Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Page 1 of 2 12 LastLast
Results 1 to 15 of 21
  1. #1
    Status
    Offline
    atut's Avatar
    Member
    Join Date
    Aug 2012
    Posts
    154
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    [ASK] Setting Firewall & NAT block ping

    Halo agan2 dan suhu2,

    Saya ingin block ping dari luar (Internet) ke MikroTik (pppoe), tapi dari MikroTik tetap bisa ping keluar (google.com) dan LAN juga tetap bisa ping keluar

    Saya pake ip firewall filter chain=input action=drop protocol=icmp in-interface=pppoe-out1
    Berhasil memang, dari luar (Internet) tidak bisa ping lagi ke MikroTik (pppoe), tapi dari MikroTik sendiri jadinya tidak bisa ping keluar pula (google.com), maunya dari MikroTik tetap bisa ping ke luar.

    Ini untuk mencegah intruder/hacker yang test ping ke MikroTik saya.

    Bagaimana caranya? NAT dan filter apa yang harus saya tambahkan?
    Last edited by atut; 25-08-2012 at 11:14.

  2. #2
    Status
    Offline
    NWHYX's Avatar
    Baru Gabung
    Join Date
    Aug 2012
    Posts
    3
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Kalau ping dari Internet ke arah Mikrotik di blok,kemungkinan PING dari LAN sama mikrotik ke internet RTO,soalnyakan paket balasan ICMP dr Internet ke Mikrotik nggak sampe,kena block filter.Kl settingannya biar bs gt,sy blm nyoba.hehe CMIIW Click here to enlarge

  3. #3
    Status
    Offline
    NWHYX's Avatar
    Baru Gabung
    Join Date
    Aug 2012
    Posts
    3
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Kalau ping dari Internet ke arah Mikrotik di blok,kemungkinan PING dari LAN sama mikrotik ke arah Internet RTO,soalnyakan paket balasan ICMP dr Internet ke Mikrotik nggak sampe,kena block filter.Kl settingannya biar bs gt,sy blm nyoba.hehe CMIIW Click here to enlarge

  4. #4
    Status
    Offline
    yogii's Avatar
    Member Senior
    Join Date
    Jun 2010
    Location
    Batam - Indonesia
    Posts
    416
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    1
    Feedback Score
    0
    @atut,

    coba agan tambahkan connection-state=new, semoga berhasil..

  5. The Following User Says Thank You to yogii For This Useful Post:


  6. #5
    Status
    Offline
    atut's Avatar
    Member
    Join Date
    Aug 2012
    Posts
    154
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by NWHYX Click here to enlarge
    Kalau ping dari Internet ke arah Mikrotik di blok,kemungkinan PING dari LAN sama mikrotik ke internet RTO,soalnyakan paket balasan ICMP dr Internet ke Mikrotik nggak sampe,kena block filter.Kl settingannya biar bs gt,sy blm nyoba.hehe CMIIW Click here to enlarge
    pasti bisa... soalnya dalam ICMP packet kan ada identifier nya...
    jadi kalo ping dengan identifier yang bukan berasal dari mikrotik kita di drop
    kalo ping dengan identifier yang berasal dari kita makan di accept/passthrough


    Protocol suite: TCP/IP.
    Protocol type: Transport layer control protocol.
    Base protocol: ICMP, Internet Control Message Protocol.
    Related ICMP message: Echo reply.
    Host implementation: Mandatory.
    Router implementation: Mandatory.
    Links: IANA: ICMP parameters.

    The Identifier, sequence number and data fields should be returned to the sender unaltered

  7. #6
    Status
    Offline
    atut's Avatar
    Member
    Join Date
    Aug 2012
    Posts
    154
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by yogii Click here to enlarge
    @atut,

    coba agan tambahkan connection-state=new, semoga berhasil..

    WOW!!! berhasil gan... mantap gan suhu... thanks banyak ya...
    padahal cari2 ke mana gak bisa, malah ada yang bilang impossible....
    thank you thank you

  8. #7
    Status
    Offline
    atut's Avatar
    Member
    Join Date
    Aug 2012
    Posts
    154
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    gan suhu, bagaimana dengan ini? seputar ping juga...

    topologi saya:

    Internet --- Modem (Bridge) --- MikroTik (pppoe) --- Switch --- LAN

    Modem = 10.0.0.1
    MikroTik ether1 (to Modem) = 10.0.0.2
    MikroTik ether2 (to LAN) = 192.168.1.2
    LAN = 192.168.1.xxx/24

    Bagaimana cara block ping dari LAN (ether2) ke Modem dan MikroTik (ether1)? Block dengan interface nya, bukan blok dengan IP nya

    Kalau block dengan IP nya saya bisa dengan ini:
    ip firewall nat chain=input action=drop protocol=icmp dst-address=10.0.0.1 in-interface=ether2
    ip firewall nat chain=input action=drop protocol=icmp dst-address=10.0.0.2 in-interface=ether2


    2 ip tersebut adalah melalui ether1
    katakan apabila saya mempunyai 50 network devices dengan 10.0.0.xxx/24 yang ke ether1, maka saya harus jalankan command diatas 50 kali, saya rasa kurang efisien

    jadi ada bagusnya sekaligus di block icmp dari ether2 ke ether1 saja
    bagaimana caranya?

    Thanks...
    Last edited by atut; 25-08-2012 at 14:20.

  9. #8
    Status
    Offline
    NWHYX's Avatar
    Baru Gabung
    Join Date
    Aug 2012
    Posts
    3
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    @atut terimakasih atas koreksinya Click here to enlarge

    Nambah ilmu jg nih,maklum,awam dlm mikrotik,heuheu

  10. #9
    Status
    Offline
    yogii's Avatar
    Member Senior
    Join Date
    Jun 2010
    Location
    Batam - Indonesia
    Posts
    416
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    1
    Feedback Score
    0
    Click here to enlarge Originally Posted by atut Click here to enlarge
    jadi ada bagusnya sekaligus di block icmp dari ether2 ke ether1 saja
    bagaimana caranya?
    ada beberapa cara memfilter packet yang masuk, bisa filter di ip maupun interface, terserah agan mau makai yang mana. gunakan chain=forward untuk memfilter packet yang dilewatkan/melalui oleh router (routing).

    Click here to enlarge Originally Posted by atut Click here to enlarge
    ip firewall nat chain=input action=drop protocol=icmp dst-address=10.0.0.1 in-interface=ether2
    yakin itu bisa? kayanya engga, krn chainnya input. search bedanya chain input, forward dan output.


    kalau saya salah maaf ya, saya juga baru belajar.. eheheh

  11. #10
    Status
    Offline
    yogii's Avatar
    Member Senior
    Join Date
    Jun 2010
    Location
    Batam - Indonesia
    Posts
    416
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    1
    Feedback Score
    0
    Click here to enlarge Originally Posted by yogii Click here to enlarge
    ip firewall nat chain=input action=drop protocol=icmp dst-address=10.0.0.1 in-interface=ether2
    yakin itu bisa? kayanya engga, krn chainnya input. search bedanya chain input, forward dan output.
    upps maaf saya ga teliti, itu di tabel NAT, statement saya diatas ini saya cabut heheh..


    sebaiknya kalau mau ngeblok icmp gunakan tabel filter gan. misal mau ngeblok icmp dari lan yang menuju ip 10.0.0.1 gunakan cara berikut.

    Code:
    ip firewall filter chain=forward action=drop protocol=icmp dst-address=10.0.0.1

  12. #11
    Status
    Offline
    atut's Avatar
    Member
    Join Date
    Aug 2012
    Posts
    154
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by yogii Click here to enlarge
    upps maaf saya ga teliti, itu di tabel NAT, statement saya diatas ini saya cabut heheh..
    upss... saya juga gak teliti, harusnya itu ip firewall filter, bukan nat... saya yang ketik salah... hehehe


    Click here to enlarge Originally Posted by yogii Click here to enlarge
    sebaiknya kalau mau ngeblok icmp gunakan tabel filter gan. misal mau ngeblok icmp dari lan yang menuju ip 10.0.0.1 gunakan cara berikut.

    Code:
    ip firewall filter chain=forward action=drop protocol=icmp dst-address=10.0.0.1
    gan, kalo command tersebut kan untuk block berdasarkan ip, bagaimana caranya kalo saya mau block berdasarkan ether1?
    dengan kata lain, icmp ping dari ether2 (192.168.1.xxx/24) tidak boleh masuk ke ether1 (10.0.0.xxx/24)
    bingung juga, soalnya dalam filter kan int interface dan out interface tidak boleh diisi dua2nya, harus diisi salah 1 aja kan?
    contoh: ip firewall filter chain=input protocol=icmp action=drop in-interface=ether1 out-interface=ether2 --> ini tidak boleh kan?

    bagaimana dengan command dibawah, ini bisa dipake? sehingga dari ether2 tidak bisa ping ke 10.0.0.xxx/24
    ip firewall filter chain=forward action=drop protocol=icmp out-interface=ether1
    ip firewall filter chain=input action=drop protocol=icmp in-interface=ether1

  13. #12
    Status
    Offline
    Tommy99's Avatar
    Newbie
    Join Date
    Jul 2012
    Posts
    48
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    ijin nyimak............

  14. #13
    Status
    Offline
    yogii's Avatar
    Member Senior
    Join Date
    Jun 2010
    Location
    Batam - Indonesia
    Posts
    416
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    1
    Feedback Score
    0
    Click here to enlarge Originally Posted by atut Click here to enlarge
    gan, kalo command tersebut kan untuk block berdasarkan ip, bagaimana caranya kalo saya mau block berdasarkan ether1?
    dengan kata lain, icmp ping dari ether2 (192.168.1.xxx/24) tidak boleh masuk ke ether1 (10.0.0.xxx/24)
    Click here to enlarge bingung juga saya jawabnya, ethernet itu ibarat pintu buat paket masuk/keluar ke dalam sistem, jadi bukan spt itu logikanya gan. jadi biasanya dalam packet terdapat informasi src dan dst address, nah dari informasi itu kita bertindak.

    Click here to enlarge Originally Posted by atut Click here to enlarge
    bingung juga, soalnya dalam filter kan int interface dan out interface tidak boleh diisi dua2nya, harus diisi salah 1 aja kan?
    contoh: ip firewall filter chain=input protocol=icmp action=drop in-interface=ether1 out-interface=ether2 --> ini tidak boleh kan?
    coba bayangkan router itu seperti rumah yang ada 2 pintu, 1 depan dan 1 belakang, kamu mau ke belakang pasti rumah akan melewatkan kamu masuk dulu dari pintu depan lalu kamu akan keluar dari pintu belakang, nah router ini seperti itu cara kerjanya. dalam forwarding kamu bisa tentuin 2 interface sekaligus IN dan OUT, ini berguna jika kamu punya banyak pintu yang akan kamu saring. berbeda dengan INPUT atau OUTPUT, coba cari referensi tentang ini.

    ^
    CMIIW.....
    Last edited by yogii; 27-08-2012 at 00:57.

  15. The Following User Says Thank You to yogii For This Useful Post:


  16. #14
    Status
    Offline
    atut's Avatar
    Member
    Join Date
    Aug 2012
    Posts
    154
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by yogii Click here to enlarge
    Click here to enlarge bingung juga saya jawabnya, ethernet itu ibarat pintu buat paket masuk/keluar ke dalam sistem, jadi bukan spt itu logikanya gan. jadi biasanya dalam packet terdapat informasi src dan dst address, nah dari informasi itu kita bertindak.

    coba bayangkan router itu seperti rumah yang ada 2 pintu, 1 depan dan 1 belakang, kamu mau ke belakang pasti rumah akan melewatkan kamu masuk dulu dari pintu depan lalu kamu akan keluar dari pintu belakang, nah router ini seperti itu cara kerjanya. dalam forwarding kamu bisa tentuin 2 interface sekaligus IN dan OUT, ini berguna jika kamu punya banyak pintu yang akan kamu saring. berbeda dengan INPUT atau OUTPUT, coba cari referensi tentang ini.

    ^
    CMIIW.....
    hmmm.... saya sedang membayangkan kalo rumah ada 2 pintu, pintu depan dan pintu belakang. Pintu belakang pasti bisa dikunci Click here to enlarge
    jadi, segala ping yang berasal dari ether2 ke network devices yang di belakang ether1 itu di block... termasuk ping ke ether1 itu sendiri
    (ibaratnya pintu ether1 dikunci pake gembok, kuncinya gak dipegang oleh orang2 yang berasal dari ether2)

    ini untuk mencegah orang iseng ping ke network devices yang terconnect ke ether1
    (ibaratnya mencegah orang iseng yang pengen ke belakang lewat pintu ether1 lihat ada apa2 saja, supaya orang tidak tahu kalo ada emas di belakang pintu ether1) Click here to enlarge

    pasti bisa begitu punya gan untuk setting di MikroTik...
    Last edited by atut; 27-08-2012 at 13:50.

  17. #15
    Status
    Offline
    kecoadisqo's Avatar
    Newbie
    Join Date
    Jan 2010
    Location
    Duri, Riau, Indonesia, Indonesia
    Posts
    67
    Reviews
    Read 0 Reviews
    Downloads
    1
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by atut Click here to enlarge
    hmmm.... saya sedang membayangkan kalo rumah ada 2 pintu, pintu depan dan pintu belakang. Pintu belakang pasti bisa dikunci Click here to enlarge
    jadi, segala ping yang berasal dari ether2 ke network devices yang di belakang ether1 itu di block... termasuk ping ke ether1 itu sendiri
    (ibaratnya pintu ether1 dikunci pake gembok, kuncinya gak dipegang oleh orang2 yang berasal dari ether2)

    ini untuk mencegah orang iseng ping ke network devices yang terconnect ke ether1
    (ibaratnya mencegah orang iseng yang pengen ke belakang lewat pintu ether1 lihat ada apa2 saja, supaya orang tidak tahu kalo ada emas di belakang pintu ether1)

    pasti bisa begitu punya gan untuk setting di MikroTik...
    klu ingin sekuriti lebih lanjut jgn icmp aja, msh banyak port yg ga perlu harus ditutup, sebagai tambahan saya paste kan catatan saya dibawah ini, sy lupa dapatnya dari mana... Click here to enlarge

    Code:
    add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm"
    
        add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm"
    
        add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"
    
        add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"
    
        add chain=virus protocol=tcp dst-port=593 action=drop comment="________"
    
        add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
    
        add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom"
    
        add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
    
        add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
    
        add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
    
        add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
    
        add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
    
        add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"
    
        add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm"
    
        add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
    
        add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y"
    
        add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle"
    
        add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop Beagle.C-K"
    
        add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="Drop MyDoom"
    
        add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor OptixPro"
    
        add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
    
        add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
    
        add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser"
    
        add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
    
        add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop Dabber.A-B"
    
        add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop Dumaru.Y"
    
        add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop MyDoom.B"
    
        add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus"
    
        add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2"
    
        add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop SubSeven"
    
        add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, Agobot, Gaobot"
    Click here to enlarge

    sumber:
    Last edited by kecoadisqo; 27-08-2012 at 14:59. Reason: dah nemu sumbernya :D

 

 
Page 1 of 2 12 LastLast

Thread Information

Users Browsing this Thread

There are currently 2 users browsing this thread. (0 members and 2 guests)

Similar Threads

  1. Firewall untuk block virus
    By c0nf in forum Tutorial
    Replies: 30
    Last Post: 12-02-2016, 11:39
  2. [ASK] script auto filter firewall block
    By arzhi in forum Scripting @ Mikrotik
    Replies: 3
    Last Post: 06-05-2012, 10:22
  3. setting firewall
    By suck-kay in forum Beginner Basics
    Replies: 2
    Last Post: 08-01-2010, 23:34
  4. <ask>cara block ping
    By daichi in forum General Networking
    Replies: 3
    Last Post: 19-11-2009, 00:54

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •