Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Page 1 of 2 12 LastLast
Results 1 to 15 of 25
  1. #1
    Status
    Offline
    Wiye82's Avatar
    Newbie
    Join Date
    Jun 2008
    Posts
    31
    Reviews
    Read 0 Reviews
    Downloads
    1
    Uploads
    0
    Feedback Score
    0

    Gagal memisahkan IIX dan Internasional dengan connection bytes + PROXY external

    Teman teman semua mo tanya

    apakah benar jika melakukan pemisahan bandwith IIX dan Internasional digabung dengan limit donlod (connection bytes) ditambah dengan PROXY external tidak bisa dilakukan ???

    saya ilustrasikan seperti ini

    Internet -eth1- Mikrotik Router -eth3- Proxy squid
    -eth2- LAN


    interface terbagi menjadi
    eth1-INET 202.213.x.x
    eth2-LAN 192.168.0.1/24
    eth3-SQUID 192.168.50.50/24

    user dengan ip 10.0.0.11 ingin dibatesi dengan
    - iix browsing 384kbps
    - iix donlod 64kbps
    - ix browsing 128kbps
    - ix donlod 64kbps

    Langkah yang telah dilakukan adalah sebagai berikut :

    untuk setting dns ,iproute,NAT standard seperti biasa (tidak saya jabarkan lagi)

    untuk NAT ditambahkan
    Code:
    /ip firewall nat
    chain=dstnat action=dst-nat to-addresses=192.168.50.50 to-ports=3128  protocol=tcp in-interface=eth2-LAN dst-port=80
    mangle memisahkan iix browsing n donlod
    Code:
    /ip firewall mangle 
    chain= forward  out-interfaces=INET  dst-address-list=nice  new-connection-mark=iix-conn passthrough=yes
    
    chain= forward in-interfaces=INET src-address-list=nice new-connection-mark=iix-conn passthrough=yes
    
    chain=forward connection-mark=iix-conn protocol=tcp connection-bytes=0-384000 new-packet-mark=iix-paket-browsing passthrough=no
    
    chain=forward connection-mark=iix-conn protocol=tcp connection-bytes=384000-0 new-packet-mark=iix-paket-donlod passthrough=no
    mangle memisahkan internasional , browsing dan donlod
    Code:
    /ip firewall mangle 
    chain= forward  out-interfaces=INET  dst-address-list=!nice  new-connection-mark=intl-conn passthrough=yes
    
    chain= forward in-interfaces=INET src-address-list=!nice new-connection-mark=intl-conn passthrough=yes
    
    chain=forward connection-mark=intl-conn protocol=tcp connection-bytes=0-384000 new-packet-mark=intl-paket-browsing passthrough=no
    
    chain=forward connection-mark=intl-conn protocol=tcp connection-bytes=384000-0 new-packet-mark=intl-paket-donlod passthrough=no

    queue tree
    Code:
    name="TOTAL BANDWITH" parent=global-out limit-at=0 priority=8 max-limit=2>
         burst-limit=0 burst-threshold=0 burst-time=0s 
    
     1   name="iix-browsing" parent=TOTAL BANDWITH packet-mark=iix-paket-browsing 
         limit-at=0 priority=7 max-limit=1M burst-limit=0 burst-threshold=0 
         burst-time=0s 
    
     2   name="iix-donlod" parent=TOTAL BANDWITH packet-mark=iix-paket-donlod 
         limit-at=0 priority=8 max-limit=1M burst-limit=0 burst-threshold=0 
         burst-time=0s 
    
     3   name="intl-browsing" parent=TOTAL BANDWITH packet-mark=intl-paket-browsin>
         limit-at=0 priority=7 max-limit=1M burst-limit=0 burst-threshold=0 
         burst-time=0s 
    
     4   name="intl-donlod" parent=TOTAL BANDWITH packet-mark=intl-paket-donlod 
         limit-at=0 priority=8 max-limit=1M burst-limit=0 burst-threshold=0 
         burst-time=0s 
    
     5   name="queue1" parent=iix-browsing packet-mark=iix-paket-browsing 
         limit-at=0 queue=pcqbrowsing priority=7 max-limit=1M burst-limit=0 
         burst-threshold=0 burst-time=0s 
    
    
     4   name="intl-donlod" parent=TOTAL BANDWITH packet-mark=intl-paket-donlod 
         limit-at=0 priority=8 max-limit=1M burst-limit=0 burst-threshold=0 
         burst-time=0s 
    
     5   name="queue1" parent=iix-browsing packet-mark=iix-paket-browsing 
         limit-at=0 queue=pcqbrowsing priority=7 max-limit=1M burst-limit=0 
         burst-threshold=0 burst-time=0s 
    
     6   name="queue2" parent=intl-browsing packet-mark=intl-paket-browsing 
         limit-at=0 queue=pcqbrowsing priority=7 max-limit=512k burst-limit=0 
         burst-threshold=0 burst-time=0s 
    
     7   name="queue3" parent=iix-donlod packet-mark=iix-paket-donlod limit-at=0 
         queue=pcqbrowsing priority=8 max-limit=1M burst-limit=0 
         burst-threshold=0 burst-time=0s 
    
     8   name="queue4" parent=intl-donlod packet-mark=intl-paket-donlod limit-at=0 
         queue=pcqbrowsing priority=8 max-limit=512k burst-limit=0 
         burst-threshold=0 burst-time=0s
    settingan diatas saat ini berjalan dengan baik tanpa adanya proxy , ada proxy juga bisa selama tidak dibuat limit satu persatu dengan ip tertentu , jika saya masukkan ip user 10.0.0.11 maka queue ataupun mangle tidak berjalan sama sekali

    setelah otak atik cukup lama saya mendapatkan kesimpulan klo settingan untuk melimit user dengan batasan browsing or download ditambah pemisahan iix dan internasional ditambah lagi dengan proxy tidak dapat dilakukan karena :

    Dengan adanya proxy maka koneksi user menuju internet khususnya port 80 http akan dialihkan ke proxy dan dari proxy baru mengakses internet maka itu pada saat ingin membuat pemisahan iix dan internasional dari user melalui proxy tidak bisa dilakukan , karena koneksi antara user dengan proxy tidak mengenal ip address yang terdapat pada nice (kumpulan ip lokal)

    ilustrasinya seperti ini :

    PROXY ----- INET (memiliki ip address nice dan !nice)
    USER ----- PROXY (tidak mengenal nice)

    maka itu limit hanya bisa dilakukan pada user saat mengakses proxy
    tetapi tidak bisa membedakan yang mana iix yang mana ix ..

    kira kira ini masalah yang saya temukan , semoga kesimpulan saya ini salah dan ada solusi dari master master semua ...

    jika ada kata kata yang salah dan kurang jelas harap maklum yaaa.... masih nubie banget nihhh

    ditunggu jawaban dari master semuaaa...Click here to enlargeClick here to enlargeClick here to enlarge

  2. #2
    Status
    Offline
    reges's Avatar
    Calon Member
    Join Date
    Jul 2008
    Posts
    93
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    hanya satu jawaban untuk masalah anda yaitu memakai routing policy untuk redirect to proxynya

    jadi untuk mengarahkan jalur ke proxy jangan memakai dst-nat seperti ini :
    Code:
    /ip firewall nat
    chain=dstnat action=dst-nat to-addresses=192.168.50.50 to-ports=3128  protocol=tcp in-interface=eth2-LAN dst-port=80
    tapi untuk redirect to proxynya memakai routing policy seperti ini :
    Click here to enlarge

    selengkapnya bisa di baca disini:
    Code:
    http://wiki.warneter.net/mengatasi-traffic-limit-pada-ip-proxy.aspx
    sudah saya coba memakai external proxy baik squid/internal-proxy yg di jadiin external proxy
    semua mangle src-port=80 bisa saya pisahkan baik ix/iix maupun host-host tertentu seperti game online di indonesia

    jadi nanti untuk melakukan transparent proxy melalui mesin proxynya bukan dari NAT mikrotik.

  3. The Following 6 Users Say Thank You to reges For This Useful Post:


  4. #3
    Status
    Offline
    dhitek's Avatar
    Member
    Join Date
    Mar 2010
    Posts
    122
    Reviews
    Read 0 Reviews
    Downloads
    1
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by reges Click here to enlarge
    hanya satu jawaban untuk masalah anda yaitu memakai routing policy untuk redirect to proxynya

    jadi untuk mengarahkan jalur ke proxy jangan memakai dst-nat seperti ini :
    Code:
    /ip firewall nat
    chain=dstnat action=dst-nat to-addresses=192.168.50.50 to-ports=3128  protocol=tcp in-interface=eth2-LAN dst-port=80
    tapi untuk redirect to proxynya memakai routing policy seperti ini :
    Click here to enlarge

    selengkapnya bisa di baca disini:
    Code:
    http://wiki.warneter.net/mengatasi-traffic-limit-pada-ip-proxy.aspx
    sudah saya coba memakai external proxy baik squid/internal-proxy yg di jadiin external proxy
    semua mangle src-port=80 bisa saya pisahkan baik ix/iix maupun host-host tertentu seperti game online di indonesia

    jadi nanti untuk melakukan transparent proxy melalui mesin proxynya bukan dari NAT mikrotik.
    mantab brotha Click here to enlarge

  5. The Following User Says Thank You to dhitek For This Useful Post:


  6. #4
    Status
    Offline
    Wiye82's Avatar
    Newbie
    Join Date
    Jun 2008
    Posts
    31
    Reviews
    Read 0 Reviews
    Downloads
    1
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by reges Click here to enlarge
    hanya satu jawaban untuk masalah anda yaitu memakai routing policy untuk redirect to proxynya

    jadi untuk mengarahkan jalur ke proxy jangan memakai dst-nat seperti ini :
    Code:
    /ip firewall nat
    chain=dstnat action=dst-nat to-addresses=192.168.50.50 to-ports=3128  protocol=tcp in-interface=eth2-LAN dst-port=80
    tapi untuk redirect to proxynya memakai routing policy seperti ini :
    Click here to enlarge

    selengkapnya bisa di baca disini:
    Code:
    http://wiki.warneter.net/mengatasi-traffic-limit-pada-ip-proxy.aspx
    sudah saya coba memakai external proxy baik squid/internal-proxy yg di jadiin external proxy
    semua mangle src-port=80 bisa saya pisahkan baik ix/iix maupun host-host tertentu seperti game online di indonesia

    jadi nanti untuk melakukan transparent proxy melalui mesin proxynya bukan dari NAT mikrotik.

    maaf master sebelumnya .. saya agak kurang ngerti maksudnya ..

    penangkapan saya berarti saya mesti mendisable dst-nat yang telah saya buat lalu membuat mangle
    Code:
    chain=prerouting src-address=192.168.0.0/24 protocol=tcp dst-port=80 new-routing-mark=proxy passthrough=yes
    lalu membuat ip route , tetapi saya agak bingung dengan ip routenya itu mengarah kemana yaa .. ke proxy atau ke internet ? trus itu ethernet 2 maksudnya proxy atau internet


    (sebelumnya saya sudah mencoba test atas asumsi saya sendiri tapi tidak berhasil berhasillClick here to enlargeClick here to enlargeClick here to enlarge)

    mohon petunjuknyaaa

  7. The Following User Says Thank You to Wiye82 For This Useful Post:


  8. #5
    Status
    Offline
    reges's Avatar
    Calon Member
    Join Date
    Jul 2008
    Posts
    93
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by Wiye82 Click here to enlarge
    maaf master sebelumnya .. saya agak kurang ngerti maksudnya ..

    penangkapan saya berarti saya mesti mendisable dst-nat yang telah saya buat lalu membuat mangle
    Code:
    chain=prerouting src-address=192.168.0.0/24 protocol=tcp dst-port=80 new-routing-mark=proxy passthrough=yes
    lalu membuat ip route , tetapi saya agak bingung dengan ip routenya itu mengarah kemana yaa .. ke proxy atau ke internet ? trus itu ethernet 2 maksudnya proxy atau internet


    (sebelumnya saya sudah mencoba test atas asumsi saya sendiri tapi tidak berhasil berhasillClick here to enlargeClick here to enlargeClick here to enlarge)

    mohon petunjuknyaaa
    Ip route baru itu adalah Ip nya mesin squid

    jangan lupa di mesin squidnya di masquerade sama redirect port 80 to port proxynya

    ether2 itu LAN semua yg saya pake dengan 3 subnet IP
    192.168.1.0/24
    192.168.10.0/24 dan
    192.168.100.0/24

    kebetulan pas saya coba itu ane keterbatasan lan card Click here to enlarge

    jadi nanti IP squid 192.168.10.1
    gateway 192.168.10.5 (ip mikrotik ether2)

    itu sebenarnya tatkik transparent router karena line inetnya cm satu yg cm di balikin lagi ke routernya Click here to enlarge

  9. The Following User Says Thank You to reges For This Useful Post:


  10. #6
    Status
    Offline
    Wiye82's Avatar
    Newbie
    Join Date
    Jun 2008
    Posts
    31
    Reviews
    Read 0 Reviews
    Downloads
    1
    Uploads
    0
    Feedback Score
    0
    Setelah semedi bertapa dan mencoba selama 2 hari ini akhirnya berhasil nih....

    Masterweb reges memang mantappp.....

    Akhirnya saya ngerti ternyata maksudnya adalah dengan mangle yang pertama yaitu mark routing itu untuk mengarahkan semua koneksi dari lan dimana port 80 akan di routing menuju proxy..

    Kegagalan saya kemaren ini setelah di routing ke proxy gak jalan karena proxynya belum di redirect ke port 3128, for info proxy menggunakan squid , jadi untuk redirectnya menggunakan iptables.

    Akhirnya pr nya selesai juga Click here to enlargeClick here to enlargeClick here to enlarge

    Sekalian lagi terima kasih yaa master reges
    Lain kali boleh dibantu lagi...

  11. #7
    Status
    Offline
    mubarok's Avatar
    Newbie
    Join Date
    Aug 2010
    Posts
    56
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0

    Ip tables

    Cara Redirect ...Port 3128 menggunakan IP Tables gimana ya OM Click here to enlarge Gak tau caranya Awam Dilinux Click here to enlargeClick here to enlargeClick here to enlarge

  12. #8
    Status
    Offline
    faqiir's Avatar
    Member
    Join Date
    Feb 2009
    Posts
    156
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by mubarok Click here to enlarge
    Cara Redirect ...Port 3128 menggunakan IP Tables gimana ya OM Click here to enlarge Gak tau caranya Awam Dilinux Click here to enlargeClick here to enlargeClick here to enlarge
    ni klo di ubuntu, klo yg laen kurang tau Click here to enlarge
    1. nano /etc/rc.local
    2. ketik sperti dibawah ini
    echo "1" > /proc/sys/net/ipv4/ip_forward

    IPT=`which iptables`

    $IPT -X
    $IPT -X -t nat
    $IPT -F -t nat
    $IPT -F

    $IPT -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
    $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    exit 0
    3. tekan CTRL + X jawab YES
    4. reboot pc squidboxnya make "reboot"
    5. done

  13. The Following User Says Thank You to faqiir For This Useful Post:


  14. #9
    Status
    Offline
    mubarok's Avatar
    Newbie
    Join Date
    Aug 2010
    Posts
    56
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0

    g jalan

    Click here to enlarge Originally Posted by faqiir Click here to enlarge
    ni klo di ubuntu, klo yg laen kurang tau Click here to enlarge

    G jalan Gan //......KNp yaa padahal NATnya udah aku matikan....

    Terus pakai Mangle Bung Reges,,,,,,Tapi g jalan.....

    IP table udah aku hidupkan

    hmmmClick here to enlarge









    SOLVED THANKSS BROOO
    Last edited by mubarok; 16-01-2011 at 21:48.

  15. #10
    Status
    Offline
    zoky's Avatar
    Calon Member
    Join Date
    Jun 2010
    Posts
    79
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge


    klo untuk upload gmn y?

  16. #11
    Status
    Offline
    mubarok's Avatar
    Newbie
    Join Date
    Aug 2010
    Posts
    56
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0

    contohnya bang ..src port 80 bypasss host patch game online

    sudah saya coba memakai external proxy baik squid/internal-proxy yg di jadiin external proxy
    semua mangle src-port=80 bisa saya pisahkan baik ix/iix maupun host-host tertentu seperti game online di indonesia





    Bos Reges .Buat Contohnya Dong..........^^'
    contohnya bang ..src port 80 bypasss host patch game online
    gimana scripnyaaa...Click here to enlarge

  17. #12
    Status
    Offline
    reges's Avatar
    Calon Member
    Join Date
    Jul 2008
    Posts
    93
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by zoky Click here to enlarge
    Click here to enlarge


    klo untuk upload gmn y?
    maaf baru ngecek thread setelah lama tidak login kesini Click here to enlarge

    untuk upload berhubung (untuk port 80) sudah di prerouting maka untuk uploadnya disini secara global, tidak bisa per klien (hanya port 80 saja)
    caranya tinggal copas rule mark-route td dengan mengganti action-nya mark-packet atau mark-connection untuk global-in .

    namun tidak berarti upload selain port 80 tidak bisa dimanage justru untuk port selain port 80 dengan mudah di manage kembali Click here to enlarge



    Click here to enlarge Originally Posted by mubarok Click here to enlarge
    sudah saya coba memakai external proxy baik squid/internal-proxy yg di jadiin external proxy
    semua mangle src-port=80 bisa saya pisahkan baik ix/iix maupun host-host tertentu seperti game online di indonesia





    Bos Reges .Buat Contohnya Dong..........^^'
    contohnya bang ..src port 80 bypasss host patch game online
    gimana scripnyaaa...Click here to enlarge
    contoh sederhana untuk ayodance
    Code:
    /ip firewall mangle
    add action=mark-packet chain=forward comment=\
        "MARK.PACKET.BYPASS (SAMPLE host update AYODANCE)" disabled=no \
        new-packet-mark=ayodance passthrough=no protocol=tcp src-address=\
        122.102.49.132 src-port=80

  18. The Following User Says Thank You to reges For This Useful Post:


  19. #13
    Status
    Offline
    rerenet's Avatar
    Member
    Join Date
    Feb 2010
    Location
    jaktim
    Posts
    242
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Wah ternyata ada to.. padahal saya cari2.. Thanks master REGES....Click here to enlarge

  20. #14
    Status
    Offline
    iamspa's Avatar
    Member Super Senior
    Join Date
    Jan 2010
    Location
    MEDAN DONK AH....
    Posts
    685
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    maaf master reges....
    tapi mau nanya neh...
    apakah bisa dipakai untuk loadbalancing...?

    sudah utak atik tapi gak bisa juga...
    mohon bantuan nya.....

  21. #15
    Status
    Offline
    blajaran's Avatar
    Baru Gabung
    Join Date
    Nov 2012
    Posts
    4
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by iamspa Click here to enlarge
    maaf master reges....
    tapi mau nanya neh...
    apakah bisa dipakai untuk loadbalancing...?

    sudah utak atik tapi gak bisa juga...
    mohon bantuan nya.....
    loadbalance dimana nya?

 

 
Page 1 of 2 12 LastLast

Thread Information

Users Browsing this Thread

There are currently 2 users browsing this thread. (0 members and 2 guests)

Similar Threads

  1. limit download menggunakan connection bytes
    By shiratc in forum QOS & Traffic Shaping
    Replies: 33
    Last Post: 28-12-2011, 12:24
  2. Dstnat untuk proxy external ke mikrotik dengan proxy internal
    By awarmanf in forum General Networking
    Replies: 3
    Last Post: 21-02-2010, 21:17
  3. [ask] external proxy dengan load balancer
    By erwinpasali in forum General Networking
    Replies: 2
    Last Post: 16-12-2009, 14:44

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •