World in the network

Around the world to communicate with the network

Mikrotik Hardware

Mendukung system logical dalam mengoperasikan jaringan

Subneting/IP Address

Perhitungan lokasi alamat/Penghubung dalam jaringan

Vsat Satlite

Mengenal dunia jaringan menggunakan system Satlite

Router Cisco

Mengenal system Router Cisco dalam Jaringan

Samsul Bahri

Aku Yang Mencari Surga

Monday, September 15, 2014

Membatasi Koneksi Internet DI jam Tertentu (Scedhule Time Mikrotik)

7:29 PM    No comments


Membatasi koneksi internet di kantor terutama pada jam kerja kantor dapat dilakukan dengan menggunakan Mikrotik. Ada beberapa cara yang dapat digunakan untuk membatasi koneksi internet di Kantor dengan Mikrotik. Disini saya akan coba share Cara Membatasi Internet Jam Kantor dengan Mikrotik yang pernah saya pasang di kantor. Topologi nya seperti ini :


Sistem yang saya buat yaitu dengan membatasi akses ke situs-situs sosial media, porno, video streaming, dll pada saat jam kerja (08.00 - 12.00 & 13.30 - 16.00). Untuk detail nya sebagai berikut :

Membatasi akses :
Jam kerja pagi (08.00 – 12.00)

Membuka akses :
Jam istirahat (12.00 – 13.30)

Membatasi akses :
Jam kerja siang (13.30 – 16.00)

Membuka akses :
Jam luar kerja (16.00 – 08.00)
Pembatasan ini dimaksudkan agar karyawan dapat memanfaatkan waktu nya pada saat jam kerja untuk mengerjakan pekerjaan nya bukan untuk hal yang lain.  

Untuk membangun sistem ini, saya menggunakan beberapa tools di Mikroik dan juga bantuan dari DNS external yaitu OpenDNS dan Nawala. Disini saya menggunakan perangkat Mikrotik RB 951Ui-2Hnd yang memiliki port USB sehingga bisa menggunakan modem USB sebagai jalur internet cadangan (untuk failover).
Secara umum konfigurasi yang dilakukan adalah sebagai berikut :

1. Mengatur konfigurasi IP Address untuk jaringan Wi-Fi dan LAN pada mikrotik.
2. Menambahkan konfigurasi NTP (Network Time Protocol) Server untuk sinkronisasi waktu supaya mikrotik dapat berkerja tepat waktu. Ini sangat penting supaya script dapat dieksekusi tepat waktu. 


3. Konfigurasi jaringan internet di Mikrotik. Pastikan koneksi internet sudah jalan di Mikrotik. Untuk memastikannya silakan ping ke Google.com
4. Setting interface wireless mikrotik untuk share koneksi internet melalui Wi-Fi.
5. Menambahkan konfigurasi DNS Server dari OpenDNS dan Nawala sebagai filter dan memblokir konten berbahaya. 


6. OpenDNS dapat digunakan untuk memfilter situs berbahaya dan memblokir akses ke situs tertentu sepeti social media, video streaming, dan lain - lain. Sementara untuk DNS Nawala hanya memblokir akses ke situs berbahaya.
7. OpenDNS digunakan saat jam kerja. DNS Nawala digunakan diluar jam kerja. Pengaturan nya menggunakan Script & Scheduller. Seting inilah yang akan dibahas pada artikel ini.
8. Mengaktifkan fitur Web Proxy untuk mempercepat koneksi internet (cache) dan memonitor konten yang diakses 
9. Menambahkan konfigurasi firewall mikrotik untuk keamanan. Ada beberapa konfigurasi firewall yang saya gunakan :


10. Menambahkan konfigurasi fail over, untuk menambah jalur akses internet cadangan (backup) menggunakan modem USB dan mengaktifkannya saat koneksi jalur utama mati. Silakan lihat tutorialnya disini :

Oke, kembali ke point nomor 7 di atas, disini saya akan bahas Script & Scheduller nya. Silakan simak step-by-step nya berikut ini :

11. Yang pertama, kita akan membuat Script dulu. Pada Winbox, masuk ke System --> Scripts. Ada beberapa Script yang akan kita buat seperti gambar berikut :


12. Untuk Script back2main dan failover digunakan untuk konfigurasi failover menggunakan jalur cadangan modem USB. Silakan lihat point nomor 10 di atas.

13. Script pertama yang kita buat yaitu script jam kerja. Script ini akan memberikan perintah ke Mikrotik untuk mengganti setingan DNS ke IP DNS nya OpenDNS, kemudian melakukan flush cache DNS. Script nya sebagai beriku (masukkan ke kolom Source)

/ip dns set servers=208.67.220.220,208.67.222.222
/ip dns cache flush

14. Script selanjutnya digunakan untuk mengganti IP DNS ke Nawala.

/ip dns set servers=180.131.144.144,180.131.145.145
/ip dns cache flush

15. Hari libur yaitu Sabtu dan Minggu koneksi internet tidak dibatasi, tetapi masih menggunakan DNS Nawala. Caranya dengan mematikan penjadwalan (Scheduler) yang nanti akan kita buat.

/system scheduler disable 0
/system scheduler disable 1
 

16. Ketika masuk lagi ke hari kerja yakni hari senin, maka aturan nya kembali seperti semula dengan pembatasan internet pada jam kerja. Caranya dengan mengaktifkan kembali scheduler nya.

/system scheduler enable 0
/system scheduler enable 1

17. Script yang sudah kita buat sebelumnya akan dijalankan secara otomatis berdasarkan waktu (jam). Pastikan anda membuat scheduler nya urutan nya sama seperti gambar berikut ini; supaya script pada point 15 dan 16 bisa berjalan.


18.  Buat scheduler untuk mengeksekusi script jam kerja (pagi). 
Name : Filter Jam Kerja Pagi
Start Date : Pilih tanggal kapan script akan mulai dieksekusi secara otomatis
Start Time : Jam berapa script akan dieksekusi
Interval : 1 hari
On Event : nama script yang dieksekusi (jam kerja)

19. Buat scheduler lagi untuk jam kerja sore yakni pukul 13.30 (sesuaikan jam nya dengan jam kantor anda). Lihat gambar berikut :


20. Ketika masuk jam istirahat, pegawai dapat mengakses social media, video streaming, dll kecuali web dan konten porno. Caranya dengan mengganti ke DNS Nawala. Buat scheduler pada jam 12.00 dengan script luar jam kerja (LJK).


21.  Ketika masuk jam pulang kerja, maka koneksi akan sama seperti pada jam istirahat. Disini diasumsikan jam pulang kantor pukul 16.00.


22. Pada hari libur (Sabtu & Minggu) script libur akan dieksekusi secara otomatis pada Jum'at malam pukul 23.59 dengan interval waktu 7 hari. Jadi script ini akan dieksekusi seminggu sekali yakni hari Jum'at malam. 
Jadi, Pastikan Start Date nya adalah hari jum'at


23. Pada hari senin koneksi akan kembali dibatasi secara otomatis dengan script senin yang akan dieksekusi pada senin dini hari pukul 00.00. lebih 50 detik dengan interval 7 hari.
Pastikan start date nya hari senin.


Sampai disini konfigurasi script dan scheduler sudah selesai. Jika setingan nya benar seperti di atas maka script nya akan berjalan dengan baik secara otomatis.

Read More

Setting Load Balance Mikrotik

7:09 PM    No comments

Cara Seting Load Balance Mikrotik 2 ISP. Disini ada 2 ISP berbeda yang digunakan, yaitu Bandwith ISP A 1024 Kbps Sedangkan ISP  B 256 Kbps 1:8 Tetapi di sini kita akali menambah satu fake ISP untuk seimbangkan akses Langsung. 

Berikut langkah-langkah nya :

Pake WinBox masuk ke -> IP -> Address
-> klik [+] -> isikan Address : 192.168.1.1/24 Network : 192.168.1.0
Broadcast : 192.168.1.255 -> Konfigurasi LAN ( Local)
Interface : Ether1

-> klik [+] -> isikan Address : 192.168.2.2/24
Network : 192.168.2.0
Broadcast : 192.168.2.255 -> Konfigurasi WAN 1 (ISP A)
Interface : Ether2

-> klik [+] -> isikan Address : 192.168.3.2/24  Network : 192.168.3.0
Broadcast : 192.168.3.255 -> Konfigurasi WAN 2 (ISP B)
Interface : Ether3

Buat Mangle. Pake WinBox pilih -> New Terminal
Silakan copy dan paste script berikut :
/ip firewall mangle [lalu enter]
add chain=prerouting in-interface=”ether1″ connection-state=new nth=2,2,0 action=mark-connection new-connection-mark=lb_1 passthrough=yes comment=”LB Client” disabled=no
add chain=prerouting in-interface=”ether1″ connection-mark=lb_1 action=mark-routing new-routing-mark=route_lb_1 passthrough=no comment=”" disabled=no
add chain=prerouting in-interface=”ether1″ connection-state=new nth=2,2,1 action=mark-connection new-connection-mark=lb_2 passthrough=yes comment=”" disabled=no
add chain=prerouting in-interface=”ether1″ connection-mark=lb_2 action=mark-routing new-routing-mark=route_lb_2 passthrough=no comment=”" disabled=no
add chain=prerouting in-interface=”ether1″ connection-state=new nth=2,2,2 action=mark-connection new-connection-mark=lb_3 passthrough=yes comment=”" disabled=no
add chain=prerouting in-interface=”ether1″ connection-mark=lb_3 action=mark-routing new-routing-mark=route_lb_3 passthrough=no comment=”" disabled=no

Buat NAT. Pake WinBox pilih -> New Terminal
Copy dan paste lagi script berikut :
/ ip firewall nat
add chain=srcnat out-interface=”ether3″ action=masquerade comment=”" disabled=no
add chain=srcnat out-interface=”ether2″ action=masquerade comment=”" disabled=no

Buat Route. Pake WinBox pilih -> New TerminalCopy dan paste lagi script berikut :
 / ip route
add dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=255 target-scope=10 routing-mark=route_lb_1 comment=”" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.3.1 scope=255 target-scope=10 routing-mark=route_lb_2 comment=”" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=255 target-scope=10 routing-mark=route_lb_3 comment=”" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=255 target-scope=10 comment=”default routing connection” disabled=no

Read More

Menambah Cache Proxy Mikrotik Menggunakan USB Flashdisk

7:04 PM    No comments

Nah, kali ini saya akan membahas tentang penggunaan memori external USB berupa Flashdisk / Harddisk external sebagai cache drive tambahan pada Web Proxy Mikrotik yang support port USB. Ada beberapa tipe Router Board yang sudah support USB, seperti RB750UP, RB751U-2HnD, RB951Ui-2HnD, dsb. Dalam hal ini saya menggunakan RB951Ui-2HnD dan USB Flashdisk 8 GB sebagai cache drive Web Proxy.
1. Colokan USB Flashdisk ke port USB RouterBoard anda
2. Nyalakan Mikrotik RouterBoard anda
3. Buka Winbox, masuk ke menu System --> Stores --> Masuk tab Disks --> Pilih USB nya --> Klik Format Drive. 


Jika berhasil maka status USB drive nya akan berubah menjadi Ready

4. Pindah ke tab Store --> Klik [+] 


> Beri nama terserah
> Type : web-proxy
> Disk : pilih usb1
> centang Acrivate
> Ok

5. Coba cek di menu Web Proxy : IP --> Web Proxy --> Cek bagian Cache Drive seharusnya sudah berubah dari system ke usb1



6. Cek di tab Status, Jika web proxy sudah digunakan seharusnya Cache Used nya akan mulai dari 0 lagi dan terus bertambah ketika digunakan browsing.


Nah, sekarang memori yang digunakan untuk menyimpan cache Web Proxy Mikrotik sudah bertambah besar. Jadi akan lebih banyak file yang bisa ditampung di cache proxy nya. 

Read More

Wednesday, September 10, 2014

Bruteforce login prevention MIkrotik

5:58 PM    No comments


(Redirected from Bruteforce login prevention (FTP & SSH))

To stop SSH/FTP attacks on your router, follow this advice.
This configuration allows only 10 FTP login incorrect answers per minute
in /ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist
 action=drop \ comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" 
dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp 
content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

This will prevent a SSH brute forcer to be banned for 10 days after repetitive attempts. Change the timeouts as necessary.

in /ip firewall filter
add chain=input protocol=tcp dst-port=22 
src-address-list=ssh_blacklist action=drop \ 
comment="drop ssh brute forcers" disabled=no


add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list
address-list=ssh_blacklist \ address-list-timeout=10d 
comment="" disabled=no





add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list 
address-list=ssh_stage3 \ address-list-timeout=1m comment="" disabled=no





add chain=input protocol=tcp dst-port=22 connection-state=new 
src-address-list=ssh_stage1 \ action=add-src-to-address-list 
address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no





add chain=input protocol=tcp dst-port=22 connection-state=new 
action=add-src-to-address-list \ address-list=ssh_stage1 
address-list-timeout=1m comment="" disabled=no
If you want to block downstream access as well, you need to block the with the forward chain:

add chain=forward protocol=tcp dst-port=22 
src-address-list=ssh_blacklist action=drop \ 
comment="drop ssh brute downstream" disabled=no
To view the contents of your Blacklist, go to "/ip firewall address-list" and type "print" to see the contents.
x

Read More

Mengaktifkan Walled Garden pada Hotspot Gateway Mikrotik

5:36 PM    No comments


Walled Garden adalah salah satu fitur yang terdapat pada Hotspot Gateway Mikrotik untuk memperbolehkan user mengakses situs tertentu tanpa harus melalui proses login terlebih dahulu. Seperti yang sudah kalian tahu, kalau dengan konfigurasi Hotspot Gateway secara default maka setiap user harus login terlebih dahulu untuk dapat terkoneksi ke internet tanpa terkecuali. Tapi dengan fitur Walled Garden ini, kalian bisa memberikan perlakuan istimewa untuk beberapa situs tertentu yang kalian inginkan.

Misalnya disini kalian ingin memperbolehkan user mengakses situs wikipedia.com. Maka akseslah Mikrotik kalian melalui Winbox, kemudian bukalah menu IP > Hotspot Walled Garden. Tambahkan rule baru dengan mengklik tombol plus seperti yang terlihat pada gambar ini :


Gantilah bagian Dst. Host dengan wikipedia.com ataupun dengan situs lain yang kalian inginkan. Lalu pada bagianAction, pilih yang Allow. Jika sudah klik Apply OK.


Jika berhasil maka hasilnya adalah seperti berikut :


Semoga bermanfaat :)

Read More
Subscribe to: Posts (Atom)