Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Results 1 to 10 of 10
  1. #1
    Status
    Offline
    icx
    icx's Avatar
    Baru Gabung
    Join Date
    Jan 2010
    Posts
    3
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    konversi iptables ke mikrotik

    Salam kenal semua. Click here to enlarge

    Saya anggota baru di forum ini, saya sedang mencoba untuk mensetting DMZ di belakang mikrotik dengan 1 ip publik. Saya ingin melewatkan beberapa paket ke DMZ dengan NAT.

    Sebagai contoh begini, misalkan saya punya web server di DMZ. Dengan menggunakan iptables di router pc kira2 perintahnya begini

    1. DNAT ip publik
    iptables -t nat -A PREROUTING -i $INET_LAN -p tcp -d $IP_PUBLIK --dport 80 -j DNAT --to-destination $WEB_SERVER

    2. FORWARD paket yang sudah di DNAT tsb ke DMZ
    iptables -A FORWARD -i $INET_LAN -o $DMZ_LAN -p tcp --sport $UNPRIV_PORTS -d $WEB_SERVER --dport 80 -m state --state NEW -j ACCEPT

    3.SNAT paket keluar dengan ip publik
    iptables -t nat -A POSTROUTING -o $INET_LAN -j SNAT --to-source $IP_PUBLIK


    saya masih bingung dengan padanannya di mikrotik. Mungkin master ada yang bisa menerjemahkan iptables rule tersebut ke mikrotik ? asumsinya di mikrotik
    $INET_LAN=ether1
    $DMZ_LAN=ether2
    $WEB_SERVER=alamat ip lokal web server
    $IP_PUBLIK=alamat ip publik dari ISP

    saya juga masih bingung dengan masalah nat ini di mikrotik, apakah jika kita melakukan DNAT seperti pada langkah 1, maka apakah di mikrotik tidak perlu disebutkan lagi paket yang telah di DNAT tersebut untuk diforward ke DMZ seperti yang dilakukan oleh iptables di langkah 2 ?

    mohon bantuannya

    terima kasih sebelumnya

    icx

  2. #2
    Status
    Offline
    akbar_lana's Avatar
    VIP Member
    Join Date
    Aug 2007
    Location
    Jakarta, Indonesia, Indonesia
    Posts
    735
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    1 (100%)
    gw coba tuk jawab pertanyaan lo ya bro...Click here to enlarge

    1. DNAT ip publik
    iptables -t nat -A PREROUTING -i $INET_LAN -p tcp -d $IP_PUBLIK --dport 80 -j DNAT --to-destination $WEB_SERVER
    script di Mikrotik nya menjadi seperti ini:
    Code:
    /ip firewall nat chain=dstnat in-interface=ether1 protocol=tcp dst-address=<alamat ip publik dari ISP> dst-port=80 action=dst-nat to-addresses=<alamat ip lokal web server>
    2. FORWARD paket yang sudah di DNAT tsb ke DMZ
    iptables -A FORWARD -i $INET_LAN -o $DMZ_LAN -p tcp --sport $UNPRIV_PORTS -d $WEB_SERVER --dport 80 -m state --state NEW -j ACCEPT
    script di Mikrotik menjadi seperti ini:
    Code:
    /ip firewall filter chain=forward in-interface=ether2 protocol=tcp src-port=80 dst-address=<alamat ip lokal web server> dst-port=80 connection-state=new action=accept

    3.SNAT paket keluar dengan ip publik
    iptables -t nat -A POSTROUTING -o $INET_LAN -j SNAT --to-source $IP_PUBLIK
    script di mikrotik nya menjadi seperti ini:
    Code:
    /ip firewall nat chain=srcnat out-interface=ether1 action=src-nat to-addresses=<alamat ip publik dari ISP>

    dan tuk pertanyaan bro yg ini
    saya juga masih bingung dengan masalah nat ini di mikrotik, apakah jika kita melakukan DNAT seperti pada langkah 1, maka apakah di mikrotik tidak perlu disebutkan lagi paket yang telah di DNAT tersebut untuk diforward ke DMZ seperti yang dilakukan oleh iptables di langkah 2 ?
    intinya teknik firewall/iptables dari Mikrotik dengan Linux sama bro, sebenarnya langkah ke 2 tidak perlu lagi di lakukan untuk di Mikrotik...dikarenakan default policy Iptables-nya (untuk semua table) ialah ACCEPT dan kita tidak bisa mengubah default policy Iptables dari Mikrotik tersebut....Click here to enlarge

    berbeda dengan iptables yang ada di Linux, klo di Linux kita bisa mengubah default policy iptables menjadi DROP ataupun ACCEPT di masing-masing table Iptables...Click here to enlarge

  3. The Following 4 Users Say Thank You to akbar_lana For This Useful Post:


  4. #3
    Status
    Offline
    icx
    icx's Avatar
    Baru Gabung
    Join Date
    Jan 2010
    Posts
    3
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    thx bro, jadi saya hanya perlu melakukan langkah 1 saja. Pantesan saya tanya mbah google mengenai NAT di mikrotik tapi ga pernah muncul tuh langkah 2 di mikrotik.

    Kalo gitu sekarang, kalo di iptables biasanya policy-nya drop semua paket, kecuali paket yang diinginkan. Kalo di mikrotik jadi apa ya ? terima semua paket, kecuali yang tidak diinginkan ? kalo gitu bikin ruleya bisa panjang banget ya :Click here to enlarge

  5. #4
    Status
    Offline
    akbar_lana's Avatar
    VIP Member
    Join Date
    Aug 2007
    Location
    Jakarta, Indonesia, Indonesia
    Posts
    735
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    1 (100%)
    Click here to enlarge Originally Posted by icx Click here to enlarge
    thx bro, jadi saya hanya perlu melakukan langkah 1 saja. Pantesan saya tanya mbah google mengenai NAT di mikrotik tapi ga pernah muncul tuh langkah 2 di mikrotik.

    Kalo gitu sekarang, kalo di iptables biasanya policy-nya drop semua paket, kecuali paket yang diinginkan. Kalo di mikrotik jadi apa ya ? terima semua paket, kecuali yang tidak diinginkan ? kalo gitu bikin ruleya bisa panjang banget ya :Click here to enlarge
    bisa juga di buat seperti ini bro, yg mesti di lakukan tinggal masukin rulenya:
    1. Allow semua paket/ traffic yang di inginkan
    2. Drop Everything - semua paket/ traffic.

    sehingga kita tidak perlu memasukan semua rule2 yang tidak di inginkan (yang mungkin akan sangat banyak sekali)..Click here to enlarge

  6. #5
    Status
    Offline
    barukun's Avatar
    Baru Gabung
    Join Date
    Apr 2010
    Posts
    1
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by akbar_lana Click here to enlarge
    gw coba tuk jawab pertanyaan lo ya bro...Click here to enlarge

    1. DNAT ip publik


    script di Mikrotik nya menjadi seperti ini:
    Code:
    /ip firewall nat chain=dstnat in-interface=ether1 protocol=tcp dst-address=<alamat ip publik dari ISP> dst-port=80 action=dst-nat to-addresses=<alamat ip lokal web server>
    2. FORWARD paket yang sudah di DNAT tsb ke DMZ


    script di Mikrotik menjadi seperti ini:
    Code:
    /ip firewall filter chain=forward in-interface=ether2 protocol=tcp src-port=80 dst-address=<alamat ip lokal web server> dst-port=80 connection-state=new action=accept

    3.SNAT paket keluar dengan ip publik


    script di mikrotik nya menjadi seperti ini:
    Code:
    /ip firewall nat chain=srcnat out-interface=ether1 action=src-nat to-addresses=<alamat ip publik dari ISP>

    dan tuk pertanyaan bro yg ini


    intinya teknik firewall/iptables dari Mikrotik dengan Linux sama bro, sebenarnya langkah ke 2 tidak perlu lagi di lakukan untuk di Mikrotik...dikarenakan default policy Iptables-nya (untuk semua table) ialah ACCEPT dan kita tidak bisa mengubah default policy Iptables dari Mikrotik tersebut....Click here to enlarge

    berbeda dengan iptables yang ada di Linux, klo di Linux kita bisa mengubah default policy iptables menjadi DROP ataupun ACCEPT di masing-masing table Iptables...Click here to enlarge
    hanya 2 langkah untuk bisa membuat port forwarding di mikrotik, buat dnat nya, lalu masquerade snat.

    tapi saya mau tanya nih: dalam kasus dnat untuk port 80 (http), perlu dicoba nih,
    1. kita buka dari mesin webserver itu gmn? bisa nda ya?
    2. kalo kita buka dari local?
    3. dan kalo kita buka di local supaya bisa lari ke ip.web.server local gmn caranya?

    kalo lihat perjalanan paket sih dia akan balik ke dirinya sendiri kan?

    mohon bantuan para suhu-suhu mikrotik dong Click here to enlarge

  7. #6
    Status
    Offline
    arthalita01's Avatar
    Newbie
    Join Date
    Oct 2010
    Posts
    46
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    simak sini Click here to enlarge

  8. #7
    Status
    Offline
    oktama's Avatar
    Forum Guru
    Join Date
    Jul 2008
    Location
    Jayapura
    Posts
    1,929
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by barukun Click here to enlarge
    hanya 2 langkah untuk bisa membuat port forwarding di mikrotik, buat dnat nya, lalu masquerade snat.

    tapi saya mau tanya nih: dalam kasus dnat untuk port 80 (http), perlu dicoba nih,
    1. kita buka dari mesin webserver itu gmn? bisa nda ya?
    2. kalo kita buka dari local?
    3. dan kalo kita buka di local supaya bisa lari ke ip.web.server local gmn caranya?

    kalo lihat perjalanan paket sih dia akan balik ke dirinya sendiri kan?

    mohon bantuan para suhu-suhu mikrotik dong Click here to enlarge
    1. kita buka dari mesin webserver itu gmn? bisa nda ya?
    ipfirewall nat add chain=dst-nat dst-address=alamat.ip.publik protocol=tcp dst-pot=80 action=dst-nat to-address=ip.web.server to-ports=80

    2. kalo kita buka dari local?
    hasilnya akan sama aja akan masuk ke webserver dibelakang nat

    3. dan kalo kita buka di local supaya bisa lari ke ip.web.server local gmn caranya?
    ipfirewall nat add chain=dst-nat dst-address=alamat.ip.router protocol=tcp dst-pot=80 action=dst-nat to-address=ip.web.server to-ports=80

  9. The Following User Says Thank You to oktama For This Useful Post:


  10. #8
    Status
    Offline
    iamspa's Avatar
    Member Super Senior
    Join Date
    Jan 2010
    Location
    MEDAN DONK AH....
    Posts
    685
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    kalo seperti ini gimana ya gan konversi ke ip tables nya
    /ip firewall nat add chain=dstnat action=dst-nat to-addresses=IPproxy2 to-ports=port-proxy2 protocol=tcp src-address=IPproxy1 dst-port=80

    mohon bantuan nya.....

  11. #9
    Status
    Offline
    yogii's Avatar
    Member Senior
    Join Date
    Jun 2010
    Location
    Batam - Indonesia
    Posts
    416
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    1
    Feedback Score
    0
    Click here to enlarge Originally Posted by iamspa Click here to enlarge
    kalo seperti ini gimana ya gan konversi ke ip tables nya
    /ip firewall nat add chain=dstnat action=dst-nat to-addresses=IPproxy2 to-ports=port-proxy2 protocol=tcp src-address=IPproxy1 dst-port=80

    mohon bantuan nya.....
    semoga tidak salah gan,
    Code:
    iptables -t nat -A PREROUTING -p tcp -s IPproxy1 --dport 80 -j DNAT --to IPproxy2:port-proxy2

  12. #10
    Status
    Offline
    ndasjowo's Avatar
    Member
    Join Date
    Mar 2010
    Location
    Boyolali - Solo - Sragen
    Posts
    267
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    iptables yang seperti ini :
    Code:
    iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 80 ! --tcp-flags FIN,SYN,RST,ACK SYN -m socket -j ACCEPT
    kalo di konversi ke mikrotik kayak mana ya ... ?

 

 

Thread Information

Users Browsing this Thread

There are currently 4 users browsing this thread. (0 members and 4 guests)

Similar Threads

  1. Gimana cara set iptables jika squid proxy diatas mikrotik ?
    By pathic in forum General Networking
    Replies: 0
    Last Post: 23-06-2008, 12:08
  2. Replies: 2
    Last Post: 12-01-2008, 19:29

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •