Cara Memblokir/Membatasi Koneksi IDM di Mikrotik

Memblokir/Membatasi koneksi Internet Download Manager (IDM) di Mikrotik dapat dilakukan menggunakan Layer7 protocol. Jika seorang user melakukan download menggunakan IDM, maka ia dapat menggunakan 16 koneksi sekaligus untuk mendownload file. Hal ini tentunya akan menguras bandwidth yang sudah dialokasikan, sehingga user lain yang tidak download akan terganggu karena koneksi yang lemot.

Nah, untuk mengatasi hal itu, kita dapat membatasi koneksi Internet Download Manager (IDM) menggunakan Layer7 Mikrotik. Caranya dengan menggabungkan fitur Layer7 protocol dengan Firewall filter Mikrotik. Silakan simak caranya berikut ini :

1. Sebelum mulai, kita coba mendownload sebuah file menggunakan IDM dengan 16 koneksi.

2. Selanjutnya, Buka Winbox, masuk ke menu IP --> Firewall --> Tab Layer7. Tambahkan rule baru.

Silakan masukkan setingan seperti berikut ini :

Name : Limit IDM

Regexp :

get /.*(user-agent: mozilla/4.0|range: bytes=)

3. Masuk ke tab Filter. Tambah rule baru. 

=> Pada tab General :

- Chain : Forward

- Protocol : TCP

=> Pada tab Advanced :

- Layer7 Pilih nama Layer7 yang sebelumnya dibuat.

=> Pada tab Extra :

- Limit : 2 (berapa koneksi yang mau dibuka)

- Netmask : 32

=> Pada tab Action :

- Action : drop

4. Setelah setingan dibuat dan dijalankan pada Mikrotik, silakan coba download lagi.

5. Hasilnya, koneksi yang digunakan oleh IDM akan berkurang menjadi 2 koneksi saja.

Oke sekian dulu tutorial mikrotik Indonesia tentang Cara Memblokir/Membatasi Koneksi IDM di Mikrotik. Selamat mencoba :)

Read more

Cara Membatasi Internet Jam Kantor dengan Mikrotik

Membatasi koneksi internet di kantor terutama pada jam kerja kantor dapat dilakukan dengan menggunakan Mikrotik. Ada beberapa cara yang dapat digunakan untuk membatasi koneksi internet di Kantor dengan Mikrotik. Disini saya akan coba share Cara Membatasi Internet Jam Kantor dengan Mikrotik yang pernah saya pasang di kantor. Topologi nya seperti ini :

Sistem yang saya buat yaitu dengan membatasi akses ke situs-situs sosial media, porno, video streaming, dll pada saat jam kerja (08.00 - 12.00 & 13.30 - 16.00). Untuk detail nya sebagai berikut :

Membatasi akses :
Jam kerja pagi (08.00 – 12.00)

Membuka akses :
Jam istirahat (12.00 – 13.30)

Membatasi akses :
Jam kerja siang (13.30 – 16.00)

Membuka akses :
Jam luar kerja (16.00 – 08.00)

Pembatasan ini dimaksudkan agar karyawan dapat memanfaatkan waktu nya pada saat jam kerja untuk mengerjakan pekerjaan nya bukan untuk hal yang lain.  

Untuk membangun sistem ini, saya menggunakan beberapa tools di Mikroik dan juga bantuan dari DNS external yaitu OpenDNS dan Nawala. Disini saya menggunakan perangkat Mikrotik RB 951Ui-2Hnd yang memiliki port USB sehingga bisa menggunakan modem USB sebagai jalur internet cadangan (untuk failover).

Secara umum konfigurasi yang dilakukan adalah sebagai berikut :

1. Mengatur konfigurasi IP Address untuk jaringan Wi-Fi dan LAN pada mikrotik.

2. Menambahkan konfigurasi NTP (Network Time Protocol) Server untuk sinkronisasi waktu supaya mikrotik dapat berkerja tepat waktu. Ini sangat penting supaya script dapat dieksekusi tepat waktu.  Untuk konfigurasi NTP nya bisa lihat di gambar berikut atau bisa baca di artikel ini : Apa itu NTP? Setting NTP Client di Mikrotik

3. Konfigurasi jaringan internet di Mikrotik. Pastikan koneksi internet sudah jalan di Mikrotik. Untuk memastikannya silakan ping ke Google.com

4. Setting interface wireless mikrotik untuk share koneksi internet melalui Wi-Fi.

5. Menambahkan konfigurasi DNS Server dari OpenDNS dan Nawala sebagai filter dan memblokir konten berbahaya. Tutrorial nya silakan baca disini : Cara Mudah Memblokir Situs-situs Dewasa dengan DNS di Mikrotik

6. OpenDNS dapat digunakan untuk memfilter situs berbahaya dan memblokir akses ke situs tertentu sepeti social media, video streaming, dan lain - lain. Sementara untuk DNS Nawala hanya memblokir akses ke situs berbahaya.

