August 2011 - Organisasi Radio Wifi Kuningan (ORWIN) | Situs Tutorial Mikrotik Dan Proxy

Saturday, August 27, 2011

Tutorial Cegah Netcut pada jaringan Mikrotik (LAN) + Hotspot (Wifi)

Orwin Kuningan 4:25:00 AM Comment

Tutorial ini saya buat semata sebagai referensi dan alternatif konsep rujukan buat para administrator network yang masih cupu seperti saya. Maklum saya pernah mengalami masalah/hal yang sama pada jaringan yang pernah saya tangani. (designer grafis mendadak administrator, hehehe,,...)Ok langsung aja yachSebelumnya : CMIIWTutorial ini menggunakan Mikrotik sebagai based implementation <---- ceileeee bahasanya wkwkwkwkwkKonsepnya bisa diterapkan pada semua versi Mikrotik dan Implementasi pada Konsep Jaringan non Mikrotik lainnya.Netcut : Memiliki kemampuan Metode Attacknya pada dasarnya bekerja dengan mengirimkan request random MAC (Dynamic based DHCP) ke IP yang dituju dengan mengacaukan alamat MAC Address pada request one by one menuju gateway, sehingga IP Address/MAC Victim jadi kacau dalam menentukan routing gatewaynya smile <--- pemahaman saya loh big_smile maaf kalau salahNah berdasarkan pemahaman saya (CMIIW), karena sifat Dynamic Routing MAC pada IP Victim itulah yang membuat Netcut mampu melakukan spoofing (menipu routing MAC ke Gateway atau proses route lainnya). Soo,,... kita perlu membuat agar entry MAC IP Victim menjadi static.Kemudian tidak hanya itu, Netcut mampu melakukan scanning jaringan dengan membuat IP Table (List Jaringan IP), sesuai dengan kondisi Netmask/ Scope pada jaringan milik kita, sehingga Netcut mampu menampilkan list MAC pada IP Table tersebut. Contoh, jika jaringan kita memiliki rentang netmask/subnet = 24 atau 254 Komputer/Client. Maka Netcut akan menampilkan semua IP List + include MAC Address pada jaringan yang sedang "aktif (Client Aktif)" tersebut. Jadi kita musti merampingkan netmask pada jaringan kita hingga 2 Ip Client (CMIIW), agar Netcut tidak bisa melakukan listing (membaca) rentang IP.Langsung ke penerapan pencegahan deh biar gk bingung lagi :UNTUK LAN + HOTSPOT (Mikrotik) :Buka Konfigurasi Mikrotik anda via winbox (GUI) atau via Terminal Console ya sama aja yang penting ngerti :

Hide

1. UNTUK HOTSPOT - IKUTI ALUR GAMBAR DARI BAWAH KE ATAS

Gampang kok masa gk ngerti, ayo dong jangan mau disuapin aja.

2. UNTUK LAN - IKUTI ALUR GAMBAR DARI BAWAH KE ATASgak kurang dan gk lebih. Posted Image

FINISH..!!!Segala kekurangan dari tutorial ini saya kembangkan ke seluruh anggota KI*S, semoga bermanfaat dan jangan lupa menyertakan creditnya yah ke KI*S + Credit ke saya juga.Dan apabila tutorial ini ada sebelumnya entah dimana, maka saya mencoba untuk menyempurnakannya dengan segala yang ada keterbatasan saya.nb:- Tutorial ini bukan untuk kepentingan komersil, semata hanya untuk pendidikan dan pengembangan belajar fundamental bagi para anggota KI*S.- Buat yang udah jago tolong mohon agar tidak offensif kepada penulis dan anggota lainnya !, karena membuat tutorial bukan perkara mudah, capeknya itu loh pas ngetik and ngedit gambarnya , belum lagi nunggu proses upload gambar disaat jam-jamnya koneksi lagi fakir bandwithSalam Hormat, untuk seluruh anggota KI*S,

TUTORIAL MEMBUAT HOTSPOT DENGAN WINBOX

Orwin Kuningan 4:22:00 AM 2 comments

14FEB

Step by Step Dial Up (PPPoE) Speedy dengan Winbox Mikrotik

Orwin Kuningan 4:17:00 AM Comment

Mikrotik punya kelebihan sendiri dalam hal dialup internet. Fasilitas PPPoEnya telah dikemas dengan sangat kompak sehingga proses setting bisa dilakukan dengan cepat. Disamping itu proses dialup nya sendiri juga sangat cepat. Paling tidak jika dibandingkan dengan Dialup dari Windows (paling lambat) bahkan dari modem sendiri.

Pada posting sebelumnya saya menulis tentang cara setting dialup speedy dari router mikrotik melalui command line. Namun bagi yang lebih nyaman dan menyukai mode GUI, kali ini saya sajikan setting dialup melalui Winbox. Mari kita mulai…

PERSIAPAN

Untuk mengantisipasi hal yang tidak diinginkan, saya sarankan Anda melakukan backup setting modem Speedy Anda terlebih dahulu. Hampir tiap modem dilengkapi dengan fasilitas ini. Konfigurasi yang diberikan oleh petugas dapat Anda backup dalam bentuk satu file yang kelak dapat Anda panggil lagi untuk mengembalikan setting modem ADSL ke kondisi semula dengan mudah.

Silakan masuk ke jendela setting Modem dengan memuka browser dan masukkan alamat modem (defaultnya: http://192.168.1.1).

Masuk pada bagian informasi service seperti berikut dan catat semua keterangan tentang LAN dan WAN yang ada.

Jika semua sudah siap,

1. Pertama kali, Anda perlu mempersiapkan modem terlebih dahulu. Set fungsi modem sebagai bridge, bukan sebagai PPPoE Dialer. Saya pernah pake modem Articonet ACN-100R dan TP-Link TD8117 Cara settingnya kurang lebih sama.

Buka browser Anda, masukkan alamat modem (defaultnya adalah http://192.168.1.1)

Untuk Articonet:

Masukkan username dan password : admin/admin
Pilih menu “Advanced Setup” > “WAN” , klik tombol “Edit” Masukkan nilai PVC Configuration : (masukkan nilainya sesuai wilayah TELKOM masing-masing daerah). Nilai ini dapat Anda lihat di sini.
VPI = X (setting saya=8)
VCI = XX (setting saya=8)
informasi ini bisa didapatkan dari petugas Telkom atau teknisi yang melakukan instalasi. Jika Anda masih belum yakin dengan setting yang tepat di lokasi Anda, silakan cek konfigurasi dalam tulisan berikut:
Setting Modem Speedy dari Berbagai Daerah

Service Category = UBR Without PCR, kemudian klik Next
Connection type = Bridging
Encapsulation = LLC, kemudian klik tombol Next
Tandai check box pilihan “Enable Bridge Service”, Next dan akhiri dengan Save
Selanjutnya pilih Save/Reboot, tunggu beberapa saat +- 2 menit hingga proses reboot modem selesai.

Untuk Modem TP-Link TD8117 lebih mudah. Setelah login, ikuti saja langkah step-by-step nya dari Menu Start Up > Wizard > Pilih koneksi Bridge > Akhiri dengan klik Finish

2. Selanjutnya setting IP untuk masing-masing LAN Card Anda. Jika Anda menemukan kesulitan setting IP ini, saya punya panduannya di sini, jadi satu dengan setting dialup speedy via command line. Topologi yang saya buat sebagai berikut:

[INTERNET]——[MODEM ADSL]——[ROUTER MIKROTIK]——[SWITCH]———[CLIENT]
xxx.xxx—192.168.1.1/192.168.1.100—192.168.1.103/192.168.30.1—192.168.30.2-192.168.30.254

*UPDATE*
Keterangan:
Masing-masing hardware berikut memiliki 2 IP, satu IP untuk koneksi UP (ke atas) dan satu IP untuk koneksi DOWN (kebawah). Hardware yang saya maksud adalah Modem ADSL dan Router dengan keterangan sebagai berikut:
MODEM:
- Up: 125.164.xxx.xxx –> IP Public dari Speedy, IP ini otomatis akan Anda dapatkan dari server speedy saat Anda melakukan dialup.
- Down: 192.168.1.100 –> Atur IP statis ini di bagian setting LAN modem. IP ini yang digunakan untuk melakukan koneksi dengan Router/jaringan di bawah modem.
ROUTER Mikrotik:
- Up: 192.168.1.103 –> Setting IP ini di Ethernet card pertama yang Anda gunakan untuk menghubungkan Router dengan Modem. Perhatikan, IP dan netmasknya harus dalam satu range dengan IP Modem.
- Down: 192.168.30.1 –> IP untuk Gateway LAN dan pedoman IP client. Atur setting IP ini di Ethernet card kedu. Cara setting IP ini bisa Anda temukan di sini: Cara setting dialup speedy via command line.

3. Buka Winbox, kita akan mulai setting PPPoE-Client mikrotik.

Login ke Winbox, masukkan ip address Anda, dalam hal ini IP mikrotik dari LAN. Dalam contoh saya memakai 192.168.30.1. Masukkan juga username dan password.
Dari tampilan utama, pilih menu PPP untuk mengakses halaman berikut
Klik tanda + untuk menambahkan PPPoE Client dari box PPP, kemudian pilih menu PPPoE Client
Maka akan muncul box New Interface, kemudian pada tab General di field Name kita beri nama
koneksi PPPoE tersebut dalam artikel ini menggunakan nama “pppoe-speedy”. Pilih “interface” yang Anda gunakan. Interface ini adalah Ethernet yang tersambung ke modem ADSL. Dalam contoh kasus di sini, saya pilih ethernet dengen IP 192.168.1.103.
Tetap dalam New Interface, pilih tab Dial Out. Masukkan username dan password account speedy. Biarkan setting lainnya dalam keadaan default. Pastikan Anda mencontreng pilihan Add Default Route di bawah ini.
Klik OK untuk mengaktifkan setting yang baru kita buat.

Selanjutnya diamkan sejenak dan tunggu Mikrotik tugasnya melakukan untuk dial ke speedy. Jika setting kita sudah benar makan muncul hasil setup kita sebelumnya. Jika kita perhatikan, kolom uptime akan berjalan dan menghitung durasi koneksi speedy.

Untuk melakukan cek, silakan pilih Tools > Ping, masukkan alamat yang akan diping. Di sini saya masukkan alamat web ini, www.guntingbatukertas.com. Hasilnya tampak seperti berikut.

setting ip address network setting di windows

4. Anda tinggal mengarahkan IP Gateway komputer klien ke router mikrotik ini.

Akhirnya ping dari sisi klien untuk memastikan koneksi berjalan lancar.

Bagaimana, mudah bukan?

MIKROTIK NAT

Orwin Kuningan 4:12:00 AM Comment

This is a short howto explaining how to set up a full-NAT on a Mikrotik RouterOS.

This setup allows you to hide (masquerade) your private IP address from a public network. This means, for example, that in your private network you can have whatever private IP you want which is then in turn translated to the public network IP given to you by your network provider. This tutorial can thus be used by clients who want to connect to a network without requiring a change to the internal IP addressing of their LAN.

Example

In the following example we have a wireless interface which connects to a public wireless network and an Ethernet interface for the local private network.

Suppose we have 192.168.1.2/24 (Internal Private Network) Your RouterBoard's Ethernet interface is 192.168.1.1/24 (fixed Private Network IP)

Your RouterBoard's Wireless card is 10.140.1.30/26 (Public Network)

way)

The Access Point you connect to is 10.140.1.1/26 (Public Network gat
e

First set the two IP addresses of the ethernet and wireless interfaces

Second set the static route so that we can access the external Public network

most likely you will want to use 0.0.0.0/0 as the destination in your primary public route----

We start building the NAT as follows

First the Destination Network Address Translation setting (DST-NAT)

Only do this if you want to expose this specifice internal pc to all ports, this is the same as a DMZ-----

Then the Source Network Address Translation setting (SRC-NAT)

---On the Action Screen you could instead choose masquerade---

Private to Public Network Address Translation (NAT) is Complete!

Note: Network Address Translation (NAT) requires that connection tracking be enabled.

Transparent Firewall

Orwin Kuningan 4:10:00 AM Comment

Transparent Firewall adalah firewall yang “tidak tampak” baik oleh user di dalam zona yang kita amankan atau dari luar zona kita. Transparent Firewall pada dasarnya adalah firewall biasa hanya saja implementasinya dilakukan pada bridge, sehingga tidak ada konfigurasi yang harus dilakukan pada jaringan yang sudah ada.Tutorial ini akan (mencoba) untuk menjelaskan secara singkat bagaimana dan apa saja yang diperlukan dalam pembuatan bridge firewall pada Debian GNU/Linux, dan pengaturan umum kerja firewall yang kita buat.

Topologi yang dipakai diasumsikan seperti gambar di bawah ini.

+----------+ +--------+ +---------------+

| INTERNET |-----| BRIDGE |-----| JARINGAN KITA |+----------+ +--------+ +---------------+

1. Kebutuhan Dasar

Implementasi ini membutuhkan beberapa hal yaitu:

Komputer dengan 2 NIC
iptables
bridge-utils
Kernel Linux 2.6 atau 2.4(dengan patch) dengan opsi bridge firewall diaktifkan

Bila anda ingin menggunakan kernel versi 2.4 silakan cari patchnya di http://ebtables.sourceforge.net/. Kernel 2.6 sudah menyertakan fasilitas ini, sehingga tidak perlu dipatch lagi.

Di sini diasumsikan bahwa kernel sudah beres, dan tinggal menginstall program lain yang dibutuhkan untuk menjalankan bridge. Komputer yang dipakai mempunyai 2 NIC yaitu eth0 dan eth1.

2. Instalasi & Konfigurasi

Seperti biasa, untuk menginstall paket pada debian kita menggunakan apt-get.

root:~# apt-get install bridge-utils iptables

Bila anda tidak menggunakan distro lain anda dapat mendownload source code untuk kedua program itu padahttp://bridge.sourceforge.net/ dan http://www.iptables.org/files/ . Panduan proses instalasi dapat mengikuti file README/INSTALL yang disertakan pada tarball yang anda download.

Program yang kita dapatkan dari bridge-utils adalah brctl. Program inilah yang mengatur segala macam bagian bridge mulai pembuatan, penghapusan, penambahan anggota bridge, dan sebagainya. Buat interface bridge (br0), dan tambahkan kedua interface ke dalam interface bridge yang baru dibuat.

root:~# brctl addbr br0

root:~# brctl addif br0 eth0root:~# brctl addif br0 eth1root:~# ifconfig eth0 0root:~# ifconfig eth1 0

Hapus alamat IP pada eth0 dan eth1, dan bila bridge ini akan diberi alamat IP maka yang perlu diberi alamat adalah br0. Interface lain harus tetap menyala tanpa mempunyai alamat IP sendiri. Nantinya, kedua ethernet yang ada akan merespon setiap request yang masuk ke alamat IP bridge.

Cobalah untuk memping jaringan di luar jaringan anda. Bila lancar, berarti bridge ini sudah berjalan dengan baik. Agar setiap booting kita tidak mengulangi langkah-langkah di atas maka edit file /etc/network/interfaces dan tambahkan konfigurasi seperlunya. Contoh file saya ada di bawah ini.

auto br0

iface br0 inet staticaddress 10.11.12.3netmask 255.255.255.0network 10.11.12.0broadcast 10.11.12.255gateway 10.11.12.1bridge_ports eth0 eth1

Catatan: perhatikan item konfigurasi yang dicetak tebal.

Pastikan juga anda mengaktifkan IP Forwarding dengan mengeksekusi perintah di bawah ini tiap kali komputer booting.

root:~# echo 1 > /proc/sys/net/ipv4/ip_forward

Selain cara manual itu anda dapat pula mengedit file /etc/network/options.

ip_forward=yes

spoofprotect=yessyncookies=no

Sekarang anda dapat mengkonfigurasi iptables untuk melakukan penyaringan terhadap paket-paket data yang melewati firewall ini. Iptables tidak akan dibahas mendalam di sini. Sekedar info, penyaringan ini dilakukan pada tabel Filter chain FORWARD. Contoh:

root:~# iptables -t Filter -A FORWARD -s 0.0.0.0 -d 10.11.12.0/24 -p tcp --dport 23 -j DROP

root:~# iptables -t Filter -A FORWARD -s 0.0.0.0 -d 10.11.12.0/24 -p tcp --dport 25 -j DROProot:~# iptables -t Filter -A FORWARD -s 0.0.0.0 -d 10.11.12.0/24 -p udp --dport 161 -j DROP

Potongan instruksi iptables di atas memfilter paket-paket dari luar network kita yang akan mengakses port telnet, smtp, dan snmp. Tambahkan filter lain sesuai dengan yang anda butuhkan.

Simpanlah perintah-perintah yang anda jalankan pada sebuah script .sh dan ubahlah permission file tersebut agar bisa dieksekusi(executable). Aturlah agar file itu diekseuksi setiap kali boot. Ada beberapa cara melakukannya, yang termudah adalah menambahkan entri pada /etc/network/interfaces. Bila script iptables itu disimpan di /etc/init.d/aturanfirewall.sh anda dapat menambahkan baris berikut di bawah entri br0.

up command /etc/init.d/aturanfirewall.sh

Dengan demikian isi file /etc/network/interfaces menjadi seperti di bawah ini.

auto br0

iface br0 inet staticaddress 10.11.12.3netmask 255.255.255.0network 10.11.12.0broadcast 10.11.12.255gateway 10.11.12.1bridge_ports eth0 eth1up command /etc/init.d/aturanfirewall.sh

Dengan menggunakan bash script kecil untuk memparsing output command “iptables -nvL FORWARD” anda dapat memantau aktifitas filtering seperti ini

+---------------------------------------------------------+

| I/O Total | 95M Packets 62G Bytes |+-------------+---------------------+---------------------+| | Traffic In | Traffic Out || Filter +----------+----------+----------+----------+| | Byte | Packet | Byte | Packet |+-------------+----------+----------+----------+----------+| Ping Blaster| 0 | 0 | 23184 | 252 || udp 69 | 0 | 0 | 0 | 0 || udp 135 | 0 | 0 | 0 | 0 || udp 137 | 38298 | 491 | 9828 | 126 || udp 138 | 534 | 2 | 1343 | 5 || udp 445 | 0 | 0 | 0 | 0 || udp 161 | 3672 | 54 | 0 | 0 || tcp 23 | 912 | 19 | 0 | 0 || tcp 135 | 47520 | 990 | 1584 | 33 || tcp 445 | 1027K | 21402 | 15180 | 316 || tcp 593 | 0 | 0 | 0 | 0 || tcp 4444 | 528 | 12 | 864 | 18 |+-------------+----------+----------+----------+----------+

Contoh script bisa didownload di sini, selamat mencoba, semoga sukses

(Kamas Muhammad, http://www.sokam.or.id).

Install SQUID with Dellay Pool

Orwin Kuningan 4:09:00 AM Comment

Installing Squid with the delay pools feature

As I mentioned before, Squid has a feature called delay pools, which allows us to control download bandwidth. Unfortunately, in most distributions, Squid is shipped without that feature.

So if you have Squid already installed, I must disappoint you — you need to uninstall it and do it once again with delay pools enabled in the way I explain below.

To get maximum performance from our Squid proxy, it’s best to create a separate partition for its cache, called /cache/. Its size should be about 300 megabytes, depending on our needs.If you don’t know how to make a separate partition, you can create the /cache/ directory on a main partition, but Squid performance can suffer a bit.
We add a safe ‘squid’ user:# useradd -d /cache/ -r -s /dev/null squid >/dev/null 2>&1
No one can log in as squid, including root.
We download Squid sources from http://www.squid-cache.orgWhen I was writing this HOWTO, the latest version was Squid 2.4 stable 1:
http://www.squid-cache.org/Versions/v2/2.4/squid-2.4.STABLE1-src.tar.gz
We unpack everything to /var/tmp:
# tar xzpf squid-2.4.STABLE1-src.tar.gz
We compile and install Squid (everthing is in one line):# ./configure --prefix=/opt/squid --exec-prefix=/opt/squid --enable-delay-pools --enable-cache-digests --enable-poll --disable-ident-lookups --enable-truncate --enable-removal-policies
# make all
# make install

Configuring Squid to use the delay pools feature

Configure our squid.conf file (located under /opt/squid/etc/squid.conf):

#squid.conf
#Every option in this file is very well documented in the original squid.conf file
#and on http://www.visolve.com/squidman/Configuration%20Guide.html

#
#The ports our Squid will listen on
http_port 8080
icp_port 3130
#cgi-bins will not be cached
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY
#Memory the Squid will use. Well, Squid will use far more than that.
cache_mem 16 MB
#250 means that Squid will use 250 megabytes of disk space
cache_dir ufs /proxy 250 16 256
redirect_rewrites_host_header off
cache_replacement_policy GDSF
acl localnet src 192.168.1.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 80 443 210 119 70 21 1025-65535
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localnet
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all
maximum_object_size 3000 KB
store_avg_object_size 50 KB

#all our LAN users will be seen by external servers
#as if they all use Mozilla on Linux 
anonymize_headers deny User-Agent
fake_user_agent Mozilla/5.0 (X11; U; Linux 2.4.4 i686)

#To make our connection even faster, we put a line similar
#to the one below. Don't forget to change the server to your closest!
#Measure pings, traceroutes and so on.
#Make sure that http and icp ports are correct
#cache_peer w3cache.icm.edu.pl parent 8080 3130 no-digest default

#This is useful when we want to use the Cache Manager
#copy cachemgr.cgi to cgi-bin of your www server
cache_mgr your@email
cachemgr_passwd secret_password all

#This is a name of a user our Squid will work as
cache_effective_user squid
cache_effective_group squid

log_icp_queries off
buffered_logs on

#####DELAY POOLS
#This is the most important part for shaping incoming traffic with Squid
#For detailed description see squid.conf file or docs at
#http://www.squid-cache.org

#We don't want to limit downloads on our local network
acl magic_words1 url_regex -i 192.168

#We want to limit downloads of these type of files
#Put this all in one line
acl magic_words2 url_regex -i ftp .exe .mp3 .vqf .tar.gz
.gz .rpm .zip .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav
#We don't block .html, .gif, .jpg and similar files, because they
#generally don't consume much bandwidth

#We have two different delay_pools
delay_pools 2

#First delay pool
#W don't want to delay our local traffic
#There are three pool classes; here we will deal only with the second
delay_class 1 2

#-1/-1 mean that there are no limits
delay_parameters 1 -1/-1 -1/-1

#magic_words1: 192.168
delay_access 1 allow magic_words1

#Second delay pool
#we want to delay downloading files mentioned in magic_words2
delay_class 2 2

#The numbers here are values in bytes;
#we must remember that Squid doesn't consider start/stop bits
#6000/150000 are values for the whole network
#5000/150000 are values for the single IP
#after downloaded files exceed about 150000 bytes,
#they will continue to download at about 5000 bytes/s

delay_parameters 2 6000/150000 5000/150000
delay_access 2 allow magic_words2

#EOF

OK, when we have configured everything, we must make sure everything under /opt/squid and /cache directories belongs to user ‘squid’.

# chown -R squid:squid /opt/squid/

# chown -R squid:squid /cache/

# chown -R squid.squid /opt/squid/

# chown -R squid.squid /cache/

Now everything is ready to run Squid. When we do it for the first time, we have to create its cache directories:

# /opt/squid/usr/bin/squid -z

We run Squid and check if everything is working. A good tool to do that is IPTraf; you can find it onhttp://freshmeat.net. Make sure you have set the appropriate proxy in your web browsers (192.168.1.1, port 8080 in our example):

# /opt/squid/usr/bin/squid

If everything is working, we add /opt/squid/usr/bin/squid line to the end of our initializing scripts. Usually, it can be/etc/rc.d/rc.local.

Other helpful options in Squid may be:

# /opt/squid/usr/bin/squid -k reconfigure (it reconfigures Squid if we made any changes in its squid.conf file)

# /opt/squid/usr/bin/squid -help

self-explanatory

You can also copy cachemgr.cgi to the cgi-bin directory of your WWW server.