KONFIGURASI MIKROTIK

 

Menghubungkan ke Router

Ada dua jenis router:

  • Router dengan konfigurasi default.
  • Router tanpa konfigurasi default. Jika tidak ada konfigurasi khusus, alamat IP 192.168.88.1/24 ditetapkan ke ether1, combo1, sfp1, atau MGMT/BOOT .

Untuk detail tambahan mengenai konfigurasi default saat ini, silakan lihat dokumen Panduan Cepat yang disertakan dengan perangkat Anda. Dokumen ini menguraikan port mana yang akan digunakan untuk koneksi dan petunjuk tentang pengaturan perangkat.

Dokumen ini menjelaskan proses langkah demi langkah untuk mengonfigurasi perangkat dari awal. Oleh karena itu, kami sarankan untuk menghapus semua pengaturan default saat memulai pengaturan.

Saat menghubungkan pertama kali ke router dengan nama pengguna default admin dan tanpa kata sandi ( atau, untuk beberapa model, periksa kata sandi pengguna dan nirkabel pada stiker ). Setelah boot awal, pemberitahuan akan muncul, menawarkan Anda pilihan untuk menghapus konfigurasi default (bahkan jika konfigurasi default hanya memiliki alamat IP), yang mengarah ke boot ulang tanpa konfigurasi yang diterapkan, atau untuk "Tampilkan Skrip" dan pertahankan konfigurasi default saat ini, terapkan sebagaimana mestinya. Karena artikel ini mengasumsikan bahwa tidak ada konfigurasi pada router, Anda harus menghapusnya dengan menekan "r" pada keyboard saat diminta atau mengklik tombol "Hapus Konfigurasi" di WinBox.

Router tanpa Konfigurasi Default

Jika router tidak memiliki konfigurasi default, ada beberapa opsi yang dapat dipertimbangkan. Namun, dalam kasus ini, kami akan memilih metode yang paling sesuai dengan kebutuhan kami.

Hubungkan kabel ISP ke port ether1 router dan hubungkan PC Anda ke port mana pun kecuali ether1 . Kemudian, luncurkan WinBox dan cari router Anda menggunakan fitur neighbor discovery. Lihat contoh terperinci dalam artikel Winbox .

Jika router muncul dalam daftar, pilih alamat MAC-nya dan klik Hubungkan .

Cara termudah untuk memastikan router benar-benar bersih adalah dengan menjalankan perintah CLI

<font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/sistem reset-konfigurasi no-defaults=ya lewati-pencadangan=ya</font></font>

Atau dari WinBox:

Mengonfigurasi Akses IP

Karena koneksi MAC terkadang tidak dapat diandalkan, langkah pertama kita adalah mengonfigurasi router untuk mengaktifkan konektivitas IP:

  • Membuat antarmuka jembatan dan menetapkan port jembatan;
  • Tetapkan alamat IP ke antarmuka jembatan ;
  • Konfigurasikan server DHCP.

Menyiapkan jembatan dan menetapkan alamat IP adalah proses yang mudah:

<font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/antarmuka jembatan tambahkan nama=jembatan1</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
/antarmuka jembatan port tambahkan antarmuka=ether2 jembatan=bridge1</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
/alamat ip tambahkan alamat=192.168.88.1/24 antarmuka=bridge1</font></font>

Jika Anda lebih suka WinBox/WebFig sebagai alat konfigurasi:

  • Buka jendela Bridge , tab Bridge harus dipilih;
  • Klik tombol untuk membuka kotak dialog baru. Anda dapat memasukkan nama bridge kustom atau tetap menggunakan bridge1 default , lalu klik OK  untuk melanjutkan ;
  • Beralih ke tab Port dan klik tombol untuk membuka kotak dialog lainnya ;
  • Pilih antarmuka ether2 dan bridge bridge1 dari daftar drop-down dan klik tombol OK untuk menerapkan pengaturan;
  • Anda dapat menutup dialog jembatan.

  • Akses menu IP dan navigasikan ke dialog Alamat ;
  • Pilih tombol untuk membuka kotak dialog baru ;
  • Masukkan alamat IP 192.168.88.1/24 pilih antarmuka bridge1 dari daftar drop-down;
  • Klik OK untuk mengonfirmasi pengaturan.

Selanjutnya, lanjutkan dengan menyiapkan server DHCP.  Untuk menyederhanakan dan mempercepat proses ini, kita akan menjalankan perintah setup .

<font style="vertical-align: inherit;"><font style="vertical-align: inherit;">[admin@MikroTik] > ip dhcp-server/ setup [masuk]</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
Pilih antarmuka untuk menjalankan server DHCP</font></font><font></font>
<font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
antarmuka server dhcp: bridge1 [enter]</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
Pilih jaringan untuk alamat DHCP</font></font><font></font>
<font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
ruang alamat dhcp: 192.168.88.0/24 [enter]</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
Pilih gateway untuk jaringan yang diberikan</font></font><font></font>
<font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
gerbang untuk jaringan dhcp: 192.168.88.1 [enter]</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
Pilih kumpulan alamat ip yang diberikan oleh server DHCP</font></font><font></font>
<font></font>
addresses to give out: 192.168.88.2-192.168.88.254 [enter]<font></font>
Select DNS servers <font></font>
<font></font>
dns servers: 192.168.88.1 [enter]               <font></font>
Select lease time <font></font>
<font></font>
lease time: 1800 [enter]

Perhatikan bahwa sebagian besar opsi konfigurasi ditentukan secara otomatis dan Anda hanya perlu menekan tombol enter.

Alat pengaturan juga dapat diakses di WinBox/WebFig :

  • Navigasi ke jendela IP -> Server DHCP , pastikan tab DHCP dipilih;
  • Klik tombol Pengaturan DHCP untuk membuka dialog baru;
  • Pilih bridge1 sebagai Antarmuka Server DHCP dan klik  Berikutnya ;
  • Ikuti panduan untuk menyelesaikan pengaturan.

Dengan mengikuti langkah-langkah ini, PC yang terhubung sekarang akan memperoleh alamat IP dinamis. Anda kemudian dapat menutup Winbox dan menyambungkan kembali ke router menggunakan alamat IP (192.168.88.1).

Mengonfigurasi Koneksi Internet

Untuk mengaktifkan akses internet untuk router, Anda perlu mengonfigurasi salah satu jenis koneksi internet umum berikut:

  • Alamat IP publik dinamis.
  • Alamat IP publik statis.
  • Koneksi PPPoE.

IP Publik Dinamis

Konfigurasi alamat dinamis merupakan opsi termudah. ​​Cukup atur klien DHCP pada antarmuka publik. Klien DHCP akan memperoleh informasi dari Penyedia Layanan Internet (ISP) Anda, seperti alamat IP, server DNS, server NTP, dan rute default, sehingga proses pengaturan menjadi mudah bagi Anda.

/ip dhcp-client add disabled=no interface=ether1

Setelah menambahkan klien, Anda akan melihat alamat yang ditetapkan dan statusnya harus terikat

[admin@MikroTik] > ip dhcp-client print<font></font>
Columns: INTERFACE, USE-PEER-DNS, ADD-DEFAULT-ROUTE, STATUS, ADDRESS<font></font>
# INTERFACE  USE-PEER-DNS  ADD-DEFAULT-ROUTE  STATUS  ADDRESS        <font></font>
0 ether1     yes           yes                bound   1.2.3.100/24

IP Publik Statis

Saat mengonfigurasi alamat statis, ISP Anda menyediakan parameter tertentu, seperti:

  • alamat IPnya: 1.2.3.100/24
  • Gerbang: 1.2.3.1
  • DNSnya: 8.8.8.8

Ini adalah tiga parameter dasar yang Anda perlukan agar koneksi internet berfungsi.

Untuk mengkonfigurasi ini di RouterOS, kita akan menambahkan alamat IP secara manual, menambahkan rute default dengan gateway yang disediakan, dan menyiapkan server DNS

/ip address add address=1.2.3.100/24 interface=ether1<font></font>
/ip route add gateway=1.2.3.1<font></font>
/ip dns set servers=8.8.8.8

Koneksi PPPoE

Koneksi PPPoE juga memberi Anda alamat IP dinamis dan dapat mengonfigurasi DNS dan gateway default secara dinamis. Biasanya penyedia layanan (ISP) memberi Anda nama pengguna dan kata sandi untuk koneksi tersebut.

/interface pppoe-client<font></font>
  add disabled=no interface=ether1 user=me password=123 \<font></font>
    add-default-route=yes use-peer-dns=yes

Tindakan Winbox/WebFig:

  • Di jendela PPP , pilih tab Antarmuka dan klik tombol "+";
  • Pilih Klien PPPoE dari daftar dropdown;
  • Tetapkan nama dan pilih ether1 sebagai antarmuka;
  • Buka tab Dial Out , konfigurasikan nama pengguna, kata sandi, dan parameter lainnya;
  • Klik OK untuk menyimpan pengaturan.

Konfigurasi lebih lanjut,  antarmuka WAN sekarang adalah antarmuka pppoe-out1 , bukan ether1 .

Verifikasi Konektivitas

Setelah konfigurasi selesai, Anda seharusnya dapat mengakses internet dari router.  Untuk memverifikasi konektivitas IP, coba ping alamat IP yang diketahui, seperti server DNS Google.

[admin@MikroTik] > /ping 8.8.8.8<font></font>
  SEQ HOST                                     SIZE TTL TIME       STATUS             <font></font>
    0 8.8.8.8                                    56  55 14ms399us <font></font>
    1 8.8.8.8                                    56  55 18ms534us <font></font>
    2 8.8.8.8                                    56  55 14ms384us

Verifikasi permintaan DNS

[admin@MikroTik] > /ping google.com<font></font>
  SEQ HOST                                     SIZE TTL TIME       STATUS             <font></font>
    0 142.250.74.14                              56  55 14ms475us <font></font>
    1 142.250.74.14                              56  55 14ms308us <font></font>
    2 142.250.74.14                              56  55 14ms238us

Jika semua pengaturan dikonfigurasi dengan benar, kedua ping akan berhasil.
Jika terjadi kegagalan, silakan lihat  bagian Pemecahan Masalah untuk mendapatkan bantuan.

Melindungi Router

Karena router sekarang dapat diakses di seluruh dunia, penting untuk melindunginya dari penyusup potensial dan serangan dasar.

Akses Kata Sandi Pengguna

Untuk router MikroTik, penting untuk menyiapkan kata sandi. Kami sarankan menggunakan alat pembuat kata sandi untuk membuat kata sandi yang kuat yang memenuhi kriteria berikut:

  • Panjangnya minimal 12 karakter;
  • Terdiri dari angka, simbol, huruf besar, dan huruf kecil;
  • Hindari penggunaan kata-kata kamus atau kombinasinya.
/user set 0 password="!={Ba3N!40TуX+GvKBzjTLIUcx/,"

Metode lain untuk menetapkan kata sandi bagi pengguna saat ini:

/password

Kami sangat menyarankan menggunakan metode sekunder atau antarmuka Winbox untuk memperbarui kata sandi router Anda, sebagai tindakan tambahan untuk melindungi dari akses tidak sah.

[admin@MikroTik] > /password <font></font>
old-password: ********<font></font>
new-password: ****************************<font></font>
confirm-new-password: ****************************

Pastikan Anda mengingat kata sandinya ! Jika lupa, tidak ada cara untuk memulihkannya. Anda harus mengatur ulang konfigurasi atau menginstal ulang sistem router !

Anda juga dapat menambahkan pengguna tambahan dengan akses router penuh atau terbatas di menu /user

Praktik terbaiknya adalah membuat pengguna baru dengan kata sandi yang kuat dan menonaktifkan atau menghapus  pengguna admin default .

/user add name=myname password=mypassword group=full<font></font>
/user remove admin
Catatan: Masuk ke router menggunakan kredensial baru untuk memverifikasi bahwa nama pengguna dan kata sandi berfungsi dengan benar.

Akses Konektivitas MAC

Secara default, server MAC berjalan pada semua antarmuka. Untuk membatasi konektivitas MAC dari port WAN, kami akan menonaktifkan semua entri default dan menambahkan antarmuka LAN.

Pertama, buat daftar antarmuka:

[admin@MikroTik] > /interface list add name=LAN

Kemudian, tambahkan jembatan yang Anda buat sebelumnya bernama "bridge1" ke daftar antarmuka:

[admin@MikroTik] > /interface list member add list=LAN interface=bridge1

Terapkan daftar antarmuka yang baru dibuat ke server MAC:

[admin@MikroTik] > /tool mac-server set allowed-interface-list=LAN

Lakukan hal yang sama untuk akses MAC Winbox

[admin@MikroTik] > /tool mac-server mac-winbox set allowed-interface-list=LAN  

Tindakan Winbox/Webfig:

  • Navigasi ke Antarmuka → Daftar Antarmuka → Jendela Daftar ;
  • Klik tombol “+” untuk menambahkan daftar baru;
  • Masukkan " LAN " ke dalam kolom Nama dan klik OK ;
  • Kembali ke bagian Antarmuka → Daftar Antarmuka ;
  • Klik tombol "+";
  • Pilih " LAN " dari daftar pilihan dropdown ;
  • Pilih " bridge1 " dari opsi Antarmuka dropdown;
  • Klik OK untuk konfirmasi;
  • Buka jendela Alat -> Server Mac ;
  • Klik  tombol MAC Telnet Server  ;
  • Pada dialog baru, pilih daftar yang baru dibuat " LAN " dari daftar dropdown;
  • Klik OK untuk menerapkan pengaturan.

Lakukan hal yang sama di  tab MAC Winbox Server untuk memblokir koneksi Mac Winbox dari internet.

Penemuan Tetangga

Protokol penemuan tetangga MikroTik digunakan untuk menampilkan dan mengenali router MikroTik lain dalam jaringan. Nonaktifkan penemuan tetangga pada antarmuka publik:

/ip neighbor discovery-settings set discover-interface-list=LAN

Akses Konektivitas IP

Meskipun firewall melindungi router Anda dari akses tidak sah oleh jaringan eksternal, Anda juga dapat membatasi akses nama pengguna berdasarkan alamat IP tertentu

/user set 0 allowed-address=x.x.x.x/yy

xxxx/yy - IP atau subnet jaringan yang diizinkan untuk mengakses router Anda.

Konektivitas IP pada antarmuka publik harus dibatasi di firewall. Kami hanya akan menerima akses ICMP(ping/traceroute), IP Winbox, dan ssh.

/ip firewall filter<font></font>
  add chain=input action=accept connection-state=established,related,untracked comment="accept established,related,untracked"<font></font>
  add chain=input action=drop connection-state=invalid comment="drop invalid"<font></font>
  add chain=input in-interface=ether1 action=accept protocol=icmp comment="accept ICMP"<font></font>
  add chain=input in-interface=ether1 action=accept protocol=tcp port=8291 comment="allow Winbox";<font></font>
  add chain=input in-interface=ether1 action=accept protocol=tcp port=22 comment="allow SSH";<font></font>
  add chain=input in-interface=ether1 action=drop comment="block everything else";

Jika antarmuka publik adalah PPPoE, LTE, atau jenis lainnya, 'dalam antarmuka' harus ditetapkan ke antarmuka tersebut.

Aturan pertama menerima paket dari koneksi yang sudah dibuat, dengan asumsi paket tersebut aman dan tidak membebani CPU. Aturan kedua membuang paket apa pun yang diidentifikasi oleh pelacakan koneksi sebagai tidak valid. Setelah itu, kami menyiapkan aturan penerimaan umum untuk protokol tertentu.

Jika Anda menggunakan Winbox/WebFig untuk konfigurasi, berikut adalah contoh cara menambahkan aturan yang ditetapkan/terkait/tidak terlacak:

  • Buka jendela IP -> Firewall dan navigasikan ke tab Filter Rules ;
  • Klik tombol "+" untuk membuka dialog baru;
  • Pilih " input " untuk rantai.
  • Klik pada " Status koneksi " dan centang kotak untuk " terjalin ", " berhubungan ", dan " tidak terlacak ".
  • Buka tab Tindakan dan pastikan " terima " dipilih.
  • Klik OK untuk menerapkan pengaturan.

Untuk menambahkan aturan tambahan, klik tombol "+" untuk setiap aturan baru dan isi parameter yang sama seperti yang disediakan dalam contoh konsol.

Layanan Administrasi

Meskipun firewall melindungi router dari antarmuka publik, Anda mungkin masih ingin menonaktifkan layanan RouterOS.

Sebagian besar alat administratif RouterOS dikonfigurasi di menu layanan /ip

Simpan hanya yang aman saja,

/ip service disable telnet,ftp,www,api


Ubah port layanan default, ini akan segera menghentikan sebagian besar upaya login SSH brute force acak:

/ip service set ssh port=2200


Selain itu, setiap layanan dapat diamankan dengan alamat IP yang diizinkan atau rentang alamat (layanan alamat akan membalas), meskipun metode yang lebih disukai adalah memblokir akses yang tidak diinginkan di firewall karena firewall bahkan tidak akan mengizinkan untuk membuka soket.

/ip service set winbox address=192.168.88.0/24

Layanan Lainnya

Server bandwidth digunakan untuk menguji throughput antara dua router MikroTik. Nonaktifkan server ini di lingkungan produksi.

/tool bandwidth-server set enabled=no

Router mungkin mengaktifkan cache DNS, yang mengurangi waktu penyelesaian permintaan DNS dari klien ke server jarak jauh. Jika cache DNS tidak diperlukan pada router Anda atau router lain digunakan untuk tujuan tersebut, nonaktifkan cache tersebut.

/ip dns set allow-remote-requests=no


Beberapa RouterBOARD memiliki modul LCD untuk tujuan informasi, mengatur pin atau menonaktifkannya.

/lcd set enabled=no


Merupakan praktik yang baik untuk menonaktifkan semua antarmuka yang tidak digunakan pada router Anda, untuk mengurangi akses tidak sah ke router Anda.

/interface print <font></font>
/interface set x disabled=yes

Di mana "X" adalah sejumlah antarmuka yang tidak digunakan .

RouterOS menggunakan kripto yang lebih kuat untuk SSH, sebagian besar program yang lebih baru menggunakannya, untuk mengaktifkan kripto SSH yang kuat:

/ip ssh set strong-crypto=yes


Layanan berikut dinonaktifkan secara default, namun, lebih baik memastikan bahwa tidak ada yang diaktifkan secara tidak sengaja:

  • Proksi penyimpanan cache MikroTik
/ip proxy set enabled=no
  • Proksi kaus kaki MikroTik,
/ip socks set enabled=no
  • Layanan UPNP MikroTik,
/ip upnp set enabled=no
  • Layanan nama dinamis MikroTik atau IP cloud,
/ip cloud set ddns-enabled=no update-time=no


Konfigurasi NAT

Pada titik ini, PC belum dapat mengakses Internet, karena alamat yang digunakan secara lokal tidak dapat dirutekan melalui Internet. Host jarak jauh tidak tahu cara membalas alamat lokal Anda dengan benar.

Solusi untuk masalah ini adalah mengubah alamat sumber untuk paket keluar ke IP publik router. Ini dapat dilakukan dengan aturan NAT:

/ip firewall nat<font></font>
  add chain=srcnat out-interface=ether1 action=masquerade

Jika antarmuka publik adalah PPPoE, LTE, atau jenis lainnya, 'antarmuka luar' harus ditetapkan ke antarmuka tersebut.

Manfaat lain dari pengaturan semacam itu adalah klien NAT di belakang router tidak terhubung langsung ke Internet, sehingga perlindungan tambahan terhadap serangan dari luar sebagian besar tidak diperlukan.

Penerusan Pelabuhan

Beberapa perangkat klien mungkin memerlukan akses langsung ke internet melalui port tertentu. Misalnya, klien dengan alamat IP 192.168.88.254 harus dapat diakses melalui Remote Desktop Protocol (RDP).

Setelah pencarian cepat di Google, kami mengetahui bahwa RDP berjalan pada port TCP 3389. Sekarang kami dapat menambahkan aturan NAT tujuan untuk mengarahkan RDP ke PC klien.

/ip firewall nat<font></font>
  add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \<font></font>
    action=dst-nat to-address=192.168.88.254

Jika Anda telah menetapkan aturan firewall yang ketat maka protokol RDP harus diizinkan dalam rantai penerusan filter firewall.

Menyiapkan Nirkabel

Untuk kemudahan penggunaan, pengaturan nirkabel terjembatani akan dibuat sehingga host kabel Anda berada dalam domain siaran Ethernet yang sama dengan klien nirkabel.

Bagian pentingnya adalah memastikan jaringan nirkabel kita terlindungi, jadi langkah pertama adalah profil keamanan.

Profil keamanan dikonfigurasikan dari /interface wireless security-profilesmenu di terminal.

/interface wireless security-profiles<font></font>
  add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \<font></font>
    wpa2-pre-shared-key=1234567890

di Winbox/Webfig klik Nirkabel untuk membuka jendela nirkabel dan pilih tab Profil Keamanan .

Jika ada perangkat lama yang tidak mendukung WPA2 (seperti Windows XP), Anda mungkin juga ingin mengizinkan protokol WPA.

Kunci pra-berbagi WPA dan WPA2 tidak boleh sama.

Sekarang ketika profil keamanan sudah siap, kita dapat mengaktifkan antarmuka nirkabel dan mengatur parameter yang diinginkan

/interface wireless<font></font>
  enable wlan1;<font></font>
  set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \<font></font>
    mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \<font></font>
    security-profile=myProfile frequency-mode=regulatory-domain \<font></font>
    set country=latvia antenna-gain=3

Untuk melakukan hal yang sama dari Winbox/Webfig:

  • Buka jendela Nirkabel, pilih antarmuka wlan1, dan klik tombol aktifkan ;
  • Klik dua kali pada antarmuka nirkabel untuk membuka dialog konfigurasi;
  • Pada dialog konfigurasi, klik tab Wireless dan klik tombol Advanced mode di sisi kanan. Saat Anda mengklik tombol tersebut, parameter konfigurasi tambahan akan muncul dan deskripsi tombol akan berubah menjadi Simple mode ;
  • Pilih parameter seperti yang ditunjukkan pada gambar, kecuali pengaturan negara dan SSID. Anda mungkin juga ingin memilih frekuensi dan penguatan antena yang berbeda;
  • Selanjutnya, klik tab HT dan pastikan kedua rantai dipilih;
  • Klik tombol OK untuk menerapkan pengaturan.

Langkah terakhir adalah menambahkan antarmuka nirkabel ke jembatan lokal, jika tidak, klien yang terhubung tidak akan mendapatkan alamat IP:

/interface bridge port<font></font>
  add interface=wlan1 bridge=local

Sekarang nirkabel seharusnya dapat terhubung ke titik akses Anda, mendapatkan alamat IP, dan mengakses internet.

Melindungi Klien

Sekarang saatnya menambahkan perlindungan untuk klien di LAN kita. Kita akan mulai dengan seperangkat aturan dasar.

/ip firewall filter<font></font>
  add chain=forward action=fasttrack-connection connection-state=established,related \<font></font>
    comment="fast-track for established,related";<font></font>
  add chain=forward action=accept connection-state=established,related \<font></font>
    comment="accept established,related";<font></font>
  add chain=forward action=drop connection-state=invalid<font></font>
  add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \<font></font>
    in-interface=ether1 comment="drop access to clients behind NAT from WAN"

Satu set aturan serupa dengan aturan rantai input (menerima yang sudah ada/berhubungan dan membuang yang tidak valid), kecuali aturan pertama dengan action=fasttrack-connection. Aturan ini memungkinkan koneksi yang sudah ada dan berhubungan untuk melewati firewall dan mengurangi penggunaan CPU secara signifikan.

Perbedaan lainnya adalah aturan terakhir yang membatalkan semua upaya koneksi baru dari port WAN ke jaringan LAN kita (kecuali DstNat digunakan). Tanpa aturan ini, jika penyerang mengetahui atau menebak subnet lokal Anda, ia dapat membuat koneksi langsung ke host lokal dan menyebabkan ancaman keamanan.

Untuk contoh lebih rinci tentang cara membangun firewall akan dibahas di bagian firewall.

Memblokir Situs Web yang Tidak Diinginkan

Terkadang Anda mungkin ingin memblokir situs web tertentu, misalnya, menolak akses ke situs hiburan bagi karyawan, menolak akses ke situs porno, dan sebagainya. Ini dapat dilakukan dengan mengalihkan lalu lintas HTTP ke server proxy dan menggunakan daftar akses untuk mengizinkan atau menolak situs web tertentu.

Pertama, kita perlu menambahkan aturan NAT untuk mengalihkan HTTP ke proxy kita. Kita akan menggunakan server proxy bawaan RouterOS yang berjalan pada port 8080.

<font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ip firewall nat</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
  tambahkan rantai=dst-nat protokol=tcp dst-port=80 src-alamat=192.168.88.0/24 \</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
    tindakan=mengalihkan ke-port=8080</font></font>

Aktifkan proxy web dan hapus beberapa situs web:

<font style="vertical-align: inherit;"><font style="vertical-align: inherit;">/ip proxy diaktifkan=ya</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
/ip proxy akses tambahkan dst-host=www.facebook.com tindakan=tolak</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
/ip proxy akses tambahkan dst-host=*.youtube.* tindakan=tolak</font></font><font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">
/ip proxy akses tambahkan dst-host=:vimeo tindakan=tolak</font></font>

Menggunakan Winbox:

  • Pada menu sebelah kiri navigasikan ke IP -> Web Proxy
  • Dialog pengaturan proksi web akan muncul.
  • Centang kotak “Aktifkan” dan klik tombol “Terapkan”
  • Kemudian klik tombol “Akses” untuk membuka dialog “Akses Proxy Web”

  • Dalam dialog "Akses Proxy Web", klik "+" untuk menambahkan aturan Proxy Web baru
  • Masukkan nama host Dst yang ingin Anda blokir, dalam hal ini, " www.facebook.com ", pilih tindakan "tolak"
  • Lalu klik tombol "Ok" untuk menerapkan perubahan.
  • Ulangi hal yang sama untuk menambahkan aturan lainnya.

Penyelesaian Masalah

RouterOS memiliki berbagai alat pemecahan masalah bawaan, seperti ping, traceroute, torch, packet sniffer, uji bandwidth, dll.

Kami telah menggunakan alat ping dalam artikel ini untuk memverifikasi konektivitas internet .

Pecahkan masalah jika ping gagal

Masalah dengan alat ping adalah ia hanya mengatakan bahwa tujuan tidak dapat dijangkau , tetapi tidak ada informasi lebih rinci yang tersedia. Mari kita tinjau kesalahan-kesalahan mendasarnya.

Anda tidak dapat mengakses www.google.com dari komputer Anda yang terhubung ke perangkat MikroTik:

Jika Anda tidak yakin bagaimana cara mengonfigurasi perangkat gateway Anda, silakan hubungi konsultan resmi MikroTik untuk dukungan konfigurasi.


Comments

Post a Comment

Popular posts from this blog

Membuat presentasi di PowerPoint

Image
  Membuat presentasi di PowerPoint Create presentasi dari awal atau mulai dengan  templat yang didesain secara profesional dan sepenuhnya dapat dikustomisasi dari Microsoft Create . Tips:  Jika anda memilikiMicrosoft Copilotitu bisa membantu Anda membuat presentasi, menambahkan slide atau gambar, dan banyak lagi. Untuk mempelajari selengkapnya, lihat  Create presentasi baru dengan Copilot di PowerPoint. Membuat presentasi Buka PowerPoint. Di panel kiri, pilih  Baru . Pilih salah satu opsi: Untuk membuat presentasi dari awal, pilih  Presentasi Kosong . Untuk menggunakan desain yang disiapkan, pilih salah satu templat. Untuk melihat tips menggunakan PowerPoint, pilih  Ikuti Tur , lalu pilih  Create , . Menambahkan slide Di gambar mini di panel kiri, pilih slide yang anda inginkan untuk diikuti slide baru. Di tab  Beranda  , di bagian  Slide , pilih  Slide Baru . Di bagian  Slide  , pilih  Tata Letak , lalu pilih ta...
Read more

Kecerdasan Buatan (AI)

Image
How Far is Too Far? | The Age of A.I. Can A.I. make music? Can it feel excitement and fear? Is it alive? Will.i.am and Mark Sagar push the limits of what a machine can do. How far is too far, and how much further can we go? The Age of A.I. is a 8 part documentary series hosted by Robert Downey Jr. covering the ways Artificial Intelligence, Machine Learning and Neural Networks will change the world. Healed through A.I. | The Age of A.I. The human body is not infallible, but through the wonders of A.I. research scientists are finding ways to address those imperfections. A.I. has the potential to heal, enhance and make up for the things our bodies lack. To learn more about project Euphonia and how to participate, visit g.co/Euphonia.The Age of A.I. is a 8 part documentary series hosted by Robert Downey Jr. covering the ways Artificial Intelligence, Machine Learning and Neural Networks will change the world. Will a robot take my job? | The Age of A.I. T he fear of losing jobs to computers...
Read more