Wednesday, October 28, 2009

Script Scheduler Uptime Hotspot

Wah pertama sih agak bingung ….soale dulu script ni cman taunya buat scheduler bandwith management eh setelah searching2 dapet deh caranya buat script scheduler selain buat limit bandwith…..caranya yah….

misalkan disini aku mo buat scheduler untuk me refresh counter uptime limit di user hotspot…..jadi critanya user hotspot area di salah satu tempat gua (critanya lokasi areanya buanyak gitu deh)….
itu di uptime limit seharinya itu cman dikasih free charge 1 jam only…..ini buat mengantisipasi yang ngantri ngantri gitu deh……hehehehee….oke langkah pertama ya…

1. Aplikasi hotspot di mikrotik udah berjalan normal….
2. Membuat user di hotspotnya kemudian di set pada limit usernya lebih tepatnya di uptime limit misal 1 jam gitu ya
3. langsung aja setalh selesai diatas kemudian masuk ke system —> script, ada tombol Plus warna merah diklik aja….untuk namanya terserah tapi disini tak tulisi refreshcounter. Di kolom source nya itu ditulis script ketika kita menjalankan nya lewat new terminal, sebagai contoh misal untuk shutdown kita ketik, /system shutdown nah dalam contoh ini kebetulan perintahnya /ip hotspot user reset-counters, ditulis aja di box source lengkap heheheeee….di ok dah

4. langkah terakhir masuk ke system scheduler, ada tombol plus merah seperti diatas diklik aja pada name terserah ditulis aja sebagai tenger,….dalam hal ini aku tak tulisi refresh pagi, nah pada klom on event ditulis name pada script yang kita buat diatas,….kan tadi tak namai refreshcounter jadi ya ditulis itu. nah untuk kolom star date itu tanggal mulainya scheduler dibawahnya ada jam dimulainya scheduler ini trus di kolom interval itu,…..dalam interval berapa script ini bakalan berjalan lagi,…contoh aja misal di kolom waktu kita tulis 06:00:00 berarti jalan pada pukul 6 pagi terus intervalnya ditulis 1d 00:00:00 artinya tiap satu hari sekali pada jam enam schedule untuk menjalankan script akan di exsekusi…gitu deh…..


Source : http://oktobrima.staff.fe.uns.ac.id

Sunday, October 25, 2009

FreeBSD 6.2 Proxy Squid server

Tulisan ini merupakan hutang dari postingan terdahulu. Sebenarnya langkah-langkah instalasinya hilang dari memory otak. Hanya saja kemaren ingat lagi setelah disodori komputer dengan dual processor P3 733Mhz dan RAM 512Mb plus 1 scsi HDD 18 Gb.
Komputer ini built-up dengan merk HP series Netserver E800

Tak ada hambatan sama sekali saat komputer di set untuk booting awal lewat CD. Langkah biasa saja yaitu masuk ke BIOS dengan pencet tombol F2 dan pilih boot order.
Hanya saja, Netserver ini agak lama untuk boot karena dia harus meload dulu driver scsi-nya dan RAM checker. butuh sekitar 3 menit untuk benar-2 masuk dan boot lewat CD.

Oke..untuk instalasi pilih saja opsi kern-developer karena nantinya kita akan mendownload langsung sourcenya dan mengcompilenya dengan berbagai opsi dibawah.

Squid
Squid merupakan web proxy yang sangat populer dan tentunya sangat berkelas dan digunakan di berbagai institusi baik kecil ataupun perusahaan besar dan tentunya ISP di seluruh dunia. Juga personal seperti saya ini tentunya juga boleh pakai :)
Squid akan meningkatkan kemampuan web browsing dan menghemat bandwidth, juga memiliki Access Control Lists (ACLs) yang sangat kaya yang dapat dikonfigurasi sebagai filter yang powerfull dan juga bisa sebagai firewall.

, saat ini dibangun dari sumbangan para sukarelawan. Tim hanya terdiri dari sedikit orang tetapi mereka sangat berbakat dan tentunya juga para developer program yang profesional.

Untuk informasi lebih lanjut sila ikuti URL berikut:

http://www.-cache.org/Intro/helping.dyn

Instalasi manual ini menggunakan -2.6.STABLE18. Tetapi tentu saja dapat digunakan untuk versi lainnya dan juga tidak hanya untuk karena dapat digunakan untuk keluarga Linux ataupun BSD. Dan dengan sedikit modifikasi bisa dipakai untuk Solaris dengan mengganti ‘make’ menjadi ‘gmake’ dan tentu saja pastikan ‘/usr/sfw/bin’ ada di PATH.

Berikut asumsi yang digunakan di server;

2 cache partisi /cache0 dan /cache1 dengan ukuran masing-masing 6 GB dan dipartisi saat instalasi OS.
User dan Group telah dibikin di OS
Incoming TCP connections di Port 3128

How-To ini menerangkan bagaimana jalan sebagai di di -6.2/Linux untuk melayani ribuan user dan dapat juga dikombinasikan dengan tanpa menjalankan web proxy . NAT yang dipakai di menggunakan DST-NAT dan cukup 2 LAN card disisi (1 WAN dan 1 LAN).

Instalasi
Oke kita mulai instalasi squidnya.

(1.) Karena kita mau langsung server FreeBSD yang unduh squidnya maka package ‘wget’ harus ada. Dan tentunya konfigurasi jaringan sudah oke dan telah terhubung ke internet.
cd /usr/ports/ftp/wget < < href="http://simplyeko.com/tag/freebsd">FreeBSD
make install << href="http://simplyeko.com/tag/freebsd">FreeBSD untuk mengunduh wget langsung dari repository

Ketikkan perintah diatas secara berurutan dan tunggu sampai selesai.

(2) Download di /usr/local/src

cd /usr/local/src
wget http://www.-cache.org/Versions/v2/2.6/-2.6.STABLE18.tar.gz

(2.) Dekompress squidnya

tar zxvf -2.6.STABLE18.tar.gz

(3.) Konfigurasi dengan parameter berikut

–bindir=/usr/local/sbin \
–sysconfdir=/usr/local/etc/ \
–datadir=/usr/local/etc/ \
–libexecdir=/usr/local/libexec/ \
–localstatedir=/usr/local/ \
–enable-removal-policies=heap,lru \
–enable-storeio=diskd,aufs,coss,ufs,null \
–enable-time-hack \
–with-large-files \
–enable-large-cache-files \
–prefix=/usr/local \
–disable-ident-lookups \
–enable-cache-digests \
–enable-underscores \
–enable-kill-parent-hack \
–enable-follow-x-forwarded-for

(4.) Jika semua berjalan dengan baik -tanpa error-, jalankan

make all
make install

(5.) Sekarang kita tune konfigurasi .conf sesuai kebutuhan

cd /usr/local/etc/
mv .conf .default.conf

(6.) Gunakan .conf berikut

############## Start of .conf ###########

cache_effective_user
cache_effective_group

#hosts_file /etc/hosts

#Only if you have other proxies running and want to use them as sibling peers
#Uncomment them
#cache_peer proxy1.example.com sibling 3128 3130 proxy-only
#cache_peer proxy2.example.com sibling 3128 3130 proxy-only
#cache_peer proxy6.example.com sibling 3128 3130 proxy-only

#Remove 127.0.0.1 if you don’t have a local caching name server
dns_nameservers 127.0.0.1 IP.OF.ISP.DNSSERVER

#debug_options ALL,1 33,2 28,9

acl all src 0.0.0.0/0.0.0.0

#offline_mode off

icp_query_timeout 1000

high_memory_warning 500 MB

#If you have 2 or more different links, use them for load-balancing
#tcp_outgoing_address IP.Address.2nd.Router

visible_hostname proxy.example.com

httpd_suppress_version_string on

cache_mem 64 MB

#cache_replacement_policy heap LFUDA
cache_replacement_policy heap GDSF
memory_replacement_policy heap GDSF

cache_swap_low 90
cache_swap_high 95

maximum_object_size 131072 KB

########New test — Default is 8
maximum_object_size_in_memory 64 KB

#minimum_object_size 1 KB
#store_avg_object_size 20 KB

tcp_recv_bufsize 65535 bytes

ipcache_size 8192

fqdncache_size 8192

##If this proxy is also your gateway and if you want to block MSN messenger
##Uncomment the ACLs below

#acl msn-type req_mime_type -i ^application/x-msn-messenger$
#acl msn-type req_mime_type -i ^application/x-msnmsgrp2p
#http_access deny msn-type

#acl msnmessenger url_regex -i gateway.dll
#http_access deny msnmessenger
#acl msn req_mime_type -i ^application/x-msn-messenger
#http_access deny all msn

acl msnmess url_regex http://207.46.111.55/gateway/gateway.dll?
deny_info TCP_RESET msnmess
http_access deny msnmess

#forwarded_for on
#request_header_max_size 24 KB
#negative_dns_ttl 1 minutes
#positive_dns_ttl 1 hours
#negative_dns_ttl 60 seconds
#connect_timeout 60 seconds
#request_timeout 60 seconds
#pconn_timeout 30 seconds
high_page_fault_warning 10
high_response_time_warning 2000
client_persistent_connections off
server_persistent_connections on
half_closed_clients off

#If you need the high performace COSS storage scheme
#cache_dir coss /cache1//coss 9216 max-size=131072 max-stripe-waste=16384 block-size=1024
#cache_dir coss /cache2//coss 9216 max-size=131072 max-stripe-waste=16384 block-size=1024

#Diskd storage scehme
cache_dir diskd /cache0 6144 16 256 Q1=72 Q2=64
cache_dir diskd /cache1 6144 16 256 Q1=72 Q2=64

#Used for COSS only
#cache_swap_log /var//%s

log_icp_queries off
cache_store_log none
cache_access_log /var/log//access.log
cache_log /var/log//cache.log

emulate_httpd_log on

acl spammers dstdomain .maxonlinejob.com .max-online.biz .maxjob.info
deny_info TCP_RESET spammers
http_access deny spammers

ftp_user ftpuser@example.com
cache_mgr squidadmin@example.com

#Block some comme Microsoft bugs
acl msnbug url_regex http://msgr.dlservice.microsoft.com/download/1/A/4/1A4FEB1A-18E0-423A-B898-F697402E4F7F/I nstall_Messenger.exe
deny_info TCP_RESET msnbug
http_access deny msnbug

acl msnbug2 url_regex http://msgr.dlservice.microsoft.com/download/4/b/c/4bc83bb2-18dd-486f-943f-332a9b3e01dc/Install_MSN_Messenger_DL.exe
deny_info TCP_RESET msnbug2
http_access deny msnbug2

#No cache for the following sites
acl newssites dstdomain .cnn.com .bbcnews.com
no_cache deny newssites

refresh_pattern windowsupdate.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
refresh_pattern update.microsoft.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims

#Try to cache some google Earth stuff
acl QUERY urlpath_regex cgi-bin \? intranet
acl forcecache url_regex -i kh.google keyhole.com
no_cache allow forcecache
no_cache deny QUERY

#Don’t cache dynamic content
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

refresh_pattern -i kh.google 1440 20% 10080 override-expire override-lastmod reload-into-ims ignore-reload
refresh_pattern -i keyhole.com 1440 20% 10080 override-expire override-lastmod reload-into-ims ignore-reload

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#Only if you want your box to cache aggressively, not recommended

#refresh_pattern -i \.gif$ 600 50% 10080
#refresh_pattern -i \.jpe?g$ 600 50% 10080
#refresh_pattern -i \.tif?f$ 600 50% 10080
#refresh_pattern -i \.png$ 600 50% 10080
#refresh_pattern -i \.mov$ 600 50% 10080
#refresh_pattern -i \.qt$ 600 50% 10080
#refresh_pattern -i \.avi$ 600 50% 10080
#refresh_pattern -i \.mpe?g$ 600 50% 10080
#refresh_pattern -i \.wav$ 600 50% 10080
#refresh_pattern -i \.au$ 600 50% 10080
#refresh_pattern -i \.aif?f$ 600 50% 10080
#refresh_pattern -i \.ps$ 360 30% 10080
#refresh_pattern -i \.pdf$ 360 30% 10080
#refresh_pattern -i \.gz$ 360 30% 10080
#refresh_pattern -i \.Z$ 360 30% 10080
#refresh_pattern -i \.zip$ 360 30% 10080
#refresh_pattern . 180 50% 10180

#Configure downloading even after aborted requests.
quick_abort_min 0 KB
quick_abort_max 0 KB
#quick_abort_pct 99

negative_dns_ttl 2 minutes

acl mynetwork src 192.168.0.0/24 172.16.0.0/24 10.0.0.0/24

acl nimda urlpath_regex .*/winnt/system32/cmd.exe.* .*/MSADC/root.exe..c.dir$ .*/scripts/root.exe..c.dir$
acl Newvirus urlpath_regex .*/Cgi-bin/!Vip.exe.* .*/LE/isapitest.dll.*
acl BadURL urlpath_regex -i cmd.exe
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 2082 2083 2086 2087 2093 2095 2096
acl Safe_ports port 80 21 443 563 70 210 8000 11999 2082 2083 2086 2087 2095 2096 8082 8090
acl CONNECT method CONNECT
acl worm dst 63.251.5.47 65.74.168.210
acl worm1 dstdomain kyamzaa.virtualave.net/com.exe
acl worm2 dstdomain kyamazza.virtualave.net/dos.exe

acl VIRUS urlpath_regex winnt/system32/cmd.exe?
acl VIRUS urlpath_regex ^/osa..gif
acl VIRUS urlpath_regex ^/./fils.php
acl VIRUS urlpath_regex ^/./999.jpg
acl VIRUS urlpath_regex ^/w.php
acl YAHOOATTACK urlpath_regex akamai.*yahoo.*config/login
acl INADDR_ANY dst 0.0.0.0/32
acl IpAddrProbeUA browser ^Mozilla/4.0.\(compatible;.MSIE.5.5;.Windows.98\)$
acl IpAddrProbeURL url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$

acl codered url_regex \/default\.ida$
http_access deny codered

acl gator_url url_regex \.gator.com
acl gator_domain_start dstdomain gator.com
http_access deny gator_url
http_access deny gator_domain_start

acl brazvir url_regex http://www.instituto.com.br/attackDoS.php
http_access deny brazvir

acl worm_url url_regex ^http://www.tradeexit.com/link1.html$
acl worm_url url_regex ^http://www.tradeexit.com/link2.html$
acl worm_url url_regex ^http://www.revistaprofashional.com.br/put?
acl worm_url url_regex ^http://www.putassp.com/put?
http_access deny worm_url

#Block uncessary microsoft updates
acl microsoft_url_1 urlpath_regex msdownload/update/v3-19990518/cabpool
http_access deny microsoft_url_1

###################
##virus
#acl mblock url_regex -i musicindiaonline.com

acl dangurl urlpath_regex -i \.id[aq]\?.{100,} # CodeRED
acl dangurl urlpath_regex -i /readme\.(eml|nws|exe) # NIMDA

#Remove transparent if you don’t want to run transparently
http_port 3128 transparent

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny BadURL
http_access deny nimda
http_access deny Newvirus
deny_info TCP_RESET worm
http_access deny worm
http_access deny worm1
http_access deny worm2
http_access deny Codered
http_access allow mynetwork

http_access deny IpAddrProbeUA IpAddrProbeURL
deny_info TCP_RESET IpAddrProbeURL
acl OriginsThatComplainOfAbuse dstdomain .fencing101.com
http_access deny OriginsThatComplainOfAbuse
deny_info TCP_RESET OriginsThatComplainOfAbuse
acl soedirman dstdomain soedirman.gudangupload.com
http_access deny soedirman
http_access deny VIRUS
http_access deny YAHOOATTACK
http_access deny INADDR_ANY

acl PURGE method PURGE
http_access allow PURGE localhost
http_access deny PURGE

deny_info TCP_RESET all
http_access deny all

icp_access allow mynetwork
icp_access deny all

miss_access allow all

append_domain .example.com

#Always direct allow to yahoo.com and hotmail.com
acl yahoo dstdomain login.yahoo.com
acl yahoo dstdomain mail.yahoo.com
acl hotmail dstdomain hotmail.com
always_direct allow yahoo
always_direct allow hotmail

ie_refresh on
######## End of .conf ###############

(6.) Initialize direktory cache-nya

/usr/local/sbin/ -z

(7.) Jalankan

/usr/local/sbin/ start

(8.) Pastikan langkah 7 dimasukkan ke /etc/rc.local biar saat boot up langsung menjalankan squidnya.
(9.) Karena ini , maka tak ada yang perlu di set di sisi client. Tinggal belokkan semua request ke port 80 di ke port 3128 proxy server

Kalau semua berjalan dengan oke, silahkan parameter di .conf diutak-atik dengan menambahka delay pool ataupun menghilangkan tanda # di depannya. Jangan lupa untuk menjalankan ‘/usr/local/sbin/ -k reconfigure’ agar menggunakan .conf yang baru di update.


Source : http://simplyeko.com

Saturday, October 17, 2009

Tutorial Mikrotik Load Balancing

Tutorial Mikrotik Load Balancing

Konsep awal :



Di beberapa daerah, model internet seperti ini adalah bentuk yang paling ekonomis dan paling memadai, karena dibeberapa daerah tidak mungkin untuk menggunakan jenis koneksi internet lain, karena cost yang akan di keluarkan untuk biaya operasional akan menjadi sangat besar.

Lalu bagai mana dengan solusinya ? apakah kita bisa menggunakan beberapa line untuk menunjang kehidupan ber-internet ? Bisa, tapi harus di gabung.

Contoh topologi yang tidak di gabung :



Ini adalah contoh topologi yang tidak di gabung. Di perusahaan ini menerapkan 3 koneksi internet, dengan 3 modem yang berbeda, akan tetapi mereka di pecah, seakan2 mereka mempunyai 3 gerbang internet yang berbeda. Dengan topologi seperti ini, load internet tidak akan tergabung.

Model seperti ini kurang ideal untuk disebutkan sebagai load balancing.

Load Balancing
Topologi load balancing :




Dengan topologi seperti diatas, maka terjadi yang namanya Load Balancing. Jadi pada site ini, akan menggunakan 3 koneksi internet (baik itu dari ISP yang sama maupun yg berbeda) dan juga baik itu menggunakan jenis koneksi yg sama maupun yg berbeda (wireless, adsl, dialup).

Dan semua client yang ada di jaringan, akan memiliki satu gateway, dan gateway itu yang akan menentukan packetnya akan lewat ISP yang mana.

Konsep LoadBalancing (di Mikrotik)

1. Paket data masuk dari interface network

2. Paket data akan di berikan tanda pemisah (mangle). MIsalnya di bagi jadi 3 group. :
• paket 1 masuk group 1,
• paket 2 masuk group 2,
• paket 3 masuk group 3,
• paket 4 masuk group 1,
• paket 5 masuk group 2,
• paket 6 masuk group 3,
• dsb

3. Setelah paket di pisahkan, kita atur NATnya
a. group 1, maka akan keluar melalui interface 1,
b. group 2 akan keluar melalui interface 2,
c. group 3 akan keluar melalui interface 3.

4. Begitu juga dengan routingnya.



Konfigurasi Load Balancing
Topologi lengkap :





Preparation
1. Configure modem-modem yg ada dengan IP management seperti yang ada di topologi
• Modem hijau : 192.168.10.2 / 24
• Modem biru : 192.168.20.2 / 24
• Modem merah : 192.168.30.2 / 24
2. Configure PC Workstation yang ada di dalam jaringan dengan IP sebagai berikut :
• IP : 192.168.1.x ( x, dari 2 – 254, karena 1 untuk gateway)
• Netmask : 255.255.255.0
• Gateway : 192.168.1.1

Set IP Address Interface Mikrotik (IP > Address)
3. Konfigurasi IP address mikrotik dengan IP sebagai berikut :
Ether1 : 192.168.1.1 /24
Ether2 : 192.168.10.1/24 (interface ke modem hijau)
Ether3 : 192.168.20.1/24 (interface ke modem biru)
Ether4 : 192.168.30.1/24 (interface ke modem merah)



Note :
Setelah melakukan konfigurasi IP Address pada mikrotik, cek kembali konektifitas antara modem dengan mikrotik.
ping 192.168.10.2
ping 192.168.20.2
ping 192.168.30.2

Mangling (IP > Firewall > Mangle)
Mangle ada proses pemisahan. Pada proses mangle, sebenarnya tidak terjadi perubahan apa-apa pada paket atau data yang akan kita kirimkan, tapi pada proses ini paket hanya di berikan tanda.

Connection Mark
Pertama kita akan lakukan connection mark.
1. General
• Add chain : prerouting
• In Interface : Eth 1 (interface jaringan local)
• Connection State : new



2. Extra - nth
• Nth
a. Every : 3
b. Packet : 1



Note :
Bagian Nth ini yang menentukan apakah paket akan masuk ke group 1, group 2 atau group 3. Untuk 3 line, maka nanti akan di buat 3 rule dengan Nth 31, 32 dan 33.


3. Action
• Action : mark connection
• New Connection mark : conn_1
• Passtrough : yes



Note :
Pada bagian ini kita akan memberi nama koneksi kita. Conn_1 adalah koneksi pertama, Conn_2, untuk koneksi kedua, dan Conn_3 untuk koneksi ke 3.


Note :
Lakukan connection marking ini sebanyak 3 kali, masing2 dengan NTH 31, 32 dan 33, dengan nama Conn_1, Conn_2 dan Conn_3

Route Mark

4. General
• Add chain : prerouting
• In Interface : Eth 1 (interface jaringan local)
• Connection mark : conn_1




5. Action
• Action : mark routing
• New Connection mark : route_1
• Passtrough : no



Note :
Pada bagian ini kita akan memberi nama pada routing kita. route_1 adalah route pertama, route_2, untuk route kedua, dan route_3 untuk routing ke 3.


Note :
Lakukan routing marking ini sebanyak 3 kali, masing2 untuk Conn_1, Conn_2 dan Conn_3, dengan nama route_1, route_2 dan route_3



NAT (IP > Firewall > NAT)

NAT, Network Address Translation, adalah suatu proses perubahan pengalamatan. Ada beberapa jenis NAT, yang akan digunakan pada proses ini adalah src-nat (source nat).

Src-nat adalah perubahan pada bagian source dari suatu paket.

1. General
• Chain : src nat
• In Interface : Eth 1 (interface jaringan local)
• Connection mark : conn_1



2. Action
• Action : src nat
• To address : 192.168.10.1




Note :
Lakukan src-nat ini sebanyak 3 kali dengan rule sebagai berikut :
Conn_1 == > 192.168.10.1
Conn_2 == > 192.168.20.1
Conn_3 == > 192.168.30.1

Routing Policy (IP > Route)
Routing policy adalah bagian pengaturan routing. Pada bagian ini diatur gateway atau jalur keluar untuk setiap group

1. General
• gateway : 192.168.10.2
• Routing mark : route_1





Note :
Lakukan src-nat ini sebanyak 4 kali dengan rule sebagai berikut :
route_1 == > 192.168.10.2
route_2 == > 192.168.20.2
route_3 == > 192.168.30.2
default == > 192.168.10.2


Source : forummikrotik

Friday, July 24, 2009

NAT ( Network Address Translation)

Aktivitas

Network Address Translation (NAT) adalah sebuah router yang menggantikan fasilitas sumber dan (atau) alamat IP tujuan dari paket IP karena melewati jalur router. Hal ini paling sering digunakan untuk mengaktifkan beberapa host di jaringan pribadi untuk mengakses internet dengan menggunakan satu alamat IP publik.

Spesifikasi
Paket yang diperlukan: sistem
Lisensi yang diperlukan: level1 (jumlah terbatas pada aturan 1), Level3
Standar dan teknologi: IP, RFC1631, RFC2663
Penggunaan hardware: increase with the count of rules


NAT ada 2 jenis yaitu:
1. Sumber(source) NAT atau srcnat. Jenis NAT dilakukan pada paket yang berasal dari natted jaringan. Router A NAT akan mengganti sumber alamat IP dari sebuah paket dengan alamat IP baru publik karena perjalanan melalui router. A setiap operasi diterapkan ke paket balasan dalam arah lainnya.
2. Tujuan(destination) NAT atau dstnat. Jenis ini dilakukan pada paket yang ditujukan ke natted jaringan. Hal ini umumnya digunakan untuk membuat host di jaringan pribadi untuk dapat diakses dari Internet. router A NAT melakukan dstnat menggantikan alamat IP tujuan dari sebuah paket IP karena perjalanan melalui router terhadap jaringan pribadi.

NAT Drawbacks(menarik mundur)
Host di balik NAT- enabled router tidak benar end-to-end connectivity. Ada beberapa protokol internet mungkin tidak bekerja dengan skenario NAT. Pelayanan yang membutuhkan inisiasi dari koneksi TCP dari dalam atau luar jaringan status protokol seperti UDP, dapat terganggu. Terlebih lagi, beberapa protokol yang tetap bertentangan dengan NAT,

Redirect dan Masquerade
Redirect dan masquerade adalah bentuk khusus tujuan NAT dan sumber NAT, masing-masing. Redirect adalah diutamakan dengan ke tujuan NAT biasa dengan cara yang sama seperti yang masquerade diutamakan ke sumber masquerade NAT adalah bentuk khusus sumber NAT tanpa perlu menentukan ke alamat - alamat keluar antarmuka yang digunakan secara otomatis. Yang sama adalah redirect - ia adalah satu bentuk tujuan NAT ke mana-alamat yang tidak digunakan - masuk antarmuka digunakan sebagai ganti alamat. Perlu diketahui bahwa to-port adalah makna penuh untuk redirect aturan – ini adalah port layanan pada router yag akan menangani permintaannya (contoh:webproxy)

Ketika paketnya adalah dst-natted (tidak perduli - action=nat atau action=redirect), dst alamat berubah. Informasi tentang terjemahan alamat (termasuk alamat asli dst) disimpan dalam tabel router internal. Transparan proxy web bekerja pada router (bila permintaan mendapatkan web redirect ke port proxy pada router) dapat mengakses informasi ini dari table internal dan mendapatkan alamat web server dari alamat IP header (dst karena alamat IP dari paket yang sebelumnya adalah alamat web server telah berubah ke alamat server proxy). Mulai dari HTTP/1.1 ada khusus di header permintaan HTTP yang berisi alamat web server, jadi server proxy dapat menggunakannya, dst, bukan alamat IP paket, jika tidak ada semacam header (HTTP versi lama pada klien), proxy server dapat tidak menentukan alamat web server dan karena itu tidak dapat bekerja.

Ini berarti, adalah mustahil untuk benar transparan reditrect dari lalu lintas HTTP ke beberapa router lainnya box transparan-proxy. Hanya dengan cara yang benar adalah dengan menambahkan transparan proxy di router itu sendiri, dan konfigurasikan agar Anda "real" proxy adalah orang parent-proxy. Dalam situasi ini Anda "real" proxy tidak harus transparan lagi, sebagai proxy pada router akan transparan dan akan meneruskan permintaan proxy-style (menurut standar; permintaan ini mencakup semua informasi yang diperlukan tentang web server) to "real" proxy.

Keterangan Properti
action (accept | add-dst-to-address-list | add-src-to-address-list | dst-nat | jump | log | masquerade |
netmap | passthrough | redirect | return | same | src-nat; default: accept) - untuk melakukan tindakan jika paket sesuai dengan aturan

accept - menerima paket. Tidak ada tindakan yang diambil, yaitu paket yang lulus dan tidak lagi melalui aturan-aturan yang diterapkan
add-dst-to-address-list - menambahkan tujuan dari sebuah alamat IP paket ke alamat yang ditentukan daftar oleh daftar alamat-parameter
add-src-to-address-list - menambahkan sumber alamat IP dari sebuah paket ke alamat yang ditentukan oleh daftar daftar alamat-parameter
dst-nat - menggantikan alamat tujuan dari sebuah paket ke IP ditentukan oleh nilai-nilai to-address dan parameter ke-port
jump - melompat ke rantai yang ditentukan oleh nilai yang melompat-sasaran parameter
log - masing-masing sesuai dengan tindakan ini akan menambah sebuah pesan masuk ke sistem
masquerade - menggantikan sumber alamat IP secara otomatis ke salah satu paket ditentukan oleh fasilitas routing alamat IP
netmap - membuat statis 1:1 pemetaan sekumpulan alamat IP yang lain. Sering digunakan untuk mendistribusikan publik host ke alamat IP pribadi pada jaringan
passthrough - mengabaikan aturan ini pergi ke yang berikutnya atau berlanjut ke rules yg berada dibawahnya
redirect - tujuan menggantikan alamat IP dari sebuah paket ke salah satu router lokal alamat
return - melewati kontrol kembali ke tempat dari rantai melompat terjadi
same - memberikan tertentu klien yang sama sumber / tujuan dari alamat IP yang disediakan untuk berbagai masing-masing sambungan. Hal ini paling sering digunakan untuk layanan yang mengharapkan klien alamat yang sama untuk beberapa sambungan dari klien yang sama
src-nat - menggantikan sumber alamat IP dari sebuah paket ke ditentukan oleh nilai-nilai ke-alamat dan parameter ke-port

addres-list (name) - menetapkan nama untuk mengumpulkan daftar alamat alamat IP dari aturan yang action = add-dst-to-address-list atau action = add-src-to-address-list tindakan. Daftar alamat inikemudian digunakan untuk paket yang cocok

address-list-timeout (time; standar: 00:00:00) - interval waktu setelah alamat yang akan
dihapus dari daftar alamat-alamat yang ditentukan oleh daftar parameter. Digunakan bersama-sama dengan
tambah-dst-to-address-list-src atau menambahkan ke daftar alamat-tindakan
00:00:00 - meninggalkan alamat di daftar alamat selamanya

chain (dstnat | srcnatname) - menentukan rantai untuk meletakkan aturan tertentu ke dalam. Karena lalu lintas yang berbeda dimasukan melalui berbagai rantai, selalu berhati-hati dalam memilih yang tepat untuk rantai baru aturan. Jika input tidak sesuai dengan nama yang sudah ditetapkan rantai, rantai baru akan dibuat
• dstnat - aturan yang ditempatkan di rantai ini diterapkan sebelum routing. Aturan-aturan yang menggantikan tujuan alamat IP paket harus ditempatkan di sana
• srcnat - aturan yang ditempatkan di rantai ini akan diterapkan setelah routing. Aturan-aturan yang menggantikan sumber alamat IP paket harus ditempatkan di sana,

comment (teks) - Berikan komentar untuk memerintah. Komentar dapat digunakan untuk mengidentifikasi bentuk peraturan skrip

connection-byte (integerinteger) - sesuai paket yang diberikan hanya jika jumlah byte telah ditransfer melalui sambungan tertentu
• 0 - berarti infinity, exempli Gratia: sambungan-byte = 2000000-0 berarti jika sesuai aturan
lebih dari 2MB yang ditransfer melalui sambungan relevan

connection-limit (integernetmask) - membatasi jumlah koneksi per alamat atau alamat blok (cocok jika ditentukan jumlah sambungan telah ditetapkan)

connection-mark (name) - sesuai paket ditandai melalui fasilitas ngoyakkan dengan sambungan
menandai

connection-type (ftp | GRE | h323 | irc | mms | PPTP | quake3 | TFTP) - sesuai dari paket-paket yang terkait sambungan berdasarkan informasi dari pelacakan koneksi penolongpun. A relevan sambungan penolong harus diaktifkan di / ip firewall service-port

conten (teks) - teks harus berisi paket agar sesuai dengan aturan

dscp (integer: 0 .. 63) –DSCP (ex-KL) IP kepala bidang nilai

dst-address (alamat IP addressnetmaskIP addressIP) - menentukan rentang alamat IP adalah paket yg diperuntukkan untuk. Perlu diketahui bahwa konsol mengkonversi memasukkan alamat / netmask nilai jaringan ke alamat yang valid,
i.e.: 1.1.1.1/24 dikonvert ke 1.1.1.0/24

dst-address-list (name) - sesuai alamat tujuan dari paket yang ditetapkan pengguna terhadap daftar alamat dst-address-type (unicast | lokal | broadcast | multicast) - sesuai tujuan alamat jenis IP paket, salah satu:
• unicast - alamat IP yang digunakan untuk satu titik ke titik lainnya transmisi. Hanya ada satu
satu pengirim dan penerima dalam hal ini
local - sesuai alamat yang ditugaskan ke router dari interface
broadcast - IP paket akan dikirim dari satu titik ke semua titik dalam IP subnetwork
multicast - jenis alamat IP yang bertanggung jawab untuk transmisi atau lebih dari satu poin ke satu set lainnya

dst-limit (integertimeintegerdst-address | dst-port | src-addresstime) - membatasi paket per detik
(pps) menilai pada tujuan per IP atau per port tujuan dasar. Yang bertentangan dengan batas cocok, setiap alamat IP tujuan / tujuan pelabuhan itu sendiri batas. Pilihannya adalah sebagai berikut (dalam urutan tampilan):
count - maksimum rata-rata harga paket, diukur dalam paket per detik (pps), kecuali jika diikuti oleh waktu opsi
time - menentukan interval waktu yang lebih dari paket menilai diukur
burst - jumlah paket yang cocok dengan yang di burst
modus - yang penggolong (-s) menilai paket untuk membatasi
expire - Interval setelah menentukan alamat IP yang direkam / port akan dihapus

dst-port (integer: 0 .. 65535integer: 0 .. 65535) - tujuan nomor port atau range

fragmen (ya | tidak) - apakah paket adalah fragmen dari sebuah paket IP. Memulai paket (i.e., pertama fragmen) tidak dihitung. Catatan yang sambungan pelacakan diaktifkan, tidak akan ada fragmen karena sistem akan secara otomatis assembles setiap paket

hotspot (multiple choice: auth | from-client | http | lokal dst | to-client) - cocok paket diterima
dari klien terhadap berbagai kondisi Hotspot. Semua nilai-nilai dapat negated
auth - benar, jika paket yang berasal dari authenticted HotSpotclient
from-client - benar, jika paket yang datang dari klien Hotspot
http - benar, jika Hotspot klien mengirimkan sebuah paket ke alamat dan port sebelumnya terdeteksi sebagai server proxy (proxy teknik Universal) atau jika tujuan port 80 dan transparan
proxying diaktifkan bagi klien
local-dst - benar, jika paket memiliki tujuan lokal alamat IP
to-client - benar, jika paket yang akan dikirim ke klien

ICMP-option (integerinteger) - cocok ICMP Jenis: Kode bidang

in-bridge-port (name) - interface sebenarnya paket telah dimasukkan melalui router (jika Bridged, ini kekayaan sesuai dengan sebenarnya jembatan pelabuhan, sedangkan di-interface jembatan itu sendiri)

in-interface (nama) - antarmuka paket yang telah dimasukkan melalui router (jika antarmuka adalah Bridged, maka akan muncul paket yang akan datang dari jembatan antarmuka sendiri)

ingress-priority (integer: 0 .. 63) - masuk (diterima) prioritas paket, jika diatur (0 lainnya).
Prioritas mungkin berasal dari salah satu atau VLAN WMM prioritas

IPv4-option (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing |
no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp) - match ipv4
header option
any - paket cocok dengan setidaknya salah satu pilihan IPv4
loose-source-routing - paket cocok dengan sumber loose routing pilihan. Pilihan ini digunakan untuk rute internet datagram berdasarkan informasi yang diberikan oleh sumber
no- record-route - tidak cocok dengan paket dengan catatan rute pilihan. Pilihan ini digunakan untuk rute yang internet datagram berdasarkan informasi yang diberikan oleh sumber
no-router-alert- tidak cocok dengan paket router mengubah pilihan
no-source-routing - tidak cocok dengan paket sumber routing pilihan
no- timestamp - tidak cocok dengan paket waktu opsi
record-route - paket cocok dengan catatan rute pilihan
router-alert - paket cocok dengan router mengubah pilihan
strict-source-routing - paket cocok dengan ketat sumber routing pilihan
timestamp sesuai dengan paket

jump-target (dstnat | srcnatname) - nama target untuk melompat ke rantai, jika action= jump

layer7-protokol (name) - Layer 7 menyaring nama sebagaimana ditetapkan dalam / ip firewall layer7-protokol menu. Perhatian: ini matcher kebutuhan daya tinggi computer

limit (integertimeinteger) - membatasi paket cocok untuk menilai suatu batas. Berguna untuk mengurangi jumlah dari log pesan
count - maksimum rata-rata harga paket, diukur dalam paket per detik (pps), kecuali jika diikuti oleh waktu opsi
time - menentukan interval waktu yang lebih dari paket menilai diukur
burst - jumlah paket yang cocok dengan yang di burst

log-prefix (teks) - semua pesan log akan ditulis ke berisi awalan ditentukan di sini. Digunakan dalam bersama-sama dengan action =log

nth (integerinteger: 0 .. 15integer) - cocok Nth paket tertentu yang diterima oleh aturan. Satu dari 16 counter tersedia dapat digunakan untuk menghitung paket-paket
every - cocok setiap tanggal 1 setiap paket. Misalnya, jika setiap = 1 maka setiap aturan yang cocok 2. paket
counter - menentukan yang digunakan. A counter akan menambahkan setiap kali berisi aturan nth cocok cocok
packet - cocok diberikan pada paket nomor. Nilai dengan jelas alasan harus antara 0
dan setiap. Jika opsi ini digunakan untuk suatu counter, maka harus ada sekurang-kurangnya setiap 1 peraturan dengan opsi ini, yang meliputi semua nilai antara 0 dan setiap inclusively.

out-bridge-port (name) - antarmuka yang sebenarnya adalah paket meninggalkan router melalui (jika Bridged, ini kekayaan sesuai dengan sebenarnya jembatan pelabuhan, sementara out-interface - jembatan itu sendiri)

out-interface (name) - interface adalah paket meninggalkan router melalui (jika antarmuka adalah Bridged, maka paket akan muncul untuk meninggalkan jembatan melalui antarmuka sendiri)

paket-mark (teks) - sesuai paket ditandai melalui fasilitas ngoyakkan dengan paket tandai paket-size (integer: 0 .. 65535integer: 0 .. 65535) - sesuai paket yang ditentukan atau ukuran berbagai ukuran dalam byte
min - menetapkan batas yang lebih rendah dari berbagai ukuran atau berdasarkan nilai
max - menetapkan batas atas dari berbagai ukuran

port (port) - jika ada yang cocok (sumber atau tujuan) port ditentukan sesuai dengan daftar port atau port rentang (dicatat bahwa protokol harus masih dapat dipilih, seperti biasa untuk src dan dst-port-port matchers) Protocol (ddp | EGP | encap | ggp | GRE | hmp | ICMP | idrp-cmtp | igmp | ipencap | ipip | ipsec-ah | ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-IDP | xtpinteger) - cocok protokol IP tertentu ditentukan oleh protokol nama atau nomor. Anda harus menetapkan pengaturan ini jika Anda ingin menentukan port

PSD (integertimeintegerinteger) - berupaya untuk mendeteksi dan UDP TCP scans. Hal ini disarankan untuk menetapkan
menurunkan berat ke pelabuhan dengan angka tinggi untuk mengurangi frekuensi palsu positif, seperti dari pasif mode FTP transfer
WeightThreshold - total berat terbaru TCP / UDP paket dengan tujuan pelabuhan
yang berasal dari host yang sama untuk diperlakukan sebagai port scan urutan
DelayThreshold - menunda untuk paket dengan tujuan yang berbeda yang datang dari pelabuhan yang sama
tuan rumah harus dirawat sebaik mungkin port scan subsequence
LowPortWeight - berat yang paket dengan privilege (<= 1024) tujuan pelabuhan HighPortWeight - berat paket dengan non-priviliged tujuan pelabuhan

random (integer) - sesuai dengan paket yang diberikan secara acak propability

routing-mark (name) - sesuai paket ditandai dengan merusak fasilitas routing mark

same-not-by-dst (yes | no) - untuk menentukan apakah account atau tidak untuk mencapai tujuan IP alamat yang baru ketika memilih sumber alamat IP untuk paket cocok dengan aturan oleh ation= sama

src-address (alamat IP addressnetmaskIP addressIP) - menentukan rentang alamat IP adalah paket berasal dari. Perlu diketahui bahwa konsol mengkonversi memasukkan alamat / netmask nilai yang valid untuk jaringan alamat, yaitu: 1.1.1.1/24 dikonvert ke 1.1.1.0/24

src-address-list (nama) - sesuai alamat sumber dari paket terhadap pengguna ditetapkan daftar alamat

src-address-type (unicast | lokal | broadcast | multicast) - sesuai jenis sumber alamat IP
paket, salah satu:
unicast - alamat IP yang digunakan untuk satu titik ke titik lainnya transmisi. Hanya ada satu
satu pengirim dan penerima dalam hal ini
• local - sesuai alamat yang ditugaskan ke router dari interface
broadcast - IP paket akan dikirim dari satu titik ke semua titik dalam IP subnetwork
multicast - jenis alamat IP yang bertanggung jawab untuk transmisi atau lebih dari satu poin ke satu set lainnya Registred lainnya merek dagang dan merek dagang yang disebutkan di sini adalah properti dari masing-masing pemilik.
src-mac-address (MAC address) - sumber alamat MAC src-port (integer: 0 .. 65535integer: 0 .. 65535) - Nomor port sumber atau jangkauan
• tcp-MSS (integer: 0 .. 65.535) - TCP MSS sesuai nilai IP paket
time (timetime sat | Jumat | thu | Rabu | Selasa | Senin | Minggu) - memungkinkan untuk membuat penyaring berdasarkan paket ' tiba waktu dan tanggal, atau untuk paket lokal yang dihasilkan, waktu dan tanggal keberangkatan
• to-address (alamat addressIP; default: 0.0.0.0) - alamat atau kisaran alamat untuk menggantikan asli alamat IP dari sebuah paket dengan
to-port (integer: 0 .. 65535integer: 0 .. 65535) - port atau jangkauan port untuk menggantikan port asli dengan sebuah IP bersama paket

Copied From : http://forummikrotik.com

Tuesday, July 21, 2009

Hotspot dan User Manager

Langkah-langkah sebagai berikut :

1. rename interface eth :LAN, LOCAL, INT

[admin@46un6-Router] > interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R lan ether 0 0 1500
1 R int ether 0 0 1500
2 R local ether 0 0 1500
[admin@46un6-Router] >

2. setting ip address ketiga interface

[admin@46un6-Router] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.8.8.45/24 10.8.8.0 10.8.8.255 local
1 192.168.10.1/24 192.168.10.0 192.168.10.255 lan
2 202.47.77.24x/28 202.47.77.240 202.47.77.255 int
[admin@46un6-Router] >

3. setting ip route / gateway

[admin@46un6-Router] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 A S 0.0.0.0/0 r 10.8.8.1 1 local
1 A S 0.0.0.0/0 r 202.47.77.24x 1 int
2 ADC 10.8.8.0/24 10.8.8.45 0 local
3 ADC 192.168.10.0/24 192.168.10.1 0 lan
4 ADC 202.47.77.240/28 202.47.77.249 0 int
[admin@46un6-Router] >

4. setting dns

[admin@46un6-Router] > ip dns print
primary-dns: 202.47.78.8
secondary-dns: 202.47.78.9
allow-remote-requests: yes
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 21KiB
[admin@46un6-Router] >
5. setting nat / masquerading

[admin@46un6-Router] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade

1 chain=srcnat action=masquerade src-address=192.168.10.0/24

2 ;;; masquerade hotspot network
chain=srcnat action=masquerade src-address=192.168.10.0/24
[admin@46un6-Router] >

6. input address-list nice

7. marking-connection dan marking-routing

[admin@46un6-Router] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=output action=mark-connection new-connection-mark=mark-local-con passthrough=yes dst-address-list=nice

1 chain=output action=mark-routing new-routing-mark=mark-routing-local passthrough=yes connection-mark=mark-local-con
[admin@46un6-Router] >

8. marking gateway

9. test traceroute situs local dan international

10. setup hotspot system [ACTIVATE HOTSPOT SYSTEM]

11. activate RADIUS pada hotspot server profile [use radius = yes]

12. add Radius
services = hotspot
address = 202.47.77.24x [IP dimana radius / user-manager berada]
secret = 123456 [secret harus sama dengan user-manager]

SETTING USER-MANAGER [PAKET DIANGGAP TERPISAH DARI SISTEM HOTSPOT]
1. install paket user-manager

2. buat account user-manager

[admin@46un6-router] > tool user-manager customer add login=”46un6” password=”pu5k0mx" permissions=owner

3. untuk mengakses user-manager di >> http://202.47.77.24x/userman
username = 46un6
password = pu5k0mx

4. setting router
name = 46un6-router
ip address = 202.47.77.24x [ip address sendiri bisa juga 127.0.0.1]
secret = 123456 [secret ini harus sama dengan router]
OK

5. add user account untuk dapat akses hotspot system dari client
>> account setting lebih lengkap

6. pelajari menu aplikasi user-manager

user-manager juga bisa digunakan untuk login RouterOS

1. konfigurasi user XXX pada sisi routerOS
#/ user xxx set use-radius=yes

2. permission pada default group harus full
#/ user xxx set default-group=full

3. setting ip radius dan secret harus sama dengan user-manager
#/ radius add service=login address=202.47.77.24x secret=123456

4. test login menggunakan account user-manager [radius]

Thursday, June 25, 2009

Virus II

This summary is not available. Please click here to view the post.

Virus I

/ip firewall filter
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer
action=drop comment="BLOCK SPAMMERS OR INFECTED USERS"
add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5
action=add-src-to-address-list
address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP
virus or spammers"
/system script
add name="spammers" source=":log error \"----------Users detected like \
SPAMMERS -------------\";
\n:foreach i in \[/ip firewall address-list find \
list=spammer\] do={:set usser \[/ip firewall address-list get \$i \
address\];
\n:foreach j in=\[/ip hotspot active find address=\$usser\] \
do={:set ip \[/ip hotspot active get \$j user\];
\n:log error \$ip;
\n:log \
error \$usser} };" policy=ftp,read,write,policy,test,winbox

yang ini buat virus2

/ip firewall filter
add chain=forward connection-state=established comment="allow established
connections"
add chain=forward connection-state=related comment="allow related connections"
add chain=forward connection-state=invalid action=drop comment="drop invalid
connections"
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster
Worm"
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop Messenger
Worm"
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=tcp dst-port=593 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1024-1030 action=drop
comment="________"
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop Beagle.C-K"
add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="Drop
MyDoom"
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor
OptixPro"
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser"
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop Dabber.A-B"
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop MyDoom.B"
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus"
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2"
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop SubSeven"
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot,
Agobot, Gaobot"
add chain=forward action=jump jump-target=virus comment="jump to the virus chain"
add chain=forward action=accept protocol=tcp dst-port=80 comment="Allow HTTP"
add chain=forward action=accept protocol=tcp dst-port=25 comment="Allow SMTP"
add chain=forward protocol=tcp comment="allow TCP"
add chain=forward protocol=icmp comment="allow ping"
add chain=forward protocol=udp comment="allow udp"
add chain=forward action=drop comment="drop everything else"

No Special In Here

may/20/2009 08:44:37 by RouterOS 2.9.27
# software id = EM5K-LJN
#
/ interface ethernet
set "lan on board" name="lan on board" mtu=1500 mac-address=00:1C:F0:EC:11:16 arp=enabled disable-running-check=yes \
auto-negotiation=yes full-duplex=yes cable-settings=default speed=100Mbps comment="" disabled=no
set modem1 name="modem1" mtu=1500 mac-address=00:1C:F0:BC:74:55 arp=enabled disable-running-check=yes \
auto-negotiation=yes full-duplex=yes cable-settings=default speed=100Mbps comment="" disabled=no
set modem2 name="modem2" mtu=1500 mac-address=00:02:44:48:88:29 arp=enabled disable-running-check=yes \
auto-negotiation=yes full-duplex=yes cable-settings=default speed=100Mbps comment="" disabled=no
set lokal name="lokal" mtu=1500 mac-address=00:E0:4D:23:E7:58 arp=enabled disable-running-check=yes \
auto-negotiation=yes full-duplex=yes cable-settings=default speed=100Mbps comment="" disabled=no
/ interface l2tp-server server
set enabled=no max-mtu=1460 max-mru=1460 authentication=pap,chap,mschap1,mschap2 default-profile=default-encryption
/ interface pptp-server server
set enabled=no max-mtu=1460 max-mru=1460 authentication=mschap1,mschap2 keepalive-timeout=30 \
default-profile=default-encryption
/ ip accounting
set enabled=no account-local-traffic=no threshold=256
/ ip accounting web-access
set accessible-via-web=no address=0.0.0.0/0
/ ip service
set telnet port=23 address=0.0.0.0/0 disabled=no
set ftp port=21 address=0.0.0.0/0 disabled=no
set www port=80 address=0.0.0.0/0 disabled=no
set ssh port=22 address=0.0.0.0/0 disabled=no
set www-ssl port=443 address=0.0.0.0/0 certificate=none disabled=yes
/ ip upnp
set enabled=no allow-disable-external-interface=yes show-dummy-rule=yes
/ ip arp
/ ip socks
set enabled=no port=1080 connection-idle-timeout=2m max-connections=200
/ ip dns
set primary-dns=202.134.0.155 secondary-dns=202.134.1.10 allow-remote-requests=yes cache-size=2048KiB \
cache-max-ttl=1w
/ ip traffic-flow
set enabled=no interfaces=all cache-entries=4k active-flow-timeout=30m inactive-flow-timeout=15s
/ ip address
add address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255 interface=modem1 comment="" disabled=no
add address=192.168.2.2/24 network=192.168.2.0 broadcast=192.168.2.255 interface=modem2 comment="" disabled=no
add address=192.168.3.1/24 network=192.168.3.0 broadcast=192.168.3.255 interface=lokal comment="" disabled=no
/ ip proxy
set enabled=no port=8080 parent-proxy=0.0.0.0:0 maximal-client-connecions=1000 maximal-server-connectons=1000
/ ip proxy access
add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" disabled=no
/ ip neighbor discovery
set "lan on board" discover=yes
set modem1 discover=yes
set modem2 discover=yes
set lokal discover=yes
/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-scope=10 routing-mark=satu comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=255 target-scope=10 routing-mark=dua comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=255 target-scope=10 comment="" disabled=no
/ ip firewall mangle
add chain=prerouting in-interface=lokal connection-state=new nth=1,1,0 action=mark-connection \
new-connection-mark=satu passthrough=yes comment="" disabled=no
add chain=prerouting in-interface=lokal connection-mark=satu action=mark-routing new-routing-mark=satu passthrough=no \
comment="" disabled=no
add chain=prerouting in-interface=lokal connection-state=new nth=1,1,1 action=mark-connection new-connection-mark=dua \
passthrough=yes comment="" disabled=no
add chain=prerouting in-interface=lokal connection-mark=dua action=mark-routing new-routing-mark=dua passthrough=no \
comment="" disabled=no
/ ip firewall nat
add chain=srcnat out-interface=modem1 connection-mark=satu action=src-nat to-addresses=192.168.1.2 to-ports=0-65535 \
comment="" disabled=no
add chain=srcnat out-interface=modem2 connection-mark=dua action=src-nat to-addresses=192.168.2.2 to-ports=0-65535 \
comment="" disabled=no
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=2s tcp-syn-received-timeout=2s tcp-established-timeout=1d \
tcp-fin-wait-timeout=5s tcp-close-wait-timeout=5s tcp-last-ack-timeout=5s tcp-time-wait-timeout=5s \
tcp-close-timeout=5s udp-timeout=5s udp-stream-timeout=1m icmp-timeout=5s generic-timeout=5m tcp-syncookie=no
/ ip firewall filter
add chain=virus protocol=udp dst-port=1 action=drop comment="Sockets des Troie" disabled=no
add chain=virus protocol=tcp dst-port=2 action=drop comment="Death" disabled=no
add chain=virus protocol=tcp dst-port=20 action=drop comment="Senna Spy FTP server" disabled=no
add chain=virus protocol=tcp dst-port=21 action=drop comment="Back Construction, Blade Runner, Cattivik FTP Server, \
CC Invader, Dark FTP, Doly Trojan, Fore, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, \
Ramen, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash" disabled=no
add chain=virus protocol=tcp dst-port=22 action=drop comment="Shaft" disabled=no
add chain=virus protocol=tcp dst-port=23 action=drop comment="Fire HacKer, Tiny Telnet Server TTS, Truva Atl" \
disabled=no
add chain=virus protocol=tcp dst-port=25 action=drop comment="Ajan, Antigen, Barok, Email Password Sender EPS, EPS \
II, Gip, Gris, Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT Mail Bombing Trojan, Moscow \
Email trojan, Naebi, NewApt worm, ProMail trojan, Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy" \
disabled=no
add chain=virus protocol=tcp dst-port=30 action=drop comment="Agent 40421" disabled=no
add chain=virus protocol=tcp dst-port=31 action=drop comment="Agent 31, Hackers Paradise, Masters Paradise" \
disabled=no
add chain=virus protocol=tcp dst-port=41 action=drop comment="Deep Throat, Foreplay" disabled=no
add chain=virus protocol=tcp dst-port=48 action=drop comment="DRAT" disabled=no
add chain=virus protocol=tcp dst-port=50 action=drop comment="DRAT" disabled=no
add chain=virus protocol=tcp dst-port=58 action=drop comment="DMSetup" disabled=no
add chain=virus protocol=tcp dst-port=59 action=drop comment="DMSetup" disabled=no
add chain=virus protocol=tcp dst-port=79 action=drop comment="CDK, Firehotcker" disabled=no
add chain=virus protocol=tcp dst-port=80 action=drop comment="711 trojan, Seven Eleven, AckCmd, Back End, Back \
Orifice 2000 Plug-Ins, Cafeini, CGI Backdoor, Executor, God Message, God Message Creator, Hooker, IISworm, MTX, \
NCX, Reverse WWW Tunnel Backdoor, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader" disabled=no
add chain=virus protocol=tcp dst-port=81 action=drop comment="RemoConChubo" disabled=no
add chain=virus protocol=tcp dst-port=99 action=drop comment="Hidden Port, NCX" disabled=no
add chain=virus protocol=tcp dst-port=110 action=drop comment="ProMail trojan" disabled=no
add chain=virus protocol=tcp dst-port=113 action=drop comment="Invisible Identd Deamon, Kazimas" disabled=no
add chain=virus protocol=tcp dst-port=119 action=drop comment="Happy99" disabled=no
add chain=virus protocol=tcp dst-port=121 action=drop comment="Attack Bot, God Message, JammerKillah" disabled=no
add chain=virus protocol=tcp dst-port=123 action=drop comment="Net Controller" disabled=no
add chain=virus protocol=tcp dst-port=133 action=drop comment="Farnaz" disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Blaster worm" disabled=no
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer action=accept comment="" disabled=no
add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=accept comment="" disabled=no
/ ip firewall service-port
set ftp ports=21 disabled=no
set tftp ports=69 disabled=no
set irc ports=6667 disabled=no
set h323 disabled=yes
set quake3 disabled=no
set gre disabled=yes
set pptp disabled=yes
/ ip hotspot service-port
set ftp ports=21 disabled=no
/ ip hotspot profile
set default name="default" hotspot-address=0.0.0.0 dns-name="" html-directory=hotspot rate-limit="" \
http-proxy=0.0.0.0:0 smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d split-user-domain=no \
use-radius=no
/ ip hotspot user profile
set default name="default" idle-timeout=none keepalive-timeout=2m status-autorefresh=1m shared-users=1 \
transparent-proxy=yes open-status-page=always advertise=no
/ ip dhcp-server config
set store-leases-disk=5m
/ ip ipsec proposal
add name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m lifebytes=0 pfs-group=modp1024 disabled=no
/ ip web-proxy
set enabled=no src-address=0.0.0.0 port=3128 hostname="proxy" transparent-proxy=no parent-proxy=0.0.0.0:0 \
cache-administrator="webmaster" max-object-size=4096KiB cache-drive=system max-cache-size=none \
max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" disabled=no
/ ip web-proxy cache
add url=":cgi-bin \\?" action=deny comment="don't cache dynamic http pages" disabled=no
/ system logging
add topics=info prefix="" action=memory disabled=no
add topics=error prefix="" action=memory disabled=no
add topics=warning prefix="" action=memory disabled=no
add topics=critical prefix="" action=echo disabled=no
/ system logging action
set memory name="memory" target=memory memory-lines=100 memory-stop-on-full=no
set disk name="disk" target=disk disk-lines=100 disk-stop-on-full=no
set echo name="echo" target=echo remember=yes
set remote name="remote" target=remote remote=0.0.0.0:514
/ system upgrade mirror
set enabled=no primary-server=0.0.0.0 secondary-server=0.0.0.0 check-interval=1d user=""
/ system script
add name="spammers" source=":log error \"----------Users detected like SPAMMERS -------------\";\n\n:foreach i in \
\[/ip firewall address-list find list=spammer\] do={:set usser \[/ip firewall address-list get \$i \
address\];\n\n:foreach j in=\[/ip hotspot active find address=\$usser\] do={:set ip \[/ip hotspot active get \$j \
user\];\n\n:log error \$ip;\n\n:log error \$usser} };" policy=ftp,read,write,policy,test,winbox
/ system clock dst
set dst-delta=+00:00 dst-start="jan/01/1970 00:00:00" dst-end="jan/01/1970 00:00:00"
/ system watchdog
set reboot-on-failure=yes watch-address=none watchdog-timer=yes no-ping-delay=5m automatic-supout=yes \
auto-send-supout=no
/ system console
add port=serial0 term="" disabled=no
set FIXME term="linux" disabled=no
set FIXME term="linux" disabled=no
set FIXME term="linux" disabled=no
set FIXME term="linux" disabled=no
set FIXME term="linux" disabled=no
set FIXME term="linux" disabled=no
set FIXME term="linux" disabled=no
set FIXME term="linux" disabled=no
/ system console screen
set line-count=25
/ system identity
set name="premiernet"
/ system note
set show-at-login=yes note=""
/ port
set serial0 name="serial0" baud-rate=9600 data-bits=8 parity=none stop-bits=1 flow-control=hardware
/ ppp profile
set default name="default" use-compression=default use-vj-compression=default use-encryption=default only-one=default \
change-tcp-mss=yes comment=""
set default-encryption name="default-encryption" use-compression=default use-vj-compression=default \
use-encryption=yes only-one=default change-tcp-mss=yes comment=""
/ ppp aaa
set use-radius=no accounting=yes interim-update=0s
/ queue type
set default name="default" kind=pfifo pfifo-limit=50
set ethernet-default name="ethernet-default" kind=pfifo pfifo-limit=50
set wireless-default name="wireless-default" kind=sfq sfq-perturb=5 sfq-allot=1514
set synchronous-default name="synchronous-default" kind=red red-limit=60 red-min-threshold=10 red-max-threshold=50 \
red-burst=20 red-avg-packet=1000
set hotspot-default name="hotspot-default" kind=sfq sfq-perturb=5 sfq-allot=1514
add name="default-small" kind=pfifo pfifo-limit=10
/ queue simple
add name="Lokal" dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8 \
queue=default-small/default-small limit-at=0/0 max-limit=0/0 total-queue=default-small \
time=0s-1d,sun,mon,tue,wed,thu,fri,sat disabled=no
/ user
add name="----" group=write address=0.0.0.0/0 comment="system default user" disabled=no
add name="----" group=full address=0.0.0.0/0 comment="" disabled=no
/ user group
add name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,!ftp,!write,!policy
add name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!policy
add name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web
/ user aaa
set use-radius=no accounting=yes interim-update=0s default-group=read
/ radius incoming
set accept=no port=1700
/ driver
/ snmp
set enabled=no contact="" location=""
/ snmp community
set public name="public" address=0.0.0.0/0 read-access=yes
/ tool bandwidth-server
set enabled=yes authenticate=yes allocate-udp-ports-from=2000 max-sessions=10
/ tool mac-server ping
set enabled=yes
/ tool e-mail
set server=0.0.0.0 from="<>"
/ tool sniffer
set interface=all only-headers=no memory-limit=10 file-name="" file-limit=10 streaming-enabled=no \
streaming-server=0.0.0.0 filter-stream=yes filter-protocol=ip-only filter-address1=0.0.0.0/0:0-65535 \
filter-address2=0.0.0.0/0:0-65535
/ tool graphing
set store-every=5min
/ tool graphing queue
add simple-queue=all allow-address=0.0.0.0/0 store-on-disk=yes allow-target=yes disabled=no
/ tool graphing resource
add allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
/ tool graphing interface
add interface=all allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
/ routing ospf
set router-id=0.0.0.0 distribute-default=never redistribute-connected=no redistribute-static=no redistribute-rip=no \
redistribute-bgp=no metric-default=1 metric-connected=20 metric-static=20 metric-rip=20 metric-bgp=20
/ routing ospf area
set backbone area-id=0.0.0.0 type=default translator-role=translate-candidate authentication=none \
prefix-list-import="" prefix-list-export="" disabled=no
/ routing bgp
set enabled=no as=1 router-id=0.0.0.0 redistribute-static=no redistribute-connected=no redistribute-rip=no \
redistribute-ospf=no
/ routing rip
set redistribute-static=no redistribute-connected=no redistribute-ospf=no redistribute-bgp=no metric-static=1 \
metric-connected=1 metric-ospf=1 metric-bgp=1 update-timer=30s timeout-timer=3m garbage-timer=2m