Simple Firewall Ampuh Mikrotik

Fungsi : Memblok akses yang tidak di ijinkan yang datang dari arah publik. selain yang di allow. semua akses masuk dari publik akan di drop.
Wan : Interface ke arah internet.
Lan : Interface ke arah local.
Ip Local : 192.168.0.0/16
Media : Mikrotik - Ip Firewall Filter

/ip firewall filter

add chain=forward in-interface=Wan out-interface=Lan dst-address=192.168.0.0/16 action=accept comment="Allow semua akses internet to client" disabled=no

add chain=input in-interface=Wan protocol=tcp dst-port=8291 action=accept comment="Allow Remote winbox dari Publik" disabled=no

add chain=input in-interface=Wan protocol=udp src-port=123 action=accept comment="Allow NTP Traffic" disabled=no

add chain=input in-interface=Wan protocol=udp src-port=53 action=accept comment="Allow DNS Traffic" disabled=no

add chain=input in-interface=Wan protocol=icmp action=accept comment="Allow Ping Traceroute Traffic" disabled=no

add chain=input in-interface=Wan connection-state=new action=add-src-to-address-list address-list=spam address-list-timeout=30m comment="Log Ip Yang Di Tolak" disabled=no

add chain=input in-interface=Wan action=drop comment="Drop Semua Akses yang tidak di ijinkan" disabled=no

Good Luck!
Sumber: adhielesmana.forummikrotik indonesia

Memisah Bandwidth Download, Browsing, Streaming dll.

Kadang kita sering pusing dengan klien yang suka download dan nonton streaming, misalnya klient yang sering membuka youtube, download, dll.
Setelah bebera hari cari2 tutorial akhirya qw temukan cara untuk memisah trafik download, browsing dan streaming di mikrotik.
berikut konfigurasinya...

masuk Ke ip firewall mangle,

/ip firewall mangle
add chain=forward in-interface=Internet out-interface=Local
protocol=tcp connection-bytes=262146-4294967295 action=mark-connection
new-connection-mark=Download passthrough=yes
comment="Trafik Download"

add chain=forward in-interface=Internet out-interface=Local
connection-mark=Download action=mark-packet new-packet-mark=download
passthrough=no

add chain=forward protocol=tcp content=youtube action=mark-connection
new-connection-mark=youtube passthrough=yes
comment="Trafik Youtube"

add chain=forward connection-mark=youtube action=mark-packet
new-packet-mark=limityoutube passthrough=no

Maksud dari mangle diatas adalah,
1. trafik download
Kita batasi maksimal bandwidth download sebesar 256kbps melalui connection byte.
2. Trafik Youtube
Semua konten yang berhubungan dengan youtube akan disaring di rule ini.

fungsi dari konfigurasi diatas adalah untuk membuat paket mark yang nantinya untuk
konfigurasi di queue tree.

Kemudian Masuk queue,
setting queue type

/queue type
add name="shape" kind=pcq pcq-rate=256000 pcq-limit=50
pcq-classifier=src-address,dst-address pcq-total-limit=2000

Buat Queue tree seperti dibawah ini

/queue tree
add name="Download" parent=global-out packet-mark=download limit-at=0
queue=shape priority=8 max-limit=256000 burst-limit=0 burst-threshold=0
burst-time=0s

add name="video" parent=global-out packet-mark=limityoutube limit-at=0
queue=shape priority=8 max-limit=128000 burst-limit=0 burst-threshold=0
burst-time=0s

Sekarang coba Untuk download dan buka streaming di youtube.
lihat trafik di queue treenya, apakah ada trafik..
Jika Ada berarti kita sudah berhasil.

mungkin ada yang salah mohob koreksi
Selamat mencoba.

