Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Page 1 of 2 12 LastLast
Results 1 to 15 of 18

Thread: management VLAN

  1. #1
    Status
    Offline
    error's Avatar
    Baru Gabung
    Join Date
    Oct 2011
    Posts
    16
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    management VLAN

    allow para mastah

    bagaimana cara membatasi akses VLAN dengan Mikrotik, ada 6 VLAN ID

    VLAN ID 9 = 192.168.9.0/24 (server farm)
    VLAN ID 10 = 192.168.10.0/24
    VLAN ID 20 = 192.168.20.0/24
    VLAN ID 30 = 192.168.30.0/24
    VLAN ID 40 = 192.168.40.0/24
    VLAN ID 50 = 192.168.50.0/24

    antara VLAN 10,20,30,40,50 tidak bisa saling terhubung dan engga bisa akses VLAN 9
    tp VLAN 9 bisa menghubungin VLAN 10-50, dan VLAN 10-50 hanya bisa akses 1 IP di VLAN 9(misal 192.168.9.2)

    ane udah kotak katik FILTERnya bolak balik

    - chain INPUT dan FORWARD destionatin 192.168.9.0/24 source 192.168.0.0/16 action ACCEPT <<< VLAN 9 bisa akses semua vlan
    - chain INPUT dan FORWARD destionatin 192.168.0.0/16 source 192.168.9.2 action ACCEPT <<< semua VLAN 10 - 50 hanya bisa akses 1 IP pada VLAN 9

    - chain INPUT dan FORWARD destionatin 192.168.9.0/24 source 192.168.10.0/24 action DROP
    - chain INPUT dan FORWARD destionatin 192.168.9.0/24 source 192.168.20.0/24 action DROP
    - chain INPUT dan FORWARD destionatin 192.168.9.0/24 source 192.168.30.0/24 action DROP
    - chain INPUT dan FORWARD destionatin 192.168.9.0/24 source 192.168.40.0/24 action DROP
    - chain INPUT dan FORWARD destionatin 192.168.9.0/24 source 192.168.50.0/24 action DROP

    - chain INPUT dan FORWARD destionatin 192.168.10.0/24 source 192.168.20.0/24 action DROP
    - chain INPUT dan FORWARD destionatin 192.168.10.0/24 source 192.168.30.0/24 action DROP
    - chain INPUT dan FORWARD destionatin 192.168.10.0/24 source 192.168.40.0/24 action DROP
    - chain INPUT dan FORWARD destionatin 192.168.10.0/24 source 192.168.50.0/24 action DROP
    dan seterusnya sampe dest VLAN 50

    dengan rule ini jadi amburadul yang harusnya bisa PING malah engga bisa ping mumet ane

    ada yang bisa bantu pencerahan gan Click here to enlarge
    Last edited by error; 31-10-2011 at 11:50.

  2. #2
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    kalo pake input artinya tujuan akhir adalah router/mikrotik itu sendiri
    kalo pake forward bisa di asumsikan misalnya dari ether1 ke ether2

    kalo pke input artinya ada rule tambahan bagi user untuk mengakses router

    masalah ping, ping kan pake protocol icmp, mungkin bisa lebih di definisikan dalam rule bloking nya karena saya liat anta hantam rata semua protocol di drop.

    saya biasanya kalo pake chain forward saya kasih in interface sama out interface nya, biar si mikrotik pas lg baca rule itu dia langsung bisa mendefinisikan dari ether mana dan menuju ke ether mana, kalo gak di kasih menurut saya ntar si mikrotik bakal nge cekin 1-1 connection yang ada dan nyari yang src.address dan dst.address yang sesuai rule.

  3. #3
    Status
    Offline
    error's Avatar
    Baru Gabung
    Join Date
    Oct 2011
    Posts
    16
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    jadi seperti ini yah

    - chain INPUT destionatin 192.168.9.0/24 source 192.168.10.0/24 protocol icmp action DROP <<< bukan kah ini buat ngeblok ping
    - chain FORWARD destionatin 192.168.9.0/24 source 192.168.10.0/24 in.interface VLAN 9 out.interface VLAN 10 action DROP <<< ini ngeblok Layer App (sharing folder dll)

    CMIIW
    mohon pencerahannya
    Last edited by error; 31-10-2011 at 14:35.

  4. #4
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    INPUT >> untuk tujuan ke mikrotik
    FORWARD >> untuk tujuan ke interface lain

    "dengan rule ini jadi amburadul yang harusnya bisa PING malah engga bisa ping mumet ane"
    kan anda sendiri yang bilang malah gak bisa PING kok nanya balik "bukan kah ini buat ngeblok ping" ?

    clue nya : vlan juga termasuk interface, walau fisiknya gak ada tapi ttp di sebut interface.

    rule 1 itu cuma blok ping ke mikrotik, tanpa ada dst address gak perlu di kasih, kalo mau blok antar vlan pake aja chain forward, saat blok di situ di definisikan apa yg mau di blok apa yg gak mau.

  5. The Following User Says Thank You to adh1et For This Useful Post:


  6. #5
    Status
    Offline
    error's Avatar
    Baru Gabung
    Join Date
    Oct 2011
    Posts
    16
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by adh1et Click here to enlarge
    INPUT >> untuk tujuan ke mikrotik
    FORWARD >> untuk tujuan ke interface lain

    "dengan rule ini jadi amburadul yang harusnya bisa PING malah engga bisa ping mumet ane"
    kan anda sendiri yang bilang malah gak bisa PING kok nanya balik "bukan kah ini buat ngeblok ping" ?

    clue nya : vlan juga termasuk interface, walau fisiknya gak ada tapi ttp di sebut interface.

    rule 1 itu cuma blok ping ke mikrotik, tanpa ada dst address gak perlu di kasih, kalo mau blok antar vlan pake aja chain forward, saat blok di situ di definisikan apa yg mau di blok apa yg gak mau.
    maklum gan hehehe

    mmhh jadi gini yah
    jadi semua paket data dari VLAN 10 ke VLAN 9 d drop

    - chain FORWARD in.interface VLAN 9 out.interface VLAN 10 action DROP

    yang d blok y semuanya kecuali inet Click here to enlarge biar antar vlan engga bisa ping / sharing file

    CMIIW
    Last edited by error; 31-10-2011 at 16:17.

  7. The Following User Says Thank You to error For This Useful Post:


  8. #6
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    ho oh, bahasa gampang nya gitu "semua paket data dari VLAN 10 ke VLAN 9 d drop"
    untuk "chain FORWARD in.interface VLAN 9 out.interface VLAN 10 action DROP" itu seluruh protocol loh, ping gak bisa, share gak bisa dll
    kalo mau ada yg di allow bikin rule dengan action accept sebelum rule drop, tapi allow nya harus spesifik,
    misalnya :
    "chain FORWARD in.interface VLAN 9 out.interface VLAN 10 action Accept protocol=icmp"
    kemudian bawahnya
    "chain FORWARD in.interface VLAN 9 out.interface VLAN 10 action DROP"

    ip firewall filter itu membaca dari rule paling atas ke bawah, jika nyangkut di rule yang atas maka gak akan di teruskan ke bawah, namun jika gak ada yg nyangkut maka rule tersebut di anggap di allow/accept

  9. The Following User Says Thank You to adh1et For This Useful Post:


  10. #7
    Status
    Offline
    error's Avatar
    Baru Gabung
    Join Date
    Oct 2011
    Posts
    16
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by adh1et Click here to enlarge
    ho oh, bahasa gampang nya gitu "semua paket data dari VLAN 10 ke VLAN 9 d drop"
    untuk "chain FORWARD in.interface VLAN 9 out.interface VLAN 10 action DROP" itu seluruh protocol loh, ping gak bisa, share gak bisa dll
    kalo mau ada yg di allow bikin rule dengan action accept sebelum rule drop, tapi allow nya harus spesifik,
    misalnya :
    "chain FORWARD in.interface VLAN 9 out.interface VLAN 10 action Accept protocol=icmp"
    kemudian bawahnya
    "chain FORWARD in.interface VLAN 9 out.interface VLAN 10 action DROP"

    ip firewall filter itu membaca dari rule paling atas ke bawah, jika nyangkut di rule yang atas maka gak akan di teruskan ke bawah, namun jika gak ada yg nyangkut maka rule tersebut di anggap di allow/accept
    ok mantaf
    mohon pencerahan lagi Click here to enlarge

    ok VLAN 10 engga bisa akses IP2 d VLAN 9, tapi ane pengen VLAN 10 bisa akses 1 IP d VLAN 9

    ane udah buat rule

    chain forward src.add 192.168.0.0/16 dest.add 192.168.9.5 action accept

    tapi engga bisa
    pake src.add 0.0.0.0/0 engga bisa
    pake in.interface VLAN 9 engga bisa, sampe out.interface VLAN 10 di pasang engga bisa jg

    disini ane pake ping buat patoka bisa

    kesalahan ane dimana kah ???

    logika ane rule itu udah sipp, rule itu juga pada #0

  11. The Following User Says Thank You to error For This Useful Post:


  12. #8
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    kalo action drop nya di disable bisa jalan?

  13. #9
    Status
    Offline
    error's Avatar
    Baru Gabung
    Join Date
    Oct 2011
    Posts
    16
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by adh1et Click here to enlarge
    kalo action drop nya di disable bisa jalan?
    yup klo d disable bisa jalan

  14. #10
    Status
    Offline
    adiputrolds's Avatar
    Forum Guru
    Join Date
    Oct 2008
    Posts
    1,485
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    drop tcp-flags=syn
    jangan di drop semua

    baca dulu tcp-flags mas
    sebelum main filter

    dengan rule mentah2 seperti diatas
    ESTABLISH dan related juga kenak drop

    hati2 main di chain input OM
    kalo di liat dari impian anda
    itu hanya bermain di forward
    Last edited by adiputrolds; 01-11-2011 at 12:29.

  15. #11
    Status
    Offline
    error's Avatar
    Baru Gabung
    Join Date
    Oct 2011
    Posts
    16
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by electrix_85 Click here to enlarge
    drop tcp-flags=syn
    jangan di drop semua

    baca dulu tcp-flags mas
    sebelum main filter

    dengan rule mentah2 seperti diatas
    ESTABLISH dan related juga kenak drop

    hati2 main di chain input OM
    kalo di liat dari impian anda
    itu hanya bermain di forward
    pake tcp-flags= syn <<< new connection
    ane pasang gini

    - chain FORWARD in.interface = VLAN 9 out.interface = VLAN 10 protocol=tcp tcp-flags = syn action DROP

    mmhhhh klo bisa buat ane its OK, yang penting antar VLAN engga bisa share file dll

    tapi ane pasang

    chain forward src.add 192.168.0.0/16 dest.add 192.168.9.5 action accept

    share foldernya engga bisa yah <<< cuma uji coba
    soalnya IP 192.168.9.5 itu print dan scanner jadi istilahnya dy harus bisa d akses gt

    mohon pencerahannya lagi mastah Click here to enlarge

  16. #12
    Status
    Offline
    adiputrolds's Avatar
    Forum Guru
    Join Date
    Oct 2008
    Posts
    1,485
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    kalo hanya mau block windows share
    block aja port NetBios

  17. #13
    Status
    Offline
    error's Avatar
    Baru Gabung
    Join Date
    Oct 2011
    Posts
    16
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by electrix_85 Click here to enlarge
    kalo hanya mau block windows share
    block aja port NetBios
    cukup blok dari port 137-139 donks d drop

    ane googling blok SMB/CIFS

    dari wiki.mikrotik.com
    add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs"

    apa bedanya ama netbios ?
    maaf baru belajar Click here to enlarge
    Last edited by error; 02-11-2011 at 11:42.

  18. #14
    Status
    Offline
    karaeng's Avatar
    VIP Member
    Join Date
    Jun 2010
    Posts
    958
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by electrix_85 Click here to enlarge
    kalo hanya mau block windows share
    block aja port NetBios
    yup setju banget ama om electrix...
    cukup blok port netbios aja...

    nga usah menggunakan banyak2 filter... apalagi sampe make chain: input....
    forward aja dah cukup tuh....

  19. #15
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    tergantung TS juga sih mau apa yg di filter. sebenernya ada 3 (CMIIW) :
    1. drop everything
    2. drop beberapa port / ip, yang gak di drop bakal otomatis di allow
    3. allow beberapa port / ip, yang gak di allow ada 2 kemungkinan, bisa di drop (jika ada chain drop di bawahnya), bisa di allow secara otomatis (jika gak ada chain drop di bawahnya)

    nah dari 3 di atas cari yang memungkinkan pemakaian rule yang paling sedikit (buat hemat resource)

 

 
Page 1 of 2 12 LastLast

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. Pengantar VLAN
    By maman in forum Articles
    Replies: 38
    Last Post: 05-09-2013, 11:33
  2. HELP ME......Vlan catalyst --- Vlan Mikrotik
    By motokare2006 in forum General Networking
    Replies: 0
    Last Post: 27-09-2010, 18:58
  3. [ask] membuat vlan di rb 500
    By nuna466 in forum Beginner Basics
    Replies: 9
    Last Post: 07-09-2010, 14:47
  4. [ask] Vlan
    By Fade2Green in forum General Networking
    Replies: 3
    Last Post: 12-09-2009, 05:58

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •