Penting gak penting yang penting di catat, sebuah catatan mengenai hal-hal yang perlu di catat agar suatu saat bisa dibuka dimana saja dan kapan saja. Bermanfaat buat diri sendiri mudah-mudahan buat orang lain juga..
Showing posts with label Mikrotik. Show all posts
Showing posts with label Mikrotik. Show all posts
Mengganti MAC Adress Mikrotik
/interface ethernet set [interface_name] mac-address= [id mac address]
Dropping Scanner untuk RouterOS
Banyak hal yang ingin di ketahui orang lain ketika kita tengah membuat sebuah sistem jaringan yang terbuka dan tersambung ke Internet. Mulai dari pencobaan penetrasi sampai melakukan brute force. Dari hal tersebut coba ambil sebuah langkah untuk melakukan blok terhadap beberapa port yang tidak di perlukan, namun ketika lebih dalam lagi, ternyata bukan hanya hal tersebut saja. Yang perlu di pikirkan ternyata adalah langkah pertama saat para “orang usil” tadi untuk mencoba masuk ke router kita adalah melakukan scan terhadap router kita. Nah berangkat dari sini, coba coba mencari alternatif untuk membuat router kita tidak bisa di scan oleh orang lain. Ternyata tidak terlalu sulit.. berikut adalah langkah langkah praktisnya.
Tentunya bicara tentang hal diatas tentu bicara soal Firewall, nah untuk itu kita masuk ke /ip firewall buat rantai berikut untuk aturannya.
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="Port scanners to list " disabled=no
Artinya router akan mencatat semua IP para scanner tersebut dan kemudian di masukan kedalam daftar IP Address dan di namakan dalam grup “port scanners” setelah itu kita buat satu rule untuk menindaklanjutinya. Berikut rule untuk mendropkannya :
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
Nah secara otomatis Mikrotik akan memainkan rule tersebut, namun beberapa alternatif port scanner bisa juga menggunakan beberapa metode, untuk itu coba tambahkan rule berikut ini sebelum menggunakan aturan 2 :
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list=”port scanners”
address-list-timeout=2w comment=”NMAP NULL scan”
Nah sedikit banyak anda sudah melakukan tindakan pertama pengamanan untuk router anda, coba sekarang anda melakukan scan terhadap router anda. Jadi langkah ini adalah langkah pertama pertolongan pada keamanan router anda.
taken from multisolusi.com
Tentunya bicara tentang hal diatas tentu bicara soal Firewall, nah untuk itu kita masuk ke /ip firewall buat rantai berikut untuk aturannya.
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="Port scanners to list " disabled=no
Artinya router akan mencatat semua IP para scanner tersebut dan kemudian di masukan kedalam daftar IP Address dan di namakan dalam grup “port scanners” setelah itu kita buat satu rule untuk menindaklanjutinya. Berikut rule untuk mendropkannya :
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
Nah secara otomatis Mikrotik akan memainkan rule tersebut, namun beberapa alternatif port scanner bisa juga menggunakan beberapa metode, untuk itu coba tambahkan rule berikut ini sebelum menggunakan aturan 2 :
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list=”port scanners”
address-list-timeout=2w comment=”NMAP NULL scan”
Nah sedikit banyak anda sudah melakukan tindakan pertama pengamanan untuk router anda, coba sekarang anda melakukan scan terhadap router anda. Jadi langkah ini adalah langkah pertama pertolongan pada keamanan router anda.
taken from multisolusi.com
Bandwith Management dengan Queue Trees
Dhcp server di mikrotik Setting isp dengan ip dynamic Bandwith management dengan queue trees
Agar setiap client tidak saling berebut bandwith maka perlu dilakukan bandwith control
Asumsi isp memiliki bandwith 384/64 untuk download dan upload dengan client 10 komputer
min download: 300/10*1024=30720bps
max download: 380/10*1024=38912bps
min upload: 50/10*1024=5120bps
max upload: 60/10*1024=6144bps
Tandai semua paket dari lan
ip firewall mangle add src-address=192.168.0.0/24 action=mark-connection new-connection-mark=client-con chain=prerouting
ip firewall mangle add connection-mark=client-con action=mark-packet new-packet-mark=clients chain=prerouting
Rule yang membatasi kecepatan download n upload client
queue tree add name=client-download parent=ether2 packet-mark=clients limit-at=30720 max-limit=38912
queue tree add name=client-upload parent=ether1 packet-mark=clients limit-at=5120 max-limit=6144
Test download dari beberapa client memastikan tiap client berbagi bandwith
Agar setiap client tidak saling berebut bandwith maka perlu dilakukan bandwith control
Asumsi isp memiliki bandwith 384/64 untuk download dan upload dengan client 10 komputer
min download: 300/10*1024=30720bps
max download: 380/10*1024=38912bps
min upload: 50/10*1024=5120bps
max upload: 60/10*1024=6144bps
Tandai semua paket dari lan
ip firewall mangle add src-address=192.168.0.0/24 action=mark-connection new-connection-mark=client-con chain=prerouting
ip firewall mangle add connection-mark=client-con action=mark-packet new-packet-mark=clients chain=prerouting
Rule yang membatasi kecepatan download n upload client
queue tree add name=client-download parent=ether2 packet-mark=clients limit-at=30720 max-limit=38912
queue tree add name=client-upload parent=ether1 packet-mark=clients limit-at=5120 max-limit=6144
Test download dari beberapa client memastikan tiap client berbagi bandwith
Setting Mikrotik dengan ISP yang menggunakan IP Dynamic untuk Client
Setting dhcp client di mikrotik di butuhkan jika isp yang di miliki meberikan ip dynamic pada client-nya untuk setting:
isp (modem) --- ether1 (internet) mikrotik ether2 (lan) --- switch ...
via winbox
ether1 --- ip/dhcp-client pilih interface ether1 (internet) centang semua option
ether2 --- ip/dhcp-server pilih interface ether2 (lan) setting terserah alias suka2
setting nat
cain=src-nat out-interface=internet action=masqurade
setting dns sudah otomoatis sesuai dns isp
isi ip address ether2 (lan) kasih nama terserah contoh dns
centang allow remote request di tab setting
isp (modem) --- ether1 (internet) mikrotik ether2 (lan) --- switch ...
via winbox
ether1 --- ip/dhcp-client pilih interface ether1 (internet) centang semua option
ether2 --- ip/dhcp-server pilih interface ether2 (lan) setting terserah alias suka2
setting nat
cain=src-nat out-interface=internet action=masqurade
setting dns sudah otomoatis sesuai dns isp
isi ip address ether2 (lan) kasih nama terserah contoh dns
centang allow remote request di tab setting
DHCP Server di Mikrotik
Dhcp server di mikrotik Setting isp dengan ip dynamic Bandwith management dengan queue trees
Agar mudah menyeting ip address untuk client, mikrotik bisa juga di jadikan dhcp server berikut caranya:
ip pool add name=dhcp-pool range=192.168.0.2-192.168.0.254
menambahkan dhcp network
ip dhcp-server setwork add address=192.168.0.0/24 gateway=192.168.0.0 dns-server=(isi dns isp)
menambahkan server dhcp
ip dhcp-server add name=dhcp_lan disable=no interface=ether2 address-pool=dhcp-pool (ether1 dipake buat isp)
Agar mudah menyeting ip address untuk client, mikrotik bisa juga di jadikan dhcp server berikut caranya:
ip pool add name=dhcp-pool range=192.168.0.2-192.168.0.254
menambahkan dhcp network
ip dhcp-server setwork add address=192.168.0.0/24 gateway=192.168.0.0 dns-server=(isi dns isp)
menambahkan server dhcp
ip dhcp-server add name=dhcp_lan disable=no interface=ether2 address-pool=dhcp-pool (ether1 dipake buat isp)
Subscribe to:
Posts (Atom)