kali ini ane akan share tentang mengamankan mikrotik
metode yang ane pake drop all allow beberapa langsung aja ane jelasin fungsi perintah di bawah
1.tahap pertama adalah menambahkan perintah di bawah agar fungsi pake drop all allow beberapa
dapat berjalan
>koneksi yang melewati router dengan status estabilish akan di teruskan oleh router
add action=accept chain=forward comment="allow connection state" \
connection-state=established disabled=no
>koneksi ping akan melewati router akan di teruskan oleh router
add action=accept chain=forward connection-state=related disabled=no
>koneksi yang masuk ke router dengan status estabilish akan di terima router
add action=accept chain=input connection-state=established disabled=no
>koneksi ping yang akan masuk ke router akan di terima router
add action=accept chain=input connection-state=related disabled=no
>koneksi yang melewati router dengan status di lain estabilish dan related akan di drop
add action=drop chain=forward comment="drop koneksi ga jelas" \
connection-state=invalid disabled=no
>koneksi yang akan masuk router dengan status di lain estabilish dan related akan di drop
add action=drop chain=input comment="drop koneksi ga jelas" connection-state=\
invalid disabled=no
2.baris perintah di bawah adalah perintah untuk mengalihkan forwarding dan input
jadi memudahkan dalam pelfilteran paket mana yang akan di accept dan selebihnya di drop atau di tarpit
add action=jump chain=forward comment="mengalihkan forward" disabled=no \
jump-target=allport
add action=jump chain=input comment="mengalihkan input" disabled=no \
jump-target=allport
penjelasan dengan topologi
>segala lalu lintas paket data yang ada akan di alihkan ke allport
>jika lalu lintas data tidak melewati allport maka akan di olah oleh firewall dan jika merugikan akan di drop dan jika berbahaya akan di tarpit
3.kumpulan baris perintah di bawah adalah perintah untuk memberikan akses beberapa paket aplikasi yang di perboleh kan melewati router kenapa chain nya allport? > iyalah kan chain forward nya udah ane arahin ke allport jadi kalo mau lewatin paket2 di router harus di kasih chain= allport
/ip firewall filter
add action=accept chain=allport comment=http disabled=no dst-port=80 \
protocol=tcp
add action=accept chain=allport comment="port discovery winbox" disabled=no \
dst-port=5678,20561 protocol=udp
add action=accept chain=allport comment="backup http" disabled=no dst-port=\
8080 protocol=udp
add action=accept chain=allport comment=https disabled=no dst-port=443 \
protocol=tcp
add action=accept chain=allport comment=telnet disabled=no dst-port=23 \
protocol=udp
add action=accept chain=allport comment=ssh disabled=no dst-port=22 protocol=\
tcp
add action=accept chain=allport comment="consol winbox" disabled=no dst-port=\
8291 protocol=tcp
add action=accept chain=allport comment=ftp disabled=no dst-port=21 protocol=\
tcp
add action=accept chain=allport comment="yahoo mesengger" disabled=no \
dst-port=8001-8002,199 protocol=tcp
penjelasan topologi :
Perumapamaan :
> garis putus melambangkan forward itu beberapa ada yang paket nya bisa keluar masuk di filter oleh firewall di mikrotik
>garis lengkung itu adalah akses kusus yang di berikan ke beberapa paket untuk bisa bebas keluar dan masuk dari router
jadi intinya paket yang tidak di daftarkan di all port akan di olah oleh firewall dan jika merugikan akan di drop dan jika berbahaya akan di tarpit
4.perintah di bawah berfungsi menahan serangan ddos yang masuk ke router
add action=add-src-to-address-list address-list=blocked address-list-timeout=\
1d chain=input comment="ddos attack" connection-limit=30,32 disabled=no \
protocol=tcp
add action=tarpit chain=input connection-limit=3,32 disabled=no protocol=tcp \
src-address-list=blocked
add action=drop chain=input disabled=no src-address-list=blocked
5.perintah di bawah berfungsi menahan serangan dari brute force,flooding dan serangan2 lain yang menggunakan metode memberikan beberapa paket secara bersamman
add action=jump chain=forward comment="syn flood protect" connection-state=\
new disabled=no jump-target=SYN-protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-protect comment="syn normal" connection-state=new \
disabled=no limit=400,5 protocol=tcp tcp-flags=syn
add action=drop chain=SYN-protect comment="syn abnormal" connection-state=new \
disabled=no protocol=tcp tcp-flags=syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment=\
"rule pelindung dari port scanner" disabled=no protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
disabled=no protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="SYN/FIN scan" disabled=no \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="SYN/RST scan" disabled=no \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" disabled=\
no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="lain2 scan" disabled=no \
protocol=tcp tcp-flags=syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP NULL SCAN" disabled=no \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="droping port scanner" disabled=no \
src-address-list="port scanners"
kalo masih gak ngerti perintah diatas mending lebih lengkap nya baca di sini > wiki mikrotik
6.anti spam email
add action=add-src-to-address-list address-list=spam address-list-timeout=1d \
chain=forward comment="anti spam" connection-limit=30,32 disabled=no \
dst-port=25 limit=50,5 protocol=tcp
add action=drop chain=forward disabled=no dst-port=25 protocol=tcp \
src-address-list=spam
7.perintah di bawah adalah yang paling penting dalam tutorial ini jika tidak di tambahkan maka fungsi allow beberapa dan drop semua tidak akan berjalan.
pastikan menambahkan ip network client agan dan ip untuk configure dan setting router agan ya !!!!
kalo gak bisa nambahin sendiri nih ane kasih perintah nya
ip firewall address-list add address=x.x.x.x/x list=client
x.x.x.x/x > itu ip network client agan dan ip network router config agan
add action=accept chain=input comment="allow ping client" disabled=no \
protocol=icmp src-address-list=client
add action=accept chain=forward comment="allow input client" disabled=no \
src-address-list=client
add action=accept chain=input comment="allow input client" disabled=no \
src-address-list=client
8.ini harus di taro paling bawah ya ga usah ane jelasin pasti ngerti ko
add action=drop chain=input comment="drop everything else" disabled=no
add action=drop chain=forward comment="drop everything else" disabled=no
sekian dan terimakasih kalo masih gak ngerti email atau comment aja
email:aldya94231@gmail.com