Gambaran urutan setelah ditambah perangkat router :
[INTERNET]——[MODEM ADSL]——[ROUTER MIKROTIK]——[SWITCH]———[CLIENT]

Langkah pertama setting modem ADSL :

Buka browser masukkan alamat modem (secara default adalah http://192.168.1.1)

• Masukkan username dan password : admin/admin
• Masuk ke menu “Advanced Setup” kemudian pilih “WAN” dan klik tombol “Edit” Masukkan nilai PVC
• Configuration : (masukkan nilainya sesuai wilayah TELKOM masing-masing daerah) VPI = 0 & VCI = 35
• Service Category = UBR Without PCR, kemudian klik Next
• Connection type = Bridging (karena nantinya router yang melakukan dial)
• Encapsulation = LLC, kemudian klik tombol Next
• Tandai check box pilihan “Enable Bridge Service”, Next dan akhiri dengan Save
• Langkah terakhir klik tombol Save/Reboot.

Langkah kedua setting router :

Gunakan WINBOX untuk men-setting router  mikrotik :

Pertama setting interface router :

/interface ethernet set ether1 name=modem

/interface ethernet set ether2 name=lokal

Setelah masing-masing LAN card diberi nama, tentukan IP-nya

/ip address add address=192.168.1.2/24 interface=modem

/ip address add address=192.168.2.1/24 interface=lokal

Periksa hasil konfigurasi :

/ip address print

Jangan lupa beri dns dari pihak speedy

/ip dns set primary-dns=202.134.1.10 allow-remote-request=yes

/ip dns set secondary-dns=202.134.0.155 allow-remote-request=yes

Agar klien bisa terkoneksi ke internet konfigurasi NAT.

/ip firewall nat add chain=srcnat action=masquerade

Kemudian konfigurasikan PPPOE-CLIENT di router.

/interface pppoe-client add name=pppoe-client-speedy user=152xxxxxxxxx@telkom.net password=XXXXXXXXXX interface=speedy service-name=internet disabled=no

Kemudian buatlah route gateway dari koneksi anda.

/ip route add gateway= speedy

Langkah terakhir, buka winbox, masuk ke menu PPP > Interfaces > dobel klik koneksi Anda > pilih Tab Dial Out. Selanjutnya lihat gambar dibawah ini.

Selanjutnya lihat di tab General

Kemudian lihat di tab Dial Out

Pada Router Board Series 400/500/600

Untuk router Versi lama

source from : wiki mikrotik

Anda bisa mengikuti rules dibawah ini menggunakan chain input didalam

/ip firewall filter
(hanya copy paste ke router anda menggunakan Terminal Console atau menggunakan
winbox)

/ ip firewall filter

add chain=input connection-state=established comment="Accept established
connections"

add chain=input connection-state=related comment="Accept related connections"

add chain=input connection-state=invalid action=drop comment="Drop invalid
connections"

add chain=input protocol=udp action=accept comment="UDP" disabled=no

add chain=input protocol=icmp limit=50/5s,2 comment="Allow limi ted pings"

add chain=input protocol=icmp action=drop comment="Drop excess pings"

add chain=input protocol=tcp dst -port=22 comment="SSH for secure shell"

add chain=input protocol=tcp dst -port=22 comment="SSH for secure shell"

add chain=input protocol=tcp dst -port=8291 comment="winbox"

# Ganti rules dibawah dengan IP anda! #

add chain=input src-address=192.168.0.0/24 comment="Dari jaringan lokal"

add chain=input src-address=10.0.0.0/8 comment="Dari luar jaringan lokal"

# akhir yang bisa dirubah #

add chain=input action=log log -prefix="DROP INPUT" comment="Log everything
else"

add chain=input action=drop comment="Drop everything else"

Gunakan /ip firewall filter print input stats command untuk melihat seberapa banyak
paket yang diproses rules tersebut. Gunakan reset-counters-all command untuk mereset
counter. Periksa system log fil e /log print untuk melihat paket yang telah di drop.

Catatan, jika anda salah mengkonfigurasi firewall dan memblock anda sendiri, anda bisa
menggunakan MAC telnet dari router yang lain atau komputer dalam 1 jaringan yang
terhubung dengan router tersebut un tuk memperbaikinya.

Maka anda harus mengatur sedemikian rupa, sebagai contoh :

Perintah yang perlu anda atur pertama kali :

/queue simple add name=”Day” target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0 interface=<ether-x> parent=none direction=both priority=8 queue=default-small/default-small limit-at=256k/256k max-limit=512k/512k total-queue=default-small

/queue simple add name=”Night” target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0 interface=<ether-x> parent=none direction=both priority=8 queue=default-small/default-small limit-at=512k/512k max-limit=1M/1M total-queue=default-small

Untuk <ether-x> ganti dengan nama interface yang ke arah klien. Setelah mengaturnya kuota bandwidth lalu langkah

selanjutnya yakni memasukkan script :

/system script add name=”Pagi” source=/queue simple enable Day; /queue simple disable Night

/system script add name=”Night” source=/queue simple enable Night; /queue simple disable Day

Kemudian atur skedul waktunya :

/system scheduler name=”Day” on-event=Day start-date=oct/13/2007 start-time=06:00:00 interval=1d

/system scheduler name=”Night” on-event=Night start-date=oct/13/2007 start-time=18:00:00 interval=1d

Terdapat lima poin yang perlu dipertimbangkan ketika memilih sistem operasi FOSS:

Bagaimana Anda merencanakan untuk menggunakan sistem operasi FOSS adalah titik kunci untuk memperhitungkan saat menentukan pilihan Anda. Banyak sistem yang cukup fleksibel dan dapat digunakan untuk tujuan yang berbeda, tetapi berbayar untuk dipertimbangkan kekuatan dan kelemahan relatif.

Terdapat tiga kategori besar yang dapat digunakan untuk mengkategorikan sebagian besar sistem operasi FOSS: desktop, dan server.

Desktop Operating Systems

Jika Anda mengharapkan fungsi desktop dari sistem operasi FOSS Anda, Anda akan menemukan salah satu yang telah dirancang untuk tujuan itu. Sistem operasi desktop cenderung lebih ramah instalasi dan penggunaan antarmuka pengguna grafis. Selain itu, mereka biasanya mendukung versi terbaru perangkat lunak desktop seperti browser dan mail client.

Contoh sistem operasi FOSS desktop meliputi:

• Mandriva
• openSUSE
• PC BSD
• Ubuntu

Server Operating Systems

Sistem operasi server mendukung versi stabil terbaru dari aplikasi perangkat lunak. Dengan beberapa sistem operasi server, instalasi sistem operasi dan program-program ini dilakukan dengan sedikit tampilan grafis (dan sering kurang ramah) daripada yang akan Anda temukan di sistem operasi desktop. Perangkat lunak dalam sistem operasi server cenderung agak di belakang “right out of the box”, tetapi dapat cukup mudah untuk diupdate menggunakan tool manajemen software yang disediakan. Namun, harus berhati-hati untuk memastikan bahwa pembaruan Anda akan bekerja, terutama jika anda melakukan instalasi perangkat lunak meliputi dependensi paket-paket lain – dalam hal ini Anda harus memperbarui mereka juga.

Contoh sistem operasi server FOSS meliputi:

• CentOS
• FreeBSD
• Red Hat

diadaptasi dari : computerworld

Router MikroTik dapat dilindungi dengan menggunakan fasilitas IP Firewall Filter, masukkan script yang melalui New Terminal yang ada di Winbox.

Script firewall FTP & SSH Brute sebagai berikut :

FTP Brute :

/IP Firewall Filter

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \ address-list=ftp_blacklist address-list-timeout=3h

SSH Brute :

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

Anda dapat melakukan blok melalui ip firewall filter :

• Blok website porno Tube8.com :
  

  /ip firewall mangle add action=add-dst-to-address-list address-list=tube8 \ address-list-timeout=1m chain=prerouting comment=’’’’ content=tube8.com \ disabled=no
  /ip firewall filter add action=drop chain=forward comment=’’Drop Tube8’’ disabled=no \
  dst-address-list=tube8

• Blok website porno Porntube.com :

  /ip firewall mangle add action=add-dst-to-address-list address-list=porntube \ address-list-timeout=1m chain=prerouting comment=’’’’ content=porntube.com \ disabled=no
  /ip firewall filter add action=drop chain=forward comment=’’Drop Porntube’’ disabled=no \
  dst-address-list=porntube

• Blok website porno Playboy.com :

  /ip firewall mangle add action=add-dst-to-address-list address-list=playboy \ address-list-timeout=1m chain=prerouting comment=’’’’ content=playboy.com \ disabled=no
  /ip firewall filter add action=drop chain=forward comment=’’Drop Playboy’’ disabled=no \
  dst-address-list=playboy

• Blok website Youtube.com :

  /ip firewall mangle add action=add-dst-to-address-list address-list=youtube \ address-list-timeout=1m chain=prerouting comment=’’’’ content=youtube.com \ disabled=no
  /ip firewall filter add action=drop chain=forward comment=’’Drop Youtube’’ disabled=no \
  dst-address-list=youtube

/ip firewall filter
add chain=forward connection-state=established comment="allow established connections"
add chain=forward connection-state=related comment="allow related connections"
add chain=forward connection-state=invalid action=drop comment="drop invalid connections"
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm"
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=tcp dst-port=593 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop Beagle.C-K"
add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor OptixPro"
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser"
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop Dabber.A-B"
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop MyDoom.B"
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus"
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2"
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop SubSeven"
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, Agobot, Gaobot"

add chain=forward action=jump jump-target=virus comment="jump to the virus chain"

Kita bisa menambahkan command untuk membolehkan trafik yang kita inginkan dan mendrop semua trafik selain paket yg kita lewatkan.

add chain=forward action=accept protocol=tcp dst-port=80 comment="Allow HTTP"
add chain=forward action=accept protocol=tcp dst-port=25 comment="Allow SMTP"
add chain=forward protocol=tcp comment="allow TCP"
add chain=forward protocol=icmp comment="allow ping"
add chain=forward protocol=udp comment="allow udp"
add chain=forward action=drop comment="drop everything else"

IP firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”Port scanners to list ” disabled=no



Kombinasi dari TCP flags bisa diindikasikan aktifitas dari port scanner.
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”NMAP FIN Stealth scan”


add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”SYN/FIN scan”

add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”SYN/RST scan”

add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”FIN/PSH/URG scan”



add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”ALL/ALL scan”

add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w comment=”NMAP NULL scan”

Kemudian anda bisa drop IP tersebut :

add chain=input src-address-list=”port scanners” action=drop comment=”dropping port scanners” disabled=no

Dengan cara yang sama, anda bisa drop port scanner dalam chain forward, ganti kode diatas dengan “chain=forward”.

Script ini digunakan mengatur bandwidth yang dapat digunakan oleh setiap komputer pada jaringan :

Buat mangle untuk ingoing paket dan outgoing koneksi klien

/ip firewall mangle add chain=forward src-address=10.10.10.1-10.10.10.254 action=mark-connection new-connection-mark=client-con
/ip firewall mangle add chain=forward connection-mark=client-con action=mark-packet new-packet-mark=client passthrough=yes  

//Buat tipe queue untuk ingoing packet dan outgoing packet

/queue type add name=pcq-Download kind=pcq pcq-classifier=dst-address      /queue type add name=pcq-Upload kind=pcq pcq-classifier=src-address

Setelah itu buat queue tree untuk downloading client

/queue tree add name=Client-Download parent=LAN max-limit=64k
/queue tree add name=Client-Down parent=Client-Download queue=pcq-Download packer-mark=client

Queue tree untuk Uploading client

/queue tree add name=Client-Upload parent=Public max-limit=32k
/queue tree add name=Client-Up parent=Client-Upload queue=pcq-Upload packet-mark=client