Ip web proxy dan ip proxy setidaknya keduanya memiliki fungsi yang sama pada mikrotik. Alur pakainya pun sama, yaitu mendirect port yang dituju ke satu port yang telah ditentukan, misalkan port jalur web (80) yang keluar dialihkan ke port proxy (defaultnya 3128).
Terkadang ada juga yang mengganti port default proxy ke port lainnya pada seting, dengan tujuan agar port proxy nya tidak diketahui oleh orang lain yang tentunya proxy yang ada tidak diinginkan untuk dipakai oleh orang lain tersebut. Dan jika ini sampai terjadi, user "maling" ini enak-enak an dengan bandwidth yang ada.
Pada ip firewall nat, biasanya port dituju dibelokkan ke port proxy yang telah disetting. Sebagai contoh port proxy yang dipakai adalah 3128 (default), lihat 3 baris direct port dibawah ini:
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=3128 comment="proxy-redirect" disabled=no
add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports=3128 comment="" disabled=no
add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=3128 comment="" disabled=no
Pada baris contoh diatas, rule ini adalah open proxy, yang mana proxy dari ip publik kita bisa dipakai oleh banyak orang. Open proxy seperti ini bisa diperbaiki dengan memberikan filter ip-local saja yang boleh mengakses port proxy serta ditambahkan interface local juga. Sehingga rule tersebut diatas bisa diperbaiki menjadi :
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=3128 in-interface=LAN src-address=192.168.10.0/24 comment="proxy-redirect" disabled=no
add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports=3128 in-interface=LAN src-address=192.168.10.0/24 comment="" disabled=no
add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=3128 in-interface=LAN src-address=192.168.10.0/24 comment="" disabled=no
Perhatikan tulisan yang ditebalkan:
LAN adalah nama interface jaringan lokal.
192.168.10.0/24 adalah ip local dengan subnet 24 yang diperbolehkan mengakses port proxy. Sesuaikan dengan kondisi ip lokal masing-masing.
Sebatas ini, open proxy telah bisa diatasi. Tetapi untuk lebih meyakinkan, kita akan membuat satu rule tambahan, yang mana rule ini akan memfilter ip yang berusaha menggunakan port proxy kita, yang mana rule ini mengcapture ip tersebut dan memasukkan ke dalam list "block". Berikut rule yang dibuat:
/ ip firewall mangle
add chain=prerouting src-address=!192.168.10.0/24 protocol=tcp dst-port=3128 connection-state=new action=add-src-to-address-list address-list=block address-list-timeout=1d comment="" disabled=no
Pada /ip firewall address-list akan tercipta satu nama list baru "block" yang isinya masih kosong, tentu saja akan berisi ip jika ada yang menggunakan port proxy selain dari ip local seperti yang dituliskan diatas, dan ip ini akan berada di dalam list ini selama 1 hari. Akan hilang jika router di restart / load.
Selanjutnya dibuat filter untuk drop semua ip yang berada dalam list "block" tersebut.
/ ip firewall filterSemua ip yang berada dalam daftar / list "block" di block aksesnya untuk input.
add chain=input action=drop src-address-list=block comment="drop ip-block"
Tambahin lagi rule di filter nya:
/ ip firewall filter
add chain=input in-interface=WAN dst-address=IP-PUBLIK protocol=tcp dst-port=3128 action=add-src-to-address-list address-list=block address-list-timeout=1d comment=""
WAN : interface yang mengarah keluar
IP-PUBLIK : Ip publik jaringan milik kita
3128 : alamat port yang dijadikan sebagai port proxy
Salam Codet.
mungkin tuts ini bisa dicoba... selama ini oke koq..
ReplyDeleteSelain mencegah open proxy, juga bisa menangkal pemanfaatan open dns yg tanpa ijin ..hehehe
salam kenal.mas..^_^
/ip firewall filter
add action=drop chain=output comment="drop illegal proxylizer" disabled=no out-interface=Speedy1M protocol=tcp src-port=8080
add action=drop chain=output comment="drop illegal DNS request" disabled=no dst-address=0.0.0.0/0 out-interface=Speedy1M protocol=udp src-address=[ip public] src-port=53
add action=drop chain=output comment="drop illegal DNS request" disabled=no dst-address=0.0.0.0/0 out-interface=Speedy1M protocol=udp src-address=[ip public] src-port=53
maaf... lupa..
ReplyDeleteSpeedy1M ; ethernet yg mengarah ke modem.
itu tuts saya terapkan dgn metoda mikrotik yg dial up.
maen ke fb saya ya mas
http://facebook.com/eko.nuryadi
http://www.facebook.com/home.php?sk=group_194212230590230&ap=1
/ip firewall filter
ReplyDeleteadd action=drop chain=output comment="drop illegal proxylizer" disabled=no out-interface=Speedy1M protocol=tcp src-port=8080
add action=drop chain=output comment="drop illegal DNS request" disabled=no dst-address=0.0.0.0/0 out-interface=Speedy1M protocol=udp src-address=[ip public] src-port=53
add action=drop chain=output comment="drop illegal DNS request" disabled=no dst-address=0.0.0.0/0 out-interface=Speedy1M protocol=udp src-address=[ip public] src-port=53
Kereeeeennn gan asadi febriyan tutorialnya :D mikrotik di kantor sempet masuk ke open proxy :'( di block jg sma CBL, DroneBL katanya terdeteksi Spambot, pas coba bkin block utk SMTP yg loadnya byk, malah sma skali ga ada. bilangnya jg terdeteksi zeroaccess :'(
ReplyDeletesy coba terapkan dulu gan (y)