Sekedar pembelajaran dan koleksi, untuk mengingat langkah-langkah mensetup mikrotik menjadi sebuah router dengan akses Speedy. Tutorial ini dikutip dari forum diskusi mikrotik.Setting mikrotik ternyata sangat simple, walau tidak free seperti linux. Dari segi harga juga tidak begitu mahal seperti windows server.Modem speedy yang digunakan adalah modem ZyXEL Prestige 650R-31 - router, waktu ditanyakan ke telkom, mereka tidak mengakui adanya modem tersebut (hal yang aneh karena dapatnya modem juga dari telkom sendiri?) dan tentunya Mikrotik OS versi 2.9.6
Setting Modem
Melakukan konfigur modem tidak jauh beda dengan melakukan konfigur pada komputer, modem speedy juga include dengan router, dimana fungsinya sebagai pintu keluarnya data atau sebagai media atau sebagai jalur yang harus dilalui oleh computer lain untuk terhubung dengan Internet.
Hal utama harus tahu IP modem tersebut, secara default rata-rata menggunakan IP 192.168.1.1.Tentunya sebelum itu komputer harus sudah dihubungkan dengan modem, melalui cable yang disertakan pada waktu mengambil modem speedy.Kedua Tanyakan password modem.
1. Ketik http://192.168.1.1 pada browser.......isikan user name dan password secara default root/admin password root/admin/1234 (terdapat dalam buku panduan)
2. Setting LAN
Gunakan IP statik, mudahnya jadikan IP Statiknya menjadi 192.168.1.1, jadi semua gateway client harus mengarah ke router agar client bisa konek ke internet.
3. Setting Wan dan Account Speedy
yaitu setting koneksi ke telkom yang menggunakan jalur Wide Area Network, dalam mengakses WAN Telkom akan di butuhkan Account dan Password PPP, masukkan User Accout dan Password yang telah di berikan oleh telkom,sebelum itu rubah password speedy anda di speedy-telkom
4. save configurasi lalu tunggu beberapa saat, modem akan mendial ke server, setelah berhasil maka coba untuk ping ke salah satu site misal nya ke google, jika request berarti setting Modem Plus Router kita sudah benar, kalau belum berhasil coba isikan dns dikomputer dengan dns dari telkom 202.134.1.10/202.134.1.155. Bila di modem ada fasilitas dns, sebaiknya isikan dengan dns telkom,pada use dns jadikan enable
SETUP ROUTER MIKROTIK
* diambil dari Gembel
MikroTik RouterOS™, merupakan system operasi Linux base yang diperuntukkan sebagai network router. Didesain untuk memberikan kemudahan bagi penggunanya. Administrasinya bisa dilakukan melalui Windows application (WinBox). Webbrowser serta via Remote Shell (telnet dan SSH). Selain itu instalasi dapat dilakukan pada Standard computer PC. PC yang akan dijadi kan router mikrotikpun tidak memerlukan resource yang cukup besar untuk penggunaan standard, misalnya hanya sebagai gateway. Untuk keperluan beban yang besar ( network yang kompleks, routing yang rumit dll) disarankan untuk mempertimbangkan pemilihan resource PC yang memadai.
Fasilitas pada mikrotik antara lain sebagai berikut :
- Protokoll routing RIP, OSPF, BGP.
- Statefull firewall
- HotSpot for Plug-and-Play access
- remote winbox GUI admin
Lebih lengkap bisa dilihat di mikrotik
Meskipun demikian Mikrotik bukanlah free software, artinya keharusan membeli licensi terhadap segala fasiltas yang disediakan. Free trial hanya untuk 24 jam saja. Pembelian bisa berbentuk software mikrotik dalam bentuk CD yang diinstall pada Hard disk atau disk on module (DOM).
Bentuk DOM tidak perlu install tetapi tinggal menancapkan DOM pada slot IDE PC kita.
Instalasi Mikrotik ada beberapa cara :
1. Instalasi melalui NetInstall via jaringan
2. Instalasi melalui Floppy disk
3. Instalasi melalui CD-ROM.
Langkah-langkah berikut adalah dasar-dasar setup mikrotik yang dikonfigurasikan untuk jaringan sederhana sebagai PC Router/Gateway, Web Proxy, DNS Server, DHCP, Firewall serta Bandwidth Management. Konfigurasi ini dapat dimanfaatkan untuk membangun jaringan pada
Internet Cafe atau untuk Testing pada Laboratorium Pribadi.
--[2.1]-- Topologi Jaringan
Topologi jaringan ini di anggap koneksi Internetnya melalui MODEM xDSL (ADSL atau SDSL). Dengan catatan konfigurasi IP Publiknya ditanam didalam MODEM, artinya perlu pula dipilih MODEM yang memiliki fasilitas seperti Routing, Firewall, dan lain-lain. Semakin lengkap semakin bagus, namun biasanya harga semakin mahal, yang patut dipertimbangkan pilihlah MODEM yang memiliki fasilitas Firewall yang bagus.
Agar memudahkan konfigurasi, perlu dirancang topologi jaringan yang
dikonfigurasi. Sebagai contoh, skema dibawah ini:
(a) Skema Jaringan
_(
o--+ ____|
| / | Telpon
| _/ -(
+--[_] Splitter
|
| +----+
+---| | Modem xDSL
+--*-+
(1)| +---+
| | | (3)
| | +|---------+
| +-----+ | |. . . . . |
| a| | | +--|-|-|-|-+
+---|=====| | | | | |
| | | | | | |
| |---+ +-|-|-|--[client 1]
| |b +-|-|------------[client 2]
| | +-|----------------------[client 3]
L-----J +--------[client n]
(2)
Keterangan skema
(1) = Modem xDSL (Ip Address : 192.168.1.1/24)
(2) = Mikrotik Box dengan 2 ethernet card yaitu a (publik) dan b (local)
(3) = Switch
Untuk sambungan ke Client. Asumsi Client Jumlahnya 20 Client
Range Ip Address : 192.168.0.0/27
Alokasi Ip Client = 192.168.0.1-192.168.0.30
Ip Net ID : 192.168.0.0/27
Ip Broadcast : 192.168.0.31/27
(b) Alokasi IP Address
[*] Mikrotik Box
Keterangan Skema
a = ethernet card 1 (Publik) -> Ip Address : 192.168.1.2/24
b = ethernet card 2 (Local) -> Ip Address : 192.168.0.1/27
Gateway : 192.168.1.1 (ke Modem)
[*] Client
Client 1 - Client n, Ip Address : 192.168.0.n .... n (1-30)
Contoh:
Client 6
Ip Address : 192.168.0.6/27
Gateway : 192.168.0.1 (ke Mikrotik Box)
CATATAN :
Angka dibelakang Ip address ( /27) sama dengan nilai netmasknya
untuk angka (/27) nilainya sama dengan 255.255.255.224.
Untuk Sub Netmask blok ip address Local kelas C, dapat diuraikan
sebagai berikut :
Subnetmask kelas C
-------------------
255.255.255.0 = 24 -> 254 mesin
.. .128 = 25 -> 128 mesin
.. .192 = 26 -> 64 mesin
.. .224 = 27 -> 32 mesin
.. .240 = 28 -> 16 mesin
.. .248 = 29 -> 8 mesin
.. .252 = 30 -> 4 mesin
.. .254 = 31 -> 2 mesin
.. .255 = 32 -> 1 mesin
--[2.2]-- Persiapan
- Untuk PC Router Siapkan PC, minimal Pentium I, RAM 64, HD 500M atau pake flash memory 64 - Sebagai Web proxy, Siapkan PC, minimal Pentium III 450Mhz, RAM 256 Mb, HD 20 Gb. Melihat berapa minimum RAM dan HD yang dibutuhkan untuk Cache Silahkan lihat
http://adminpreman.web.id/download/Rumus Web Proxy Mikrotik.xls
- Siapkan minimal 2 ethernet card, 1 ke arah luar/Internet dan 1
lagi ke Network local
– Burn Source CD Mikrotik OS masukan ke CDROM.
- Versi mikrotik yang digunakan adalah Mikrotik RouterOS versi 2.9.6
--[3]-- Installasi Mikrotik Router
Setelah desain skema jaringan serta perangkat yang dibutuhkan telah
disiapkan, sekarang saatnya kita mulai proses instalasi ini.
--[3.1]-- Booting melalui CD-ROM
Atur di BIOS agar, supaya boot lewat CD-ROM, kemudian tunggu beberapa
saat di monitor akan muncul proses Instalasi.
-------------------------------------------------------------------------
ISOLINUX 2.08 2003-12-12 Copyrigth (C) 1994-2003 H. Peter Anvin
Loading linux..................
Loading initrd.rgz.............
Ready
Uncompressing Linux... Ok, booting the kernel
------------------------------------------------------------------------
--[3.2]-- Memilih paket software
Setelah proses booting akan muncul menu pilihan software yang
mau di install, pilih sesuai kebutuhan yang akan direncanakan.
Paket yang tersedia di Mikrotik
advanced-tools-2.9.27.npk
arlan-2.9.27.npk
dhcp-2.9.27.npk
gps-2.9.27.npk
hotspot-2.9.27.npk
hotspot-fix-2.9.27.npk
isdn-2.9.27.npk
lcd-2.9.27.npk
ntp-2.9.27.npk
ppp-2.9.27.npk
radiolan-2.9.27.npk
routerboard-2.9.27.npk
routing-2.9.27.npk
routing-test-2.9.27.npk
rstp-bridge-test-2.9.27.npk
security-2.9.27.npk
synchronous-2.9.27.npk
system-2.9.27.npk
telephony-2.9.27.npk
ups-2.9.27.npk
user-manager-2.9.27.npk
web-proxy-2.9.27.npk
webproxy-test-2.9.27.npk
wireless-2.9.27.npk
wireless-legacy-2.9.27.npk
--------------------------------------------------------------------------
Welcome to Mikrotik Router Software Installation
Move around menu using 'p' and 'n' or arrow keys, select with 'spacebar'.
Select all with 'a', minimum with 'm'. Press 'i' to install locally or 'r' to
install remote router or 'q' to cancel and reboot.
[X] system [ ] lcd [ ] telephony
[ ] ppp [ ] ntp [ ] ups
[ ] dhcp [ ] radiolan [ ] user-manager
[X] andvanced-tools [ ] routerboard [X] web-proxy
[ ] arlan [ ] routing [ ] webproxy-test
[ ] gps [ ] routing-test [ ] wireless
[ ] hotspot [ ] rstp-bridge-test [ ] wireless-legacy
[ ] hotspot [X] security
[ ] isdn [ ] synchronous
--------------------------------------------------------------------------
Umumnya Paket Mikrotik untuk Warnet, Kantor atau SOHO adalah :
a. SYSTEM : Paket ini merupakan paket dasar, berisi Kernel dariMikrotik
b. DHCP : Paket yang berisi fasilitas sebagai DHCP Server, DHCP client, pastikan memilih paket ini jika Anda menginginkanagar Client diberikan IP address otomatis dari DHCP Server
c. SECURITY : Paket ini berisikan fasilitas yang mengutamakan Keamananjaringan, seperti Remote Mesin dengan SSH, Remote via MACAddress
d. WEB-PROXY : Jika Anda memilih paket ini, maka Mikrotik Box anda telahdapat menjalan service sebagai Web proxy yang akan menyimpan cache agar traffik ke Internet dapat di reduksi serta browsing untuk Web dapat dipercepat.
e. ADVANCED TOOLS : Paket yang berisi Tool didalam melakukan Admnistrasi jaringan, seperti Bandwidth meter, Scanning, Nslookup, dan lain sebagainya.
--[3.3]-- Instalasi Paket
ketik "i" setelah selesai memilih software, lalu akan muncul menu
pilihan seperti ini :
- Do you want to keep old configuration ? [y/n] ketik Y
- continue ? [y/n] ketik Y
Setelah itu proses installasi system dimulai, disini kita tidak
perlu membuat partisi hardsik karena secara otomatis mikrotik akan
membuat partisi sendiri.
----------------------------------------------------------------------------
wireless-legacy (depens on system):
Provides support for Cisco Aironet cards and for PrismlI and Atheros wireless
station and AP.
Do you want to keep old configuraion? [y/n]:y
Warning: all data on the disk will be erased!
Continue? [y/n]:y
Creating partition..........
Formatting disk.......................................
Installing system-2.9.27 [################## ]
---------------------------------------------------------------------------
Proses installasi
---------------------------------------------------------------------------
Continue? [y/n]:y
Creating partition.......................
Formatting disk............................
Installed system-2.9.27
Installed advanced-tools-2.9.27
Installed dhcp-2.9.27
Installed security-2.9.27
installed web-proxy-2.9.27
Software installed.
Press ENTER to reboot
------------------------------------------------------------------------------
CATATAN :
Proses Installasi normalnya tidak sampai 15 menit, jika lebih berarti gagal,ulangi ke step awal. Setelah proses installasi selesai maka kita akan diminta untuk merestart system, tekan enter untuk merestart system.
--[3.5]-- Proses Check system disk
Setelah komputer booting kembali ke system mikrotik, akan ada pilihan untuk
melakukan check system disk, tekan "y".
----------------------------------------------------------------------------
Loading system with initrd
Uncompressing Linux... Ok, booting the kernel.
Starting.
It is recomended to check your disk drive for error,
but it may take while (~1min for 1Gb).
It can be done later with "/system check-disk".
Do you want to do it now? [y/n]
-----------------------------------------------------------------------------
--[3.6]-- Proses Instalasi Selesai
Setelah proses instalasi selesai, maka akan muncul menu login dalam modus
terminal, kondisi sistem saat ini dalam keadaan default.
Mikrotik login = admin
Password = (kosong, enter saja)
---------------------------------------------------------------------------
Mikrotik 2.9.6
Mikrotik Login:
MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK
MikroTik RouterOS 2.9.6 (c) 1999-2005 http://www.mikrotik.com/
Terminal vt102 detected, using multiline input mode
[admin@Mikrotikl] >
----------------------------------------------------------------------------
CATATAN :
Konfigurasi Standar untuk mikrotik ada 2 modus, yaitu modus teks dan
modus GUI. Modus Gui ada 2 juga, yaitu Via Browser serta Via Winbox.
--[4]-- Perintah Dasar
Perintah mikrotik sebenarnya hampir sama dengan perintah yang ada dilinux,sebab pada dasarnya mikrotik ini merupakan kernel Linux, hasil pengolahan kembali Linux dari Distribusi Debian. Pemakaian perintah shellnya sama, seperti penghematan perintah, cukup menggunakan tombol TAB di keyboard maka perintah yang panjang, tidak perlu lagi diketikkan, hanya ketikkan
awal nama perintahnya, nanti secara otomatis Shell akan menampilkan sendiri perintah yang berkenaan. Misalnya perintah IP ADDRESS di mikrotik. Cukup hanya mengetikkan IP ADD spasi tekan tombol TAB, maka otomatis shell akan mengenali dan menterjemahkan sebagai perintah IP ADDRESS.
Setelah login, cek kondisi interface atau ethernet card.
--[4.1]-- Melihat kondisi interface pada Mikrotik Router
[admin@Mikrotik] > interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500
[admin@Mikrotik]>
Jika interfacenya ada tanda X (disabled) setelah nomor (0,1), maka periksa lagi
etherned cardnya, seharusnya R (running).
a. Mengganti nama interface
[admin@Mikrotik] > interface(enter)
b. Untuk mengganti nama Interface ether1 menjadi Public (atau terserah namanya), maka
[admin@Mikrotik] interface> set 0 name=Public
c. Begitu juga untuk ether2, misalkan namanya diganti menjadi Local, maka
[admin@Mikrotik] interface> set 1 name=Local
d. atau langsung saja dari posisi root direktori, memakai tanda "/", tanpa tanda kutip
[admin@Mikrotik] > /interface set 0 name=Public
e. Cek lagi apakah nama interface sudah diganti.
[admin@Mikrotik] > /interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R Local ether 0 0 1500
1 R Public ether 0 0 1500
--[4.2]-- Mengganti password default
Untuk keamanan ganti password default
[admin@Mikrotik] > password
old password: *****
new password: *****
retype new password: *****
[admin@ Mikrotik]]>
--[4.3]-- Mengganti nama hostname
Mengganti nama Mikrotik Router untuk memudahkan konfigurasi, pada langkah ini
nama server akan diganti menjadi “routerku"
[admin@Mikrotik] > system identity set name=routerku
[admin@routerku]>
--[5]-- Setting IP Address, Gateway, Masqureade dan Name Server
--[5.1]-- IP Address
Bentuk Perintah konfigurasi
ip address add address ={ip address/netmask} interface={nama interface}
a. Memberikan IP address pada interface Mikrotik. Misalkan Public akan kita gunakan untuk
koneksi ke Internet dengan IP 192.168.1.2 dan Local akan kita gunakan untuk network LAN
kita dengan IP 192.168.0.1 (Lihat topologi)
[admin@routerku] > ip address add address=192.168.1.2
netmask=255.255.255.0 interface=Public comment="IP ke Internet"
[admin@routerku] > ip address add address=192.168.0.1
netmask=255.255.255.224 interface=Local comment = "IP ke LAN"
b. Melihat konfigurasi IP address yang sudah kita berikan
[admin@routerku] >ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 ;;; IP Address ke Internet
192.168.0.1/27 192.168.0.0 192.168.0.255 Local
1 ;;; IP Address ke LAN
192.168.1.2/24 192.168.0.0 192.168.1.255 Public
[admin@routerku]>
--[5.2]-- Gateway
Bentuk Perintah Konfigurasi
ip route add gateway={ip gateway}
a. Memberikan default Gateway, diasumsikan gateway untuk koneksi internet adalah
192.168.1.1
[admin@routerku] > /ip route add gateway=192.168.1.1
b. Melihat Tabel routing pada Mikrotik Routers
[admin@routerku] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREFSRC G GATEWAY DISTANCE INTERFACE
0 ADC 192.168.0.0/24 192.168.0.30 Local
1 ADC 192.168.0.0/27 192.168.1.2 Public
2 A S 0.0.0.0/0 r 192.168.1.1 Public
[admin@routerku]>
c. Tes Ping ke Gateway untuk memastikan konfigurasi sudah benar
[admin@routerku] > ping 192.168.1.1
192.168.1.1 64 byte ping: ttl=64 time<1 ms
192.168.1.1 64 byte ping: ttl=64 time<1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0/0.0/0 ms
[admin@routerku]>
--[5.3]-- NAT (Network Address Translation)
Bentuk Perintah Konfigurasi
ip firewall nat add chain=srcnat action=masquerade out-inteface={ethernet
yang langsung terhubung ke Internet atau Public}
a. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server maka agar
client computer pada network dapat terkoneksi ke internet perlu kita masquerading.
[admin@routerku] > ip firewall nat add chain=scrnat out-interface=Public action=masquerade
[admin@routerku]>
b. Melihat konfigurasi Masquerading
[admin@routerku] ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=Public action=masquerade
[admin@routerku]>
--[5.4] Name server
Bentuk Perintah Konfigurasi
ip dns set primary-dns={dns utama} secondary-dns={dns ke dua}
a. Setup DNS pada Mikrotik Routers, misalkan DNS dengan Ip Addressnya
Primary = 202.134.0.155, Secondary = 202.134.2.5
[admin@routerku] > ip dns set primary-dns=202.134.0.155 allow-remoterequests=yes
[admin@routerku] > ip dns set secondary-dns=202.134.2.5 allow-remoterequests=yes
b. Melihat konfigurasi DNS
[admin@routerku] > ip dns print
primary-dns: 202.134.0.155
secondary-dns: 202.134.2.5
allow-remote-requests: no
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 16KiB
[admin@routerku]>
c. Tes untuk akses domain, misalnya dengan ping nama domain
[admin@routerku] > ping yahoo.com
216.109.112.135 64 byte ping: ttl=48 time=250 ms
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 571/571.0/571 ms
[admin@routerku]>
Jika sudah berhasil reply berarti seting DNS sudah benar.
Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan jika
berhasil berarti kita sudah berhasil melakukan instalasi Mikrotik Router sebagai Gateway
server. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage menggunakan WinBox yang
bisa di download dari Mikrotik.com atau dari server mikrotik kita. Misal Ip address server
mikrotik kita 192.168.0.30, via browser buka http://192.168.0.30. Di Browser akan ditampilkan
dalam bentuk web dengan beberapa menu, cari tulisan Download dan download WinBox dari situ.
Simpan di local harddisk. Jalankan Winbox, masukkan Ip address, username dan password.
--[7]-- DHCP Server
DHCP merupakan singkatan dari Dynamic Host Configuration Protocol, yaitu suatu program yang
memungkinkan pengaturan IP Address di dalam sebuah jaringan dilakukan terpusat di server,
sehingga PC Client tidak perlu melakukan konfigurasi IP Addres. DHCP memudahkan administrator
untuk melakukan pengalamatan ip address untuk client.
Bentuk perintah konfigurasi
ip dhcp-server setup
dhcp server interface = { interface yang digunakan }
dhcp server space = { network yang akan di dhcp }
gateway for dhcp network = { ip gateway }
address to give out = { range ip address }
dns servers = { name server }
lease time = { waktu sewa yang diberikan }
Jika kita menginginkan client mendapatkan IP address secara otomatis maka perlu kita setup
dhcp server pada Mikrotik. Berikut langkah-langkahnya :
a. Tambahkan IP address pool
/ip pool add name=dhcp-pool ranges=192.168.0.1-192.168.0.30
b. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client.
Pada contoh ini networknya adalah 192.168.0.0/27 dan gatewaynya 122.168.0.1
/ip dhcp-server network add address=192.168.0.0/27 gateway=192.168.0.1 dns-server=192.168.0.1
comment=""
c. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface Local )
/ip dhcp-server add interface=local address-pool=dhcp-pool
d. Lihat status DHCP server
[admin@routerku] > ip dhcp-server print
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0dhcp1 Local
Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan terlebih
dahulu pada langkah e.
e. Jangan Lupa dibuat enable dulu dhcp servernya
/ip dhcp-server enable 0
kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak ada berarti
sudah aktif
f. Tes Dari client
Misalnya :
D:>ping www.yahoo.com
--[8]-- Transparent Proxy Server
Proxy server merupakan program yang dapat mempercepat akses ke suatu web yang sudah diakses oleh komputer lain, karena sudah di simpan didalam caching server.Transparent proxy menguntungkan dalam management client,karena system administrator tidak perlu lagi melakukan setup proxy di setiap browser komputer client karena redirection dilakukan otomatis di sisi server.
Bentuk perintah konfigurasi :
a. Setting web proxy :
- ip proxy set enable=yes
port={ port yang mau digunakan }
maximal-client-connections=1000
maximal-server-connections=1000
- ip proxy direct add src-address={ network yang akan di
NAT} action=allow
- ip web-proxy set parent-proxy={proxy parent/optional}
hostname={ nama host untuk proxy/optional}
port={port yang mau digunakan}
src-address={ address yang akan digunakan untuk koneksi
ke parent proxy/default 0.0.0.0}
transparent-proxy=yes
max-object-size={ ukuran maximal file yang akan disimpan
sebagai cache/default 4096 in Kilobytes}
max-cache-size= { ukuran maximal hardisk yang akan
dipakai sebagai penyimpan file cache/unlimited
| none | 12 in megabytes}
cache-administrator={ email administrator yang akan digunakan
apabila proxy error, status akan dikirim
ke email tersebut}
enable==yes
Contoh konfigurasi
-------------------
a. Web proxy setting
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=8080
hostname="proxy.routerku.co.id" transparent-proxy=yes
parent-proxy=0.0.0.0:0 cache-administrator="support@routerku.co.id"
max-object-size=131072KiB cache-drive=system max-cache-size=unlimited
max-ram-cache-size=unlimited
Nat Redirect, perlu ditambahkan yaitu rule REDIRECTING untuk membelokkan
traffic HTTP menuju ke WEB-PROXY.
b. Setting firewall untuk Transparant Proxy
Bentuk perintah konfigurasi :
ip firewall nat add chain=dstnat
protocol=tcp
dst-port=80
action=redirect
to-ports={ port proxy }
Perintahnya:
--------------------------------------------------------------------------------
/ ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080
comment="" disabled=no
add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080
comment="" disabled=no
add chain=dstnat protocol=tcp dst-port=8000 action=redirect to-ports=8080
--------------------------------------------------------------------------------
perintah diatas dimaksudkan, agar semua trafik yang menuju Port 80,3128,8000
dibelokkan menuju port 8080 yaitu portnya Web-Proxy.
CATATAN:
Perintah
/ip web-proxy print { untuk melihat hasil konfigurasi web-proxy}
/ip web-proxy monitor { untuk monitoring kerja web-proxy}
--[9]-- Bandwidth Management
QoS memegang peranan sangat penting dalam hal memberikan pelayanan yang baik pada client. Untuk itu kita memerlukan bandwidth management untuk mengatur tiap data yang lewat, sehingga pembagian bandwidth menjadi adil. Dalam hal ini Mikrotik RouterOs juga menyertakan packet software untuk memanagement bandwidth.
Bentuk perintah konfigurasi:
queue simple add name={ nama }
target-addresses={ ip address yang dituju }
interface={ interface yang digunakan untuk melewati data }
max-limit={ out/in }
Dibawah ini terdapat konfigurasi Trafik shaping atau bandwidth management dengan metode Simple Queue, sesuai namanya, Jenis Queue ini memang sederhana, namun memiliki kelemahan, kadangkala terjadi kebocoran bandwidth atau bandwidthnya tidak secara real di monitor. Pemakaian untuk 10 Client, Queue jenis ini tidak masalah.
Diasumsikan Client ada sebanyak 15 client, dan masing-masing client diberi jatah bandwidth minimum sebanyak 8kbps, dan maksimum 48kbps. Sedangkan Bandwidth totalnya sebanyak 192kbps. Untuk upstream tidak diberi rule, berarti masing-masing client dapat menggunakan bandwidth uptream secara maksimum. Perhatikan perintah priority, range priority di Mikrotik sebanyak delapan. Berarti dari 1 sampai 8, priority 1 adalah priority tertinggi, sedangkan priority 8 merupakan priority terendah.
Berikut Contoh kongirufasinya.
--------------------------------------------------------------------------------
/ queue simple
add name="trafikshaping" target-addresses=192.168.0.0/27 dst-address=0.0.0.0/0
interface=all parent=none priority=1 queue=default/default
limit-at=0/64000 max-limit=0/192000 total-queue=default disabled=no
add name="01" target-addresses=192.168.0.1/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="02" target-addresses=192.168.0.2/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="03" target-addresses=192.168.0.3/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="04" target-addresses=192.168.0.4/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="10" target-addresses=192.168.0.25/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="05" target-addresses=192.168.0.5/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="06" target-addresses=192.168.0.6/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="07" target-addresses=192.168.0.7/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="08" target-addresses=192.168.0.8/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="09" target-addresses=192.168.0.9/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="10" target-addresses=192.168.0.10/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="11" target-addresses=192.168.0.11/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="12" target-addresses=192.168.0.12/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="13" target-addresses=192.168.0.13/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="14" target-addresses=192.168.0.14/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
add name="15" target-addresses=192.168.0.15/32 dst-address=0.0.0.0/0
interface=all parent=trafikshaping priority=1 queue=default/default
limit-at=0/8000 max-limit=0/48000 total-queue=default disabled=no
Perintah diatas karena dalam bentuk command line, bisa juga di copy paste, selanjutnya di paste saja ke consol mikrotiknya. ingat lihat dulu path atau direktory aktif. Silahkan dipaste saja, kalau posisi direktorynya di Root.
-------------------------------------------------------------------
Terminal vt102 detected, using multiline input mode
[admin@mikrotik] >
------------------------------------------------------------------
Pilihan lain metode bandwidth manajemen ini, kalau seandainya ingin bandwidth tersebut dibagi sama rata oleh Mikrotik, seperti bandwidth 256kbps downstream dan 256kbps upstream. Sedangkan client yang akan mengakses sebanyak 10 client, maka otomatis masing-masing client mendapat jatah bandwidth upstream dan downstream sebanyak 256kbps dibagi 10. Jadi masing-masing dapat 25,6kbps. Andaikata hanya 2 Client yang mengakses maka masing-masing dapat 128kbps.
Untuk itu dipakai type PCQ (Per Connection Queue), yang bisa secara otomatis membagi trafik per client. Tentang jenis queue di mikrotik ini dapat dibaca pada manualnya di http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php.
Sebelumnya perlu dibuat aturan di bagian MANGLE. Seperti :
--------------------------------------------------------------------
/ip firewall mangle add chain=forward src-address=192.168.0.0/27
action=mark-connection new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=mark-packet
new-packet-mark=users chain=forward
----------------------------------------------------------------------
Karena type PCQ belum ada, maka perlu ditambah, ada 2 type PCQ ini.
Pertama diberi nama pcq-download, yang akan mengatur semua trafik
melalui alamat tujuan/destination address. Trafik ini melewati
interface Local. Sehingga semua traffik download/downstream yang
datang dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Tipe PCQ kedua, dinamakan pcq-upload, untuk mengatur semua trafik upstream
yang berasal dari alamat asal/source address. Trafik ini melewati
interface public. Sehingga semua traffik upload/upstream yang berasal
dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Perintah:
-------------------------------------------------------------------------
/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address
-------------------------------------------------------------------------
Setelah aturan untuk PCQ dan Mangle ditambahkan, sekarang untuk aturan
pembagian trafiknya. Queue yang dipakai adalah Queue Tree, Yaitu:
-------------------------------------------------------------------------
/queue tree add parent=Local queue=pcq-download packet-mark=users
/queue tree add parent=Public queue=pcq-upload packet-mark=users
-------------------------------------------------------------------------
Perintah diatas mengasumsikan, kalau bandwidth yang diterima dari provider
Internet berflukstuasi atau berubah-rubah. Jika kita yakin bahwa bandwidth
yang diterima, misalkan dapat 256kbs downstream, dan 256kbps upstream, maka
ada lagi aturannya, seperti :
Untuk trafik downstreamnya :
------------------------------------------------------------------------
/queue tree add name=Download parent=Local max-limit=256k
/queue tree add parent=Download queue=pcq-download packet-mark=users
-------------------------------------------------------------------------
Dan trafik upstreamnya :
---------------------------------------------------------------------------
/queue tree add name=Upload parent=Public max-limit=256k
/queue tree add parent=Upload queue=pcq-upload packet-mark=users
---------------------------------------------------------------------------
--[10]-- Monitor MRTG via Web
Fasilitas ini diperlukan untuk monitoring trafik dalam bentuk grafik, dapat
dilihat dengan menggunakan browser. MRTG (The Multi Router Traffic Grapher)
telah dibuild sedemikian rupa, sehingga memudahkan kita memakainya. Telah
tersedia dipaket dasarnya.
Contoh konfigurasinya
-------------------------------------------------------------------------
/ tool graphing
set store-every=5min
/ tool graphing interface
add interface=all allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
---------------------------------------------------------------------------
Perintah diatas akan menampilkan grafik dari trafik yang melewati interface
jaringan baik berupa Interface Public dan Interface Local, yang dirender
setiap 5 menit sekali. Juga dapat diatur Alamat apa saja yang dapat mengakses
MRTG ini, pada parameter allow-address.
--[11]-- Keamanan di Mikrotik
Setelah beberapa Konfigurasi diatas telah disiapkan, tentu tidak lupa kita
perhatikan keamanan dari Mesin gateway Mikrotik ini, ada beberapa fasilitas
yang dipergunakan. Dalam hal ini akan dibahas tentang Firewallnya. Fasilitas
Firewall ini secara pringsip serupa dengan IP TABLES di Gnu/Linux hanya saja
beberapa perintah telah di sederhanakan namun berdaya guna.
Di Mikrotik perintah firewall ini terdapat dalam modus IP, yaitu
[admin@routerku] > /ip firewall
Terdapat beberapa packet filter seperti mangle, nat, dan filter.
-------------------------------------------------------------------------
[admin@routerku] ip firewall> ?
Firewall allows IP packet filtering on per packet basis.
.. -- go up to ip
mangle/ -- The packet marking management
nat/ -- Network Address Translation
connection/ -- Active connections
filter/ -- Firewall filters
address-list/ --
service-port/ -- Service port management
export --
--------------------------------------------------------------------------
Untuk kali ini kita akan lihat konfigurasi pada ip firewall filternya.
Karena Luasnya parameter dari firewall filter ini untuk pembahasan Firewall
Filter selengkapnya dapat dilihat pada manual mikrotik, di
http://www.mikrotik.com/testdocs/ros/2.9/ip/filter.php
Konfigurasi dibawah ini dapat memblokir beberapa Trojan, Virus, Backdoor
yang telah dikenali sebelumnya baik Nomor Port yang dipakai serta Protokolnya.
Juga telah di konfigurasikan untuk menahan Flooding dari Jaringan Publik dan
jaringan Lokal. Serta pemberian rule untuk Access control agar, Rentang
jaringan tertentu saja yang bisa melakukan Remote atau mengakses service
tertentu terhadap Mesin Mikrotik kita.
Contoh Aplikasi Filternya
-----------------------------------------------------------------------------
/ ip firewall filter
add chain=input connection-state=invalid action=drop comment="Drop Invalid
connections" disabled=no
add chain=input src-address=!192.168.0.0/27 protocol=tcp src-port=1024-65535
dst-port=8080 action=drop comment="Block to Proxy" disabled=no
add chain=input protocol=udp dst-port=12667 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=udp dst-port=27665 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=udp dst-port=31335 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=udp dst-port=27444 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=udp dst-port=34555 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=udp dst-port=35555 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=tcp dst-port=27444 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=tcp dst-port=27665 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=tcp dst-port=31335 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=tcp dst-port=31846 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=tcp dst-port=34555 action=drop comment="Trinoo"
disabled=no
add chain=input protocol=tcp dst-port=35555 action=drop comment="Trinoo"
disabled=no
add chain=input connection-state=established action=accept comment="Allow
Established connections" disabled=no
add chain=input protocol=udp action=accept comment="Allow UDP" disabled=no
add chain=input protocol=icmp action=accept comment="Allow ICMP" disabled=no
add chain=input src-address=192.168.0.0/27 action=accept comment="Allow access
to router from known network" disabled=no
add chain=input action=drop comment="Drop anything else" disabled=no
add chain=forward protocol=tcp connection-state=invalid action=drop
comment="drop invalid connections" disabled=no
add chain=forward connection-state=established action=accept comment="allow
already established connections" disabled=no
add chain=forward connection-state=related action=accept comment="allow
related connections" disabled=no
add chain=forward src-address=0.0.0.0/8 action=drop comment="" disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment="" disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment="" disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment="" disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment="" disabled=no
add chain=forward dst-address=224.0.0.0/3 action=drop comment="" disabled=no
add chain=forward protocol=tcp action=jump jump-target=tcp comment=""
disabled=no
add chain=forward protocol=udp action=jump jump-target=udp comment=""
disabled=no
add chain=forward protocol=icmp action=jump jump-target=icmp comment=""
disabled=no
add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP"
disabled=no
add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC
portmapper" disabled=no
add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC
portmapper" disabled=no
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT"
disabled=no
add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs"
disabled=no
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
disabled=no
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny
NetBus" disabled=no
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
disabled=no
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny
BackOriffice" disabled=no
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"
disabled=no
add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
disabled=no
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC
portmapper" disabled=no
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC
portmapper" disabled=no
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
disabled=no
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
disabled=no
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny
BackOriffice" disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list
address-list="port scanners" address-list-timeout=2w comment="Port
scanners to list " disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="NMAP FIN Stealth scan" disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list
address-list="port scanners" address-list-timeout=2w comment="SYN/FIN
scan" disabled=no
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list
address-list="port scanners" address-list-timeout=2w comment="SYN/RST
scan" disabled=no
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="FIN/PSH/URG scan" disabled=no
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="ALL/ALL scan" disabled=no
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="NMAP NULL scan" disabled=no
add chain=input src-address-list="port scanners" action=drop comment="dropping
port scanners" disabled=no
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="drop
invalid connections" disabled=no
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="allow
established connections" disabled=no
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="allow
already established connections" disabled=no
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow
source quench" disabled=no
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow
echo request" disabled=no
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow
time exceed" disabled=no
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow
parameter bad" disabled=no
add chain=icmp action=drop comment="deny all other types" disabled=no
add chain=tcp protocol=tcp dst-port=25 action=reject
reject-with=icmp-network-unreachable comment="Smtp" disabled=no
add chain=tcp protocol=udp dst-port=25 action=reject
reject-with=icmp-network-unreachable comment="Smtp" disabled=no
add chain=tcp protocol=tcp dst-port=110 action=reject
reject-with=icmp-network-unreachable comment="Smtp" disabled=no
add chain=tcp protocol=udp dst-port=110 action=reject
reject-with=icmp-network-unreachable comment="Smtp" disabled=no
add chain=tcp protocol=udp dst-port=110 action=reject
reject-with=icmp-network-unreachable comment="Smtp" disabled=no
-----------------------------------------------------------------------------
--[11.1]-- Service dan Melihat Service yang Aktif dengan PortScanner
Untuk memastikan Service apa saja yang aktif di Mesin mikrotik, perlu kita
pindai terhadap port tertentu, seandainya ada service yang tidak dibutuhkan,
sebaiknya dimatikan saja.
Untuk menonaktifkan dan mengaktifkan servise, perintah adalah :
Kita periksa dahulu service apa saja yang aktif
----------------------------------------------------------------------------------
[admin@routerku] > ip service
[admin@routerku] ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0
3 ssh 22 0.0.0.0/0
4 www-ssl 443 0.0.0.0/0 none
[admin@routerku] ip service>
----------------------------------------------------------------------------------
Misalkan service FTP akan dinonaktifkan, yaitu di daftar diatas terletak pada
nomor 1 (lihat bagian Flags) maka :
---------------------------------------------------------------------------------
[admin@routerku] ip service> set 1 disabled=yes
---------------------------------------------------------------------------------
Perlu kita periksa lagi,
---------------------------------------------------------------------------------
[admin@routerku] ip service> print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 X telnet 23 0.0.0.0/0
1 X ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0
3 ssh 22 0.0.0.0/0
4 www-ssl 443 0.0.0.0/0 none
[admin@router.dprd.provinsi] ip service>
---------------------------------------------------------------------------------
Sekarang service FTP telah dinonaktifkan.
Dengan memakai tool nmap kita dapat mencek port apa saja yang aktif pada mesin
gateway yang telah dikonfigurasikan.
Perintah : nmap -vv -sS -sV -P0 192.168.0.30
Hasil :
-------------------------------------------------------------------------------------
Starting Nmap 4.20 ( http://insecure.org ) at 2007-04-04 19:55 SE Asia Standard Time
Initiating ARP Ping Scan at 19:55
Scanning 192.168.0.30 [1 port]
Completed ARP Ping Scan at 19:55, 0.31s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 19:55
Completed Parallel DNS resolution of 1 host. at 19:55, 0.05s elapsed
Initiating SYN Stealth Scan at 19:55
Scanning 192.168.0.30 [1697 ports]
Discovered open port 22/tcp on 192.168.0.30
Discovered open port 53/tcp on 192.168.0.30
Discovered open port 80/tcp on 192.168.0.30
Discovered open port 21/tcp on 192.168.0.30
Discovered open port 3986/tcp on 192.168.0.30
Discovered open port 2000/tcp on 192.168.0.30
Discovered open port 8080/tcp on 192.168.0.30
Discovered open port 3128/tcp on 192.168.0.30
Completed SYN Stealth Scan at 19:55, 7.42s elapsed (1697 total ports)
Initiating Service scan at 19:55
Scanning 8 services on 192.168.0.30
Completed Service scan at 19:57, 113.80s elapsed (8 services on 1 host)
Host 192.168.0.30 appears to be up ... good.
Interesting ports on 192.168.0.30:
Not shown: 1689 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp MikroTik router ftpd 2.9.27
22/tcp open ssh OpenSSH 2.3.0 mikrotik 2.9.27 (protocol 1.99)
53/tcp open domain?
80/tcp open http MikroTik router http config
2000/tcp open callbook?
3128/tcp open http-proxy Squid webproxy 2.5.STABLE11
3986/tcp open mapper-ws_ethd?
8080/tcp open http-proxy Squid webproxy 2.5.STABLE11
2 services unrecognized despite returning data. If you know the service/version,
please submit the following fingerprints at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port53-TCP:V=4.20%I=7%D=4/4%Time=4613A03C%P=i686-pc-windows-windows%r(D
SF:NSVersionBindReq,E,"�x0c�x06x81x84��������")%r(DNSStatusR
SF:equest,E,"�x0c��x90x84��������");
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port2000-TCP:V=4.20%I=7%D=4/4%Time=4613A037%P=i686-pc-windows-windows%r
SF:(NULL,4,"x01���")%r(GenericLines,4,"x01���")%r(GetRequest,18,"
SF:x01���x02���d?xe4{x9dx02x1axccx8bxd1Vxb2Fxff9xb0")%r(
SF:HTTPOptions,18,"x01���x02���d?xe4{x9dx02x1axccx8bxd1Vx
SF:b2Fxff9xb0")%r(RTSPRequest,18,"x01���x02���d?xe4{x9dx02x
SF:1axccx8bxd1Vxb2Fxff9xb0")%r(RPCCheck,18,"x01���x02���d?
SF:xe4{x9dx02x1axccx8bxd1Vxb2Fxff9xb0")%r(DNSVersionBindReq,18,"
SF:x01���x02���d?xe4{x9dx02x1axccx8bxd1Vxb2Fxff9xb0")%r(
SF:DNSStatusRequest,4,"x01���")%r(Help,4,"x01���")%r(X11Probe,4,"
SF:x01���")%r(FourOhFourRequest,18,"x01���x02���xb9x15&xf1A
SF:]+x11nxf6x9bxa0,xb0xe1xa5")%r(LPDString,4,"x01���")%r(LDAP
SF:BindReq,4,"x01���")%r(LANDesk-RC,18,"x01���x02���xb9x15&
SF:xf1A]+x11nxf6x9bxa0,xb0xe1xa5")%r(TerminalServer,4,"x01��
SF:0")%r(NCP,18,"x01���x02���xb9x15&xf1A]+x11nxf6x9bxa0,
SF:xb0xe1xa5")%r(NotesRPC,18,"x01���x02���xb9x15&xf1A]+x1
SF:1nxf6x9bxa0,xb0xe1xa5")%r(NessusTPv10,4,"x01���");
MAC Address: 00:90:4C:91:77:02 (Epigram)
Service Info: Host: routerku; Device: router
Service detection performed. Please report any incorrect results at
http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 123.031 seconds
Raw packets sent: 1706 (75.062KB) | Rcvd: 1722 (79.450KB)
---------------------------------------------------------------------------
Dari hasil scanning tersebut dapat kita ambil kesimpulan, bahwa service dan
port yang aktif adalah FTP dalam versi MikroTik router ftpd 2.9.27. Untuk
SSH dengan versi OpenSSH 2.3.0 mikrotik 2.9.27 (protocol 1.99). Serta Web
proxy memakai Squid dalam versi Squid webproxy 2.5.STABLE11.
Tentu saja pihak vendor mikrotik telah melakukan patch terhadap Hole atau
Vulnerabilities dari Versi Protocol diatas.
--[11.2]-- Tool administrasi Jaringan
Secara praktis terdapat beberapa tool yang dapat dimanfaatkan dalam mela
kukan troubleshooting jaringan, seperti tool ping, traceroute, SSH, dll.
Beberapa tool yang sering digunakan nantinya dalam administrasi sehari-hari
adalah :
o Telnet
o SSH
o Traceroute
o Sniffer
a. Telnet
Perintah remote mesin ini hampir sama penggunaan dengan telnet yang ada
di Linux atau Windows.
[admin@routerku] > system telnet ?
Perintah diatas untuk melihat sekilias paramater apa saja yang ada. Misalnya
mesin remote dengan ip address 192.168.0.21 dan port 23. Maka
[admin@routerku] > system telnet 192.168.0.21
Penggunaan telnet sebaiknya dibatasi untuk kondisi tertentu dengan alasan
keamanan, seperti kita ketahui, packet data yang dikirim melalui telnet
belum di enskripsi. Agar lebih amannya kita pergunakan SSH.
b. SSH
Sama dengan telnet perintah ini juga diperlukan dalam remote mesin, serta
pringsipnya sama juga parameternya dengan perintah di Linux dan Windows.
[admin@routerku] > system ssh 192.168.0.21
Parameter SSH diatas, sedikit perbedaan dengan telnet. Jika lihat helpnya
memiliki parameter tambahan yaitu user.
------------------------------------------------------------------------------
[admin@routerku] > system ssh ?
The SSH feature can be used with various SSH Telnet clients to securely connect
to and administrate the router
--
user -- User name
port -- Port number
[admin@routerku] >
------------------------------------------------------------------------------
Misalkan kita akan melakukan remote pada suatu mesin dengan sistem
operasinya Linux, yang memiliki Account, username Root dan Password
123456 pada Address 66.213.7.30. Maka perintahnya,
-----------------------------------------------------------------------------
[admin@routerku] > system ssh 66.213.7.30 user=root
root@66.213.7.30's password:
----------------------------------------------------------------------------
c. Traceroute
Mengetahui hops atau router apa saja yang dilewati suatu packet sampai packet
itu terkirim ke tujuan, lazimnya kita menggunakan traceroute. Dengan tool ini
dapat di analisa kemana saja route dari jalannya packet.
Misalkan ingin mengetahui jalannya packet yang menuju server yahoo, maka:
----------------------------------------------------------------------------
[admin@routerku] > tool traceroute yahoo.com ADDRESS STATUS
1 63.219.6.nnn 00:00:00 00:00:00 00:00:00
2 222.124.4.nnn 00:00:00 00:00:00 00:00:00
3 192.168.34.41 00:00:00 00:00:00 00:00:00
4 61.94.1.253 00:00:00 00:00:00 00:00:00
5 203.208.143.173 00:00:00 00:00:00 00:00:00
6 203.208.182.5 00:00:00 00:00:00 00:00:00
7 203.208.182.114 00:00:00 00:00:00 00:00:00
8 203.208.168.118 00:00:00 00:00:00 00:00:00
9 203.208.168.134 timeout 00:00:00 00:00:00
10 216.115.101.34 00:00:00 timeout timeout
11 216.115.101.129 timeout timeout 00:00:00
12 216.115.108.1 timeout timeout 00:00:00
13 216.109.120.249 00:00:00 00:00:00 00:00:00
14 216.109.112.135 00:00:00 timeout timeout
------------------------------------------------------------------------------
d. Sniffer
Kita dapat menangkap dan menyadap packet-packet yang berjalan
di jaringan kita, tool ini telah disediakan oleh Mikrotik yang berguna
dalam menganalisa trafik.
----------------------------------------------------------------------------
[admin@routerku] > tool sniffer
Packet sniffering
.. -- go up to tool
start -- Start/reset sniffering
stop -- Stop sniffering
save -- Save currently sniffed packets
packet/ -- Sniffed packets management
protocol/ -- Protocol management
host/ -- Host management
connection/ -- Connection management
print --
get -- get value of property
set --
edit -- edit value of property
export --
----------------------------------------------------------------------------
Untuk memulai proses sniffing dapat menggunakan perintah Start, sedangkan
menghentikannya dapat menggunaka perintah Stop.
[admin@routerku] > tool sniffer start
Proses sniffing sedang dikerjakan, tunggu saja beberapa lama, kemudian
ketikkan perintah stop jika ingin menghentikannya. Melihat hasil packet
yang ditangkap dapat menggunakan perintah print, untuk mengeksportnya
dalam bentuk file dapat digunakan perintah export.
--[12]-- Kesimpulan
Untuk pemakaian jaringan berskala Kecil-menengah produk dari Latvia ini,
dapat menjadi pilihan, saya disini bukan untuk mempromosikan Produk ini.
Namun sebagai gambaran, bagaimana memanfaatkan produk ini untuk berbagai
keperluan, lagipula sebagai alternatif dari produk sejenis yang harganya
cenderung mahal.
Dengan Mikrotik yang saat ini sedang populernya diterapkan pada berbagai
ISP Wireless, Warnet-warnet serta beberapa Perusahaan. Maka Administrasi
Sistem Jaringan dapat lebih mudah dan sederhana. Yang jelas untuk sekedar
memanfaatkan fasilitas Routing saja, PC TUA anda dapat digunakan.
Mudah-mudahan paparan diatas dapat membantu pembaca dalam memahami, apa
dan bagaimana mikrotik ini.
--[13]-- Referensi
Artikel ini merupakan kompilasi dari berbagai sumber
1. Web Blog
- http://dhanis.web.id
- http://okawardhana.web.id
- http://harrychanputra.web.id
2. Website
- http://www.cgd.co.id
- http://www.ilmukomputer.org
- http://www.mikrotik.com
- http://www.mikrotik.co.id
- http://forum.mikrotik.com
oO Using no way as a way, Using no limitations as a limitation Oo
Salam dan terimakasih,
r0t0r
-----------------------------------------------------------------------
Copyleft Unreserved by Law 1995 - 2007 Kecoak Elektronik Indonesia
http://www.kecoak-elektronik.net
.L.A.M.P.I.R.A.N.
Daftar Port dan Protocol berbagai jenis Trojan, Backdoor, Virus.
daftar ini dapat saja tidak berlaku, atau dapat pula perlu ditambah
seiring perkembangan Malware tersebut. Update terus Filter Rule
mesin mikrotik anda.
########## Pembatasan Brute Force #################################
/ ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-limit=1,32
action=add-src-to-address-list address-list=ssh_logins
address-list-timeout=2m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=!ssh_logins
action=accept comment="" disabled=no
add chain=forward src-address=192.168.1.10 protocol=tcp src-port=21
content="password incorrect" action=add-dst-to-address-list
address-list=ftp_logins address-list-timeout=1m comment="" disabled=no
add chain=forward src-address-list=ftp_logins action=drop comment="" disabled=no
########################################################################
Pemblokiran beberapa URL tertentu dapat dilakukan pada mikrotik.
Jika paket web-proxy telah terinstall dan web-proxynya juga telah
dikonfigurasi, maka perintah dibawah ini dapat disertakan.
Setting Mikrotik dengan Speedy
Label: Linux, Unix-Etc |Diposting oleh indra Tgl 26.2.08
i386, i586, i686,x86-64 ........???
Label: Linux |Yang sudah sering berhubungan dengan kompilasi source di LINUX, pasti dah terbiasa dengan istilah i386, i586, i686 dan x86-64....dan apa arti simbol-simbol tersebut...?
Sebenernya...simbol-simbol tersebut dipakai sebagai petunjuk untuk compiler dengan tujuan optimisasi agar pada saat proses kompilasi source fitur-fitur spesifik prosesor dapat lebih optimal
INGAT!!!.....prosesor yang lebih baru dapat meng-compile source (atau menjalankan program binary) dengan menggunakan fitur prosesor yang lebih tua (alias jadul)....
TAPI.....tidak akan sebaliknya....(!!!)
biasanya....fitur-fitur prosesor yang sifatnya low-level....yang khusus dibuat sebagai keunggulan/keistimewaan 1 tipe prosesor....akan sengaja di-disable ketika program binary dijalanken di prosesor yang lebih tua.....
masalahnya adalah....program menjadi berjalan tidak optimal....atau malah akan malfunction....
tapi kebanyaken....programmer/distro dengan sengaja akan meng-compile source (menjadi program-program binary) hanya dengan memanfaatken fitur prosesor standar....biasanya hanya dengan fitur i386 ato i586....
semata2 hanya untuk tujuan kompatibalitas sistem
untuk beberapa kompilasi program aplikasi.....pemanfaatan fitur prosesor yang lebih baru, TIDAK SELALU menjamin peningkatan performa-nya secara signifikan....
bahkan....bagi end-user....perbedaanya tidak akan terlalu terasa.... :?
jadi....sering ada anggapan (dari programmer atau distro) bahwa tidak banyak gunanya meng-compile source dengan memanfaatken fitur prosesor di atas i386....
tapi khusus untuk beberapa paket....misalnya kernel, glibc, atau openssl....pemanfaatan fitur prosesor yang lebih baru akan sangat meningkatken performa kerja sistem (signifikan)....
sehingga biasanya distro dengan sengaja akan menyediaken paket binary yang sesuai dengan tipe prosesor....
simbol-simbol prosesor tersebut paling sering digunakan oleh compiler "GCC/G++" (GNU C/C++ Compiler) untuk optimasi fitur "machine dependent option" ("-m")
opsi tersebut dinyataken dg syntax = "-mtune=_
Beberapa
# i386 #
Original Intel's i386 CPU.
# i486 #
Intel's i486 CPU. (No scheduling)
# i586 / pentium #
Intel Pentium Classic CPU (no MMX support)
# pentium-mmx #
Intel Pentium Classic core with MMX instruction set support
# i686 / pentiumpro #
Intel PentiumPro CPU
# pentium2 #
Intel Pentium2 CPU based on PentiumPro core with MMX instruction set support
# pentium3 / pentium3m #
Intel Pentium3 CPU based on PentiumPro core with MMX and SSE instruction set support
# pentium-m #
Low power version of Intel Pentium3 CPU with MMX, SSE and SSE2 instruction set support (Centrino notebooks)
# pentium4 / pentium4m #
Intel Pentium4 CPU with MMX, SSE and SSE2 instruction set support
# prescott #
Improved version of Intel Pentium4 CPU with MMX, SSE, SSE2 and SSE3 instruction set support
# nocona #
Improved version of Intel Pentium4 CPU with 64-bit extensions, MMX, SSE, SSE2 and SSE3 instruction set support
# k6 #
AMD K6 CPU with MMX instruction set support
# k6-2 / k6-3 #
Improved versions of AMD K6 CPU with MMX and 3dNOW! instruction set support
# athlon / athlon-tbird #
AMD Athlon CPU with MMX, 3dNOW!, enhanced 3dNOW! and SSE prefetch instructions support
# athlon-4 / athlon-xp / athlon-mp #
Improved AMD Athlon CPU with MMX, 3dNOW!, enhanced 3dNOW! and full SSE instruction set support.
# k8 / opteron / athlon64 / athlon-fx #
AMD K8 core based CPUs with x86-64 instruction set support
(which are supersets MMX, SSE, SSE2, 3dNOW!, enhanced 3dNOW! and 64-bit instruction set extensions.)
# winchip-c6 #
IDT Winchip C6 CPU, dealt in same way as i486 with additional MMX instruction set support.
# winchip2 #
IDT Winchip2 CPU, dealt in same way as i486 with additional MMX and 3dNOW! instruction set support.
# c3 #
Via C3 CPU with MMX and 3dNOW! instruction set support (No scheduling is implemented for this chip)
# c3-2 #
Via C3-2 CPU with MMX and SSE instruction set support (No scheduling is implemented for this chip)
# x86-64 #
AMD64 atau x86-64 atau x64 adalah prosesor dengan arsitektur 64-bit yang diciptakan (invented) oleh AMD. Merupakan superset dari arsitektur x86 dan juga didukung secara nativ. Set instruksi AMD64 saat ini digunakan di prosesor tipe Athlon 64, Athlon 64 FX, dan Opteron.
Intel (kemudian)merilis salinan arsitektur AMD64 yang diimplementasikan di Xeon generasi baru dan prosesor Pentium 4 F kemudian ganti nama rebranding menjadi EM64T. Intel juga menambahkan beberapa instruksi di EM64T terutama untuk menangani teknologi Hyperthreading.
Set instruksi AMD's x86-64 atau AMD64 merupakan usaha ambisius untuk membersihkan dan mengupdate arsitektur Intel x86-32 ke format yang lebih dekat dengan leading edge 64 bit RISC environments. Dirk Meyer adalah salah satu original co-architects dari DEC Alpha 64 bit chip disebutkan berperan dalam pembuatan spesifikasi AMD64.
NOTE :
- beberapa simbol hanya berfungsi di GCC/G++ versi yang paling baru
- Sejarah prosesor
diambil dari forum www.oprekpc.com by annindya_jw
Diposting oleh indra Tgl 3.1.08
Dual Boot Windows-Linux dan Linux-linux
Label: Linux, Windows |Yang tertarik nyoba Linux tapi ga mau kehilangan Windows, bisa dicoba nginstall dual-boot. Misal pake Ubuntu, tapi should be fine pake distro lain semisal Fedora cs, Knoppix cs, Mandriva, dll. Diasumsikan, Windows n’ Linux diinstall di harddisk yang sama sehingga MBR (Master Boot Record)-nya cuman satu.
Ada 3 skenario dalam instalasi dual-boot :
1. Windows diinstall duluan, lalu Linux diinstall belakangan
Ini cara yang paling gampang, karena secara otomatis boot-loader Linux akan mendeteksi ada Windows, dan memberikan menu untuk masuk ke dalamnya. Klo pake Ubuntu, boot-loadernya adalah Grub. Setelah berhasil menginstall Windows dan Ubuntu, maka Grub akan tampil saat kita booting, dan memberikan pilihan mau booting ke Ubuntu apa Windows. Simpel, ga butuh setting macem-macem
2. Linux diinstall duluan, baru Windows belakangan
Masalah utama pada skenario ini adalah : Windows mengoverwrite MBR dengan boot-loadernya ndiri (sehingga Grub-nya Linux mati), tapi Windows ga mau ngedeteksi adanya Linux (sehingga ga ada pilihan buat booting ke Linux). Jadi walopun udah nginstall Ubuntu n’ Windows, tapi karena menu untuk masuk Ubuntu ga ada, jadilah kita cuma bisa booting ke Windows.
Solusinya, kita bakal overwrite lagi MBR dengan Grub. Caranya :
1. Booting menggunakan Rescue Disk / Live CD Linux. Coba cek keterangan di distro masing-masing. Klo Ubuntu pake aja Live CD-nya
2. Klo udah masuk, jalanin perintah di bawah ini dengan privileges “root” (tambahkan “sudo” di depan tiap perintah, buat Ubuntu)
* sudo grub //setelah itu akan masuk ke program grub dengan tanda “grub>” di terminal
o root (hd0,0) // ganti “(hd0,0)” sesuai dengan setting harddisk-mu, yakni root-nya instalasi Linux. “(hd0,0)” menunjukkan instalasi Linux ada di harddisk pertama, partisi pertama.
o install (hd0) // ini berarti menginstall Grub ke MBR harddisk pertama, menggantikan MBR Windows yang rese’
o quit // keluar dari program Grub
* sudo vim /boot/grub/menu.lst // edit file menu.lst dengan editor sembarang
o cari baris pendefinisian Operating System, biasanya di paling bawah file
o tambahin baris sebagai berikut untuk ngedefinisiin Windows :
+ title Mikocop Windossss
+ rootnoverify (hd0,2) // ganti dengan partisi Windows diinstall, contoh ini berarti di partisi ketiga
+ makeactive
+ chainloader +1
o save aja file-nya
3. restart komputer, terus pastikan Grub sudah bisa booting ke Linux n’ Mikocop Windosss :)
3. Entah mana yang diinstall duluan, pokoknya jadi ga bisa booting!
Kasus ini terjadi misalnya pas nge-repair Windows, ato ngutak-atik partisi harddisk, ato nambah harddisk baru, dll. Solusinya, mirip seperti yang skenario ke-2 tadi. Masuk ke Rescue Disk / Live CD, trus pastiin Grub keinstall di MBR, trus pastiin settingan kayak (hd0,0), (hd0,2)-nya sesuai sama keadaan harddisk sekarang. Jadi, pastiin dulu skema partisi harddiskmu, misalkan pake program gparted (buat Ubuntu). Terus, jangan lupa juga buat ngecek file “/etc/fstab” di Linux, dan pasttin settingannya bener, sesuai partisi-partisi yang ada.
*****
Untuk yang instal semua pake linux
Keuntungan dari instalasi multi-distro tersebut, Anda bisa mempelajari beberapa jenis distro yang memiliki "sifat" serta "kelakuan" yang berbeda sehingga pengetahuan Anda tentang Linux akan semakin kaya.
Pembuatan Partisi
Setiap distro Linux membutuhkan setidaknya dua partisi, yaitu / (root) dan swap. Kebutuhan akan partisi swap sebenarnya bisa diperdebatkan, utamanya apabila Anda memiliki RAM yang besar (misalnya di atas 512MB). Namun bukan hal yang salah apabila partisi swap tetap ingin digunakan.
Dalam kondisi minimal, sediakan n+1 partisi dengan n adalah jumlah distro yang ingin diinstall. Sebagai contoh penulis akan menginstall tiga distro, yaitu Fedora Core, Ubuntu, dan Slackware. Untuk itu, siapkan minimal empat partisi. Tiga partisi akan digunakan untuk partisi / bagi setiap distro, dan satu partisi digunakan sebagai swap. Mengapa partisi swapnya hanya satu? Karena pada satu kurun waktu hanya satu sistem operasi yang dapat beroperasi. Jadi partisi swapnya akan digunakan secara bergantian.
Apabila Anda menginginkan pemisahan partisi /home dari partisi /, sebaiknya partisi untuk /home tersebut juga disediakan sebanyak distro yang ingin diinstall. Jika diinginkan adanya partisi yang dapat digunakan untuk bertukar data antardistro, sebaiknya partisi tersebut disediakan tersendiri.
Besarnya setiap partisi juga harus disesuaikan dengan kebutuhan. Partisi untuk Fedora Core misalnya, jangan sampai terlalu kecil karena jumlah CD instalasi Fedora Core adalima (bandingkan dengan Ubuntu yang hanya satu). Sebagai contoh, penulis akan menyediakan lima partisi untuk instalasi Fedora Core, Ubuntu, dan Slackware. Tiga partisi untuk partisi/setiap distro, satu partisi untuk partisi swap, dan satu partisi lagi disediakan untuk tukar menukar data antardistro.
Diasumsikan harddisk yang digunakan berukuran 80GB, dan komputer memiliki RAM 512MB. Susunan partisinya seperti pada gambar berikut.
Instalasi Distro Pertama
Katakanlah distro yang diinstall pertama kali adalah Fedora Core. Untuk itu, buatlah susunan partisi seperti di atas. Namun yang dimount hanyalah /dev/hdal sebagai /, /dev/hda6 Sebagai swap, dan /dev/hda5 sebagai partisi (untuk sharing data yang mungkin akan di-mount di /sharing).
Formatlah berbagai partisi tersebut dengan file system yang dikenal oleh seluruh distro. Namun Anda tidak perlu terlalu cemas karena umumnya hampir semua distro telah mengenal ext2, ext3, serta reiserfs sebagai file system. Penulis menyarankan untuk menggunakan ext3 saja, karena file system tersebut bisa dikatakan sebagai yang paling populer. Saat anaconda (software instalasi Fedora Core) meminta Anda untuk menginstall GRUB, letakkan GRUB di MBR (dalam hal ini adalah di /dev/hda).
Instalasi Distro Kedua
Pada saat instalasi distro kedua, sebagian susunan partisi telah digunakan untuk distro pertama. Misalnya, distro kedua yang diinstall adalah Ubuntu. Untuk itu, lakukan proses mount hanya terhadap partisi /dev/hda2 untuk / dan /devl hda6 untuk swap. Nantinya partisi untuk sharing data akan dilakukan secara manual.
Jika pada saat instalasi GRUB, installer Ubuntu mengenal adanya distro lain (Fedora Core) yang telah terinstall dan membuat entri untuk booting ke Fedora Core, Anda boleh menggantikan GRUB Fedora Core dengan GRUB Ubuntu. Anda tinggal menginstall GRUB Ubuntu di MBR, maka GRUB yang telah ada di MBR sebelumnya akan hilang. Namun jika Anda menginginkan untuk tetap menggunakan GRUB milik Fedora Core, lakukan instalasi GRUB Ubuntu tersebut di partisi / Ubuntu, yaitu di /dev/hda2.
Instalasi Distro Ketiga
Sama dengan langkah instalasi distro yang kedua, sebagian susunan partisi telah digunakan untuk distro yang pertama dan kedua. Untuk distro Slackware, lakukan mount dan format hanya untuk /dev/hda3 sebagai partisi / dan /dev/hda6 sebagai partisi swap. Partisi untuk sharing dapat dilakukan secara manual.
Sebagai boot loader, secara default Slackware menggunakan LILO. Penulis lebih memilih untuk menggunakan GRUB, karena itu lakukan instalasi LILO di partisi / Slackware, dalam hal ini adalah Idev/hda3.
Konfigurasi Akhir
Beberapa konfigurasi akhir harus dilakukan agar nantinya pada menu GRUB akan muncul ketiga distro yang digunakan.
Mula-mula bootinglah ke distro Fedora Core. Biasanya akan segera timbul masalah, yaitu partisi swap yang tidak ditemukan oleh Fedora Core. Hal itu terjadi karena Fedora Core menggunakan nama label dalam merujuk ke partisi swap, bukan posisi partisinya. Untuk mengatasinya, ada dua solusi yang ditawarkan, yaitu memberi kembali nama label pada partisi swap, atau menyunting file /etc/fstab Fedora Core agar merujuk partisi swap pada posisi partisinya, bukan nama swapnya.
Entri pada file /etdfstab yang merujuk pada partisi swap adalah:
LABEL = SWAP-hda6 swap swap defaults 0 0
Dari entri tersebut terlihat bahwa nama label untuk partisi swap adalah SWAP-hda6. Anda bisa memberi label pada partisi swap dengan perintah berikut:
# mkswap -L SWAP-hda6 /dev/hda6
Cara yang kedua adalah dengan menyunting file /etd fstab tersebut sehingga partisi swap dirujuk berdasar posisi partisinya, bukan nama labelnya:
/dev/hda6 swap swap defaults 0 0
Nah, masalah pertama telah terselesaikan. Sekarang Anda harus menambah entri pada GRUB agar nantinya muncul item untuk booting ke Ubuntu dan Slackware. Untuk melakukan hal tersebut, Anda harus "mengintip" isi konfigurasi GRUB dan LILO milik Ubuntu dan Slackware. Tentunya partisi / Ubuntu dan partisi / Slackware harus dimount terlebih dahulu. Ketikkan perintah berikut (Anda bisa mengetikkan perintah ini secara cepat dalam satu baris):
# cd /mnt; mkdir ubuntu; mkdir slackware; mount -t ext3 /dev/hda 2/mnt/ubuntu; mount -t ext3; /dev/hda3 /mnt/slackware
Lalu, bukalah file /boot/grub/grub.conf yang terdapat di Fedora Core. Agar aman, backup file tersebut terlebih dahulu. Isi file /boot/grub/grub.conf tersebut kira-kira sebagai berikut:
default = 0
timeout = 5
splashimage=(hd0,0)/grub/splash.xpm.gz
# hiddenmenu
title Fedora Core (kernel 2.6.17-1.2157_FC5)
root (hd0,0)
kernel /vmlinuz-2.6.17-1.2157_FC5 ro root= LABEL=/1
rhgb quiet
initrd/initrd-2.6.17-1.2157 FC5.img
Kemudian buka file menu.lst milik Ubuntu yang terdapat di /mnt/ubuntu/boot/grub/menu.lst. Entri yang menunjukkan informasi booting ke Ubuntu adalah:
title Ubuntu, kernel 2.6.15-23-386
root (hd0,1)
kernel /boot/vmlinuz-2.6.15-23-386 root=/dev/hdb5
ro quiet splash
initrd /boot/initrd.img-2.6.15-23-386
Setelah itu, salinlah entri tersebut ke file /boot/grub/grub. conf, dan letakkan di bawah entri Fedora Core. Terakhir, buka file lilo.conf milik Slackware yang terdapat di /mnt/slackware/etc/lilo.conf. Entri yang menunjukkan informasi booting ke Slackware adalah:
boot = /dev/hda3 prompt
timeout = 50
vga = 773
image = /boot/vmlinuz
root = /dev/hda3
label = slackware
read-only
Catatan: Informasi tersebut telah disunting dengan tidak menampilkan bagian yang diberi tanda #. Karena entri pada lilo.conf tidak sama dengan entri pada grub.conf, Anda harus membuat entri sendiri pada file /boot/grub/grub.conf dengan nilai-nilai yang disesuaikan dengan entri pada lilo.conf tersebut. Entri tersebut sebagai berikut:
title Slackware
root (hd0,2)
kernel /boot/vmlinuz root=/dev/hda3 vga=773
Letakkan entri tersebut di bawah entri Fedora Core dan Ubuntu, kemudian simpan file /boot/grub/grub.conf tersebut, dan reboot komputer Anda. Sekarang pada menu GRUB telah muncul tiga entri, yaitu Fedora Core, Ubuntu, Ban Slackware.
Sebagai langkah konfigurasi terakhir, pada Ubuntu dan Slackware buatlah direktori /sharing, dan sunting file /etd fstab dengan menambahkan item berikut:
/dev/hda5 /sharing ext3 defaults 0 0
Sekarang, partisi /dev/hda5 bisa digunakan oleh ketiga distro tersebut sehingga bisa difungsikan sebagai media untuk tukar-menukar data. Secara garis besar cara instalasi dan konfigurasi di atas dapat digunakan sebagai panduan untuk kombinasi distro yang berbeda.
diambil dari Aceh Forum
Diposting oleh indra Tgl 24.10.07
Squid
Label: Linux |Ringkasan ini tidak tersedia. Harap klik di sini untuk melihat postingan.
Read More..Diposting oleh indra Tgl 23.10.07
Penggunaan Private dan Public Key dalam SSH
Label: Linux |Banyak cara yang dapat dilakukan jika ingin login ke dalam Linux, atau dengan kata lain ingin mengakses shell Linux. Lazimnya terdapat 2 macam cara yaitu telnet dan ssh. Untuk penggunaan telnet tidak disarankan karena alasan keamanan transfer datanya. Untuk ssh inilah yang direkomendasikan untuk digunakan. Pada kesempatan ini, penulis akan bahas mengenai SSH Client. SSH ialah secure shell, dimana dengan program ini user dapat login ke dalam Linux dengan menggunakan username dan password yang sesuai, yang bertujuan untuk mengakses shell. Setiap perintah yang diketikkan di dalam shell akan dienkripsi. Hal ini beda dengan telnet, rsh atau rlogin.
SSH bekerja pada port 22. Program untuk ssh bernama OpenSSH. SSH menggunakan enkripsi dan teknik autentikasi RSA (RSA Autenthication), 3DES, Blowfish, CAST128, hmac-md5, hmac-sha1. Untuk dapat menjalankan fasilitas SSH maka daemon SSH di server tempat kita login harus sudah berjalan. Untuk mengecek, Anda dapat mengetikkan perintah berikut ini.
#netstat -an | grep 22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
Jika belum, maka pastikan paket OpenSSH sudah terinstall dan Anda tinggal menjalankan daemon sshd.
Kenapa harus menggunakan public dan private key dalam SSH? Setiap transfer data melalui SSH walau tidak menggunakan public atau private key sekalipun, data yang dikirim pasti sudah dienkripsi. Tetapi terdapat kelebihan tersendiri jika kita menggunakan public dan private key. Untuk masuk ke Linux melalui SSH, Anda hanya mengetikkan username dan password Anda di server. Tetapi jika Anda menggunakan key, maka Anda hanya mengetikkan username dan password untuk membuka public key Anda. Jadi bukan password Anda di server atau di linux. Password untuk public key dan password login Anda di Linux dapat juga berbeda dan dianjurkan untuk tidak menyamakan password key dengan password username yang sudah terdaftar di system.
Berikut ini contoh login ke Linux menggunakan ssh tanpa menggunakan key.
$ssh syafii@192.168.0.4
syafii@192.168.0.4's password: // masukkan password
Secara sederhana dengan cara di atas, Anda dapat login dari system manapun, dari ip address manapun juga bisa.
Public dan private key disimpan dalam file. Isinya dari file tersebut ialah hasil enkripsi dari kunci untuk membuka public key. Public digenerate di server atau di client. Ketika menggenerate public key, secara otomatis akan digenerate pula private key. Dengan menggunakan key, maka Anda hanya dapat login ke dalam Linux dimana Anda harus mempunyai atau menyertakan private key Anda ketika ssh ke dalam system.
Untuk lebih jelasnya, pertama-tama dalam contoh kali ini penulis menggunakan 3 (tiga) komputer, 2 (dua) komputer menggunakan Linux dan 1 (satu) komputer menggunakan Windows. Penulis menggunakan Windows karena untuk melakukan ssh dari Windows harus menggunakan program bantu yaitu PuTTY. Untuk software atau program yang dibutuhkan dalam materi kali ini, di sisi server harus sudah terinstall OpenSSH, di client Windows harus menggunakan PuTTY dan juga WinSCP untuk keperluan mengimport private key.
Komputer pertama merupakan komputer server (menggunakan Linux) dengan IP address 192.168.0.6, komputer kedua menggukan Linux dengan IP address 192.168.0.4 dan komputer ketiga menggunakan Windows dengan IP address 192.168.0.1.
Langkah 1
Sekarang Anda sedang berada di komputer 192.168.0.4. Langkah awal ini Anda harus menggenerate key terlebih dahulu. Username yang penulis gunakan bernama syafii.
$ ssh-keygen -t dsa -b 2048
Generating public/private dsa key pair.
Enter file in which to save the key (/home/syafii/.ssh/id_dsa):
Created directory '/home/syafii/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/syafii/.ssh/id_dsa.
Your public key has been saved in /home/syafii/.ssh/id_dsa.pub.
The key fingerprint is:
22:18:bf:3b:f5:3f:d9:20:5e:df:bc:94:11:1b:a6:72 syafii@
$ cd .ssh/
$ pwd
/home/syafii/.ssh
$ ls
id_dsa id_dsa.pub
Dari output di atas, kunci public dan private disimpan pada direktori ~/.ssh. Nama file untuk kunci public yaitu id_dsa.pub dan id_dsa untuk private key. Setelah terbentuk kunci public dan private, maka untuk kunci public harus dicopy ke server IP 192.168.0.6.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Bagian di atas ialah untuk memasukkan password yang akan digunakan membuka kunci. Nantinya password di atas yang digunakan untuk login bukan password yang tercantum di sistem di /etc/passwd. Sangat dianjurkan untuk membuat password yang berbeda dengan password login di Linux.
Langkah 2
Salin file id_dsa.pub dari IP 192.168.0.4 ke Linux dengan IP 192.168.0.6, dimana di komputer dengan IP 192.168.0.6, Anda mempunyai hak login.
Masih di komputer IP 192.168.0.4, ketikkan
$ scp id_dsa.pub syafii@192.168.0.6:~/
syafii@192.168.0.6's password:
id_dsa.pub 100% |*****************************| 1109 00:00
Langkah 3
Setelah itu login ke komputer IP 192.168.0.6, login dengan user syafii.
$ ssh syafii@192.168.0.6
syafii@192.168.0.6's password:
Last login: Sun Nov 6 12:26:14 2005 from 192.168.0.1
Ketikkan perintah berikut.
[syafii@firewall syafii]$ chmod 700 .ssh
[syafii@firewall syafii]$ cat id_dsa.pub > .ssh/authorize
[syafii@firewall syafii]$ chmod 600 .ssh/authorized_keys2
Sampai di sini, dari sisi client sudah beres. Sekarang di sisi server, untuk mengaktifkan agar ssh server dapat menerima autentikasi menggunakan key maka ssh perlu dikonfigurasi.
Masih di komputer dengan IP 192.168.0.6, login sebagai root.
# vi /etc/ssh/sshd_config
Rubah:
Protocol 1,2
to
Protocol 2
Rubah:
ListenAddress 0.0.0.0
to
ListenAddress 192.168.0.6
Rubah:
RhostsRSAAuthentication yes
to
RhostsRSAAuthentication no
Rubah:
RSAAuthentication yes
to
RSAAuthentication no
Rubah:
PasswordAuthentication yes
to
PasswordAuthentication no
Simpan dan restart openssh.
# /etc/rc.d/init.d/sshd restart
Shutting down sshd: [ OK ]
Starting sshd: [ OK ]
Untuk mengecek konfigurasi, login ke komputer IP 192.168.0.4, kemudian ssh ke IP 192.168.0.6.
$ ssh syafii@192.168.0.6
Enter passphrase for key '/home/syafii/.ssh/id_dsa':
Last login: Sun Nov 6 13:11:34 2005 from 192.168.0.4
[syafii@firewall syafii]$
Untuk dapat login ke dalam Linux yang menggunakan key, maka di komputer kita harus ada private key. Dalam hal ini private key terdapat di direktori /home/syafii pada komputer dengan IP 192.168.0.4, maka dari itu jika ingin ssh private key ( id_dsa) harus selalu disertakan. Seumpama Anda dari komputer IP 192.168.0.2 ingin ssh ke 192.168.0.6, maka di home dir Anda harus Anda salin file id_dsa dari komputer IP 192.168.0.4. Memang sedikit rumit, tetapi demi kehati-hatian, hal ini sangat diperlukan. Artinya jika tidak mempunyai private key, maka Anda tidak dapat login ke Linux walaupun Anda mengetahui passwordnya sekalipun. Karena ketika kita mengetikkan perintah ‘ssh’, secara otomatis akan memanggil file id_dsa.
Sampai saat ini konfigurasi berjalan dengan benar. Bagaimana jika Anda melakukan ssh dari komputer yang menggunakan sistem operasi Windows? Kali ini 2 (dua) program yang Anda butuhkan, yaitu PuTTY dan PuTTYgen (http://www.chiark.greenend.org.uk/~sgtatham/putty/). Secara teknis hampir sama, ketika Anda menggunakan PuTTY, private key harus Anda sertakan juga.
Langkah 4
Import file id_dsa agar dapat dieksekusi oleh PuTTY. Download file id_dsa dari IP 192.168.0.4.
J:\>ftp 192.168.0.4
Connected to 192.168.0.4.
220 FTP server (Version 6.00LS) ready.
User (192.168.0.4:(none)): syafii
331 Password required for syafii.
Password:
230 User syafii logged in.
ftp> cd .ssh
250 CWD command successful.
ftp> get id_dsa
200 PORT command successful.
150 Opening ASCII mode data connection for 'id_dsa' (1264 bytes).
226 Transfer complete.
ftp: 1287 bytes received in 0,00Seconds 1287000,00Kbytes/sec.
ftp> close
221 Goodbye.
ftp> by
J:\>dir id_dsa
Volume in drive J is PII
Volume Serial Number is 5891-F844
Directory of J:\
06/11/2005 18:25 1.287 id_dsa
1 File(s) 1.287 bytes
0 Dir(s) 3.296.157.696 bytes free
Buka PuTTYgen > Load, masukkan file id_dsa.
Masukkan password untuk private key.
Karena kita mengimport private key maka klik Save private key.
Kemudian buka PuTTY.
Masukkan private key yang sudah disimpan tadi. Kemudian login ke ip 192.168.0.6.
Memang sedikit rumit jika menggunakan sistem operasi Windows, tetapi karena umumnya login menggunakan PuTTY, maka agar adil perlu dibahas pula teknik login dengan PuTTY.
Author: Muhammad Syafii
Published: November 20, 2005 ****
Diposting oleh indra Tgl 23.10.07
©2007@This blog best viewed with Firefox.aINDRA Studio | A Support Go Blog