Remote Login
Teknologi Jaringan Akses xDSL
Nama : Muhammad Helmi Zain Nuri
NIM : 23299066
Internet saat ini sudah menjadi sebuah teknologi dan jaringan komunikasi data yang paling populer di planet ini. Pada lima tahun lalu, trafik telnet dan World Wide Web merupakan jenis-jenis trafik dominan. Akan tetapi, bentuk layanan yang ditawarkan Internet semakin beragam. Pengguna Internet mulai menggunakan aplikasi-aplikasi “pembunuh”, seperti video conference, telemedicine, distance learning, dan layanan-layanan lain yang banyak menghabiskan bandwidth.
Akan tetapi, teknologi Modem konvensional saat ini yang mempunyai rate maksimum 56 kbps tentu saja tidak dapat mengakomodasi layanan-layanan baru ini. Para pengguna Internet menginginkan kapasitas transfer data yang lebih besar agar dapat menggunakan aplikasi-aplikasi Internet secara wajar. Oleh karena itu, teknologi xDSL saat ini merupakan sebuah alternatif terbaik yang cocok diterapkan untuk mempercepat akses transfer data di subscriber lines.
DSL (Digital Subcriber Lines)
Digital Subscriber Lines sebagai teknologi transmisi sebenarnya dibangun untuk ISDN (Integrated Services Digital Network) Basic Rate Access Channel. Nama DSL digunakan untuk untuk mendiskripsikan teknologi transmisi atau physical layer untuk ISDN Basic Rate Access Channel. Saat ini, DSL, atau disebut juga xDSL digunakan sebagai penamaan umum untuk semua jenis sistem DSL.
Transmisi full-duplex pada jaringan telepon 2 kawat, menggunakan 3 macam metode :
1. Frequency Division Multiplex (FDM)
2. Time Compression Multiplex (TCM)
3. Echo cancellation (EC)
Perbedaan pendapat di antara metode TCM dan EC untuk transmisi DSL masih berlangsung hingga saat ini. Isu utama yang diperbandingkan yaitu tentang rugi-rugi transmisi, echo level, kompatibilitas dengan sistem lain, dan kompleksitas sistem. Secara garis besar, sistem TCM kelebihannya tidak membutuhkan echo canceller, sebagai pemisah transmisi yang berbeda arahnya yang terjadi pada suatu waktu. Tetapi dengan berkembangnya teknologi Very Large Integrated Circuit (VLSI), maka untuk merealisasikan echo canceller menjadi bisa lebih ekonomis. Sistem EC berpotensi lebih kompleks, menggunakan 50 % bandwidth transmisi lebih sedikit daripada pesaingnya.
HDSL (High Data-Rate Digital Subcriber Lines)
HDSL merupakan sebuah sistem yang lebih baik untuk mengirimkan T1/E1 melalui saluran kawat twisted-pair. HDSL memerlukan bandwidth yang lebih kecil dan tidak memerlukan repeater. Dengan menerapkan teknik modulasi yang lebih baik, HDSL dapat mengirimkan data dengan transfer rate 1,544 Mbps atau 2,048 Mbps hanya dengan bandwidth sekitar 80 kHz hingga 240 kHz atau lebih kecil jika dibandingkan dengan yang diperlukan oleh AMI.
HDSL dapat menyalurkan data pada kecepatan tersebut di atas pada saluran 24 AWG sepanjang 12 kft ,biasa disebut CSA (Carrier Serving Area), dan memerlukan 2 pasang saluran kawat untuk T1 dan 3 pasang saluran untuk E1 yang masing-masing bekerja pada atau kecepatan total.
SDSL (Single-Line Digital Subcriber Lines)
SDSL merupakan jenis lain dari HDSL. SDSL hanya memerlukan sepasang kawat saluran saja untuk menyalurkan POTS dan T1/E1. Kelebihan utama SDSL dibandingkan dengan HDSL adalah mudah diterapkan di setiap pelanggan karena hanya memerlukan satu saluran telepon biasa. Kekurangannya adalah hanya dapat digunakan pada saluran sepanjang 10 kft.
ADSL (Asymmetric Digital Subcriber Lines)
ADSL merupakan perkembangan selanjutnya dari HDSL. Seperti namanya, ADSL mentransmisikan data secara asimetrik, yaitu kapasitas transmisinya berbeda antara saat downstream (dari jaringan ke pelanggan) dan saat upstream (dari pelanggan ke jaringan). Kapasitas downstream lebih tinggi daripada kapasitas upstream. Ada beberapa alasan mengenai transmisi datanya yang asimetrik, antara lain karena kebutuhan kapasitas transmisinya, sifat saluran transmisi, dan sisi aplikasinya.
Kebutuhan kapasitas yang tidak perlu sama dapat dilihat dari kebiasaan yagn ada sampai saat ini, yaitu biasanya para pelanggan (misalnya pelanggan layanan Internet) hanya memerlukan pengambilan data (download) dari penyedia informasi. Jika informasi yang diambil tersebut berupa informasi multimedia (atau apapun yang memiliki ukuran data yang relatif besar), seharusnya diperlukan saluran transportasi dengan kapasitas yang besar untuk keperluan download tersebut.
Di sisi lain, pelanggan jarang sekali melakukan pengiriman data ke jaringan (upload). Jika dilakukan, biasanya hanya berupa data-data kontrol atau permintaan pelayanan ke penyedia informasi. Data kontrol ini tidak lebih dari sederetan karakter yang relatif pendek. Oleh karena itu, hanya diperlukan saluran transmisi dengan kapasitas yagn terbatas. Ada kalanya pelanggan melakukan upload ke jaringan dengan mengirimkan data-data yang cukup besar. Akan tetapi, inipun relatif lebih jarang dilakukan dibandingkan dengan download. Dari penjelasan di atas, dapat disimpulkan bahwa kebutuhan untuk download jauh lebih besar daripada keperluan upload. Jika dipaksakan untuk mempunyai rate yang sama, hal itu akan membuat bandwidth menjadi tidak efisien.
Jika dilihat dari media transmisinya, saluran-saluran transmisi yang ada (saluran telepon) tidak disalurkan satu per satu ke setiap pelanggan (saluran tunggal), melainkan beberapa saluran dijadikan satu dalam satu bundel saluran. Biasanya dalam satu bundel terdapat 50 saluran. Dengan kondisi seperti ini, interferensi antarsaluran akan sangat mungkin banyak terjadi. Bahkan, jika dalam satu bundel yang sama terjadi transmisi data pada arah yang berlawanan, sinyal yang dipancarkan pada satu sisi (sisi bundel kabel) yang memiliki level sinyal yang masih tinggi akan mengganggu penerima pada sisi yang sama (sisi bundel kabel yang sama dengan pemancar) dengan level sinyal pada penerima yang lemah sekali. Kejadian ini disebut NEXT.
Akan tetapi, jika pada bundel yang sama tersebut sedang terjadi transmisi sinyal pada arah yang sama dan level sinyal yang ada pada kedua saluran tersebut bisa dianggap sama kuat, gangguan saluran juga dapat terjadi. Efek gangguannya lebih kecil daripada NEXT. Kejadian ini disebut dengan FEXT.
Selain itu, jika pada saluran yang sama ingin dilakukan komunikasi full-duplex, biasanya komunikasi dilakukan dengan mengirimkan kedua sinyal (sinyal yang dikirimkan dan diterima) dengan memodulasikannya pada frekuensi pembawa yang sama sehingga akan terjadi yagn disebut dengan echo (sinyal yang sedang dipancarkan masuk ke bagian penerima kembali atau sinyal sinyal balik). Echo biasanya dapat dihilangkan dengan rangkaian echo canceller yagn tidak sederhana.
Dari sisi aplikasinya, dewasa ini hanya diperlukan aplikasi-aplikasi yang dapat menyediakan informasi satu arah, misalnya video-on-demand, home shopping, Internet access, remote LAN access, dan multimedia access. Oleh karena itu, dari semua penjelasan di atas, tampaknya akan lebih mudah untuk membangun sistem ADSL.
VDSL (Very High Data Rate Digital Subscriber Line)
VDSL sebelumnya disebut sebagai VADSL karena pada awalnya, VDSL hanya dapat mengirimkan data dijital secara asimetrik seperti ADSL, tetapi dengan kapasitas yang lebih tinggi dari ADSL dan panjang saluran yang lebih pendek. Belum ada standar yang umum untuk VDSL. Dari beberapa diskusi yang ada, kapasitas downstream yang umum untuk VDSL adalah 12,96 Mbps (STS-1; 4,5 kft), 25,82 Mbps (STS-1; 4 kft), dan 51,84 Mbps (STS-1; 1 kft).
Untuk keperluan upstream, kapasitas tersedia antara 1,6 Mbps hingga 2,3 Mbps. Istilah VADSL banyak ditentang, terutama oleh T1E1.4, karena menunjukkan sesuatu yang selalu tidak simetrik. Padahal, banyak yang menginginkan suatu saat akan benar-benar simetrik. Oleh karena itu, nama VDSL lebih disukai.
Dalam beberapa hal, VDSL lebih sederhana dibandingkan ADSL. Saluran transmisi yang lebih pendek pada VDSL menyebabkan hambatan-hambatan pada saluran yang mungkin terjadi pada saluran yang lebih panjang menjadi dapat ditekan. Oleh karena itu, teknologi transceiver-nya dapat menjadi lebih sederhana dan kapasitasnya akan 10 kali lebih tinggi. VDSL merupakan sasaran dari arsitektur jaringan ATM. VDSL memungkinkan terminasi jaringan pasif dan dapat digunakan pada lebih dari satu modem VDSL untuk digunakan pada saluran pelanggan, sama halnya dengan sistem telepon analog biasa (POTS).
ARP
Alamat IP (Internet Protocol), yaitu sistem pengalamatan di network yang direpresentasikan dengan sederetan angka berupa kombinasi 4 deret bilangan antara 0 s/d 255 yang masing-masing dipisahkan oleh tanda titik (.), mulai dari 0.0.0.1 hingga 255.255.255.255. IP address panjangnya 32 bit dan dibagi menjadi dua bagian: bagian network dan bagian host. Batasan antara network dan host ini tergantung kepada beberapa bit pertama, seperti diperagakan pada tabel di bawah ini.
Tabel IP Address Class-high-order bits-bagiancNetwork-bagian host jumlah address
A 0 7 24 16.777.214
B 10 14 16 65.534
C 110 21 8 254
D 1110 multicast group (percobaan) multicast group (percobaan) 268.435.456
E 1111 multicast group (percobaan) multicast group(percobaan)
Lembaga Antariksa dan Penerbangan Nasional (LAPAN) membangun jaringan nasional dengan teknologi paket radio yang diberi nama JASIPAKTA. Jaringan ini merupakan jaringan kelas B yang pertama di Indonesia. Pada waktu itu para pengguna radio amatir telah mulai menggunakan komputer untuk komunikasi internasional.
Setingan memakai interface GUI via Winbox.
Tambahkan IP Client dan Mac Address di ‘/ip arp’, biasanya, di menu ip arp tersebut telah ada Interface, mac address dan ip address client secara dinamis, tinggal di Statis kan saja. Di Winbox klik kanan, ambil Make Statik.
Setelah IP address dan Mac Address client tersebut di statiskan, sekarang ke menu Interface. Pada Terminal ‘/interface’.
arp.gif
Pada submenu Interface List, Klik aja Interface yang ada disitu. Perhatikan di bagian ARP. Ambil option, reply-only, atau arp=reply-only.
Untuk mainin di Firewall silahkan telaah script berikut.
/ ip firewall filter
add chain=forward action=drop src-address=x.x.x.x \
src-mac-address=!yy:yy:yy:yy:yy:yy comment="" disabled=no
/ ip firewall filter
add chain=forward action=drop src-address=!x.x.x.x \
src-mac-address=yy:yy:yy:yy:yy:yy comment="" disabled=no
Di Linux dengan IP Tables
Sumber asli http://mujie.blog.palangkaraya.net/
Skrip berikut di tulis via Bash di Linux, yang sudah mendukung untuk banyak Client (Mac dan IP Address).
Berikut langkah-langkahnya :
1. Buat file bernama rc.iplock didalam directory /etc/rc.d/ dengan isi sebagai berikut:
#!/bin/bash
# Bash script Lock IP Address dan MAC Address
iptables="/sbin/iptables" #path ke iptables
files="/etc/rc.d/list.txt" #path ke list IP Address dan MAC Address
device="eth1" #ethernet devices ke client
lockall="yes" #yes|no ,yes jika mendaftarkan semua IP & MAC Address
#jika tidak, tulis no.
#yes untuk metode pertama, no untuk metode kedua
if [ $lockall = "yes" ]; then
$iptables -I PREROUTING -t nat -i $device -j DROP
cat $files | while read ip_address mac_address; do
$iptables -I PREROUTING -t nat -i $devices -s $ip_address
-m mac --mac-source $mac_address -j ACCEPT
$iptables -I FORWARD -i $device -s ! $ip_address
-m mac --mac-source $mac_address -j DROP
$iptables -I PREROUTING -t nat -s ! $ip_address
-m mac --mac-source $mac_address -j DROP
done
elif [ $lockall = "no" ]; then
$iptables -I PREROUTING -t nat -i $device -j ACCEPT
cat $files | while read ip_address mac_address; do
$iptables -I FORWARD -i $device -s ! $ip_address
-m mac --mac-source $mac_address -j DROP
$iptables -I PREROUTING -t nat -s ! $ip_address
-m mac --mac-source $mac_address -j DROP
done
fi
echo “Locking IP Address and Mac Address…”
#end script
2. Buat file bernama list.txt didalam directory /etc/rc.d/ dengan format penulisan sebagai berikut :
Peringatan!! Jangan tambahkan baris apapun atau kalimat apapun selain format diatas!
Contoh isi file /etc/rc.d/list.txt untuk 3 client:
192.168.1.5 00:89:CD:64:01:EF
192.168.1.20 00:90:DD:14:11:CF
192.168.1.14 00:40:EE:21:26:GE
3. Set file rc.iplock agar dapat di eksekusi :
chmod +x /etc/rc.d/rc.iplock
4. Tambahkan didalam file /etc/rc.d/rc.local agar dapat di eksekusi pada saat start up :
/etc/rc.d/rc.iplock
5. Jalankan :
/etc/rc.d/rc.iplock
6. Selesai!
————————-
a) add the -s a.b.c.d -m mac –mac aa:bb:cc:dd:ee:ff to each rule which you
only want to match a specific machine
or
b) put all your rules into a user-defined chain, and then jump to that chain
only for packets which match the required IP/MAC combination:
iptables -N myrules
iptables -A myrules -p tcp --dport 21 -j ACCEPT
iptables -A myrules -p tcp --dport 23 -j ACCEPT
etc
iptables -A INPUT -s a.b.c.d -m mac --mac aa:bb:cc:dd:ee:ff -j myrules
With this design you can also easily allow more than one machine to connect if
you wish, by adding another INPUT rule:
iptables -A INPUT -s w.x.y.z -m mac --mac uu:vv:ww:xx:yy:zz -j myrules
cara meng-DHCP di Mikrotik
Untuk membuat DHCP Server diperlukan langkah-langkah sebagai berikut :
1. Membuat address pool dan menentukan IP Range
2. Mengaktifkan DHCP server.
Sedangkan untuk membuat Internet Gateway Server, inti langkahnya adalah melakukan masquerading yang akan melewatkan paket-paket data ke user.
Berikut ini adalah gambaran dari network dan servernya :
1. Mikrotik di install pada CPU dengan 2 ethernet card, 1 interface utk koneksi ke internet, 1 interface utk konek ke lokal.
2. IP address :
- gateway (mis: ADSL modem) : 192.168.100.100
- DNS : 192.168.100.110
- interface utk internet : 192.168.100.1
- interface utk lokal : 192.168.0.1
Untuk memulainya, kita lihat interface yang ada pada Mikrotik Router
[admin@Mikrotik] > interface print
Flags: X – disabled, D – dynamic, R – running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500[admin@Mikrotik] >
kemudian set IP address pada interface Mikrotik. Misalkan ether1 akan kita gunakan untuk koneksi ke Internet dengan IP 192.168.100.1 dan ether2 akan kita gunakan untuk network local kita dengan IP 192.168.0.1
[admin@mikrotik] > ip address add address=192.168.100.1 netmask=255.255.255.0 interface=ether1
[admin@mikrotik] > ip address add address=192.168.0.1 netmask=255.255.255.0 interface=ether2
[admin@mikrotik] >ip address print
Flags: X – disabled, I – invalid, D – dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.100.1/24 192.168.100.0 192.168.100.255 ether1
1 192.168.0.1/24 192.168.0.0 192.168.0.255 ether2
[admin@mikrotik] >
Setelah selesai Barulah kita bisa melakukan setup DHCP server pada Mikrotik.
1. Membuat address pool
/ip pool add name=dhcp-pool ranges=192.168.0.2-192.168.0.100
/ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1
2. Tentukan interface yang dipergunakan dan aktifkan DHCP Server.
/ip dhcp-server add interface=ether2 address-pool=dhcp-pool enable 0
[admin@mikrotik] > ip dhcp-server print
Flags: X – disabled, I – invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 dhcp1 ether2
sampai tahap ini, DHCP server telah selesai untuk dipergunakan dan sudah bisa di test dari user.
Langkah Selanjutnya adalah membuat internet gateway, Misalnya IP ADSL Modem sebagai gateway untuk koneksi internet adalah 192.168.100.100 dan DNS Servernya 192.168.100.110, maka lakukan setting default gateway dengan perintah berikut :
[admin@mikrotik] > /ip route add gateway=192.168.100.100
3. Melihat Tabel routing pada Mikrotik Routers
[admin@mikrotik] > ip route print
Flags: X – disabled, A – active, D – dynamic,
C – connect, S – static, r – rip, b – bgp, o – ospf
# DST-ADDRESS PREFSRC G GATEWAY DISTANCE INTERFACE
0 ADC 192.168.0.0/24 192.168.0.1 ether2
1 ADC 192.168.100.0/24 192.168.100.1 ether1
2 A S 0.0.0.0/0 r 192.168.100.100 ether1
[admin@mikrotik] >
Lanjutkan dengan Setup DNS
[admin@mikrotik] > ip dns set primary-dns=192.168.100.110 allow-remoterequests=no
[admin@mikrotik] > ip dns print
primary-dns: 192.168.100.110
secondary-dns: 0.0.0.0
allow-remote-requests: no
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 16KiB
[admin@mikrotik] >
4. Tes untuk akses domain, misalnya dengan ping nama domain
[admin@mikrotik] > ping yahoo.com
216.109.112.135 64 byte ping: ttl=48 time=250 ms
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 571/571.0/571 ms
[admin@mikrotik] >
Jika sudah berhasil reply berarti seting DNS sudah benar.
5. Setup Masquerading, ini adalah langkah utama untuk menjadikan Mikrotik sebagai gateway server
[admin@mikrotik] > ip firewall nat add action=masquerade outinterface=ether1chain: srcnat
[admin@mikrotik] >
[admin@mikrotik] ip firewall nat print
Flags: X – disabled, I – invalid, D – dynamic
0 chain=srcnat out-interface=ether1 action=masquerade
[admin@mikrotik] >
Selesai, tinggal test koneksi dari user. seharusnya dengan cara ini user sudah bisa terhubung ke internet.
Cara mencegah serangan virus di Mikrotik
Pertama buat address-list “ournetwork” yang berisi alamat IP radio, IP LAN dan IP WAN atau IP lainnya yang dapat dipercaya
Dalam contoh berikut alamat IP LAN = 10.10.0.0/24 dan IP WAN = 114.57.168.0/28 dan IP lainnya yang dapat dipercaya.
Untuk membuat address-list dapat menggunakan contoh skrip seperti berikut ini tinggal disesuaikan dengan konfigurasi jaringan Anda.
Buat skrtip berikut menggunakan notepad kemudian copy-paste ke console mikrotik
/ ip firewall address-list
add list=ournetwork address=114.57.168.0/28 comment=”Public Network” \
disabled=no
add list=ournetwork address=10.10.0.0/24 comment=”LAN Network” disabled=no
Selanjutnya copy-paste skrip berikut pada console mikrotik
/ ip firewall filter
add chain=forward connection-state=established action=accept comment=”allow \
established connections” disabled=no
add chain=forward connection-state=related action=accept comment=”allow \
related connections” disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop \
Messenger Worm” disabled=no
add chain=forward connection-state=invalid action=drop comment=”drop invalid \
connections” disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop \
Blaster Worm” disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster \
Worm” disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster \
Worm” disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom” \
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment=”ndm requester” \
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment=”ndm server” \
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment=”screen cast” \
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment=”hromgrafx” \
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment=”cichlid” \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus” \
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y” \
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle” \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop \
Beagle.C-K” disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment=”Drop MyDoom” \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor \
OptixPro” disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser” \
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B” \
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop \
Dabber.A-B” disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop \
Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau \
webmin” disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop \
MyDoom.B” disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus” \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2? \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop \
SubSeven” disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, \
Agobot, Gaobot” disabled=no
add chain=forward action=jump jump-target=virus comment=”jump to the virus \
chain” disabled=no
add chain=input connection-state=established action=accept comment=”Accept \
established connections” disabled=no
add chain=input connection-state=related action=accept comment=”Accept related \
connections” disabled=no
add chain=input connection-state=invalid action=drop comment=”Drop invalid \
connections” disabled=no
add chain=input protocol=udp action=accept comment=”UDP” disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment=”Allow \
limited pings” disabled=no
add chain=input protocol=icmp action=drop comment=”Drop excess pings” \
disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ournetwork \
action=accept comment=”FTP” disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ournetwork \
action=accept comment=”SSH for secure shell” disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=ournetwork \
action=accept comment=”Telnet” disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=ournetwork \
action=accept comment=”Web” disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=ournetwork \
action=accept comment=”winbox” disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment=”pptp-server” \
disabled=no
add chain=input src-address-list=ournetwork action=accept comment=”From \
Datautama network” disabled=no
add chain=input action=log log-prefix=”DROP INPUT” comment=”Log everything \
else” disabled=no
add chain=input action=drop comment=”Drop everything else” disabled=no
Efek dari skrip diatas adalah:
1. router mikrotik hanya dapat diakses FTP, SSH, Web dan Winbox dari IP yang didefinisikan dalam address-list “ournetwork” sehingga tidak bisa diakses dari sembarang tempat.
2. Port-port yang sering dimanfaatkan virus di blok sehingga traffic virus tidak dapat dilewatkan, tetapi perlu diperhatikan jika ada user yang kesulitan mengakses service tertentu harus dicek pada chain=”virus” apakah port yang dibutuhkan user tersebut terblok oleh firewall.
3. Packet ping dibatasi untuk menghindari excess ping.
Selain itu yang perlu diperhatikan adalah: sebaiknya buat user baru dan password dengan group full kemudian disable user admin, hal ini untuk meminimasi resiko mikrotik Anda di hack orang.
Selasa, 23 Juni 2009
Management bandwich
MikroTik RouterOS™ adalah sistem operasi dan yang dapat digunakan untuk
menjadikan komputer manjadi router network yang handal, mencakup berbagai fitur
lengkap untuk network dan wireless, salah satunya adalah bandwidth manajemen.
Saya coba mengulas cara2 paling awal untuk setting mikrotik untuk BW manajemen.
1. Install Mikrotik OS
1. Siapkan PC, minimal Pentium II juga gak papa RAM 64,HD 500M atau pake
flash memory 64
2. Di server / PC kudu ada minimal 2 ethernet, 1 ke arah luar dan 1 lagi ke Network
local yg akan di manage BWnya
3. Burn Source CD Mikrotik OS masukan ke CDROM
4. Boot dari CDROM
5. Ikuti petunjuk yang ada, gunakan syndrom next-next dan default
6. Install paket2 utama, lebih baiknya semua packet dengan cara menandainya
(mark)
7. Setelah semua paket ditandai maka untuk menginstallnya tekan "I"
8. Lama Install normalnya ga sampe 15menit, kalo lebih berarti gagal, ulangi ke step
awal
9. Setelah diinstall beres, PC restart akan muncul tampilan login
2. Setting Dasar Mikrotik
Langkah awal dari semua langkah konfigurasi mikrotik adalah setting ip. Hal ini
bertujuan agar mikrotik bisa di remote dan dengan winbox dan memudahkan kita untuk
melakukan berbagai macam konfigurasi
1. Login sebaga admin degan default password ga usah diisi langsung enter
2. Setelah masuk ke promt ketikkan command:
[ropix@GblSdd] > ip address add address=222.124.21.26/29 interface=ether1
3. Gantilah dengan ip address anda dan interface yg akan digunakan untuk
meremote sementara
4. Lakukan ping ke dan dari komputer lain
5. Setelah konek lanjutkan ke langkah berikutnya, kalo belum ulangi langkah 2
3. Setting Lanjutan
1. Akses ip mikrotik lewat browser, maka akan muncul halaman welcome dan login
2. Klik link Download it untuk download winbox yg digunakan untuk remote
mikrotik secara GUI
3. Jalankan winbox, login sebagai admin password kosong
4. Masuklah ke menu paling atas (interface), tambahkan interface yg belum ada
dengan mengklik tanda +
5. Tambahkan pula interface "bridge" untuk memfungsikan mikrotik sebagai bridge
4. Setting Bandwidth limiter
1. Klik menu ip>firewall>magle
Buat rule (klik tanda + merah) dengan parameter sbb:
Pada tab General:
Chain=forward,
Src.address=192.168.0.2 (atau ip yg ingin di limit)
Pada tab Action :
Action = mark connection,
New connection mark=ropix-con (atau nama dari mark conection yg kita buat)
Klik Apply dan OK
Buat rule lagi dengan parameter sbb:
Pada tab General: Chain=forward,
Connection mark=ropix-con (pilih dari dropdown menu)
Pada tab Action:
Action=mark packet,
New pcket Mark=ropix (atau nama packet mark yg kita buat)
Klik Apply dan OK
2. Klik menu Queues>Queues Tree
Buat rule (klik tanda + merah) dengan parameter sbb:
Pada tab General:
Name=ropix-downstrem (misal),
Parent=ether2 (adalah interface yg arah keluar),
Paket Mark=ropix (pilih dari dropdown, sama yg kita buat pada magle),
Queue Type=default,
Priority=8,
Limit At=8k (untuk bandwidth minimum)
Max limit=64k (untuk seting bandwith brustable)
Klik aplly dan Ok
Buat rule lagi dengan parameter sbb:
Pada tab General:
Name=ropix-Upstrem (misal),
Parent=ether1 (adalah interface yg arah kedalam),
Paket Mark=ropix (pilih dari dropdown, sama yg kita buat pada magle),
Queue Type=default,
Priority=8,
Limit At=8k (untuk bandwidth minimum upstrem)
Max limit=64k (untuk seting bandwith brustable)
Klik aplly dan Ok
3. Cobalah browsing dan download dari ip yg kita limit tadi, Rate pada Queues rule tadi
harus mengcounter, kalo belum periksa lagi langkah- langkah tadi
4. Icon hijau menandakan bandwidth kurang dari batasan, Icon berubah kuning berarti
bandwidth mendekali full dan merah berarti full.
REMOTE LOGIN
Sekarang kita akan menuliskan cara remote server mikrotik dari luar, caranya cukup mudah, karena konsepnya adalah meneruskan dari IP publik ke server mikrotik kita di rumah, maka yang harus di setting adalah modemnya.
Internet -> Modem -> Mikrotik -> HUB/swicth -> Client
Disini kita akan membahas dengan menggunakan modem sanex, karena udah di coba pada 3buah modem yang berbeda, dan semuanya sukses abis.. hehehhe,
1. Buka browse pada modemnya,
2. Buka pada device info -> WAN
Disini kita akan mengetahuin IP publik yang kita dapetkan dari speedy, catet pada notepad, ato cukup di inget2 aja.
3. Setelah itu pilih menu Advance Setup -> NAT -> Virtual server -> add
4. Isikan pada modem
custom server : miketek (atau terserah nama kesukaan anda)
Server IP Address : ini isikan IP address di LAN card pc yang di install mikrotik yang mengarah ke modem
Isikan External port start : 80 dan pada external port end : 8291 dan pada protokol : TCP/UDP (kedua-duanya) kmudian save/apply
5. usahakan me-reboot modem anda..
Sekarang coba anda bawa winbox andalan ke luar jaringan anda, login dengan menggunakan IP publik yang telah kita ingat tadi.jadi gak repot khan.......
Tidak ada komentar:
Posting Komentar