www.itmediacenter.web.id
| www.nicesofmedia.com
1. Komfigurasi Dasar
Untuk melihta interface
interface print
Melihat Ststus Inteface;
interface ethernet print
Untuk menonaktifkan Interface ether5 (INt4)
interface disable 4
Untuk merubah swithport (misal port 4 menjadi port biasa dengan induk mater port3)
interface ethernet set 4 master-port=ether3
2. Konfigurasi IP Address
Memberikan IP Addres pada Iinterface
ip address add address=192.168.1.254/24 interface=ether1
ip address add address=192.168.2.254/24 interface=ether2
ip address add address=192.168.3.254/24 interface=ether3
Memberikan IP Default Gateway (IP dari Router Provider/Modem)
ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.7
Cek Ip Router
ip route print
Konfigurasi DNS Server
ip dns set servers=8.8.8.8,8.8.4.4 allow-remote-requests=yes
Cek DNS
ip dns print
www.itmediacenter.web.id
| www.nicesofmedia.com
MASQUERADE untuk menjalankan NAT untuk mengganti IP private menjadi IP Publik
yang ada di Ether1 (yg menju ke Internet) sehingga kita bias akses internet.
ip firewall nat add chain=srcnat src-address=192.168.2.0/24 out-interface=ether1 action=masquerade
3. Filter
(INPUT)
Untuk menetukan suatu paket dapat masuk atau tidak…
Sekarang kita buat dengan scenario
Tidak bias ping, telnet, winbox dan SSH dari IP: 192.168.2.0/24 di Interface2 selain IP
192.168.2.10-15 (IP IT Admin)
ip firewall filter add chain=input in-interface=ether2 src-address=192.168.2.10-192.168.2.15
ip firewall filter add chain=input in-interface=ether2 protocol=icmp connection-state=established action=accept ip firewall filter add chain=input in-interface=ether2 protocol=icmp action=drop
ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=20,21,22,23,80,8291 action=drop
Mengecek
ip firewall filter print
Forward
Untuk Menangani Data yang melintas di Router/ pemeriksaan setiap data yg melintas di router Aksi ada 3
-Drop
Simulasinya (blokk www.detik.com dan download file MP3
ip firewall filter add chain=forward src-address=192.168.2.0/24 content=www.detik.com action=drop ip firewall filter add chain=forward src-address=192.168.2.0/24 content=.mp3 action=drop
-Reject
Ji\ka user melakukan PING mak hasilnya DHU, jika drop maka RTO
ip firewall filter add chain=forward src-address=192.168.2.0/24 action=reject reject-with=icmp-host-unreachable
-Accept
4. Address List
Berfungsi dekalrasi IP Address menjadi sebuah nama untuk merujuk IP Address dengan sebutan nama: ip firewall address-list add address=192.168.2.0/24 list="JARINGAN KANTOR"
www.itmediacenter.web.id
| www.nicesofmedia.com
ip firewall address-list add address=192.168.15 list="IT Support" ip filter address-list print
Contoh kita dapat menggunakan address-list untuk melihat IP Address yan g melakukan
percobaan ping maupun aksess (SSH, WinBox, Telnet) terhadap router.
ip firewall filter add chain=input in-interface=ether2 protocol=icmp action=add-src-to-address-list
address-list="ping ilegal"
ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=22,23
action=add-src-to-address-list address-list="akses ilegal"
Cobtoh lain addres list untuk melihat dagftar akses illegal
ip firewall filter add chain=input in-interface=ether2 protocol=icmp dst-port=22,23
action=add-src-to-address-list address-list="akses ilegal"
ip firewall filter add chain=input in-interface=ether2 protocol=icmp action=add-src-to-address-list
address-list="ping ilegal"
Kemudian Lihat hasil
ip firewall address-list print
Proxy Web
Merupakan aplikasi yg menjadi perantara anatar server dan client, sehingga user tidak akan
berhubungan langsung dengan server
Keuntungan:
1. Dapat menghemat bandwidth
2. Dapat menerapakan caching content
3. Pembatasn terhadap web content
ip proxy set enabled=yes port=8080 cache-administrator=admin@itmediacenter.web.id
max-cache-size=unlimited cache-on-disk=yes
Mengaktifkan proxy untuk Range IP tertentu
ip proxy access add src-address=192.168.2.0/24 action=allow
ip proxy access add src-address=0.0.0.0/0 action=deny
www.itmediacenter.web.id
| www.nicesofmedia.com
Transparent Proxy maka
ip firewall nat add chain=dstnat protocol=tcp src-address=192.168.2.0/24 dst-port=80
action=redirect to-ports=8080
ip dhcp-server setup
Next-next….
Menetukan IP tertentu untuk komputer yg ada mac-address
ip dhcp-server lease add address=192.168.3.150 mac-address=2C-76-8A-D1-ED-78
Untuk bias akses internet di eth3
ip firewall nat add chain=srcnat src-address=192.168.3.100-192.168.3.200 out-interface=ether1
action=masquerade
Menampilkan KOmputer yang menggunakan DHCP
ip dhcp-server lease print
Pengamana DHCP
Untuk membatasi pengguna IP Address, untuk memaksa pengguna memakai DHCP server,
jika ada user menggunakan IP static dengan perubahan sendiri, maka tdk akan terhubung ke
server
Maka perintahnya
ip dhcp-server set 0 add-arp=yes
ip dhcp-server lease print
interface ethernet set 2 arp=reply-only
Simple Managemenet Banwidth
Manajemen banwidth sangat penting dalam mengelola jaringan untuk mengendalikan setipa
user yang mengakses internet, sehingga tidak terjadi pemakaian banwidth yang berlebihan
pada user tertentu.
1. Maximum Information Rate (MIR) alokasi baswidth maksimum yang bias didapatkan
komputer user jika alokasi bandwidth tidak dialokasikan oleh user lain:
www.itmediacenter.web.id
| www.nicesofmedia.com
Anggap kita sudah memilki banwidth internet 2 Mbps dan akan dibagika ke 8 user (komputer)
sekaligus. Langsung saja ke perintahnya.
queue simple add name=Limit-All target-addresses=192.168.2.0/24 interface=ether2 max-limit=2M/2M
queue simple add name=PC-HRD target-addresses=192.168.2.10 interface=ether2 max-limit=2M/2M limit-at=256000/256000 parent=Limit-All
queue simple add name=PC-KTU target-addresses=192.168.2.11 interface=ether2 max-limit=2M/2M limit-at=256000/256000 parent=Limit-All
queue simple add name=PC-Engineering target-addresses=192.168.2.12 interface=ether2 max-limit=2M/2M limit-at=256000/256000 parent=Limit-All
queue simple add name=PC-Accounting target-addresses=192.168.2.13 interface=ether2 max-limit=2M/2M limit-at=256000/256000 parent=Limit-All
queue simple add name=PC-IT target-addresses=192.168.2.20 interface=ether2 max-limit=2M/2M limit-at=256000/256000 parent=Limit-All
Sekarng kita lihat hasilnya, seblmunya lakukan browsing tool torch interface=ether2 src-address=192.168.2.0/24
Limit Bandwidth Berdasrkan Exension File
Untuk membatasi user yang sering menghabiskan bandwidth untuk download satu file tertentu. Dengan car ini kita membatasi setiap user yang melakukan download.
Mangle yang ada di firewall nantinya digunakan untuk memberikan label (tanda) pada paket-paket data yang berisi extension file-file tersebut.
JIka ad user yang meulai mendownload file dengan extension .rar (ditandai dengan opsi content=.rar ) maka koneksi tersebut akan diberi nama paket terlimit conn, begitu juga untuk jenis file lainnya. Misal zip, flv, mp3, iso,exe dll. Perintah yang digunakan adalah sbb:
ip firewall mangle add chain=prerouting src-address=192.168.2.0/24 protocol=tcp dst-port=80 content=.rar action=mark-connection new-connection-mark="paket terlimit-conn"
[ip firewall mangle add chain=prerouting src-address=192.168.2.0/24 protocol=tcp dst-port=80 content=.exe action=mark-connection new-connection-mark="paket terlimit-conn"
ip firewall mangle add chain=prerouting src-address=192.168.2.0/24 protocol=tcp dst-port=80 content=.mp3 action=mark-connection new-connection-mark="paket terlimit-conn"
www.itmediacenter.web.id
| www.nicesofmedia.com
ip firewall mangle add chain=prerouting src-address=192.168.2.0/24 protocol=tcp dst-port=80 content=.mp4 action=mark-connection new-connection-mark="paket terlimit-conn"
ip firewall mangle add chain=prerouting src-address=192.168.2.0/24 protocol=tcp dst-port=80 content=.zip action=mark-connection new-connection-mark="paket terlimit-conn"
ip firewall mangle add chain=prerouting src-address=192.168.2.0/24 protocol=tcp dst-port=80 content=.iso action=mark-connection new-connection-mark="paket terlimit-conn"
Selanjutnya membuat mark-paket berdaskan mark-connection tadi. Paket-paket yang bersala dari koneksi “paket terlimit-conn akan diberi nama “paket terlimit”. Perintahnya adalah:
ip firewall mangle add chain=prerouting connection-mark="paket terlimit-conn" action=mark-packet new-packet-mark="paket terlmit"
Yang terahir adalah konfigurasi Queue untuk membatasi aktifitas download file-file tersebut. Opsi yg harus ditambahkan pada peket mark =”paket terlimit”. Kita membatasi download file-file tersebut hanya 128kbps untuk beberpa komputer. Perintahnya
queue simple add name=Limit-Paket target-addresses=192.168.2.0/24 interface=ether2 packet-marks="paket terlimit" max-limit=128k/128k
Wireless Network (Jaringan Tanpa Cabling)