7. OpenDNS digunakan saat jam kerja. DNS Nawala digunakan diluar jam kerja. Pengaturan nya menggunakan Script & Scheduller. Seting inilah yang akan dibahas pada artikel ini.

8. Mengaktifkan fitur Web Proxy untuk mempercepat koneksi internet (cache) dan memonitor konten yang diakses client. Silakan baca tutorial nya disini : Cara Membuat Transparent Proxy Mikrotik

9. Menambahkan konfigurasi firewall mikrotik untuk keamanan. Ada beberapa konfigurasi firewall yang saya gunakan :

• Memblokir Port Virus di Mikrotik Menggunakan Firewall
• Cara Memblokir Penggunaan Web Proxy External di Mikrotik 
• Cara Mencegah Client Mengganti DNS secara Manual
• Cara Menangkal & Mengatasi Netcut dengan Mikrotik

10. Menambahkan konfigurasi fail over, untuk menambah jalur akses internet cadangan (backup) menggunakan modem USB dan mengaktifkannya saat koneksi jalur utama mati. Silakan lihat tutorialnya disini :

Tutorial Failover 2 Koneksi Internet di Mikrotik

Oke, kembali ke point nomor 7 di atas, disini saya akan bahas Script & Scheduller nya. Silakan simak step-by-step nya berikut ini :

11. Yang pertama, kita akan membuat Script dulu. Pada Winbox, masuk ke System --> Scripts. Ada beberapa Script yang akan kita buat seperti gambar berikut :

12. Untuk Script back2main dan failover digunakan untuk konfigurasi failover menggunakan jalur cadangan modem USB. Silakan lihat point nomor 10 di atas.

13. Script pertama yang kita buat yaitu script jam kerja. Script ini akan memberikan perintah ke Mikrotik untuk mengganti setingan DNS ke IP DNS nya OpenDNS, kemudian melakukan flush cache DNS. Script nya sebagai beriku (masukkan ke kolom Source)

/ip dns set servers=208.67.220.220,208.67.222.222
/ip dns cache flush

14. Script selanjutnya digunakan untuk mengganti IP DNS ke Nawala.

/ip dns set servers=180.131.144.144,180.131.145.145
/ip dns cache flush

15. Hari libur yaitu Sabtu dan Minggu koneksi internet tidak dibatasi, tetapi masih menggunakan DNS Nawala. Caranya dengan mematikan penjadwalan (Scheduler) yang nanti akan kita buat.

/system scheduler disable 0
/system scheduler disable 1

 

16. Ketika masuk lagi ke hari kerja yakni hari senin, maka aturan nya kembali seperti semula dengan pembatasan internet pada jam kerja. Caranya dengan mengaktifkan kembali scheduler nya.

/system scheduler enable 0
/system scheduler enable 1

17. Script yang sudah kita buat sebelumnya akan dijalankan secara otomatis berdasarkan waktu (jam). Pastikan anda membuat scheduler nya urutan nya sama seperti gambar berikut ini; supaya script pada point 15 dan 16 bisa berjalan.

18.  Buat scheduler untuk mengeksekusi script jam kerja (pagi). 

Name : Filter Jam Kerja Pagi
Start Date : Pilih tanggal kapan script akan mulai dieksekusi secara otomatis
Start Time : Jam berapa script akan dieksekusi
Interval : 1 hari
On Event : nama script yang dieksekusi (jam kerja)

19. Buat scheduler lagi untuk jam kerja sore yakni pukul 13.30 (sesuaikan jam nya dengan jam kantor anda). Lihat gambar berikut :

20. Ketika masuk jam istirahat, pegawai dapat mengakses social media, video streaming, dll kecuali web dan konten porno. Caranya dengan mengganti ke DNS Nawala. Buat scheduler pada jam 12.00 dengan script luar jam kerja (LJK).

21.  Ketika masuk jam pulang kerja, maka koneksi akan sama seperti pada jam istirahat. Disini diasumsikan jam pulang kantor pukul 16.00.

22. Pada hari libur (Sabtu & Minggu) script libur akan dieksekusi secara otomatis pada Jum'at malam pukul 23.59 dengan interval waktu 7 hari. Jadi script ini akan dieksekusi seminggu sekali yakni hari Jum'at malam. 

Jadi, Pastikan Start Date nya adalah hari jum'at

23. Pada hari senin koneksi akan kembali dibatasi secara otomatis dengan script senin yang akan dieksekusi pada senin dini hari pukul 00.00. lebih 50 detik dengan interval 7 hari.

Pastikan start date nya hari senin.

Sampai disini konfigurasi script dan scheduler sudah selesai. Jika setingan nya benar seperti di atas maka script nya akan berjalan dengan baik secara otomatis.

Oke sekian dulu tutorial Cara Membatasi Internet Jam Kantor dengan Mikrotik. Silakan dicoba, semoga berhasil, dan semoga bermanfaat :)

Read more

Cara Memblokir Penggunaan Web Proxy External di Mikrotik

Web Proxy external dapat digunakan untuk mem-bypass firewall dan membuka situs yang tadinya diblokir. Hal ini tentunya bisa bikin kita gigit jari, ketika sudah susah payah bikin sistem dengan firewall untuk memblokir situs macam-macam, ternyata client menggunakan proxy untuk mem-bypass firewall nya. Cape deh.. 

Nah, supaya client tidak bisa menggunakan proxy external untuk mem-bypass firewall, kita perlu memblokir penggunaan web proxy external dengan menggunakan Mikrotik. Caranya dengan membuat rule firewall mikrotik yang memblokir penggunaan port proxy. Hal ini dapat mencegah user/client untuk menggunakan proxy.

Ok, langsung saja ya ikuti Cara Memblokir Penggunaan Web Proxy External di Mikrotik berikut ini :

1. Jika anda menggunakan web proxy internal di Mikrotik, pastikan port nya diganti ke port yang tidak biasa dipake proxy, misalnya port 88

2. Jika anda menggunakan mode transparent proxy, pastikan port redirect nya juga sudah diganti ke port baru, misalnya port 88

3. Buat rule firewall baru dengan melakukan "drop" semua port yang digunakan oleh proxy. Anda bisa copy - paste script berikut ini di terminal :

/ip firewall filter
add action=drop chain=forward comment="Blokir Proxy Port #1" dst-port=\
    3128,54321,6515,6666,8000,8001,8008,808,8080,8081,8088 protocol=tcp \
    src-address=0.0.0.0/0
add action=drop chain=forward comment="Blokir Proxy Port #2" dst-port=\
    8090,81,8118,8181,82,83,84,85,86,8888,8909,9000,9090 protocol=tcp \
    src-address=0.0.0.0/0

4. Jika anda menemukan port lain yang digunakan proxy, silakan ditambahkan sendiri ya.

5. Berikut contoh penggunaannya ketika saya mencoba membuka sebuah web yang diblokir :

=> Sebelum menggunakan proxy

=> Menggunakan proxy

=> Setelah port proxy di "drop"

Nah, jadi dengan trik ini kita bisa mencegah user/client untuk menggunakan proxy selama port proxy yang mereka gunakan sudah masuk ke daftar blokir. 

Oke, demikianlah tutorial mikrotik tentang Cara Memblokir Penggunaan Web Proxy External di Mikrotik. Silakan dicoba dan semoga bermanfaat :)

Read more

Cara Mudah Memblokir Situs-situs Dewasa dengan DNS di Mikrotik

Memblokir Situs-situs Dewasa degan Mudah di Mikrotik

Menciptakan suasana internet yang sehat itu penting. Apalagi jika bayak client dari jaringan kita adalah anak-anak atau anak sekolah yang belum boleh mengakses konten dewasa. Masalahnya, banyak sekali situs-situs dewasa yang beredar di internet. Hal ini bakal bikin pusing jika kita harus memblokir situs nya satu per satu.

Untuk dapat memblokir situs atau konten terentu di internet pada Mikrotik dapat dilakukan dengan cara :

1. Web Proxy

2. DNS Static

3. Firewall

Memblokir situs tertentu menggunakan Web Proxy sudah pernah saya bahas disini :

Cara Memblokir Situs Menggunakan Web Proxy MikroTik

 

Begitu juga dengan memblokir situs dengan Firewall Mikrotik. 

Memblokir Facebook menggunakan Layer 7 Protocol Mikrotik

Keduanya harus memasukkan daftar situs yang akan diblokir secara manual satu per satu. Hal ini tentu akan sangat merepotkan jika jumlah situs yang akan diblokir sampai ratusan bahkan ribuan. Kendala lainnya adalah kita tidak tau situs apa saja yang harus diblokir.

Nah, oleh karena itu solusi yang cocok adalah menggunakan DNS Static. Dalam hal ini kita dapat menggunakan DNS Gratis dari Nawala atau OpenDNS yang sudah memfilter konten berbahaya. Jadi kita tidak perlu lagi repot-repot memfilter manual semua situs-situs berbahaya tersebut.

Caranya sangat mudah, silakan anda login ke Mikrotik via Winbox.

1. Jika anda menggunakan DHCP Client, misalnya menggunakan internet dari speedy atau modem GSM maka anda harus menonaktifkan fitur "Use Peer DNS"

Masuk ke menu IP --> DHCP Client --> Buka DHCP client nya -- > uncheck "Use Peer DNS"

2. Masuk ke menu IP --> DNS --> Masukkan DNS Server nya di kolom Servers --> centang Allow Remote Request

- DNS Nawala (gratis tanpa register) :

• 180.131.144.144
• 180.131.145.145

- DNS OpenDNS (gratis register dulu) --> opendns.com

Bedanya jika menggunakan DNS Nawala jika masuk ke situs yang terblokir muncul pesan tetapi tidak dpat diganti. Sedagkan kalo OpenDNS bisa kita masukkan pesan tertentu sesuai keinginan seperti pada gambar pertama diatas.

Selain itu, jika menggunakan DNS Nawala kita ga bisa menambahkan atau mengurangi situs yang diblokir, sedangkan kalo menggunakan DNS OpenDNS bisa diatur situs apa saja yang mau diblokir. Namun jika menggunakan OpenDNS harus register dulu.

3. Setelah diganti DNS nya, jangan lupa untuk Flush DNS Cache nya. Pada menu DNS Settings --> Cache --> Flush Cache

atau bisa menggunakan command :

ip dns cache flush

4. Lakukan flush DNS cache juga pada windows dengan command di CMD :

ipconfig /flushdns

Nah, sekarang siapapun yang mengakses konten dewasa akan diblokir oleh DNS server. Namun masalahnya, bagaimana jika client mengganti alamat DNS nya secara manual misal pake DNS google 8.8.8.8? Hal ini akan membuat pemblokiran ini menjadi sia-sia.

Sekarang pertanyaannya, bagaimana cara mencegah client mengganti DNS manual misal ke 8.8.8.8? Caranya dengan memaksa client untuk menggunkaan DNS dari Mikrotik kita. Tutorialnya silakan anda baca disini :
Cara Mencegah Client Mengganti DNS secara Manual

Oke, demikianlah Cara Mudah Memblokir Situs-situs Dewasa dengan DNS di Mikrotik. Silakan dicoba, dan semoga bermanfaat :)

Read more

Cara Memblokir Situs Menggunakan Web Proxy MikroTik

Web Proxy Mikrotik memiliki beberapa fungsi, salah satunya yaitu fungsi filtering. Fitur Filtering Web Proxy ini dapat membatasi akses konten-konten tertentu yang di-request oleh client. Anda dapat membatasi akses ke situs tertentu, ekstensi file tertentu, melakukan redirect (pengalihan) ke situs lain, maupun pembatasan terhadap metode akses HTTP. Hal tersebut tidak dapat anda lakukan jika hanya menggunakan NAT. Penjelasan selengkapnya tentang Web Proxy Mikrotik ada disini :

Penjelasan Web Proxy Mikrotik

Selanjutnya kita akan coba memblokir sebuah situs tertentu menggunakan fitur filtering Web Proxy ini. Pastikan Transparent Web Proxy Mikrotik sudak aktif. Jika belum silakan anda seting sesuai tutorial berikut ini :

Tutorial Cara Membuat Transparent Proxy Mikrotik

Jika Transparent Web Proxy sudah aktif, kita mulai langkah-langkah Cara Memblokir Situs Menggunakan Web Proxy MikroTik berikut ini :

1. Login ke Mikrotik dengan Winbox

2. Masuk ke menu IP --> Web Proxy --> Access --> Add rule baru

3. Masukkan detail website yang mau di blok

> Dst. Port : isikan port http 80

> Dst. Host : isikan alamat website yang mau di blok misalnya www.rizkyagung.com

> Action : pilih deny untuk memblokir akses nya

4. Sebelum rule nya diaktifkan pastikan cek website yang mau di blok itu bisa dibuka apa tidak.

5. Aktifkan rule nya, dan cek apakah website sudah berhasil di blokir. Jika sukses maka akan tampil halaman error seperti ini :

6. Kita juga bisa memodifikasi rule nya dengan me-redirect ke situs lain. Misalnya ketika ada user yang mengakses web www.rizkyagung.com maka akan langsung dialihkan (redirect) ke blog ini MikrotikIndo.blogspot.com. 

Tinggal isikan saja alamat website nya di kolom Redirect To :

Oke, silakan anda coba dan isikan website apa saja yang mau diblokir. Selamat mencoba Cara Memblokir Situs Menggunakan Web Proxy MikroTik ini :)

Read more

Cara Memblokir Website (Facebook) Menggunakan Layer 7 Mikrotik

Di bawah ini saya akan share Tutorial Mikrotik untuk memblokir facebook menggunakan Mikrotik L7 Protokol (Layer 7). Protokol Layer7 adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream, atau istilah lainnya regex pattern.

Cara kerja L7 adalah mencocokan (mathcer) 10 paket koneksi pertama atau 2KB koneksi pertama dan mencari pola/pattern data yang sesuai dengan yang tersedia. Jika pola ini tidak ditemukan dalam data yang tersedia, matcher tidak memeriksa lebih lanjut. Dan akan dianggap unknown connections. Anda harus mempertimbangkan bahwa banyak koneksi secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC Router anda. Untuk menghindari itu tambahkan regular firewall matchers (pattern) untuk mengurangi jumlah data yang dikirimkan ke layer-7 filter.

Layer7 matcher harus melihat kedua arah lalu lintas (masuk dan keluar). Untuk memenuhi persyaratan ini rule l7  harus diatur dalam chain Forward. Jika rule pada chain input/prerouting maka aturan yang sama harus diatur juga dalam chain output/postrouting , jika tidak maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap tidak benar /cocok.

Oke udah tau kan tentang Layer 7 Protocol? Kita lanjut aja ya. Jadi skenario yang akan kita gunakan adalah seperti gambar berikut ini :

Tutorial ini ada dua bagian :

1. Block facebook website buat semua orang yang konek ke local network.

Pertama, kita cek dulu situs Facebook bisa dibuka apa tidak.

Cek IP address client yang tidak boleh buka Facebook

Selanjutnya, masuk ke Winbox Mikrotik, masuk ke menu IP --> Firewall --> Layer 7 Protocols. Buat rule regexp baru untuk memblokir Facebook.

Langkah nya seperti pada gambar berikut ini :

Beri nama rule tersebut facebook, masukkan script regexp berikut ini :

^.+(facebook.com).*$

Selanjutnya, buat Firewall Rule baru dengan :

Chain : forward

Src Address : alamat jaringan dari client (172.16.10.0/24)

Masuk tab Advanced, pada Layer 7 Protocol pilih "facebook"

Masuk tab Action, pilih Action drop.

Sekarang coba tes setingan tadi berhasil apa tidak.

Cek juga apa setingan ini ngeblok situs selain facebook

Oke bisa, setingannya berjalan dengan lancar gan

2. Membuat facebook hanya bisa dibuka oleh beberapa user saja.

Oke lanjut ya, kali ini kita coba buka koneksi salah satu client biar bisa buka facebook untuk client kedua (172.16.10.199/24) tapi masih tetap memblokir akses ke facebook buat client lainnya.

Buat Filter rule keduadengan Src Address spesifik ke IP address client nya yaitu 172.16.10.199 bukannya alamat jaringannya (network address).

Jangan lupa Action nya pilih accept.

Pindah rule yang baru dibuat tadi ke paling atas ya.

Coba tes setingan ini pada client kedua (172.16.10.199/24):

Detail pada rule nya ada paket dan data yang lewat.

Cek juga pada client lainnya pada network yang sama apakah facebook bisa diakses apa tidak.

Coba lihat lagi rule nya

Drop packets rate nya naik kan. Ini berarti setingan kita berhasil memblokir Facebook menggunakan Layer 7 Protocol Mikrotik.

Kita juga bisa lakukan hal yang sama untuk memblokir situs youtube, dll. Silakan anda coba dan terapkan sendiri.

Semoga bermanfaat :)

Read more