[slackids@myrouter] > ip firewall nat add chain=dstnat dst-address=0.0.0.0/0 protocol=tcp dst-port=80 src-address-list=!fmpi action=dst-nat to-addresses=10.111.10.1 to-ports=3128 comment="" disabled=yes

[slackids@myrouter] > ip firewall nat add chain=dstnat dst-address=0.0.0.0/0 protocol=tcp dst-port=8000 src-address-list=!fmpi action=dst-nat to-addresses=10.111.10.1 to-ports=3128 comment="" disabled=yes

[slackids@myrouter] > ip firewall nat add chain=dstnat dst-address=0.0.0.0/0 protocol=tcp dst-port=8080 src-address-list=!fmpi action=dst-nat to-addresses=10.111.10.1 to-ports=3128 comment="" disabled=yes

semoga bermanfaat.

Dial Up Speedy dengan router Mikrotik. Pada tutorial ini, router mikrotik saya fungsikan sebagai router yang langsung men-dial speedy. Berikut ini konfigurasi yang saya gunakan untuk men-Dial Up Speedy dengan router Mikrotik.

Topologinya adalah sebagai berikut:

INTERNET > MODEM ADSL > MIKROTIK ROUTER > SWITCH > CLIENT

Keterangan IP:

INTERNET: xxx.xxx.xxx.x
MODEM ADSL: 192.168.1.1
MIKROTIK ROUTER: 192.168.1.2(ether1), 192.168.0.1(ether2)
CLIENT: 192.168.0.2-192.168.0.254

Konfigurasi router mikrotik

Langkah pertama, tentukan dahulu nama yang akan digunakan pada masing - masing Card Lan yang ada pada Router mikrotik anda, untuk itu ketikkan perintah dibawah ini:

interface ethernet set ether1 name=Speedy
interface ethernet set ether2 name=Local

Setelah masing - masing card lan diberi nama, tentukan alamat IP-nya dengan mengetikkan perintah berikut:

ip address add address=192.168.1.2/24 interface=Speedy
ip address add address=192.168.0.1/24 interface=Local

Kemudian periksalah apakah nama card lan dan ip yang anda inputkan tadi sudah benar. Untuk itu ketikkan perintah di bawah ini:

ip address print

Kemudian lakukan ping ke masing - masing IP tersebut untuk memastikan konfogurasi yang anda lakukan sebelumnya sudah benar.

MRTG adalah suatu aplikasi yg dibuat untuk melihat besarnya traffic yang terjadi pada saat pemakaian internet. Itu digambarkan dalam bentuk grafik.

Mikrotik memiliki fasilitas tersebut namanya tool graphing, idealnya MRTG mikrotik di batasi agar tidak bisa dilihat sembarang orang. Mungkin bisa di tambahkan rule allow access IP mana saja yang diijinkan untuk melihatnya.

Kita dapat menemukan dengan mudah MRTG dari graphing mikrotik yang tidak di filter dengan cara:

1. buka situs www.google.co.id
2. ketikkan key word = "mikrotik intitle:graphing"
3. pilih seacrh the web untuk semua web/IP yang ingin dicari
4. atau page from Indonesia hanya untuk web/IP indonesia saja

Untuk membuat sebuah router hanya menggunakan entri ARP statis ikuti langkah-langkah yang tercantum di bawah ini:

1. Tambahkan ARP entry pada menu IP - ARP - klik tanda + (ip dan mac sesuaikan dengan jaringan anda)

atau ketikkan perintah dibawah ini kedalam terminal mikrotik anda:
ip arp add address=ip_anda interface=ether2 mac-address=mac_anda

2. Kemudian pada interface (dalam contoh ini adalah ether2), untuk ARP nya, rubahlah menjadi Reply-only

atau ketikkan perintah dibawah ini:
interface ethernet set ether2 arp=reply-only

Semua paket - paket dengan tujuan ke router akan diproses melalui ip firewall filter's input chain. Perhatikan, bahwa chain input tidak mempengaruhi paket yang sedang ditransfer melalui router !

Anda dapat menambahkan aturan berikut ini ke chain input di / ip firewall filter. copy dan paste rule di bawah ini ke router mikrotik anda menggunakan Terminal Console pada winbox anda:

/ ip firewall filter
add chain=input connection-state=established comment="Accept established connections"
add chain=input connection-state=related comment="Accept related connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings"
add chain=input protocol=icmp action=drop comment="Drop excess pings"
add chain=input protocol=tcp dst-port=22 comment="SSH for secure shell"
add chain=input protocol=tcp dst-port=8291 comment="winbox"
# sesuaikan ip address dengan jaringan anda! #
add chain=input src-address=159.148.172.192/28 comment="From Mikrotik network"
add chain=input src-address=10.0.0.0/8 comment="From our private LAN"
# End of Edit #
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else"
add chain=input action=drop comment="Drop everything else"

Gunakan perintah /ip firewall filter print untuk melihat berapa banyak paket - paket yang telah diproses terhadap rule yang telah anda masukkan. Gunakan perintah reset-counters-all untuk me-reset semua counter dan /log print untuk melihat paket - paket yang telah di drop.

Untuk merubah password admin anda, cukup pilih menu "Password" di dalam Winbox GUI, misalnya:

MikroTik RouterOS™, merupakan sistem operasi Linux base yang diperuntukkan sebagai network router . Didesain untuk memberikan kemudahan bagi penggunanya. Administrasi dan manajemen jaringan bisa dilakukan melalui Windows Application (WinBox). Selain itu instalasi dapat dilakukan pada Standard komputer PC (Personal Computer). PC yang akan dijadikan router mikrotik pun tidak memerlukan resource yang cukup besar untuk penggunaan standard, misalnya hanya sebagai gateway. Untuk keperluan beban yang besar (network yang kompleks, routing yang rumit) disarankan untuk mempertimbangkan pemilihan resource PC yang memadai.

Untuk melindungi jaringan klien, kita harus memeriksa semua trafik yang melewati router mikrotik, baik di router klien maupun gateway kemudian mem blok trafik yang tidak diinginkan. Untuk trafik icmp, tcp, udp disini akan kita buatkan sebuah chain, dimana semua paket yang tidak diinginkan akan di blok. tambahkan perintah di bawah ini ke dalam terminal konsol mikrotik anda:

/ip firewall filter
add chain=forward connection-state=established comment="allow established connections"
add chain=forward connection-state=related comment="allow related connections"
add chain=forward connection-state=invalid action=drop comment="drop invalid connections"

"Bogon" adalah nama informal untuk suatu IP paket pada publik internet yang berasal dari daerah IP address space dan dilindungi undang - undang, tetapi belum dialokasikan atau didelegasikan oleh IANA (IANA) atau didelegasikan oleh Regional Internet Registry (RIR).

Untuk memblok IP address yang bernama “bogons” pada router mikrotik anda, tambahkan firewall berikut ini:

add chain=forward src-address=0.0.0.0/8 action=drop
add chain=forward dst-address=0.0.0.0/8 action=drop
add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
add chain=forward src-address=224.0.0.0/3 action=drop
add chain=forward dst-address=224.0.0.0/3 action=drop

Untuk mengamankan router anda, jangan hanya dengan mengubah password admin tetapi anda juga harus memasang paket filtering. Semua paket yang menuju ke router harus diproses dulu oleh firewall input chain. sebagai catatan bahwa input filter chain tidak memproses data yang hanya melewati router.

/ ip firewall filter
add chain=input connection-state=invalid action=drop comment=”Drop Invalid connections”
add chain=input connection-state=established action=accept comment=”Allow Established connections”
add chain=input protocol=udp action=accept comment=”Allow UDP”
add chain=input protocol=icmp action=accept comment=”Allow ICMP”
add chain=input src-address=192.168.0.0/24 action=accept comment=”Allow access to router from known network”
add chain=input action=drop comment=”Drop anything else”

Prinsip Firewall
Firewall berjalan sesuai dengan perintah/rules firewall. Setiap rule terdiri dari 2 bagian yaitu matcher yang mencocokkan trafik dan action yang akan mendifinisikan respon terhadap paket yang cocok tsb. Untuk lebih mudah dimanajemen rule diletakkan pada bagian chain. Fasilitas filter mempunyai 3 jenis chains: input, forward, output yang bertanggung jawab untuk setiap trafik yang datang, melewati dan menuju router.

Filter Chains
Seperti yang sudah disebutkan sebelumnya, rule filter firewall berada dalam satu group dalam chains. sehingga bisa saja suatu paket memenuhi kriteria di dalam salah satu chain dan tidak terhadap chain yang lainnya. Contohnya paket harus cocok antara ip dan portnya, maka kita bisa meletakkan sebanyak mungkin rule dengan IP address:port kedalam forward chain, tetapi sebaiknya kita cukup menggunakan satu rule yang mencakup rentang ip address sbb: /ip firewall filter add src-address=192.168.10.0/32 jump-target=”xchain”

input - digunakan untuk memproses paket yang memasuki router melalui salah satu interface dimana ip tujuannya adalah salah satu dari address router. Paket yang hanya melewati router tidak akan diproses oleh input chain.
forward - digunakan untuk memproses paket yang melewati router
output - digunakan untuk memproses paket yang berasal dari router dan meninggalkan router lewat salah satu interfacenya. Paket yang hanya melewati router tidak akan diproses oleh output chain.

Fungsi DNS adalah menerjemahkan nama menjadi IP address (misalnya slackids.com menjadi 89.101.123.34). Kalo tidak ada pengalihan traffic, DNS yang digunakan client adalah DNS pada komputer client itu sendiri, jadi tidak menggunakan setting DNS di Mikrotik. Setting DNS di MikroTik adalah untuk keperluan internal MikroTik, kecuali dengan aktifnya allow-remote-request.

Allow Remote Request memungkinkan Mikrotik menjadi DNS cache, sehingga kita bisa mengarahkan DNS komputer kita ke IP Mikrotik untuk akses lebih cepat, khususnya untuk NS yang sudah terekam di cache Mikrotik.

Web proxy digunakan untuk mempercepat akses internet. Caranya adalah dengan menyimpan cache data http ke memori atau hardisk. Cara kerja http proxy atau web proxy adalah dengan menahan / mencegat request web page dari client kemudian meminta data yang serupa lalu menyimpan jawaban request web page dari client tersebut ke dalam cache. Selanjutnya jika ada client yang me-request data yang sama, maka web proxy akan menahan / mencegat request tersebut dan akan menjawabnya dengan web page yang sudah disimpan dalam dalam cache-nya tersebut.

Sering kali, kita ingin menggunakan Mikrotik Wireless untuk solusi point to point dengan mode jaringan bridge (bukan routing). Namun, Mikrotik RouterOS sendiri didesain bekerja dengan sangat baik pada mode routing. Kita perlu melakukan beberapa hal supaya link wireless kita bisa bekerja untuk mode bridge.

Mode bridge memungkinkan network yang satu tergabung dengan network di sisi satunya secara transparan, tanpa perlu melalui routing, sehingga mesin yang ada di network yang satu bisa memiliki IP Address yang berada dalam 1 subnet yang sama dengan sisi lainnya.

Dalam Memantau aliran paket data yang melewati antarmuka router Mikrotik, dapat digunakan fasilitas Torch. Keterangan lebih lanjut, dapat dibaca pada Manual Mikrotik, yaitu Torch Tools.

Kita dapat memantau aliran paket berdasarkan jenis protokolnya, alamat asal, alamat tujuan serta tipe port. Dengan adanya fasilitas yang telah disediakan pada Packet System, ketika kita menginstalasi Mikrotik RouterOS, maka memudahkan kita dalam administrasi router, dari fasilitas ini, kita bisa menebak apakah Aliran data di mesin kita sedang Normal atau tidak. Memantau terjadinya Flooding, memantau aktifitas Malware dan sebagainya.

nice.rsc adalah sebuah file yang berisi Script untuk mengimport IP Address di router NICE ke Address-List NICE di RouterOS anda.

berikut ini adalah step by step nya:

1. download file nice.rsc di http://ixp.mikrotik.co.id/download/nice.rsc

2. simpan file nice.rsc di sembarang drive di pc anda. Pada contoh ini, file nice.rsc saya simpan pada drive D: pada pc saya.

3. buka command prompt dan arah kan ke drive d:

4. ketikkan ftp ip-klien, saya asumsikan di sini ip klien adalah 10.1.8.2, maka perintah nya adalah: ftp 10.1.8.2, kemudian masukkan username dan password anda.

D:\>ftp 10.1.8.2
Connected to 10.1.8.2.
220 myrouter FTP server (MikroTik 2.9.27) ready
User (10.1.8.2:(none)): diyan
331 Password required for diyan
Password:
230 User diyan logged in

5. ketikkan ascii kemudian enter, muncul tulisan “200 Type set to A”, kemudian muncul prompt ftp> , lalu ketikkan “put nice.rsc” (tanpa tanda petik) trus enter

ftp> ascii
200 Type set to A
ftp> put nice.rsc
200 PORT command successful
150 Opening ASCII mode data connection for '/nice.rsc'
226 ASCII transfer complete
ftp: 25464 bytes sent in 0,00Seconds 25464000,00Kbytes/sec.
ftp> bye

6. login ke server dengan ip 10.1.8.2 via putty dan import file nice.src
[diyan@myrouter] > import nice.rsc
Opening script file nice.rsc
Script file loaded and executed successfully
[diyan@myrouter] >

7. tambahkan mangle nya

Jika kita menginginkan client mendapatkan IP address secara otomatis maka perlu kita setup dhcp server pada Mikrotik. Berikut langkah-langkahnya :

1.Buat IP address pool

2. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client Pada contoh ini networknya adalah 172.16.0.0/24 dan gatewaynya 172.16.0.1

3. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface ether2 )

4. Lihat status DHCP server
        [admin@myrouter] > ip dhcp-server print
        Flags: X - disabled, I - invalid
        # NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
        0 X dhcp1 ether2
Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan terlebih dahulu pada langkah 5.

5. Jangan Lupa dibuat enable dulu dhcp servernya
kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak ada berarti sudah aktif.

6. Tes Dari client