RSS

Meng”aman” kan Mikrotik (revision)

30 Jan

Apakah selama ini Anda berpikir Mikrotik Router  Anda aman ??? Kalau jawabannya “iya” cobalah anda perhatikan di winbox anda, klik menu IP, Firewall, Connections. Cobalah perhatikan baik-baik pada kolom Dst. Address. Disitulah nampak client-client mengakses internet  dengan tujuan address nya. Perhatikan baik-baik pula dibelakang ip-ip yang di akses terdapat port-port sebagai tujuan akses. Port-port yang umum dan boleh di akses adalah 80 untuk WWW, 5050 untuk YM, 5100 untuk webcam YM, 443 untuk https, 8291 untuk winbox, 667 untuk Mirc, 21 untuk FTP, 22 untuk SSH dan 23 untuk Telnet.

Setelah memperhatikan dengan seksama ip firewall connections di winbox, apakah anda menemukan port-port yang lain selain port-port di atas ??? Jika jawabannya  “ya” hmmm berarti ada masalah disisi client dengan mengakses internet melalui port-port yang tidak diijinkan, atau client sengaja menggunakan port yang terbuka, atau ada virus yang menyerang dan aktif sehingga mengganggu traffict. Akibatnya internet lemot… lelet… dan bikin jengkel… payahnya lagi ping DNS normal tapi tidak bisa browsing… Jika kondisi ini terjadi pada Mikrotik anda maka perlu membatasi akses hanya port-port tertentu saja. Selain port-port yang diijinkan akan di reject/ditolak sehingga Mikrotik kita aman.

Nah bagaimana cara mengamankannya ??? Monggo di lanjut Bosss…

Sebelumnya remote terlebih dahulu ip mikrotik anda di browser, login, kemudian muncul menu, pilih menu Firewall, maka muncul menu di bawahnya, sebagai berikut,

Firewall

Public interface: Public
Protect router: V
Protect LAN: V
NAT: V

Centangi seperti di atas (public=ether1=internet), kemdian klik Apply,  kemudian anda perhatikan di winbox, IP Firewall Filter dan NAT akan otomatis terisi.  Hal ini menunjukkan bahwa mikrotik memiliki firewall internal yang dapat kita panggil melalui browser.  Nah setalah itu anda coba browsing… harusnya bisa. Oh ya perlu di ingat pada saat anda mengklik Apply di atas, maka semua settingan firewall yg sudah ada akan terhapus otomatis, oleh karena itu disarankan untuk memback up file terlebih dahulu jika terjadi kesalahan dapat di restore dengan mudah.

Selanjut nya jika sudah bisa browsing..lanjutkan dengan yang di bawah ini .

Berikut ini script yang saya gunakan untuk mengamankan Mikrotik RB750 Versi 4.50

 

/ip firewall filter

 

add action=reject chain=forward comment=”REJECT UDP SELAIN PORT 53″ disabled=\

no dst-port=!53 protocol=udp reject-with=icmp-network-unreachable

add action=reject chain=input comment=\

“REJECT BROWSING SELAIN PORT 80,5050,8291,443,5100” disabled=no dst-port=\

!80,5050,8291,443,5100,9339,843 protocol=tcp reject-with=icmp-network-unreachable

add action=reject chain=input comment=”REJECT UDP SELAIN PORT 53″ disabled=no \

dst-port=!53,843,9339 protocol=udp reject-with=icmp-network-unreachable

add action=reject chain=forward comment=\

“REJECT BROWSING SELAIN PORT 80,5050,8291,443,5100” disabled=no dst-port=\

!80,5050,8291,443,5100 protocol=tcp reject-with=icmp-network-unreachable

 

Keterangan :

 

Saya hanya mengijinkan port 80,443,53,8291,5050,5100 yang dapat mengakses internet, selain port-port tersebut akan di reject-with icmp-network-unreachable, artinya setiap akan mengakses internet melalui port-port selain yang diijinkan maka akan tidak bisa lagi mengakses.  Chain yang saya gunakan adalah forwad dan input… jadi jika ada input selain port diatas otomatis di reject, selanjutnya jika di forward (dilanjutkan) juga akan di reject…

Mungkin anda bertanya , Mengapa tidak di drop saja action nya ???

Jika action di drop maka kemungkinan untuk connection state nya akan terus menempel di Mikrotik, dan jika tidak kuat Mikrotik kita bisa terjadi Flooding. Flooding adalah suatu keaadan dimana Router kita di banjiri oleh akses yang terus menerus sehingga terjadi bottle neck, router kita jadi hang…

 

NB : sesuaikan dengan port-port yang ingin anda ijinkan. Settingan Mikrotik Router untuk firewall filter nya yang kami gunakan hanya seperti ini dibawah ini, dan Alhamdulillah sampai saat ini aman…:

/ip firewall filter

add action=accept chain=input comment=”Added by webbox” disabled=no protocol=\

icmp

add action=accept chain=input comment=”Added by webbox” connection-state=\

established disabled=no in-interface=ether1

add action=accept chain=input comment=”Added by webbox” connection-state=\

related disabled=no in-interface=ether1

add action=drop chain=input comment=”Added by webbox” disabled=no \

in-interface=ether1

add action=jump chain=forward comment=”Added by webbox” disabled=no \

in-interface=ether1 jump-target=customer

add action=accept chain=customer comment=”Added by webbox” connection-state=\

established disabled=no

add action=accept chain=customer comment=”Added by webbox” connection-state=\

related disabled=no

add action=drop chain=customer comment=”Added by webbox” disabled=no

add action=reject chain=forward comment=”REJECT UDP SELAIN PORT 53″ disabled=\

no dst-port=!53 protocol=udp reject-with=icmp-network-unreachable

add action=reject chain=input comment=\

“REJECT BROWSING SELAIN PORT 80,5050,8291,443,5100” disabled=no dst-port=\

!80,5050,8291,443,5100 protocol=tcp reject-with=icmp-network-unreachable

add action=reject chain=input comment=”REJECT UDP SELAIN PORT 53″ disabled=no \

dst-port=!53 protocol=udp reject-with=icmp-network-unreachable

add action=reject chain=forward comment=\

“REJECT BROWSING SELAIN PORT 80,5050,8291,443,5100” disabled=no dst-port=\

!80,5050,8291,443,5100 protocol=tcp reject-with=icmp-network-unreachable

add action=reject chain=forward comment=”Reject Network” disabled=no \

reject-with=icmp-network-unreachable src-address=!172.160.212.0/24

add action=reject chain=input comment=”Reject Network” disabled=no \

reject-with=icmp-network-unreachable src-address=!172.160.212.0/24

Berikut ini Screenshot hasil implementasi script

 
13 Comments

Posted by on January 30, 2010 in Tutorial Mikrotik

 

13 responses to “Meng”aman” kan Mikrotik (revision)

  1. seblank

    August 1, 2010 at 1:33 am

    Anehnya, jika saya nerapin command diatas, internet saya jadi gak bisa ke akses kompi klien mas?! knp nih..?! adakah setingan yg salah paste ya? tp jika command diatas saya disable via winbox, walhasil saya bisa akses internet lagi..

     
    • tamam_papua

      August 1, 2010 at 10:08 pm

      hmmmm mikrotik nya pake yg ix86 atau RB series neh…??? pengalaman kalo pake cpu (ix86) gak bisa dan untuk mikrotik versi 2 gak bisa juga. coba cek. bisa juga di akal-akali di taruh di ip web proxy access dengan catatan, web proxy dan nat redirect ke port proxy berjalan dengan lancar.

