ricky1001
pengurus
Jumlah posting : 18
Points : 5028
Reputation : 2
Join date : 10.11.10
Age : 69
 | Subyek: Scrip Cara Mengamankan Mikrotik Anda  Thu Nov 11, 2010 6:10 am | |
| Apakah selama ini Anda berpikir MikrotikRouter Anda aman ??? Kalau jawabannya “iya” cobalah anda perhatikan diwinbox anda, klik menu IP, Firewall, Connections. Cobalah perhatikan baik-baikpada kolom Dst. Address. Disitulah nampak client-client mengaksesinternet dengan tujuan address nya. Perhatikan baik-baik pula dibelakangip-ip yang di akses terdapat port-port sebagai tujuan akses. Port-port yangumum dan boleh di akses adalah 80 untuk WWW, 5050 untuk YM, 5100 untuk webcamYM, 443 untuk https, 8291 untuk winbox, 667 untuk Mirc, 21 untuk FTP, 22 untukSSH dan 23 untuk Telnet. Setelah memperhatikan dengan seksama ip firewallconnections di winbox, apakah anda menemukan port-port yang lain selainport-port di atas ??? Jika jawabannya “ya” hmmm berarti ada masalahdisisi client dengan mengakses internet melalui port-port yang tidak diijinkan,atau client sengaja menggunakan port yang terbuka, atau ada virus yangmenyerang dan aktif sehingga mengganggu traffict. Akibatnya internet lemot…lelet… dan bikin jengkel… payahnya lagi ping DNS normal tapi tidak bisabrowsing… Jika kondisi ini terjadi pada Mikrotik anda maka perlu membatasiakses hanya port-port tertentu saja. Selain port-port yang diijinkan akan direject/ditolak sehingga Mikrotik kita aman. Nah bagaimana cara mengamankannya ??? Monggo dilanjut Bosss… Berikut ini script yang saya gunakan untukmengamankan Mikrotik RB750 Versi 4.50 - Spoiler:
/ip firewall filter
add action=reject chain=forward comment=”REJECT UDP SELAIN PORT53″ disabled=no dst-port=!53 protocol=udp reject-with=icmp-network-unreachable
add action=reject chain=input comment=”REJECTBROWSING SELAIN PORT 80,5050,8291,443,5100″ disabled=no dst-port=!80,5050,8291,443,5100protocol=tcp reject-with=icmp-network-unreachable
add action=reject chain=input comment=”REJECT UDP SELAIN PORT53″ disabled=no dst-port=!53 protocol=udp reject-with=icmp-network-unreachable
add action=reject chain=forward comment=”REJECTBROWSING SELAIN PORT 80,5050,8291,443,5100″ disabled=no dst-port=!80,5050,8291,443,5100protocol=tcp reject-with=icmp-network-unreachable
Keterangan :
Saya hanya mengijinkan port80,443,53,8291,5050,5100 yang dapat mengakses internet, selain port-porttersebut akan di reject-with icmp-network-unreachable, artinya setiap akanmengakses internet melalui port-port selain yang diijinkan maka akan tidak bisalagi mengakses. Chain yang saya gunakan adalah forwad dan input… jadijika ada input selain port diatas otomatis di reject, selanjutnya jika diforward (dilanjutkan) juga akan di reject…
Mungkin anda bertanya , Mengapa tidak di dropsaja action nya ???
Jika action di drop maka kemungkinan untukconnection state nya akan terus menempel di Mikrotik, dan jika tidak kuatMikrotik kita bisa terjadi Flooding. Flooding adalah suatu keaadan dimanaRouter kita di banjiri oleh akses yang terus menerus sehingga terjadi bottleneck, router kita jadi hang…
NB : sesuaikan dengan port-portyang ingin anda ijinkan. Settingan Mikrotik Router untuk firewall filter nyayang kami gunakan hanya seperti ini dibawah ini, dan Alhamdulillah sampai saatini aman…
- Spoiler:
/ip firewall filter
add action=accept chain=input comment=”Added bywebbox” disabled=no protocol=icmp
add action=accept chain=input comment=”Added bywebbox” connection-state=established disabled=no in-interface=ether1
add action=accept chain=input comment=”Added bywebbox” connection-state=related disabled=no in-interface=ether1
add action=drop chain=input comment=”Added bywebbox” disabled=no in-interface=ether1
add action=jump chain=forward comment=”Added bywebbox” disabled=no in-interface=ether1 jump-target=customer
add action=accept chain=customer comment=”Addedby webbox” connection-state=established disabled=no
add action=accept chain=customer comment=”Addedby webbox” connection-state=related disabled=no
add action=drop chain=customer comment=”Added bywebbox” disabled=no
add action=reject chain=forward comment=”REJECT UDP SELAIN PORT53″ disabled=no dst-port=!53 protocol=udp reject-with=icmp-network-unreachable
add action=reject chain=input comment=“REJECTBROWSING SELAIN PORT 80,5050,8291,443,5100″ disabled=no dst-port=!80,5050,8291,443,5100protocol=tcp reject-with=icmp-network-unreachable
add action=reject chain=input comment=”REJECT UDP SELAIN PORT53″ disabled=no dst-port=!53 protocol=udp reject-with=icmp-network-unreachable
add action=reject chain=forward comment=“REJECTBROWSING SELAIN PORT 80,5050,8291,443,5100″ disabled=no dst-port=!80,5050,8291,443,5100protocol=tcp reject-with=icmp-network-unreachable
add action=reject chain=forward comment=”RejectNetwork” disabled=no reject-with=icmp-network-unreachablesrc-address=!172.160.212.0/24
add action=reject chain=input comment=”RejectNetwork” disabled=no reject-with=icmp-network-unreachablesrc-address=!172.160.212.0/24
Berikut ScrenShotnya - Spoiler:
[You must be registered and logged in to see this link.] class="postlink" target="_blank" rel="nofollow">
Jikalau Ada Kesalahan Mohon
Dikorekseksi yang benernya
| |
|
