Block IP Scanners (NMAP)

/ ip firewall filter

add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list \
address-list="port scanners" address-list-timeout=2w comment="Port \
Scanners to list " disabled=no

add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg \
action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w comment="" disabled=no

add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list \
address-list="port scanners" address-list-timeout=2w comment="" \
disabled=no

add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list \
address-list="port scanners" address-list-timeout=2w comment="" \
disabled=no

add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack \
action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w comment="" disabled=no

add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg \
action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w comment="" disabled=no

add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg \
action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w comment="" disabled=no

add chain=input src-address-list="port scanners" action=drop comment="" \
disabled=no

sumber : http://baratev.sourceforge.net/stuff/mt.firewall.txt

Read more »

Posted in: Mikrotik

Bandwith Management

Melihat banyaknya pertanyaan mengenai pembagian sharing bandwith yang adil dan yang pasti
bisa membatasi semua jenis trafik baik IDM maupun P2P sehingga gak perlu takut kecolongan.

Konfigurasi Jaringan :
Public --- (10.0.0.1/24) MT (192.168.1.1/24)--- Local

Skenarionya kaya gini :
Client 192.168.1.10 --- Bandwidth 512kbps 1:1 (corporate)
(512k up / 512 down)

Client 192.168.1.20, 21, 22, 23 --- Bandwidth 384kbps 1:4 (personal)
(64k up / 384 down)

Kapasitas Bandwidth = 512+384

01. Pertama-tama lakukan mangle :

#Untuk trafik upload corporate

/ip firewall mangle add chain=prerouting src-address=192.168.1.10 in-interface=Local \
 action=mark-packet new-packet-mark=corporate-up passthrough=no

#Untuk trafik download corporate
/ip firewall mangle add chain=forward src-address=192.168.1.10 action=mark-connection \
 new-connection-mark=corporate-conn passthrough=yes
/ip firewall mangle add chain=forward connection-mark=corporate-conn in-interface=Public \
 action=mark-packet new-packet-mark=corporate-down passthrough=no

#Untuk trafik upload personal
/ip firewall mangle add chain=prerouting src-address=192.168.1.20 in-interface=Local \
 action=mark-packet new-packet-mark=personal-up passthrough=no
/ip firewall mangle add chain=prerouting src-address=192.168.1.21 in-interface=Local \
 action=mark-packet new-packet-mark=personal-up passthrough=no
/ip firewall mangle add chain=prerouting src-address=192.168.1.22 in-interface=Local \
 action=mark-packet new-packet-mark=personal-up passthrough=no
/ip firewall mangle add chain=prerouting src-address=192.168.1.23 in-interface=Local \
 action=mark-packet new-packet-mark=personal-up passthrough=no

#Untuk trafik download personal
/ip firewall mangle add chain=forward src-address=192.168.1.20 action=mark-connection \
 new-connection-mark=personal-conn passthrough=yes
/ip firewall mangle add chain=forward src-address=192.168.1.21 action=mark-connection \
 new-connection-mark=personal-conn passthrough=yes
/ip firewall mangle add chain=forward src-address=192.168.1.22 action=mark-connection \
 new-connection-mark=personal-conn passthrough=yes
/ip firewall mangle add chain=forward src-address=192.168.1.23 action=mark-connection \
 new-connection-mark=personal-conn passthrough=yes
/ip firewall mangle add chain=forward connection-mark=personal-conn in-interface=Public \
 action=mark-packet new-packet-mark=personal-down passthrough=no

Harap diperhatikan untuk mark-packet maka passthrough=no sedangkan untuk mark-connection passthrough=yes

02. Nah setelah beres urusan mangling ini, kita lanjut ke pembuatan queue tree :
/queue tree add name=down parent=Local queue=default
/queue tree add name=up parent=global-in queue=default

untuk download kita menggunakan in-interface kita dalam hal ini Local,
sedangkan untuk upload kita menggunakan global-in

03. selanjutnya kita tambahkan type baru di queue kita :
yang harus kita tambahkan melihat skenario diatas adalah PCQ untuk
paket corporate 512kbps (1:1) dan paket personal 384kbps (1:4).

Untuk paket corporate kita langsung menetapkan angka 512kbps, sedangkan untuk personal
kita tidak dapat menetapkan angka disini karena bandiwdth yang akan diterima oleh paket
personal tergantung seberapa banyak user yang online, jadi jika hanya 1 orang online
akan mendapatkan bw penuh 384kbps, kalau 2 orang online maka masing-masing akan
mendapatkan 192kbps dan seterusnya.

/queue type add name=512-down kind=pcq pcq-rate=512k pcq-classifier=dst-address pcq-total-limit=2000
/queue type add name=512-up kind=pcq rate=512k pcq-classifier=src-address pcq-total-limit=2000

/queue type add name=auto-down kind=pcq pcq-rate=0 pcq-classifier=dst-address pcq-total-limit=2000
/queue type add name=auto-up kind=pcq rate=0 pcq-classifier=src-address pcq-total-limit=2000

kita menggunakan 0 pada paket personal karena MT akan menghitung berapa besar bw
yang tersedia pada saat client melakukan koneksi.

Nah setelah itu kita kembali ke queue tree dan menambahkan :

Paket corporate
/queue tree add name=corp-down packet-mark=corporate-down parent=down queue=512-down
/queue tree add name=corp-up parent=up packet-mark=corporate-up queue=512-up

Paket personal
/queue tree add name=per-down packet-mark=personal-down parent=down queue=auto-down max-limit=384k
/queue tree add name=per-up parent=up packet-mark=personal-up queue=auto-up max-limit=64k

Done.
Setelah melakukan semua hal ini silahkan dicobaa gunakan aplikasi P2P ataupun downloader,
seharusnya semuanya sudah dapat ter-shaping dengan baik

Settingan diatas cocok diterapkan buat konfigurasi seperti diterangkan diatas,
tanpa menggunakan proxy internal MT dan hanya 2 interface, untuk penggunakan proxy internal
dan lebih banyak interface diperlukan sedikit perubahan dan penambahan pada script diatas







By Geonet_comp at www.forummikrotik.com

########################################################################

  Documentation,Editing,Optimization by baratev.sourceforge.net

########################################################################

sumber : http://baratev.sourceforge.net/stuff/mt.pcq.provider.txt

Read more »

Posted in: Mikrotik

Router Mikrotik

# asumsi: Publik adalah Ip yang terhubung ke modem(internet)
    local adalah Ip lan


# mengubah nama host.

[admin@Mikrotik] > system identity set name=adiscsi
[admin@adiscsi] >


# mengubah nama interface...(sebelum di konfigurasi, biasanya nama interface adalah Ether0 dan Ether1)

[admin@adiscsi] > interface set Ether0 name=Public
[admin@adiscsi] > interface set Ether1 name=Local


# sekarang ita setting IP Publicnya

[admin@adiscsi] > ip address add address 192.168.1.200/24 network=192.168.1.0 broadcast=192.168.1.255 interface=Public
[admin@adiscsi] > ip route add gateway=192.168.1.1
[admin@adiscsi] > ip dns set primary-dns=125.162.53.33


# nah, sekarang coba tes ping google (seharusnya udah jalan, kalau gak jalan coba periksa lagi gateway dan dnsnya)

[admin@adiscsi] > ping google.com
64.233.181.104 64 byte ping: ttl=52 time=79 ms
64.233.181.104 64 byte ping: ttl=52 time=94 ms
64.233.181.104 64 byte ping: ttl=52 time=60 ms
64.233.181.104 64 byte ping: ttl=52 time=126 ms
64.233.181.104 64 byte ping: ttl=52 time=68 ms
64.233.181.104 64 byte ping: ttl=52 time=156 ms
64.233.181.104 64 byte ping: ttl=52 time=63 ms
64.233.181.104 64 byte ping: ttl=52 time=59 ms
64.233.181.104 64 byte ping: ttl=52 time=60 ms
9 packets transmitted, 9 packets received, 0% packet loss
round-trip min/avg/max = 59/85.0/156 ms
[admin@adiscsi] >

#ok pastikan semua berjalan lancar, sekarang kita set ip local kita.

[admin@adiscsi] > ip address add address 192.168.10.1/28 network=192.168.10.0 broadcast=192.168.10.15 interface=Local


# ok, semua berjalan seperti yang diharapkan, sekarang kita set nat nya

Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server maka agar
client computer pada network dapat terkoneksi ke internet perlu kita masquerading.

[admin@adiscsi] > ip firewall nat add chain=srcnat out-interface=public action=masquerade


# sekarang kita akan seting ip pool nya untuk membuat dhcp-server

[admin@adiscsi] > ip pool add name=adiscsi range=192.168.10.2-192.168.10.14
[admin@adiscsi] > ip dhcp-server add address-pool=adiscsi interface=local
[admin@adiscsi] > ip dhcp-server network add address=192.168.10.0/28 gateway=192.168.10.1 dns-server=192.168.10.1

nah sekarang coba tes ping ke ke gateway nya LAN.

[admin@adiscsi] > ping 192.168.10.1
192.168.10.1 64 byte ping: ttl=64 time<1 ms
192.168.10.1 64 byte ping: ttl=64 time<1 ms
192.168.10.1 64 byte ping: ttl=64 time<1 ms
192.168.10.1 64 byte ping: ttl=64 time<1 ms
192.168.10.1 64 byte ping: ttl=64 time<1 ms
192.168.10.1 64 byte ping: ttl=64 time<1 ms
6 packets transmitted, 6 packets received, 0% packet loss
round-trip min/avg/max = 0/0.0/0 ms
[admin@adiscsi] >


# kemudian Lihat status DHCP server

[admin@adiscsi] > ip dhcp-server print

Flags: X - disabled, I - invalid

# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP

0 dhcp1     Local


# Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan terlebih
  dahulu pada langkah selanjutnya.


# Jangan Lupa dibuat enable dulu dhcp servernya

[admin@adiscsi] > ip dhcp-server enable 0

# kemudian cek kembali dhcp-server seperti langkah diatas, jika tanda X sudah tidak ada berarti
  sudah aktif

# kemudian coba Tes Dari client

# sekarang klien sudah mendapat IPnya langsung, jadi gak membuat si admin repot lagi untuk mengaturnya...

nah sekarang router kita sudah berjalan dengan baik..

Read more »

Posted in: Mikrotik