       
  2. seblank

    August 23, 2010 at 9:23 pm

    Apa yg ditampilkan di Torch dan di Connection kok lain yo suhu..?!
    di Connection,port-port yg ditampilkan lebih banyak ketimbang di Torch. dan apakah tidak akan terjadi masalah jika port selain 80 , 5050, 5100, 443, 8291, 667, 21, 22, 23 kita block..?
    apakah bisa dikatakan Torch tidak bisa menampilkan secara detil port2 yg di akses oleh user..? mohon pencerahannya suhu… nubitol nih…

     
    • tamam_papua

      August 25, 2010 at 2:36 pm

      ya intinya sama saja, akan tetapi torch lebih sesifik, coba anda torch, interface ether1 (wan) centangi src, dst, protocol, dan port, lalu perhatikan pada kolom dst addresss. Disitu harus ip address ether1, jika tidak brarti ada masalah, juga lihat di src port nya adalah port-port yang diijinkan saja, jika ada port liar yang tidak diijin harus di blok.
      Bisa juga anda liat masing-masing ip client kmudian anda torch. Klik menu ARP, kmudian klik kanan salah satu ip client, kmudian pilih torch… lihat dan amati …

       
      • seblank

        August 27, 2010 at 5:05 am

        sip suhu.. segera saya praktekkan… semoga sharing ilmunya semakin menambah wawasan anda…
        matur suwun suhu… oprek lagiiiii….

         
  3. POE2NK (@ududmlulu)

    November 2, 2011 at 1:31 pm

    bisa dibantu dengan settingan di router v5.6 x86 gak?

     
  4. Arju On Radius

    February 22, 2012 at 12:51 pm

    klo misalnya ada salah satu client yang terinfeksi virus, lalu terus menerus mengakses web tertentu dengan port tertentu, apa nantinya klo kita blok port tersebut client masih bisa conect, krna saya pernah mencoba blok semua port selain port diatas plus port vpn server 47 (GRE) ,4003 (proxy server) mlh tidk bisa conect, trus untuk meyakinkan lagi saya mencoba hanya meblok port stu persatu port yang mencurigkan (contoh port 5355 dst adrss 224.0.0.*) tetap sama saja, dlam kasus ini sya menggunakan hotspot tunggal, artinya artinya bukan warnet, karena sya prnah blok lebih parah, o, iya mngkin abang tau port 5355 ini port apa ? trus ini untk memblok paket atau ip mohon pencerahannya

     
  5. aiwan

    February 24, 2012 at 4:00 pm

    saya mempunyai kasus seperti diatas salah satu clien saya ,dan sudah saya blok lewat macnya dengan drob di feriwal,tetapi dia masih terus flood di mikrotik sayakarena masih mendapatkan ip dhcp dari mikrotik dan menyebabkan mikrotik dan ap nya hang,gimana saya harus membentengi mikrotik saya ,mikrotik ser rb 750 ver 5,9.demikian terimakasih

     
    • tamam_papua

      March 3, 2012 at 12:03 pm

      anda sebaiknya melakukan drop port icmp pada ether local anda..
      contoh :
      ip firewall filter add action=drop chain=input disabled=no dst-address=0.0.0.0/0 in-interface=\
      ether2 protocol=icmp src-address=0.0.0.0/0
      ip firewall filter add action=drop chain=forwad disabled=no dst-address=0.0.0.0/0 in-interface=\
      ether2 protocol=icmp src-address=0.0.0.0/0

      ether2=ether local/LAN

       
  6. Peni Kodrat Subehi

    August 11, 2015 at 12:24 pm

    Mas gan,

    Saya mau tanya.
    Apakah script agan ini bisa digunakan untuk kasus di mikrotik saya ? mohon bantuannya.
    Kasus di mikrotik saya begini :

    – saya pakai RB951Ui-2HnD (ada wirelessnya)
    – ISP saya 3Mbps 1:1
    – Kalau saya liat di MRTG ISPnya, bandwidth yang digunakan tidak lebih dari 1Mbps, cuma koneksi saya di browser sangat lambat sekali, bahkan hanya untuk sekedar buka email gmail pun lambat
    – setelah saya liat di menu IP, Firewall, Connections pada kolom Dst. Address memang banyak sekali port diluar port 80,443,53,8291,5050,5100

    Mohon bantuannya,
    terima kasih

     

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: