.0.0/8 action=drop comment=”" disabled=noadd chain=forward src-address=127.0.0.0/8 action=drop comment=”" disabled=noadd chain=forward dst-address=127.0.0.0/8 action=drop comment=”" disabled=noadd chain=forward src-address=224.0.0.0/3 action=drop comment=”" disabled=noadd chain=forward dst-address=224.0.0.0/3 action=drop comment=”" disabled=noadd chain=forward protocol=tcp action=jump jump-target=tcp comment=”" disabled=noadd chain=forward protocol=udp action=jump jump-target=udp comment=”" disabled=noadd chain=forward protocol=icmp action=jump jump-target=icmp comment=”" disabled=noadd chain=tcp protocol=tcp dst-port=69 action=drop comment=”deny TFTP” disabled=noadd chain=tcp protocol=tcp dst-port=111 action=drop comment=”deny RPC portmapper” disabled=noadd chain=tcp protocol=tcp dst-port=135 action=drop comment=”deny RPC portmapper” disabled=noadd chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”deny NBT” disabled=noadd chain=tcp protocol=tcp dst-port=445 action=drop comment=”deny cifs” disabled=noadd chain=tcp protocol=tcp dst-port=2049 action=drop comment=”deny NFS” disabled=noadd chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”deny NetBus” disabled=noadd chain=tcp protocol=tcp dst-port=20034 action=drop comment=”deny NetBus” disabled=noadd chain=tcp protocol=tcp dst-port=3133 action=drop comment=”deny BackOriffice” disabled=noadd chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”deny DHCP” disabled=noadd chain=udp protocol=udp dst-port=69 action=drop comment=”deny TFTP” disabled=noadd chain=udp protocol=udp dst-port=111 action=drop comment=”deny PRC portmapper” disabled=noadd chain=udp protocol=udp dst-port=135 action=drop comment=”deny PRC portmapper” disabled=noadd chain=udp protocol=udp dst-port=137-139 action=drop comment=”deny NBT” disabled=noadd chain=udp protocol=udp dst-port=2049 action=drop comment=”deny NFS” disabled=noadd chain=udp protocol=udp dst-port=3133 action=drop comment=”deny BackOriffice” disabled=noadd chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”Port scanners to list ” disabled=noadd chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”NMAP FIN Stealth scan” disabled=noadd chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”SYN/FIN scan” disabled=noadd chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”SYN/RST scan” disabled=noadd chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”FIN/PSH/URG scan” disabled=noadd chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”ALL/ALL scan” disabled=noadd chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”NMAP NULL scan” disabled=noadd chain=input src-address-list=”port scanners” action=drop comment=”dropping port scanners” disabled=noadd chain=icmp protocol=icmp icmp-options=0:0 action=accept comment=”drop invalid connections” disabled=noadd chain=icmp protocol=icmp icmp-options=3:0 action=accept comment=”allow established connections” disabled=noadd chain=icmp protocol=icmp icmp-options=3:1 action=accept comment=”allow already established connections” disabled=noadd chain=icmp protocol=icmp icmp-options=4:0 action=accept comment=”allow source quench” disabled=noadd chain=icmp protocol=icmp icmp-options=8:0 action=accept comment=”allow echo request” disabled=noadd chain=icmp protocol=icmp icmp-options=11:0 action=accept comment=”allow time exceed” disabled=noadd chain=icmp protocol=icmp icmp-options=12:0 action=accept comment=”allow parameter bad” disabled=noadd chain=icmp action=drop comment=”deny all other types” disabled=noadd chain=tcp protocol=tcp dst-port=25 action=reject reject-with=icmp-network-unreachable comment=”Smtp” disabled=noadd chain=tcp protocol=udp dst-port=25 action=reject reject-with=icmp-network-unreachable comment=”Smtp” disabled=noadd chain=tcp protocol=tcp dst-port=110 action=reject reject-with=icmp-network-unreachable comment=”Smtp” disabled=noadd chain=tcp protocol=udp dst-port=110 action=reject reject-with=icmp-network-unreachable comment=”Smtp” disabled=noadd chain=tcp protocol=udp dst-port=110 action=reject reject-with=icmp-network-unreachable comment=”Smtp” disabled=no—————————————————————————–
–[11.1]– Service dan Melihat Service yang Aktif dengan PortScanner
Untuk memastikan Service apa saja yang aktif di Mesin mikrotik, perlu kitapindai terhadap port tertentu, seandainya ada service yang tidak dibutuhkan,sebaiknya dimatikan saja.
Untuk menonaktifkan dan mengaktifkan servise, perintah adalah :
Kita periksa dahulu service apa saja yang aktif
———————————————————————————-[admin@routerku] > ip service[admin@routerku] ip service> printFlags: X - disabled, I - invalid# NAME PORT ADDRESS CERTIFICATE0 X telnet 23 0.0.0.0/01 ftp 21 0.0.0.0/02 www 80 0.0.0.0/03 ssh 22 0.0.0.0/04 www-ssl 443 0.0.0.0/0 none[admin@routerku] ip service>———————————————————————————-
Misalkan service FTP akan dinonaktifkan, yaitu di daftar diatas terletak padanomor 1 (lihat bagian Flags) maka :
———————————————————————————[admin@routerku] ip service> set 1 disabled=yes———————————————————————————
Perlu kita periksa lagi,
———————————————————————————[admin@routerku] ip service> printFlags: X - disabled, I - invalid# NAME PORT ADDRESS CERTIFICATE0 X telnet 23 0.0.0.0/01 X ftp 21 0.0.0.0/02 www 80 0.0.0.0/03 ssh 22 0.0.0.0/04 www-ssl 443 0.0.0.0/0 none[ <!-- var prefix = 'ma' + 'il' + 'to'; var path = 'hr' + 'ef' + '='; var addy29062 = 'admin' + '@'; addy29062 = addy29062 + 'router' + '.' + 'dprd' + '.' + 'provinsi'; document.write( '' ); document.write( addy29062 ); document.write( '' ); //-->\n admin@router.dprd.provinsi <!-- document.write( '' ); //--> ] ip service>———————————————————————————
Sekarang service FTP telah dinonaktifkan.
Dengan memakai tool nmap kita dapat mencek port apa saja yang aktif pada mesingateway yang telah dikonfigurasikan.
Perintah : nmap -vv -sS -sV -P0 192.168.0.30
Hasil :
————————————————————————————-Starting Nmap 4.20 ( http://insecure.org ) at 2007-04-04 19:55 SE Asia Standard TimeInitiating ARP Ping Scan at 19:55Scanning 192.168.0.30 [1 port]Completed ARP Ping Scan at 19:55, 0.31s elapsed (1 total hosts)Initiating Parallel DNS resolution of 1 host. at 19:55Completed Parallel DNS resolution of 1 host. at 19:55, 0.05s elapsedInitiating SYN Stealth Scan at 19:55Scanning 192.168.0.30 [1697 ports]Discovered open port 22/tcp on 192.168.0.30Discovered open port 53/tcp on 192.168.0.30Discovered open port 80/tcp on 192.168.0.30Discovered open port 21/tcp on 192.168.0.30Discovered open port 3986/tcp on 192.168.0.30Discovered open port 2000/tcp on 192.168.0.30Discovered open port 8080/tcp on 192.168.0.30Discovered open port 3128/tcp on 192.168.0.30Completed SYN Stealth Scan at 19:55, 7.42s elapsed (1697 total ports)Initiating Service scan at 19:55Scanning 8 services on 192.168.0.30Completed Service scan at 19:57, 113.80s elapsed (8 services on 1 host)Host 192.168.0.30 appears to be up … good.Interesting ports on 192.168.0.30:Not shown: 1689 closed portsPORT STATE SERVICE VERSION21/tcp open ftp MikroTik router ftpd 2.9.2722/tcp open ssh OpenSSH 2.3.0 mikrotik 2.9.27 (protocol 1.99)53/tcp open domain?80/tcp open http MikroTik router http config2000/tcp open callbook?3128/tcp open http-proxy Squid webproxy 2.5.STABLE113986/tcp open mapper-ws_ethd?8080/tcp open http-proxy Squid webproxy 2.5.STABLE112 services unrecognized despite returning data. If you know the service/version,please submit the following fingerprints athttp://www.insecure.org/cgi-bin/servicefp-submit.cgi :
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============SF-Port53-TCP:V=4.20%I=7%D=4/4%Time=4613A03C%P=i686-pc-windows-windows%r(DSF:NSVersionBindReq,E,”x0cx06×81x84″)%r(DNSStatusRSF:equest,E,”x0cx90×84″);==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============SF-Port2000-TCP:V=4.20%I=7%D=4/4%Time=4613A037%P=i686-pc-windows-windows%rSF:(NULL,4,”x01″)%r(GenericLines,4,”x01″)%r(GetRequest,18,”SF:x01×02d?xe4{x9dx02×1axccx8bxd1Vxb2Fxff9xb0″)%r(SF:HTTPOptions,18,”x01×02d?xe4{x9dx02×1axccx8bxd1VxSF:b2Fxff9xb0″)%r(RTSPRequest,18,”x01×02d?xe4{x9dx02xSF:1axccx8bxd1Vxb2Fxff9xb0″)%r(RPCCheck,18,”x01×02d?SF:xe4{x9dx02×1axccx8bxd1Vxb2Fxff9xb0″)%r(DNSVersionBindReq,18,”SF:x01×02d?xe4{x9dx02×1axccx8bxd1Vxb2Fxff9xb0″)%r(SF:DNSStatusRequest,4,”x01″)%r(Help,4,”x01″)%r(X11Probe,4,”SF:x01″)%r(FourOhFourRequest,18,”x01×02xb9×15&xf1ASF:]+x11nxf6×9bxa0,xb0xe1xa5″)%r(LPDString,4,”x01″)%r(LDAPSF:BindReq,4,”x01″)%r(LANDesk-RC,18,”x01×02xb9×15&SF:xf1A]+x11nxf6×9bxa0,xb0xe1xa5″)%r(TerminalServer,4,”x01SF:0″)%r(NCP,18,”x01×02xb9×15&xf1A]+x11nxf6×9bxa0,SF:xb0xe1xa5″)%r(NotesRPC,18,”x01×02xb9×15&xf1A]+x1SF:1nxf6×9bxa0,xb0xe1xa5″)%r(NessusTPv10,4,”x01″);MAC Address: 00:90:4C:91:77:02 (Epigram)Service Info: Host: routerku; Device: router
Service detection performed. Please report any incorrect results athttp://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 123.031 seconds Raw packets sent: 1706 (75.062KB) | Rcvd: 1722 (79.450KB)
—————————————————————————
Dari hasil scanning tersebut dapat kita ambil kesimpulan, bahwa service danport yang aktif adalah FTP dalam versi MikroTik router ftpd 2.9.27. UntukSSH dengan versi OpenSSH 2.3.0 mikrotik 2.9.27 (protocol 1.99). Serta Webproxy memakai Squid dalam versi Squid webproxy 2.5.STABLE11.
Tentu saja pihak vendor mikrotik telah melakukan patch terhadap Hole atauVulnerabilities dari Versi Protocol diatas.
–[11.2]– Tool administrasi Jaringan
Secara praktis terdapat beberapa tool yang dapat dimanfaatkan dalam melakukan troubleshooting jaringan, seperti tool ping, traceroute, SSH, dll.Beberapa tool yang sering digunakan nantinya dalam administrasi sehari-hariadalah :
o Telneto SSHo Tracerouteo Sniffer
a. TelnetPerintah remote mesin ini hampir sama penggunaan dengan telnet yang adadi Linux atau Windows.
[admin@routerku] > system telnet ?
Perintah diatas untuk melihat sekilias paramater apa saja yang ada. Misalnyamesin remote dengan ip address 192.168.0.21 dan port 23. Maka
[admin@routerku] > system telnet 192.168.0.21
Penggunaan telnet sebaiknya dibatasi untuk kondisi tertentu dengan alasankeamanan, seperti kita ketahui, packet data yang dikirim melalui telnetbelum di enskripsi. Agar lebih amannya kita pergunakan SSH.
b. SSHSama dengan telnet perintah ini juga diperlukan dalam remote mesin, sertapringsipnya sama juga parameternya dengan perintah di Linux dan Windows.
[admin@routerku] > system ssh 192.168.0.21
Parameter SSH diatas, sedikit perbedaan dengan telnet. Jika lihat helpnyamemiliki parameter tambahan yaitu user.
——————————————————————————[admin@routerku] > system ssh ?The SSH feature can be used with various SSH Telnet clients to securely connectto and administrate the router
–user — User nameport — Port number
[admin@routerku] >——————————————————————————
Misalkan kita akan melakukan remote pada suatu mesin dengan sistemoperasinya Linux, yang memiliki Account, username Root dan Password123456 pada Address 66.213.7.30. Maka perintahnya,
—————————————————————————–[admin@routerku] > system ssh 66.213.7.30 user=root
<!-- var prefix = 'ma' + 'il' + 'to'; var path = 'hr' + 'ef' + '='; var addy45053 = 'root' + '@'; addy45053 = addy45053 + '66' + '.' + '213' + '.' + '7' + '.' + '30'; document.write( '' ); document.write( addy45053 ); document.write( '' ); //-->\n root@66.213.7.30 <!-- document.write( '' ); //--> ’s password:—————————————————————————-
c. Traceroute
Mengetahui hops atau router apa saja yang dilewati suatu packet sampai packetitu terkirim ke tujuan, lazimnya kita menggunakan traceroute. Dengan tool inidapat di analisa kemana saja route dari jalannya packet.
Misalkan ingin mengetahui jalannya packet yang menuju server yahoo, maka:
—————————————————————————-[admin@routerku] > tool traceroute yahoo.com ADDRESS STATUS 1 63.219.6.nnn 00:00:00 00:00:00 00:00:00 2 222.124.4.nnn 00:00:00 00:00:00 00:00:00 3 192.168.34.41 00:00:00 00:00:00 00:00:00 4 61.94.1.253 00:00:00 00:00:00 00:00:00 5 203.208.143.173 00:00:00 00:00:00 00:00:00 6 203.208.182.5 00:00:00 00:00:00 00:00:00 7 203.208.182.114 00:00:00 00:00:00 00:00:00 8 203.208.168.118 00:00:00 00:00:00 00:00:00 9 203.208.168.134 timeout 00:00:00 00:00:00 10 216.115.101.34 00:00:00 timeout timeout 11 216.115.101.129 timeout timeout 00:00:00 12 216.115.108.1 timeout timeout 00:00:00 13 216.109.120.249 00:00:00 00:00:00 00:00:00 14 216.109.112.135 00:00:00 timeout timeout——————————————————————————
d. Sniffer
Kita dapat menangkap dan menyadap packet-packet yang berjalandi jaringan kita, tool ini telah disediakan oleh Mikrotik yang bergunadalam menganalisa trafik.
—————————————————————————-[admin@routerku] > tool snifferPacket sniffering
.. — go up to toolstart — Start/reset snifferingstop — Stop snifferingsave — Save currently sniffed packetspacket/ — Sniffed packets managementprotocol/ — Protocol managementhost/ — Host managementconnection/ — Connection managementprint –get — get value of propertyset –edit — edit value of propertyexport –—————————————————————————-
Untuk memulai proses sniffing dapat menggunakan perintah Start, sedangkanmenghentikannya dapat menggunaka perintah Stop.
[admin@routerku] > tool sniffer start
Proses sniffing sedang dikerjakan, tunggu saja beberapa lama, kemudianketikkan perintah stop jika ingin menghentikannya. Melihat hasil packetyang ditangkap dapat menggunakan perintah print, untuk mengeksportnyadalam bentuk file dapat digunakan perintah export.
–[12]– Kesimpulan
Untuk pemakaian jaringan berskala Kecil-menengah produk dari Latvia ini,dapat menjadi pilihan, saya disini bukan untuk mempromosikan Produk ini.Namun sebagai gambaran, bagaimana memanfaatkan produk ini untuk berbagaikeperluan, lagipula sebagai alternatif dari produk sejenis yang harganyacenderung mahal.
Dengan Mikrotik yang saat ini sedang populernya diterapkan pada berbagaiISP Wireless, Warnet-warnet serta beberapa Perusahaan. Maka AdministrasiSistem Jaringan dapat lebih mudah dan sederhana. Yang jelas untuk sekedarmemanfaatkan fasilitas Routing saja, PC TUA anda dapat digunakan.
Mudah-mudahan paparan diatas dapat membantu pembaca dalam memahami, apadan bagaimana mikrotik ini.
–[13]– Referensi
Artikel ini merupakan kompilasi dari berbagai sumber
1. Web Blog - http://dhanis.web.id - http://okawardhana.web.id - http://harrychanputra.web.id
2. Website - http://www.cgd.co.id - http://www.ilmukomputer.org - http://www.mikrotik.com - http://www.mikrotik.co.id - http://forum.mikrotik.com
oO Using no way as a way, Using no limitations as a limitation Oo
Salam dan terimakasih,r0t0r < <!-- var prefix = 'ma' + 'il' + 'to'; var path = 'hr' + 'ef' + '='; var addy87393 = 'rotor' + '@'; addy87393 = addy87393 + 'kecoak-elektronik' + '.' + 'net'; document.write( '' ); document.write( addy87393 ); document.write( '' ); //-->\n rotor@kecoak-elektronik.net <!-- document.write( '' ); //--> >———————————————————————–Copyleft Unreserved by Law 1995 - 2007 Kecoak Elektronik Indonesiahttp://www.kecoak-elektronik.net
.L.A.M.P.I.R.A.N.
Daftar Port dan Protocol berbagai jenis Trojan, Backdoor, Virus.daftar ini dapat saja tidak berlaku, atau dapat pula perlu ditambahseiring perkembangan Malware tersebut. Update terus Filter Rulemesin mikrotik anda.
2000 Cracks 6776 TCPAcid Battery 32418 TCPAcid Battery 2000 52317 TCPAcid Shivers 10520 TCPAgent 31 31 TCPAgent 40421 40421 TCPAim Spy 777 TCPAjan 25 TCPAmbush 10666 UDPAntiGen 25 TCPAOL Trojan 30029 TCPAttack FTP 666 TCPBack Construction 666/5400/5401 TCPBack Door Setup 5000/5001/7789 TCPBack Orifice 31337/31338 UDPBack Orifice 2000 8787/54320/54321 TCPBack Orifice DLL 1349 UDPBackDoor 1999 TCPBackDoor-G 1243/6776 TCPBackDoor-QE 10452 TCPBackDoor-QO 3332 TCPBackDoor-QR 12973/12975 TCPBackFire 31337 UDPBaron Night 31337 TCPBig Gluck (TN) 34324 TCPBioNet 12349 TCPBla 1042/20331 TCPBlack Construction 21 TCPBlade Runner 21/5400-5402 TCPBO client 31337 TCPBO Facil 5556/5557/31337 TCPBo Wack 31336 TCPBoBo 4321 TCPBOWhack 31666 TCPBrainSpy 10101 TCPBubbel 5000 TCPBugBear 36794 TCPBugs 2115 TCPBunker-Hill 61348/61603/63485 TCPCain e Abel 666 TCPChargen 9 UDPChupacabra 20203 TCPComa 10607 TCPCyber Attacker 9876 TCPDark Shadow 911 TCPDeath 2 TCPDeep Back Orifice 31338 UDPDeep Throat 41/2140/3150/6771 TCPDeep Throat v2 2140/3150/6670/6711/60000 TCPDeep Throat v3 6674 TCPDeepBO 31337 UDPDeepThroat 999 TCPDelta Source 26274 UDPDelta Source 47262 UDPDer Spacher 3 1000/1001/2000/2001 TCPDevil 65000 TCPDigital RootBeer 2600 TCPDMsetup 58/59 TCPDNS 53 TCPDoly Trojan 21/1010-1012/1015 TCPDonald Dick 23476/23477 TCPDRAT 48/50 TCPDUN Control 12623 UDPEclipse 2000 3459 TCPEclypse 3801 UDPEmail Password Sender 25 TCPEvil FTP 23456 TCPExecuter 80 TCPFile Nail 4567 TCPFirehotcker 79/5321 TCPFore 21/50766 TCPFTP - Trojan 21 TCPFTP99cmp 1492 TCPGaban Bus 12345/12346 TCPGate Crasher 6969/6970 TCPGirlFriend 21554 TCPGjamer 12076 TCPHack ‘99 KeyLogger 12223 TCPHack ‘a’ Tack 31780/31785/31787-31789 TCPHack ‘a’ Tack 31791/31792 UDPHackCity Ripper Pro 2023 TCPHackers Paradise 31/456 TCPHackOffice 8897 TCPHaebu Coceda 25 TCPHappy 99 25/119 TCPHidden Port 99 TCPHooker 80 TCPHost Control 6669/11050 TCPHVL Rat5 2283 TCPicKiller 7789 TCPICQ (ICQ.com - community, people search and messaging service!) 1027/1029/1032 TCPICQ Revenge 16772/19864 TCPICQ Trojan 4590 TCPIllusion Mailer 2155/5512 TCPInCommand 9400 TCPIndoctrination 6939 TCPInfector 146 TCPInfector 146 UDPiNi-Killer 555/9989 TCPInsane Network 2000 TCPInvisible FTP 21 TCPIRC-3 6969 TCPJammerKillah 121 TCPKazimas 113/7000 TCPKuang2 25/17300/30999 TCPLarva 21 TCPLogged 20203 TCPMasters’ Paradise 31/3129/40421-40423/40425-40426 TCPMavericks Matrix 1269 TCPMillenium 20000-20001 TCPMiniCommand 1050 TCPMosucker 16484 TCPNephron 17777 TCPNet Administrator 21/555 TCPNet Controller 123 TCPNetbios datagram (DoS Attack) 138 TCPNetbios name (DoS Attack) 137 TCPNetbios session (DoS Attack) 139 TCPNetBus 12345-12346 TCPNetBus Pro 20034 TCPNetMetropolitan 5031 TCPNetMonitor 7300-7301/7306-7308 TCPNetRaider 57341 TCPNETrojan 1313 TCPNetSphere 30100-30103 TCPNetSpy 1024/1033/31338-31339 TCPNewApt 25 TCPNoBackO 1200-1201 UDPOne of the Last Trojan (OOTLT) 5011 TCPOpC BO 1969 TCPPC Crasher 5637-5638 TCPPhase Zero 555 TCPPhineas Phucker 2801 TCPPie Bill Gates 12345 TCPPortal of Doom 3700/9872-9875 TCPPortal of Doom 10067/10167 UDPPriority 6969/16969 TCPProgenic 11223 TCPProMail Trojan 25/110 TCPProsiak 22222/33333 TCPPsyber Stream Server 1024/1170/1509/4000 TCPRasmin 531/1045 TCPRAT 1095/1097-1099/2989 TCPRC 65535 TCPRcon 8989 TCPRemote Grab 7000 TCPRemote Windows Shutdown 53001 TCPRingZero 80/3128/8080 TCPRobo-Hack 5569 TCPSatanz backDoor 666 TCPScheduleAgent 6667 TCPSchool Bus 54321 TCPSchwindler 21554/50766 TCPSecret Agent 11223 TCPSecret Service 605/6272 TCPSenna Spy FTP Server 21/11000/13000 TCPServeMe 5555 TCPServeU 666 TCPShadow Phyre 666 TCPShit Heep 6912 TCPShockRave 1981 TCPShtirlitz 25 TCPSivka-Burka 1600 TCPSK Silencer 1001 TCPSocket25 30303 TCPSockets de Troie 5000-5001/30303/50505 TCPSoftWAR 1207 TCPSpirit 2001a 33911 TCPSpySender 1807 TCPStealth 25 TCPStealth Spy 555 TCPStreaming Audio trojan 1170 TCPStriker 2565 TCPSubSeven 1243/2773/6711-6713/6776/7000/7215/27374/27573/54283 TCPSubSeven Apocalypse 1243 TCPSyphillis 10086 TCPTapiras 25 TCPTCP Wrappers 421 TCPTeleCommando 61466 TCPTerminator 25 TCPTerror Trojan 3456 TCPThe Invasor 2140/3150 TCPThe Prayer 2716/9999 TCPThe Spy 40412 TCPThe Thing 6000/6400 TCPThe Traitor 65432 TCPThe Traitor 65432 UDPThe Trojan Cow 2001 TCPThe Unexplained 29891 UDPTiny Telnet Server 23/34324 TCPTransScout 1999-2005/9878 TCPTrinoo 34555/35555 UDPTruva Atl 23 TCPUgly FTP 23456 TCPUltor’s Trojan 1234 TCPVampire 1020 TCPVampyre 6669 TCPVirtual Hacking Machine 4242 TCPVoice 1024/1170/4000 TCPVoodoo Doll 1245 TCPWack-a-mole 12361-12362 TCPWeb Ex 21/1001 TCPWhackJob 12631/23456 TCPWinCrash 21/2583/3024/4092/5714/5741-5742 TCPWinGate (socks-proxy) 1080 TCPWinHole 1080/1082 TCPWinNuke 135/139 TCPWinPC 25 TCPWinSatan 999 TCPWinSpy 25 TCPX-bill 12345-12346 TCPXplorer 2300 TCPXtcp 5550 TCPXtreme 1090 TCPYAT 37651
########## Pembatasan Brute Force #################################/ ip firewall filteradd chain=input protocol=tcp dst-port=22 connection-limit=1,32 action=add-src-to-address-list address-list=ssh_logins address-list-timeout=2m comment=”" disabled=noadd chain=input protocol=tcp dst-port=22 src-address-list=!ssh_logins action=accept comment=”" disabled=noadd chain=forward src-address=192.168.1.10 protocol=tcp src-port=21 content=”password incorrect” action=add-dst-to-address-list address-list=ftp_logins address-list-timeout=1m comment=”" disabled=noadd chain=forward src-address-list=ftp_logins action=drop comment=”" disabled=no########################################################################
Pemblokiran beberapa URL tertentu dapat dilakukan pada mikrotik.Jika paket web-proxy telah terinstall dan web-proxynya juga telahdikonfigurasi, maka perintah dibawah ini dapat disertakan.
Update terus URL dibawah ini, sesuai dengan kebutuhan Anda.
### Blok URL Tertentu untuk Web Proxy Access list. Cari Sendiri URL yang akan diblok ######
/ip web-proxy accessadd url=”ds.eyeblaster.com” action=deny comment=”" disabled=noadd url=”duolaimi.net” action=deny comment=”" disabled=noadd url=”dutch-sex.com” action=deny comment=”" disabled=noadd url=”dvdbank.org” action=deny comment=”" disabled=noadd url=”eager-sex.com” action=deny comment=”" disabled=noadd url=”eases.net” action=deny comment=”" disabled=noadd url=”easyantispy.com” action=deny comment=”" disabled=noadd url=”easycategories.com” action=deny comment=”" disabled=noadd url=”easy-search.net” action=deny comment=”" disabled=noadd url=”ecosrioplatenses.org” action=deny comment=”" disabled=noadd url=”ecstasyporn.net” action=deny comment=”" disabled=noadd url=”ehg-bestbuy.hitbox.com” action=deny comment=”" disabled=noadd url=”ehg-dig.hitbox.com” action=deny comment=”" disabled=noadd url=”ehg-espn.hitbox.com” action=deny comment=”" disabled=noadd url=”ehg-intel.hitbox.com” action=deny comment=”" disabled=noadd url=”ehg-macromedia.hitbox.com” action=deny comment=”" disabled=no
################################################################
Implementasi Penggunaan PCQ Bagi ISP Untuk Mendapatkan Hasil Yang Maksimal
Melihat banyaknya pertanyaan mengenai pembagian sharing bandwith yang adil dan yang pasti bisa membatasi semua jenis trafik baik IDM maupun P2P sehingga gak perlu takut kecolongan, saya coba untuk mensharing CMIIW 
Konfigurasi Jaringan :
Public — (10.0.0.1/24) MT (192.168.1.1/24)— Local
Skenarionya kaya gini :
Client 192.168.1.10 — Bandwidth 512kbps 1:1 (corporate)
(512k up / 512 down)
Client 192.168.1.20, 21, 22, 23 — Bandwidth 384kbps 1:4 (personal)
(64k up / 384 down)
Pertama-tama lakukan mangle :
Untuk trafik upload corporate
/ip firewall mangle add chain=prerouting src-address=192.168.1.10 in-interface=Local action=mark-packet new-packet-mark=corporate-up passthrough=no
Untuk trafik download corporate
/ip firewall mangle add chain=forward src-address=192.168.1.10 action=mark-connection new-connection-mark=corporate-conn passthrough=yes
/ip firewall mangle add chain=forward connection-mark=corporate-conn in-interface=Public action=mark-packet new-packet-mark=corporate-down passthrough=no
Untuk trafik upload personal
/ip firewall mangle add chain=prerouting src-address=192.168.1.20 in-interface=Local action=mark-packet new-packet-mark=personal-up passthrough=no
/ip firewall mangle add chain=prerouting src-address=192.168.1.21 in-interface=Local action=mark-packet new-packet-mark=personal-up passthrough=no
/ip firewall mangle add chain=prerouting src-address=192.168.1.22 in-interface=Local action=mark-packet new-packet-mark=personal-up passthrough=no
/ip firewall mangle add chain=prerouting src-address=192.168.1.23 in-interface=Local action=mark-packet new-packet-mark=personal-up passthrough=no
Untuk trafik download personal
/ip firewall mangle add chain=forward src-address=192.168.1.20 action=mark-connection new-connection-mark=personal-conn passthrough=yes
/ip firewall mangle add chain=forward src-address=192.168.1.21 action=mark-connection new-connection-mark=personal-conn passthrough=yes
/ip firewall mangle add chain=forward src-address=192.168.1.22 action=mark-connection new-connection-mark=personal-conn passthrough=yes
/ip firewall mangle add chain=forward src-address=192.168.1.23 action=mark-connection new-connection-mark=personal-conn passthrough=yes
/ip firewall mangle add chain=forward connection-mark=personal-conn in-interface=Public action=mark-packet new-packet-mark=personal-down passthrough=no
Harpa diperhatikan untuk mark-packet maka passthrough=no sedangkan untuk mark-connection passthrough=yes
Nah setelah beres urusan mangling ini, kita lanjut ke pembuatan queue tree :
/queue tree add name=down parent=Local queue=default
/queue tree add name=up parent=global-in queue=default
untuk download kita menggunakan in-interface kita dalam hal ini Local, sedangkan untuk upload kita menggunakan global-in
selanjutnya kita tambahkan type baru di queue kita :
yang harus kita tambahkan melihat skenario diatas adalah PCQ untuk paket corporate 512kbps (1:1) dan paket personal 384kbps (1:4).
Untuk paket corporate kita langsung menetapkan angka 512kbps, sedangkan untuk personal kita tidak dapat menetapkan angka disini karena bandiwdth yang akan diterima oleh paket personal tergantung seberapa banyak user yang online, jadi jika hanya 1 orang online akan mendapatkan bw penuh 384kbps, kalau 2 orang online maka masing-masing akan mendapatkan 192kbps dan seterusnya.
/queue type add name=512-down kind=pcq pcq-rate=512k pcq-classifier=dst-address pcq-total-limit=2000
/queue type add name=512-up kind=pcq rate=512k pcq-classifier=src-address pcq-total-limit=2000
/queue type add name=auto-down kind=pcq pcq-rate=0 pcq-classifier=dst-address pcq-total-limit=2000
/queue type add name=auto-up kind=pcq rate=0 pcq-classifier=src-address pcq-total-limit=2000
kita menggunakan 0 pada paket personal karena MT akan menghitung berapa besar bw yang tersedia pada saat client melakukan koneksi.
Nah setelah itu kita kembali ke queue tree dan menambahkan :
Paket corporate
/queue tree add name=corp-down packet-mark=corporate-down parent=down queue=512-down
/queue tree add name=corp-up parent=up packet-mark=corporate-up queue=512-up
Paket personal
/queue tree add name=per-down packet-mark=personal-down parent=down queue=auto-down max-limit=384k
/queue tree add name=per-up parent=up packet-mark=personal-up queue=auto-up max-limit=64k
Done.
Setelah melakukan semua hal ini silahkan dociba gunakan aplikasi P2P ataupun downloader, seharusnya semuanya sudah dapat ter-shaping dengan baik
Settingan diatas cocok diterapkan buat konfigurasi seperti diterangkan diatas, tanpa menggunakan proxy internal MT dan hanya 2 interface, untuk penggunakan proxy internal dan lebih banyak interface diperlukan sedikit perubahan dan penambahan pada script diatas
Btw, otw… kok ini kepotong yah pas dipindahin, ini jadinya ditambahin lagih CMIIW 
Mikrotik dengan Squid Proxy
I. PERSIAPAN DAN DEFINISI DELAY POOLS
Gambaran Umum Delay Pools:
Delay Pools adalah untuk mengkonfigurasikan squid dengan pengaturan bandwidth berdasarkan kriteria tertentu.
Siapkan PC dengan kemampuan lebih, seperti :
1. P4 @ 2 Ghz cukup
2. harddisk cukup kecil saja sekitar 40 Gb 7200 rpm
2. Memory 512 (semakin besar semakin bagus, cachenya agar tidak “tumpah” ke harddisk)
3. Linux Distro (Ubuntu, Fedora Core, Slackware)
4. Squid-cache bisa download lewat: http://www.squid-cache.org/ downloadlah versi terbaru paling stabil (squid2.6 stable 12,saat diketik tulisan ini)
5. Konfigurasi network yang akan digunakan adalah:
….INET—-SWITCH—-MIKROTIK—CLIENT
…………………..|
…………………..——–SQUIDBOX
II. INSTALASI SQUID
A.DOWNLOAD SQUID
Untuk memudahkan instalasi maka, LinuxBox harus sudah bisa terhubung ke internet untuk mendownload langsung sourcenya dengan perintah:
PS: Menggunakan distro Ubuntu
untuk check directory aktif
Code:
admin@squidbox:~$ pwd/home/admin
untuk download langsung dari web squidcache
Code:
admin@squidbox:~$ wget http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE12.tar.gz
untuk menginstall package squid
Code:
admin@squidbox:~$ tar -zxvf squid-2.6.STABLE12.tar.gzadmin@squidbox:~$ cd squid-2.6.STABLE12/admin@squidbox:~/squid-2.6.STABLE12$ pwd/home/admin/squid-2.6.STABLE12
B.KONFIGURASI SQUID
sampai sini instalasi squid sudah beres, sekarang memberikan hak akses untuk normal user agar untuk menjalankan squid jika perlu di reboot atau maintenace tidak perlu dari user root.
Code:
admin@squidbox:~/squid-2.6.STABLE12$ sudo useradd -d /usr/local/squid/ -r -s /dev/null squid > /dev/null 2>&1
sekarang kita mengkonfigurasi agar squid kita bisa memanfaatkan delay-pools dan juga mengaktifkan SNMP untuk MRTG dan ICMP
Code:
admin@squidbox:~/squid-2.6.STABLE12$ ./configure –prefix=/home/admin/squid-2.6.STABLE12 \ –exec-prefix=/home/admin/squid-2.6.STABLE12 –enable-gnuregex \ –enable-icmp –enable-snmp \ –enable-delay-pools –enable-cache-diggest \ –enable-removal-policies=heap –enable-default-err-languages=English \ –enable-err-languages=English –enable-async-io=24 \ –with-aufs-threads=24 –with-pthreads \ –with-aio –with-dl \ –enable-storeio=aufs,diskd –enable-epoll \ –enable-kill-parent-hack –disable-ident-lookups \ –disable-wccp –disable-wccpv2 \ –enable-htcp
untuk informasi lebih jelas konfigurasi dan compile squid bisa lihat kesini:
http://wiki.squid-cache.org/SquidFaq/CompilingSquid
http://wiki.squid-cache.org/SquidFaq/ConfiguringSquid
untuk prefix dan exec-prefix disesuaikan dengan directory squidnya.
C.MENGKOMPILE DAN INSTALASI SQUID
setelah konfigurasi awal di atas selesai maka kita bisa mengkompile nya dengan perintah:
Code:
admin@squidbox:~/squid-2.6.STABLE12$ makeadmin@squidbox:~/squid-2.6.STABLE12$ sudo make install
III.Konfigurasi squid.conf
A.Penjelasan Delay Pools dan parameternya
Untuk Penjelasan Mengenai Delay Pools bisa ke thread ini, karena kalau terlalu panjang Tutsnya nanti malah jadi Boring dan Pusing. ^^
http://www.forummikrotik.com/showthr…ted=1#post1608
B. Mengedit Squid.conf
Untuk mengedit konfigurasi squid.conf dapat memberikan perintah sebagai berikut:
Code:
admin@squidbox:~/squid-2.6.STABLE12$ sudo nano /home/admin/squid-2.6.STABLE12/etc/squid.conf
Konfigurasi default dan optimalisasi squid.conf:
Code:
http_port 3128hierarchy_stoplist cgi-bin ?acl QUERY urlpath_regex cgi-bin \? # LOGFILE PATHNAMES AND CACHE DIRECTORIES# —————————————————————————–cache_dir diskd /home/admin/squid-2.6.STABLE12/var/cache 1000 8 256 # << Sesuaikan dengan kebutuhan andaaccess_log /home/admin/squid-2.6.STABLE12/var/logs/access.log squidcache_log /home/admin/squid-2.6.STABLE12/var/logs/cache.loglog_fqdn offbuffered_logs off # OPTIONS FOR TUNING THE CACHE# —————————————————————————–refresh_pattern /.gif 4320 50% 43200refresh_pattern /.jpg 4320 50% 43200refresh_pattern /.jpeg 4320 50% 43200refresh_pattern /.png 4320 50% 43200refresh_pattern ^http://www.friendster.com/.* 720 100% 10080refresh_pattern ^http://mail.yahoo.com/.* 720 100% 10080refresh_pattern ^http://*.yahoo.*/.* 720 100% 7200refresh_pattern ^http://*.google.com/.* 720 100% 10080refresh_pattern ^http://www.telkomspeedy.com/.* 720 100% 28800refresh_pattern ^http://*.blogsome.com/.* 720 80% 10080refresh_pattern ^http://*.wordpress.com/.* 720 80% 10080refresh-pattern ^http://detik.com/.* 720 90% 2880refresh_pattern ^ftp: 14400 90% 43200 reload-into-imsrefresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320 reload-into-ims quick_abort_min 0 KBquick_abort_max 0 KBquick_abort_pct 95 # ACCESS CONTROLS# —————————————————————————–acl my_network src 192.168.1.0/24acl SSL_ports port 443 563#acl Safe_ports port 280 # http-mgmtacl Safe_ports port 443 563 # https#acl Safe_ports port 488 # gss-http#acl Safe_ports port 591 # filemaker#acl Safe_ports port 777 # multiling httphttp_access allow manager localhost my_networkhttp_access allow my_network acl download url_regex -i \.mp3acl download url_regex -i \.3gpacl download url_regex -i \.aviacl download url_regex -i \.mpgacl download url_regex -i \.mpegacl download url_regex -i \.wavacl download url_regex -i \.flvacl download url_regex -i \.swf # DELAY POOL PARAMETERS (all require DELAY_POOLS compilation option)# —————————————————————————–delay_pools 2delay_class 1 3delay_parameters 1 -1/-1 -1/-1 8000/8000delay_access 1 allow my_network downloaddelay_access 1 deny alldelay_class 2 2delay_parameters 2 -1/-1 -1/-1delay_access 2 allow my_networkdelay_access 2 deny all # ADMINISTRATIVE PARAMETERS# —————————————————————————–cache_effective_user squid # MISCELLANEOUS# —————————————————————————–logfile_rotate 5reload_into_ims onstore_dir_select_algorithm round-robin # ADMINISTRATIVE PARAMETERS# —————————————————————————–cache_mgr youremail@host.comvisible_hostname localhost
IV. Menjalankan Squid-cache
A. Membuat swap cache
Code:
[root@squidbox]#/usr/local/squid/sbin/squid -z
B. Mengaktifkan Squid di Foreground task
Code:
ghoz@ghoz-desktop:~/squid-2.6.STABLE12$ home/ghoz/squid-2.6.STABLE12/sbin/squid -SNDghoz@ghoz-desktop:~/squid-2.6.STABLE12$ home/ghoz/squid-2.6.STABLE12/sbin/squid start
C. Monitoring TCP squidBox
Code:
admin@squidbox:~/squid-2.6.STABLE12$ sudo netstat -pln | grep squid
Bila tampilan ada yang persis seperti dibawah ini, berarti squid telah berjalan.
Code:
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 18047/(squid) udp 0 0 0.0.0.0:3130 0.0.0.0:* 18047/(squid) udp 0 0 0.0.0.0:3401 0.0.0.0:* 18047/(squid) udp 0 0 0.0.0.0:4827 0.0.0.0:* 18047/(squid) udp 0 0 0.0.0.0:32992 0.0.0.0:* 18047/(squid)
Untuk pengecekan, maka client dicoba untuk browsing, jika ada data in/out maka proses pembuatan transparant proxy sudah berhasil.
-
Arsip
- Oktober 2007 (17)
- September 2007 (11)
- Agustus 2007 (14)
- Juli 2007 (8)
- Juni 2007 (16)
- Maret 2007 (6)
-
Kategori
-
RSS
RSS Entri
Komentar RSS