Load Balancing Mikrotik V 2.9.27

Saya mencoba load balance Pc mikrotik dengan v 2.9.27.
Install dulu Mikrotiknya.
Setelah itu buatlah Konfigurasi seperti dibawah ini

/ip address
add address=192.168.10.1/28 network=192.168.10.0 broadcast=192.168.10.255
interface=lan comment="" disabled=no
add address=192.168.1.11/24 network=192.168.1.0 broadcast=192.168.255
interface=inet1comment="" disabled=no
add address=192.168.2.22/24 network=192.168.2.0 broadcast=192.168.2.255
interface=inet2 comment="" disabled=no
/ip firewall mangle
add chain=prerouting in-interface=lan connection-state=new nth=1,1,0
action=mark-connection new-connection-mark=satu passthrough=yes
disabled=no
add chain=prerouting in-interface=lan connection-mark=satu
action=mark-routing new-routing-mark=satu passthrough=no disabled=no
add chain=prerouting in-interface=lan connection-state=new nth=1,1,1
action=mark-connection new-connection-mark=dua passthrough=yes disabled=no
add chain=prerouting in-interface=lan connection-mark=dua
action=mark-routing new-routing-mark=dua passthrough=no disabled=no
/ip firewall nat
add chain=srcnat connection-mark=satu action=src-nat
to-addresses=192.168.1.11 to-ports=0-65535 comment="" disabled=no
add chain=srcnat connection-mark=dua action=src-nat
to-addresses=192.168.2.22 to-ports=0-65535 comment="" disabled=no
/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-scope=10
routing-mark=satu comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=255 target-scope=10
routing-mark=dua comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=255 target-scope=10
comment="" disabled=no

Selain konfigurasi di atas, ada konfigurasi lain yaitu mikrotik sebagai router.
meliputi DNS, Pembagi bandwidth(simple Queue/Queue tree). Dan sebagainya sesuai keinginan kita.

Apabila ada yang kurang, mohon sarannya.
Good LUck!

Blok Ssh, Telnet dan Ftp mikrotik

Kadang kita resah jika router mikrotik kita diakses orang lain tanpa seijin kita, atau hanya mencoba untuk mengganggu keaman mikrotik kita. Baik melalui ssh, telnet maupun ftp. Untuk itu kita harus mengamankan router kita dari gangguan orang-orang yang ingin jail. memblokir ssh, telnet dan ftp dari ip tertentu atau dari internet di mikrotik sebenarnya gampang2 susah. Kita perlu konfigurasi di firewall filternya. Untuk blok ssh (port 22), Telnet(port 23) atau Ftp (port 21), konfigurasi firewallnya seperti dibawah ini.

/ip firewall
add chain=input action=drop protocol=tcp in-interface=INTERNET dst-port=22

add chain=input action=drop protocol=tcp in-interface=INTERNET dst-port=21

add chain=input action drop protocol=tcp in-interface=INTERNET dst-port=23

Seperti diatas hanya blok yang masuk dari internet/wan saja. Jadi semua ip yang masuk dari luar melalui ssh, telnet, dan ftp akan diblok. Apabila kita ingin akses dari luar dengan ip tertentu masukkan ip kita yang akan digunakan untuk akses router kita.

ip firewall filter add chain=input action=accept in-interface=INTERNET dst-address=192.168.168.1

Dan seterusnya apabila kita akan menambah ip lagi, ulangi cara diatas.

Demikian ilmu dari saya. apabila ada yang salah mohon dikoreksi. saran anda sangat berarti bagi saya.
Good luck!

Firewall Mikrotik (Arp Filtering)

Sebenarnya untuk Filter ip arp sangat mudah dimikrotik..
berikut caranya:

1. aktifkan arp-reply only

[admin@mikrotik] interface ethernet set LAN arp=reply-only

atau rubah lewat winbox di Interface.

setelah itu arp akan aktif dan semua koneksi yang menuju LAN akan di deny / drop terkecuali kita add IP yang kita perbolehkan

2. add IP address dan MAC address yang diperbolehkan

[admin@mikrotik] ip arp add address=172.16.0.8 interface=LAN mac-address:00:00:00:00:00:00

atau via winbox di IP > ARP

Tips,, dengan cara lain sebelum mengganti settingan interface menjadi reply-only. Lihat dulu
ip arp... kemudian lihat semua ip. dan dicocokan dengan mac addressnya masing-masing.
Jika cocok semua.. Pilih salah satu ip arp, kemudian klik kanan, pilih make static.



Nb: Jika Anda setting seperti ini dari winbox atau remote comp maka Langkah awalnya yaitu nge Add komputer Anda dulu ke dalam Arp, baru mengaktifkan Arpreply only, Agar comp anda tidak terkena filter :P.

Good Luck!