Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Results 1 to 3 of 3
  1. #1
    Status
    Offline
    andre's Avatar
    Newbie
    Join Date
    Aug 2007
    Posts
    35
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    Unhappy [HELP] Tolong tentang addres list

    selamat siang para master dan suhu mikrotik,

    mau minta pencerahan tentang firewall addres list,permasalahannya begini
    saya ingin memprotek klient saya agar dia cuma bisa browsing hanya pada situs yang saya ijinkan serta bisa konek YM

    saya sudah bikin di address list dan berhasil,akan tetapi semua IP tersebut tidak bisa konek ke YM. adakah kekurangan pada setingan saya di bawah ini.
    mohon bantuan dan pencerahannya Click here to enlarge

    IP firewall filter

    chain=forward action=drop protocol=tcp src-address-list=drop
    dst-address-list=!allow dst-port=80

    address list

    0 ;;; mandiri
    allow 216.18.206.157
    1 ;;; yahoo
    allow 72.30.2.43
    2 ;;; yahoo
    allow 68.180.206.184
    3 ;;; klikbca
    allow 202.6.211.8
    4 drop 192.168.0.27
    5 drop 192.168.0.28
    6 drop 192.168.0.33
    7 drop 192.168.0.34
    8 drop 192.168.0.12
    9 drop 192.168.0.13
    10 drop 192.168.0.35
    11 ;;; webmail bama
    allow 174.123.84.2
    12 ;;; gmail
    allow 64.233.181.83
    13 ;;; google
    allow 216.239.61.104
    14 ;;; bamamapan.net
    allow 67.228.217.224
    15 ;;; skype
    allow 204.9.163.162
    16 drop 192.168.0.26
    17 drop 192.168.0.32
    18 drop 192.168.0.23

    terima kasih

  2. #2
    Status
    Offline
    awarmanf's Avatar
    Member
    Join Date
    Apr 2008
    Posts
    222
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by andre Click here to enlarge
    selamat siang para master dan suhu mikrotik,

    mau minta pencerahan tentang firewall addres list,permasalahannya begini
    saya ingin memprotek klient saya agar dia cuma bisa browsing hanya pada situs yang saya ijinkan serta bisa konek YM

    saya sudah bikin di address list dan berhasil,akan tetapi semua IP tersebut tidak bisa konek ke YM. adakah kekurangan pada setingan saya di bawah ini.
    mohon bantuan dan pencerahannya Click here to enlarge

    IP firewall filter

    chain=forward action=drop protocol=tcp src-address-list=drop
    dst-address-list=!allow dst-port=80

    address list

    0 ;;; mandiri
    allow 216.18.206.157
    1 ;;; yahoo
    allow 72.30.2.43
    2 ;;; yahoo
    allow 68.180.206.184
    3 ;;; klikbca
    allow 202.6.211.8
    4 drop 192.168.0.27
    5 drop 192.168.0.28
    6 drop 192.168.0.33
    7 drop 192.168.0.34
    8 drop 192.168.0.12
    9 drop 192.168.0.13
    10 drop 192.168.0.35
    11 ;;; webmail bama
    allow 174.123.84.2
    12 ;;; gmail
    allow 64.233.181.83
    13 ;;; google
    allow 216.239.61.104
    14 ;;; bamamapan.net
    allow 67.228.217.224
    15 ;;; skype
    allow 204.9.163.162
    16 drop 192.168.0.26
    17 drop 192.168.0.32
    18 drop 192.168.0.23

    terima kasih
    Jangan pakai ip address statik seperti di atas karena belum tentu host yahoo, mandiri atau klikbca selalu menggunakan ip publik yang sama. Anda bisa menggunakan teknik layer7 untuk membuat address list secara dinamik. Syarat yg lain belajar memakai sniffer dan cara membaca data yg dihasilkan sniffer dengan wireshark.

    Untuk belajar cara capture paket network anda bisa baca2 tulisan saya di sini:

    Meski pakai tcpdump linux tapi prinsipnya sama dengan tool sniffer di mikrotik.

    Sebagai contoh, ini layer7 yang saya gunakan untuk menangkap tujuan ke rapidshare dan facebook:
    Code:
     /ip firewall layer7-protocol print 
     # NAME                REGEXP
     ...                                        
     4 ;;; destination to rapidshare.com
       rapidshare          ^get[ -~\t-\r]*host:.+.rapidshare.com
     5 ;;; destination to facebook.com
       facebook            ^get[ -~\t-\r]*host:.+.facebook.com
    Kemudian ini mangle yang digunakan untuk menangkap dst-address dan membuat address-list secara dinamik:
    Code:
    /ip firewall mangle print
    49 ;;; ADD dst-add to facebook ( L7)
         chain=prerouting action=add-dst-to-address-list protocol=tcp 
         address-list=facebook address-list-timeout=1w layer7-protocol=facebook in-interface=lan dst-port=80
    50 ;;; ADD dst-add to rapidshare ( L7)
         chain=prerouting action=add-dst-to-address-list protocol=tcp 
         address-list=rapidshare address-list-timeout=1w layer7-protocol=facebook in-interface=lan dst-port=80
    Kurang ya ?
    Ok, saya tambahkan rule layer7:
    Code:
     /ip firewall layer7-protocol print 
     # NAME                REGEXP
     ...                                        
     4 ;;; situs allowed to open (www)
       www-allowed      ^get[ -~\t-\r]*host:.+.(bankmandiri.co.id|klikbca.com|yahoo.com|google-analytics.com)
     5 ;;; situs certs allowed to open (www)
       www-certs         ^get[ -~\t-\r]*host:.+.(verisign.com|entrust.net|digicert.com|opera.com|public-trust.com|omniroot.com|geotrust.com)
     6 ;;; situs ssl allowed to open (https)
       ssl-allowed         (ib.bankmandiri.co.id|ibank.klikbca.com|login.yahoo.com|s.yimg.com)
    Nah ini manglenya:
    Code:
    /ip firewall mangle print
    49 ;;; ADD dst-add to www-allowed ( L7)
         chain=prerouting action=add-dst-to-address-list protocol=tcp 
         address-list=allow address-list-timeout=1w layer7-protocol=www-allowed in-interface=lan dst-port=80
    50 ;;; ADD dst-add to www-certs ( L7)
         chain=prerouting action=add-dst-to-address-list protocol=tcp 
         address-list=allow address-list-timeout=1w layer7-protocol=www-certs in-interface=lan dst-port=80
    51 ;;; ADD dst-add to ssl-allowed ( L7)
         chain=prerouting action=add-dst-to-address-list protocol=tcp 
         address-list=allow address-list-timeout=1w layer7-protocol=ssl-allowed in-interface=lan dst-port=443
    Anda sebagai admin yang punya full akses harus populate address-list allow terlebih dahulu dengan cara buka situs2 yang diijinkan tersebut.
    Bila ada gagal yang buka situs tersebu, jangan lupa sniffer dan wireshark adalah teman anda Click here to enlarge.
    Last edited by awarmanf; 10-05-2010 at 23:04.

  3. The Following 3 Users Say Thank You to awarmanf For This Useful Post:


  4. #3
    Status
    Offline
    andre's Avatar
    Newbie
    Join Date
    Aug 2007
    Posts
    35
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    terima kasih buat bro awarmanf, akan saya coba segera semua sarannya

    dan akan saya update perkembanggannya disini

 

 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. (ask) tolong boss tentang VPN nich
    By junius in forum General Networking
    Replies: 19
    Last Post: 12-07-2010, 08:37
  2. ask. tolong saya donk tentang rb 433
    By benksistem in forum Beginner Basics
    Replies: 7
    Last Post: 29-03-2010, 17:30
  3. [ask] tolong share list ip game iix dan ix dong !
    By wie_chang81 in forum Beginner Basics
    Replies: 1
    Last Post: 31-12-2009, 11:32
  4. PLIISSS..tolong jelasin tentang nth.
    By faiz_mahbob in forum General Networking
    Replies: 0
    Last Post: 07-09-2009, 02:56

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •