/ip firewall mangle
add chain=prerouting action=jump jump-target=hotspot comment="Hotspot Jump Mangle"
add chain=postrouting action=jump jump-target=hotspot
add chain=prerouting action=mark-connection new-connection-mark=conn-up passthrough=yes dst-address=10.5.50.0/24 comment="Hotspot Connections"
add chain=postrouting action=mark-connection new-connection-mark=conn-down passthrough=yes src-address=10.5.50.0/24
add chain=prerouting action=mark-packet new-packet-mark=packet-up passthrough=yes connection-mark=conn-up comment="Hotspot Packets"
add chain=postrouting action=mark-packet new-packet-mark=packet-down passthrough=yes connection-mark=conn-down
add chain=prerouting action=mark-packet new-packet-mark=hotspot-up passthrough=no connection-mark=conn-up
add chain=postrouting action=mark-packet new-packet-mark=hotspot-down passthrough=no connection-mark=conn-down
**Setelah mangle utama kita buat, sekarang kita akan menambahkan lagi mangle untuk memisahkan jalur browsing, download, facebook dan youtube (yg lain2 bisa ditambahkan sendiri ya Click here to enlarge).
**Agar memudahkan pemisahan bandwidth tersebut kita akan menggunakan fasilitas layer-7-protocol dari mikrotik.
Code:
/ip firewall layer7-protocol
add name=Download regexp="^.*(get|GET).+\\.(exe|rar|zip|7z|cab|asf|mov|wmv|mpg|mpeg|mkv|avi|flv|pdf|wav|rm|mp3|mp4|ram|rmvb|dat|daa|iso|nrg|bin|vcd|mp2|3gp|mpe|qt|raw|wma|ogg|doc|deb|tar|bzip|gzip|gzip2|0[0-1][0-1]).*\$"
add name=Facebook regexp=^.+(fbcdn-video-a.akamaihd.net).*$
add name=Youtube regexp="^.+(c.youtube.com|googlevideo.com|cdn.dailymotion.com|metacafe.com|mccont.com).*$"
**Setelah layer-7-protocol kita tambahkan, kita buat mangle nya.
Code:
/ip firewall mangle
add chain=hotspot action=mark-packet new-packet-mark=facebook passthrough=no protocol=tcp layer7-protocol=Facebook comment="Facebook"
add chain=hotspot action=mark-packet new-packet-mark=youtube passthrough=no protocol=tcp layer7-protocol=Youtube comment="Youtube"
add chain=hotspot action=mark-packet new-packet-mark=download passthrough=no protocol=tcp layer7-protocol=Download comment="Download"
/queue type
add name="pcq-down" kind=pcq pcq-rate=1M pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=2000 pcq-burst-rate=0 pcq-burst-threshold=0 pcq-burst-time=10s pcq-src-address-mask=32 pcq-dst-address-mask=32 pcq-src-address6-mask=64 pcq-dst-address6-mask=64
add name="pcq-up" kind=pcq pcq-rate=1M pcq-limit=50 pcq-classifier=src-address pcq-total-limit=2000 pcq-burst-rate=0 pcq-burst-threshold=0 pcq-burst-time=10s pcq-src-address-mask=32 pcq-dst-address-mask=32 pcq-src-address6-mask=64 pcq-dst-address6-mask=64
/queue tree
add name="Hotspot Down" parent=global-out packet-mark="" limit-at=0 priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
add name="Hotspot Up" parent=global-in packet-mark="" limit-at=0 priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
add name="Hotspot Browsing" parent="Hotspot Down" packet-mark=hotspot-down limit-at=256k queue=pcq-down priority=2 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
add name="Hotspot Facebook" parent="Hotspot Down" packet-mark=facebook limit-at=256k queue=pcq-down priority=2 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
add name="Hotspot Youtube" parent="Hotspot Down" packet-mark=youtube limit-at=128k queue=pcq-down priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
add name="Hotspot Download" parent="Hotspot Down" packet-mark=download limit-at=128k queue=pcq-down priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
add name="Hotspot Upload" parent="Hotspot Up" packet-mark=hotspot-up limit-at=256k queue=pcq-up priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
Tuesday, April 14, 2015
BLOCK SITUK MIKROTIK
menggunakan mikrotik , Cara memblock situs atau link
Cara memblock situs atau link menggunakan mikrotik. mikrotik yang digunakan adalah diatas versi 3.X. Software ini sangat mudah di cari , setiap IT pasti sudah tahu apa itu mikrotik dan apa fungsi mikrotik. Selain untuk mengatur bandwhit management , mikrotik juga dapat digunakan untuk memblock situs , atau link yang dikehendaki.1.
Pastikan mikrotik anda versi diatas 3.X, kemudian siapkan winbox dan silahkan buka router mikrotik yg akan digunakan
2.
Buatlah daftar di layer 7 protocol, masuk menu click IP => firewall kemudian pilih tab setelah itu masukan daftar url / link nya. click tanda + lalu isi kolom name dan regexp setelah itu OK
3.
pilih tab ‘mangle’ kemudian click tanda +
catatan
pilih chain ‘prerouting’ bila mengunakan masquerade/NAT
pilih chain ‘forward’ apabila jaringan yang tidak menggunakan masquerade/NAT
Pilih dan click tab ‘advanced’ dan silahkan anda pilih di layer 7 protocol dimana yg sudah di buat dg meng click drop down
setelah itu click tab ‘action’ lalu pilih action = mark connetion
kemudian isi new conection mark = ilegal - url - conection yaitu dengan passthrough tercentang.jalankan langkah ini pada setiap baris dilayer 7 protocols.
4.
Pada tab mangle silahkan click +
Bila jaringan masquerade maka silahkan pilih chain ‘prerouting’
Bila jaringan non masquerade silahkan pilih ‘forward’
setelah itu pilih conection mark dg ‘ilegal - url - conection’ yaitu dengan droup down
Kemudian pada tab action pilih action = marl packet lalu isi new packet mark dg ‘ilegal - url - packet’
5.
Kemudian pada tab ‘filter rules’ ,
Jika Os mikrotik juga di gunakan sebagai hotspot mana pilih filter rules = hs - input
Jika Os mikrotik hanya dibunakan sebagai router biasa maka pilih filter rules = Forward
kemudian buat aturan baru dengan cara click tanda +
Di field / baris packet_mark silahkan anda pilih ‘ilegal-url-packet’ setelah itu click tab action dan action=jump , dg jump_target’ilegal - url’ lalu click OK
6.
Pada filter rupes silahkan click lagi yaitu tanda + dengan tujuan membuat chain ilegal-url
Silahkan anda isi kotak chain dengan ‘ilegal -url’ lalu silahkan click tab action.
Silahkan anda pilih action ‘log’ dan silahkan juga anda isi log prefix dg ‘ILEGAL-URL’ setelah itu OK.
Silahkan anda ulagi lagi langkah ke 6 dengan cara click tanda +.
MANAJEMEN MAC MIKROTIK
langsung praktek nya aja. Saya anggap anda sudah mempunyai server mikrotik. Pertama yang harus dilakukan login terlebih dahulu ke mikrotik Anda melaluin winbox, sehingga akan muncul tampilan seperti:
Lalu klik interface dan double klik intercafe lokal Anda seperti gambar dibawah ini:
Maka akan muncul tampilah seperti ini:
Pada bagian ARP pilih reply-only dan klok OK.
Selanjutnya klik IP –> ARP seperti pada gambar dibawah ini:
Dan klik tanda + seperti terlihat di gambar atas, maka akan muncul seperti gambar dibawah ini:
Pada bagian New ARP Entry, masukan IP Address dan Mac Address yang sesuai dengan client Anda, pada interface sesuaikan dengan interface lokal jaringan anda, seperti yang anda pilih sebelum nya di bagian intercafe tadi.
Lalu klik interface dan double klik intercafe lokal Anda seperti gambar dibawah ini:
Maka akan muncul tampilah seperti ini:
Pada bagian ARP pilih reply-only dan klok OK.
Selanjutnya klik IP –> ARP seperti pada gambar dibawah ini:
Dan klik tanda + seperti terlihat di gambar atas, maka akan muncul seperti gambar dibawah ini:
Pada bagian New ARP Entry, masukan IP Address dan Mac Address yang sesuai dengan client Anda, pada interface sesuaikan dengan interface lokal jaringan anda, seperti yang anda pilih sebelum nya di bagian intercafe tadi.
FILTER MAC MIKROTIK
Filter Mac-Address di Mikrotik
Allow mac-address
- ip firewall filter add action=accept chain=input in-interface=local src-mac-address=00:21:00:A3:45:50
- ip firewall filter add action=accept chain=forward in-interface=local src-mac-address=00:21:00:A3:45:50
Drop mac-address yg tidak diizinkan
- ip firewall filter add action=drop chain=input in-interface=local
- ip fire filter add action=drop chain=forward in-interface=local
- ip firewall filter add action=accept chain=input in-interface=local src-mac-address=00:21:00:A3:45:50
- ip firewall filter add action=accept chain=forward in-interface=local src-mac-address=00:21:00:A3:45:50
Drop mac-address yg tidak diizinkan
- ip firewall filter add action=drop chain=input in-interface=local
- ip fire filter add action=drop chain=forward in-interface=local
SETING RADIUS MIKROTIK
Berikut ini langkah-langkah simple untuk membuat server hotspot dengan menggunakan user manager bawaan Mikrotik:
Saya asumsikan ip dari interface yg digunakan untuk server hotspot adalah 192.168.100.1
1. Run terminal / ssh / telnet
2. Enable dulu use-radius di hotspot
[admin@mikrotik] > ip hotspot profile p
Flags: * – default
0 * name=
"default" hotspot-address=0.0.0.0 dns-name="" html-directory=hotspot
rate-limit=""
http-proxy=0.0.0.0:0smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=5s split-user-domain=no use-radius=no
1 name=
"hsprof1" hotspot-address=192.168.100.1
dns-name="server.hotspot" html-directory=hotspot
rate-limit=""http-proxy=0.0.0.0:0 smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=5s split-user-domain=no use-radius=no
3. Akan terlihat profile2 yg telah dibuat, kemudian tentukan profile mana yg akan dipake di use-radius
[admin@mikrotik] > ip hotspot profile set 1 use-radius=yes
(1 = nomor profile)
4. Membuat server radius
[admin@mikrotik] > radius add address=192.168.100.1
[admin@mikrotik] > radius p
Flags: X – disabled
# SERVICE CALLED-ID DOMAIN ADDRESS SECRET
0 192.168.100.1
[admin@mikrotik] > radius set 0 service=hotspot,login secret=12345678
5. Membuat owner user managaer
[admin@mikrotik] > tool user-manager customer add login=
"admin" password="test" permissions=owner6. Menghubungkan hotspot ke radius server
[admin@mikrotik] > tool user-manager router add subscriber=admin ip-address=192.168.100.1 shared-secret=12345678
7. Test dengan browser, buka http://192.168.100.1/userman
DOWNLOAD BROUSING MIKROTIK
[admin@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; UP-TRAFFIC
chain=prerouting in-interface=LAN src-address-list=Guru
action=mark-packet new-packet-mark=test-up passthrough=no
1 ;;; CONN-MARK
chain=forward src-address-list=Guru action=mark-connection
new-connection-mark=test-conn passthrough=yes
2 ;;; DOWN-DIRECT-CONNECTION
chain=forward in-interface=INTERNET connection-mark=test-conn
action=mark-packet new-packet-mark=test-down passthrough=no
3 ;;; DOWN-VIA-PROXY
chain=output out-interface=LAN dst-address-list=Guru action=mark-packet
new-packet-mark=test-down passthrough=no
4 ;;; UP-TRAFFIC-HOTSPOT
chain=prerouting in-interface=LAN src-address-list=Hotspot
action=mark-packet new-packet-mark=test-up-hotspot passthrough=no
[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; SRC-NAT-GURU
chain=srcnat out-interface=INTERNET src-address-list=Guru
action=masquerade
1 ;;; DEST-NAT-GURU
chain=dstnat in-interface=LAN protocol=tcp dst-port=80
src-address-list=Guru action=redirect to-ports=49509
2 ;;; SRC-NAT-HOTSPOT
chain=srcnat out-interface=INTERNET src-address-list=Hotspot
action=masquerade
3 ;;; DEST-NAT-HOTSPOT
chain=dstnat in-interface=LAN protocol=tcp dst-port=80
src-address-list=Hotspot action=redirect to-ports=49509
[admin@MikroTik] > queue tree print
Flags: X - disabled, I - invalid
0 name="downstream" parent=LAN packet-mark=test-down limit-at=256000
queue=down786 priority=8 max-limit=1024000 burst-limit=2048000
burst-threshold=1024000 burst-time=5s
1 name="upsteam" parent=global-in packet-mark=test-up limit-at=64000
queue=default priority=8 max-limit=128000 burst-limit=0
burst-threshold=0 burst-time=0s
2 name="downstream-hotspot" parent=LAN packet-mark=test-down-hotspot
limit-at=128000 queue=down512 priority=8 max-limit=384000
burst-limit=512000 burst-threshold=384000 burst-time=5s
3 name="upstream-hotspot" parent=global-in packet-mark=test-up-hotspot
limit-at=32000 queue=default priority=8 max-limit=64000 burst-limit=0
burst-threshold=0 burst-time=0s
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; UP-TRAFFIC
chain=prerouting in-interface=LAN src-address-list=Guru
action=mark-packet new-packet-mark=test-up passthrough=no
1 ;;; CONN-MARK
chain=forward src-address-list=Guru action=mark-connection
new-connection-mark=test-conn passthrough=yes
2 ;;; DOWN-DIRECT-CONNECTION
chain=forward in-interface=INTERNET connection-mark=test-conn
action=mark-packet new-packet-mark=test-down passthrough=no
3 ;;; DOWN-VIA-PROXY
chain=output out-interface=LAN dst-address-list=Guru action=mark-packet
new-packet-mark=test-down passthrough=no
4 ;;; UP-TRAFFIC-HOTSPOT
chain=prerouting in-interface=LAN src-address-list=Hotspot
action=mark-packet new-packet-mark=test-up-hotspot passthrough=no
[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; SRC-NAT-GURU
chain=srcnat out-interface=INTERNET src-address-list=Guru
action=masquerade
1 ;;; DEST-NAT-GURU
chain=dstnat in-interface=LAN protocol=tcp dst-port=80
src-address-list=Guru action=redirect to-ports=49509
2 ;;; SRC-NAT-HOTSPOT
chain=srcnat out-interface=INTERNET src-address-list=Hotspot
action=masquerade
3 ;;; DEST-NAT-HOTSPOT
chain=dstnat in-interface=LAN protocol=tcp dst-port=80
src-address-list=Hotspot action=redirect to-ports=49509
[admin@MikroTik] > queue tree print
Flags: X - disabled, I - invalid
0 name="downstream" parent=LAN packet-mark=test-down limit-at=256000
queue=down786 priority=8 max-limit=1024000 burst-limit=2048000
burst-threshold=1024000 burst-time=5s
1 name="upsteam" parent=global-in packet-mark=test-up limit-at=64000
queue=default priority=8 max-limit=128000 burst-limit=0
burst-threshold=0 burst-time=0s
2 name="downstream-hotspot" parent=LAN packet-mark=test-down-hotspot
limit-at=128000 queue=down512 priority=8 max-limit=384000
burst-limit=512000 burst-threshold=384000 burst-time=5s
3 name="upstream-hotspot" parent=global-in packet-mark=test-up-hotspot
limit-at=32000 queue=default priority=8 max-limit=64000 burst-limit=0
burst-threshold=0 burst-time=0s
Subscribe to:
Posts (Atom)