Tampilkan postingan dengan label Mikrotik. Tampilkan semua postingan
Tampilkan postingan dengan label Mikrotik. Tampilkan semua postingan

Sabtu, 17 Maret 2012

Block Sisa IP Pada Jaringan LAN Dengan MikroTik

Pada tulisan saya yang lalu "Block Sisa IP LAN Slash 24 Via Mikrotik", telah dijelaskan mengenai hal ini, dengan membawa konsep dasar bahwa "setiap forward yang mengandung ip didalam tabel list akan diblock".

Proof of concept
Cara berikut ini hampir sama dengan cara tersebut diatas, hanya saja cara berikut ini adalah kebalikan dari cara yang ditulis pada artikel saya sebelumnya tersebut. Bahwa "setiap forward yang berada di dalam list ip address diperbolehkan untuk koneksi, selain ip-address dari dalam list tersebut di block koneksinya".

Pertama yang harus kita lakukan adalah membuat daftar ip apa saja yang hendak diperbolehkan koneksinya. Misalkan ip address:

192.168.10.1
192.168.10.2
192.168.10.3
192.168.10.4
192.168.10.5
192.168.10.6
192.168.10.7
192.168.10.8
192.168.10.9
192.168.10.20
192.168.10.100
192.168.10.120

Buat ip-address-list pada MikroTik :
/ ip firewall address-list
add list=ip-total address=192.168.10.1-192.168.10.9 comment="" disabled=no
add list=ip-total address=192.168.10.20 comment="" disabled=no
add list=ip-total address=192.168.10.100 comment="" disabled=no
add list=ip-total address=192.168.10.120 comment="" disabled=no

List ip tersebut adalah list ip dengan nama list "ip-total", sesuaikan dengan keinginan masing-masing. Selanjutnya kita membuat filter untuk daftar ip address tersebut:
/ ip firewall filter
add chain=forward in-interface=LAN \
src-address-list=!ip-total action=jump \
jump-target=ip-blocked comment="block sisa ip" \
disabled=no

add chain=ip-blocked action=log \
log-prefix="" comment="" disabled=no

add chain=ip-blocked action=drop \
comment="" disabled=no

Interface LAN, sesuaikan dengan nama interface jaringan ke arah local, yang dalam hal ini saya menggunakan nama "LAN".

Keterangan dari rule diatas:
Stiap forward dalam interface LAN (local) yang menuju keluar selain dari dalam ip-address-list "ip-total" dibelokkan ke chain yang bernama "ip-blocked". Selanjutnya dalam chain "ip-blocked" ini, ip yang tidak terdaftar tersebut dicatat dalam log yang untuk selanjutnya di drop/block.
Diterbitkan oleh Pada Jam Tidak ada komentar:
Label:

Kamis, 08 Maret 2012

Agar Klien tidak dapat Gonta ganti Ip Address dengan Mikrotik

Artikel ini ditujukan untuk para admin jaringan yang sering dibuat pusing oleh para user yang sering mengganti IP komputer mereka dari Obtain (DHCP Client) menjadi static. Perubahan ini dapat menyebabkan policy yang telah diatur jadi berantakan, bahkan juga sering menyebabkan terjadinya IP Conflict, yang akan sulit mendeteksi darimana datangnya IP Conflict tersebut.
Namun bagi admin jaringan yang menggunakan Mikrotik sebagai router sekaligus DHCP server, kini tidak usah khawatir, karena konfigurasi ini dapat memaksa agar client mengeset kembali IP komputer mereka menjadi Obtain IP (DHCP Client). Karena apabila user tersebut memaksa menggunakan IP Static, maka akibat yang terjadi adalah komputer tersebut tidak akan dapat koneksi ke Internet atau ke jaringan lain yang melewati Router Mikrotik tersebut.
Cara konfigurasinya cukup simple :
1. Masuk ke winbox Mikrotik
2. Klik Interfacec, kemudian double klik interface LAN yang digunakan sebagai interface DHCP
3. Pilih di bagian ARP : Reply-Only
4. Konfigurasi di DHCP Server untuk menambahkan ARP ketika terjadi DHCP-lease. Klik IP–>DHCP Server, edit DHCP, check Add ARP for leases
5.  Selesai, dan silahkan dicoba koneksi dari komputer yang di set Static IP dan dari komputer yang diset Obtain IP. lihat hasilnya !!
Kemudian ada pertanyaan, bagaimana untuk komputer server atau komputer lain yang memang ingin di set IP Static, namun ingin tetap dapat koneksi ke Internet atau ke network lain melalui Router Mikrotik tersebut?
Yup, jawabannya adalah dengan mengeset ARP static IP komputer yang diinginkan dan Mac-Addressnya di menu  IP –> ARP.
Jadi prinsip kerja konfigurasi ini adalah, Router Mikrotik tidak akan pernah melakukan ARP Request untuk IP address-IP Address yang tidak ada di dalam tabel ARP-nya. Karena Interface yang digunakan untuk Interface DHCP yang sekaligus sebagai interface gateway hanya mampu melakukan ARP-Reply saja.
Sehingga router Mikrotik hanya akan meneruskan packet ke tujuan yang sudah ada di ARP table-nya.
Simple khan? Silahkan mencoba.. (MT)

Tulisan terkait:
Diterbitkan oleh Pada Jam Tidak ada komentar:
Label:
Langganan: Postingan (Atom)