Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Page 1 of 2 12 LastLast
Results 1 to 15 of 16
  1. #1
    Status
    Offline
    ccool's Avatar
    Baru Gabung
    Join Date
    Dec 2008
    Posts
    12
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    [ASK] blok ip sepenuhnya

    ip mikrotik : 192.168.10.254/24.
    saya pake IP 192.168.10.1 hingga 192.168.10.20 bukan dhcp,
    trus saya mau blok IP yg ga kepake 192.168.10.21 - 192.168.10.253.
    termasuk blok ping ke client dari IP yg sudah diblok.

    sy sudah pake drop IP src & dst 192.168.10.21 - 192.168.10.253,
    dan IP tersebut sudah gak bisa akses mikrotik & internet.

    tapi IP tersebut masih bisa ping ke client 1-20.

    gmn caranya supaya IP di luar 20 tersebut untuk tidak dapat mengakses LAN?
    thanks b4.




    edit: masukin topologi [ip nya beda]

    Click here to enlarge

    Last edited by ccool; 03-01-2009 at 03:47. Reason: masukin topologi

  2. #2
    Status
    Offline
    geonet_comp's Avatar
    Member Super Senior
    Join Date
    Aug 2007
    Posts
    527
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by ccool Click here to enlarge
    ip mikrotik : 192.168.10.254/24.
    saya pake IP 192.168.10.1 hingga 192.168.10.20 bukan dhcp,
    trus saya mau blok IP yg ga kepake 192.168.10.21 - 192.168.10.253.
    termasuk blok ping ke client dari IP yg sudah diblok.

    sy sudah pake drop IP src & dst 192.168.10.21 - 192.168.10.253,
    dan IP tersebut sudah gak bisa akses mikrotik & internet.

    tapi IP tersebut masih bisa ping ke client 1-20.

    gmn caranya supaya IP di luar 20 tersebut untuk tidak dapat mengakses LAN?
    thanks b4.
    yah logikanya gak bisa mas, karena emang ip selain 21-253 gak bisa akses ke router maupun ke luar (masquerade/snat) tapi selama ip dalam subnet yang sama terdapat dalam interface yang sama gak bakal ke blok, karena tidak termasuk routing. Meskipun kita mengganti subnet, misalnya dengan /27 (misal 192.168.10.1/24) pun tetapi apabila ada juga client yang menggunakan /24 (misal 192.168.10.50/24) tetap mereka bisa melakukan ping ke ip 1 tadi, karena masih dalam 1 group hanya dengan kelas yang berbeda.
    Kalau ingin hanya 20 tersebut yang bisa mengakses LAN coba dipisahkan ip nya, ato kalau memang wired LAN cabut ajah kabelnya dan kalo melalui wireless coba di lock ajah MAC nyah.. beres deh Click here to enlarge
    Last edited by geonet_comp; 02-01-2009 at 11:55.

  3. #3
    Status
    Offline
    ccool's Avatar
    Baru Gabung
    Join Date
    Dec 2008
    Posts
    12
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    thx..

    iya ini di wireless. cm klo ada komputer penyusup yg misalnya dia pke ip 192.168.10.50, trus dia bs akses lan donk Click here to enlarge
    klo blok sekali, tar dia pke mac address changer, trus akses lg. ampe seterusnya. Click here to enlarge

  4. #4
    Status
    Offline
    geonet_comp's Avatar
    Member Super Senior
    Join Date
    Aug 2007
    Posts
    527
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by ccool Click here to enlarge
    thx..

    iya ini di wireless. cm klo ada komputer penyusup yg misalnya dia pke ip 192.168.10.50, trus dia bs akses lan donk Click here to enlarge
    klo blok sekali, tar dia pke mac address changer, trus akses lg. ampe seterusnya. Click here to enlarge
    Yah kalo MAC client kita bisa ketauan artinya ada kerjasama dong yang nyusup sama client kita itu? logikanya kan yang namanya MAC itu kaya fingerprints, gak bakal tau kalo gak diliat dulu Click here to enlarge Click here to enlarge

    Btw... yang di MAC lock itu allowed lho bukan deny, right?

  5. #5
    Status
    Offline
    mattnux's Avatar
    Forum Guru
    Join Date
    Jun 2008
    Location
    jakarta
    Posts
    1,255
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    1 (100%)
    kenapa ga pake dhcp aja?tinggal set di poolnya aja udah beres gan..

  6. #6
    Status
    Offline
    zainalk29's Avatar
    Member Super Senior
    Join Date
    Aug 2007
    Location
    Banjarmasin, Yogyakarta, Indonesia
    Posts
    676
    Reviews
    Read 0 Reviews
    Downloads
    1
    Uploads
    0
    Feedback Score
    0
    set /27 aja bos .... kan lebih mudah jadi nya Click here to enlarge

  7. #7
    Status
    Offline
    ccool's Avatar
    Baru Gabung
    Join Date
    Dec 2008
    Posts
    12
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by geonet_comp Click here to enlarge
    Yah kalo MAC client kita bisa ketauan artinya ada kerjasama dong yang nyusup sama client kita itu? logikanya kan yang namanya MAC itu kaya fingerprints, gak bakal tau kalo gak diliat dulu Click here to enlarge Click here to enlarge

    Btw... yang di MAC lock itu allowed lho bukan deny, right?

    mksdnya mac lock di AP ?

    cm sy ga masukin AP ke dlm mikrotik, pake gini :



    di interfaces yg menuju klien ARP diset reply-only
    dari arp & firewall rules sy set match Ip&mac 1 per 1.
    Last edited by ccool; 02-01-2009 at 21:17.

  8. #8
    Status
    Offline
    geonet_comp's Avatar
    Member Super Senior
    Join Date
    Aug 2007
    Posts
    527
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by ccool Click here to enlarge
    mksdnya mac lock di AP ?

    cm sy ga masukin AP ke dlm mikrotik, pake gini :



    di interfaces yg menuju klien ARP diset reply-only
    dari arp & firewall rules sy set match Ip&mac 1 per 1.
    lock MAC access-list di AP nya bro, bukan di router MT nya Click here to enlarge

  9. #9
    Status
    Offline
    rahwana's Avatar
    Forum Guru
    Join Date
    Nov 2007
    Location
    Sidoarjo, Jawa Timur, Indonesia, Indonesia
    Posts
    1,337
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by ccool Click here to enlarge
    ip mikrotik : 192.168.10.254/24.
    saya pake IP 192.168.10.1 hingga 192.168.10.20 bukan dhcp,
    trus saya mau blok IP yg ga kepake 192.168.10.21 - 192.168.10.253.
    termasuk blok ping ke client dari IP yg sudah diblok.

    sy sudah pake drop IP src & dst 192.168.10.21 - 192.168.10.253,
    dan IP tersebut sudah gak bisa akses mikrotik & internet.

    tapi IP tersebut masih bisa ping ke client 1-20.

    gmn caranya supaya IP di luar 20 tersebut untuk tidak dapat mengakses LAN?
    thanks b4.
    Blok paket ping kalau berada dalam 1 local network yang terhubung menggunakan switch dan kabel tanpa melalui router tidak bisa ditahan. Yang bisa dilakukan adalah dengan mengaktifkan firewall di komputernya masing2. Misalnya kalau pakai windows, itu ada firewallnya. Kalau pakai linux, bisa pasang filter di iptablesnya.
    Kalau mau melarang untuk akses internet, bisa dilakukan oleh si router yang pasti berfungsi sebagai gateway. Tapi di local LAN, router tidak punya wewenang apa2.
    Kalau mau, kedua network (antara yang bisa internet dan yang tidak bisa internet) dipisahkan dengan 2 lan card dan 2 switch yang berbeda di mikrotik. Setelah itu baru mikrotik bisa mengatur siapa bisa apa... Click here to enlarge

  10. #10
    Status
    Offline
    ccool's Avatar
    Baru Gabung
    Join Date
    Dec 2008
    Posts
    12
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by geonet_comp Click here to enlarge
    lock MAC access-list di AP nya bro, bukan di router MT nya Click here to enlarge
    oh, kalo misalnya sy pengennya ga mau masukin AP ke dlm MT, trus
    bisa ga di atur mac&ip di router MT nya? soalnya MT bs lgsg kedetec client lain.

  11. #11
    Status
    Offline
    ccool's Avatar
    Baru Gabung
    Join Date
    Dec 2008
    Posts
    12
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by rahwana Click here to enlarge
    Blok paket ping kalau berada dalam 1 local network yang terhubung menggunakan switch dan kabel tanpa melalui router tidak bisa ditahan. Yang bisa dilakukan adalah dengan mengaktifkan firewall di komputernya masing2. Misalnya kalau pakai windows, itu ada firewallnya. Kalau pakai linux, bisa pasang filter di iptablesnya.
    Kalau mau melarang untuk akses internet, bisa dilakukan oleh si router yang pasti berfungsi sebagai gateway. Tapi di local LAN, router tidak punya wewenang apa2.
    Kalau mau, kedua network (antara yang bisa internet dan yang tidak bisa internet) dipisahkan dengan 2 lan card dan 2 switch yang berbeda di mikrotik. Setelah itu baru mikrotik bisa mengatur siapa bisa apa... Click here to enlarge
    thx.. Click here to enlarge

  12. #12
    Status
    Offline
    geonet_comp's Avatar
    Member Super Senior
    Join Date
    Aug 2007
    Posts
    527
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by ccool Click here to enlarge
    oh, kalo misalnya sy pengennya ga mau masukin AP ke dlm MT, trus
    bisa ga di atur mac&ip di router MT nya? soalnya MT bs lgsg kedetec client lain.
    Bisa tho, kan seperti topologi yang bro mau diatas? Tapi kalo mau prevent client yang via AP yang diatur AP nya tha bukan MT nyah Click here to enlarge

  13. #13
    Status
    Offline
    ccool's Avatar
    Baru Gabung
    Join Date
    Dec 2008
    Posts
    12
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by geonet_comp Click here to enlarge
    Bisa tho, kan seperti topologi yang bro mau diatas? Tapi kalo mau prevent client yang via AP yang diatur AP nya tha bukan MT nyah Click here to enlarge

    contohnya kayak gini ya allownya?
    Click here to enlarge


    mohon pencerahan Click here to enlarge



    --------------------------------------------------------------

    sy juga pake script ini =
    Click here to enlarge Originally Posted by nux Click here to enlarge
    misal sisa ip yg gak kepake adl 192.168.1.51 - 192.168.1.255, script nya berarti..
    drop input:
    Code:
    :for e from 51 to 255 do={ /ip firewall filter add chain=input src-address=(192.168.1. . $e) action=drop }
    drop forward:
    Code:
    :for e from 51 to 255 do={ /ip firewall filter add chain=forward src-address=(192.168.1. . $e) action=drop }
    drop output:
    Code:
    :for e from 51 to 255 do={ /ip firewall filter add chain=output src-address=(192.168.1. . $e) action=drop }
    coba test bro...Click here to enlarge
    Last edited by ccool; 03-01-2009 at 22:16.

  14. #14
    Status
    Offline
    BatavianX's Avatar
    Member Senior
    Join Date
    Dec 2007
    Location
    x-Region
    Posts
    485
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Script firewall di atas akan mempengaruhi kinerja router, terutama yang mempunyai memory terbatas (-baca kecil-).

    Untuk rule di atas contoh yang jauh lebih efisien:
    -Masukkan list address yang akan didrop:
    Code:
    / ip firewall address-list list=Blocked-IP address=192.168.0.51-192.168.0.254 disabled=no
    -Masukkan 1 buah filter rule untuk drop semua request forward dari daftar IP
    Code:
    / ip firewall filter add chain=forward address-list=Blocked-IP action=drop
    -Tambahkan rule lainnya:
    Code:
    / ip firewall filter add chain=input address-list=Blocked-IP action=drop
    Code:
    / ip firewall filter add chain=output address-list=Blocked-IP action=drop
    Lebih mudah untuk di-manage & jauh lebih efisien!

  15. The Following User Says Thank You to BatavianX For This Useful Post:


  16. #15
    Status
    Offline
    ccool's Avatar
    Baru Gabung
    Join Date
    Dec 2008
    Posts
    12
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    thanks ^

    btw kalo mac lock itu, smua mac client2 itu dimasukin dalam AccessList atau ConnectList nya ya?

    Click here to enlarge

    00:0C:1A:90:FA:00 <--- PC1
    00:0C:A0:60:d3:00 <--- PC2

 

 
Page 1 of 2 12 LastLast

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. Cara blok ip gmn sih?
    By server_2net in forum Scripting @ Mikrotik
    Replies: 66
    Last Post: 05-09-2014, 17:20
  2. [ask]port www ku ke blok
    By helmy01 in forum Beginner Basics
    Replies: 7
    Last Post: 23-12-2008, 21:13
  3. Blok P2P
    By kipyes in forum Beginner Basics
    Replies: 2
    Last Post: 16-07-2008, 16:59
  4. blok !ournetwork
    By ponywaterhouse in forum General Networking
    Replies: 8
    Last Post: 02-02-2008, 17:54
  5. blok mac
    By k1j0r in forum Wireless Networking
    Replies: 3
    Last Post: 12-11-2007, 18:46

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •