OPTIONS INET6 #IPv6 communications protocols
OPTIONS IPSEC #IP Security
device gif #IPv6 and IPv4 tunneling
device stf #6to4 tunneling

Untuk mengaktifkan fitur IPv6 di FreeBSD cukup mengedit file /etc/rc.conf dan tambahkan baris berikut :

ipv6_enable = “YES”

Hal ini disebut tunneling karena harus mendefinisikan alamat IPv4 dari sisi client dan sisi ISP, Untuk keperluan 6over4 ini penyedia tunnel atau disebut juga tunnel broker. TunnelBroker yang digunakan pada pembahasan ini adalah FreeNet6. Setelah mendaftarkan diri pada TunnelBroker tersebut kita akan mendapatkan username dan password yang akan digunakan untuk Tunneling. Berikut langkah langkahnya :

Download aplikasi / source yang disediakan di FreeNet6, tentunya menyesuaikan dengan OS yang digunakan (dalam pembahasan ini menggunakan FreeBSD/UNIX).

Setelah itu extract file source tersebut

router# tar -zxvf gw6c-5_1-RELEASE-src.tar.gz

Kemudian masuk ke dalam direktori tspc-advanced, dan compile

router# cd tspc-advanced

router# make install target=freebsd installdir=/usr/local/etc/gw6c

Setelah itu buat file konfigurasinya yaitu gw6c.conf. Berikut ini adalah contoh script konfigurasi yang saya buat :

userid=usernameanda
passwd=passwordanda
server=broker.freenet6.net
auth_method=any
host_type=router
prefixlen=64
if_prefix=fxp0
dns_server=ns1.terserahanda.com
gw6_dir=/usr/local/etc/gw6c
auto_retry_connect=yes
retry_delay=30
keepalive=no
keepalive_interval=30
tunnel_mode=v6anyv4
if_tunnel_v6v4=gif0
if_tunnel_v6udpv4=tunXX
if_tunnel_v4v6=gif0
client_v4=auto
client_v6=auto
template=freebsd
proxy_client=no
broker_list=tsp-broker-list.txt
last_server=tsp-last-server.txt
always_use_same_server=no
log_file=3
log_filename=/var/log/gw6c.log
log_rotation=yes
log_rotation_size=32
log_rotation_delete=no
syslog_facility=USER

Simpan di /usr/local/etc/gw6c.conf

Selesai sudah tahap konfigurasi nya. Untuk Mengaktifkannya cukup dengan perintah :

router# /usr/local/etc/gw6c/bin/gw6c -f /usr/local/etc/gw6c.conf
Gateway6 Client v5.1-RELEASE build Apr 9 2008-16:42:18
Built on ///FreeBSD router.endoet.org 7.0-STABLE FreeBSD 7.0-STABLE #1: Sat Apr 5 11:21:42 WIT 2008 root@router.endoet.org:/usr/obj/usr/src/sys/ENDOET i386///
Connection to broker.freenet6.net established.

Tes koneksi IPv6 :

router# ping6 -c 3 www.kame.net
PING6(56=40+8+8 bytes) 2001:5c0:8fff:fffe::859d –> 2001:200:0:8002:203:47ff:fea5:3085
16 bytes from 2001:200:0:8002:203:47ff:fea5:3085, icmp_seq=0 hlim=47 time=238.812 ms
16 bytes from 2001:200:0:8002:203:47ff:fea5:3085, icmp_seq=1 hlim=47 time=234.632 ms
16 bytes from 2001:200:0:8002:203:47ff:fea5:3085, icmp_seq=2 hlim=47 time=227.346 ms

— www.kame.net ping6 statistics —
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 227.346/233.597/238.812/4.738 ms

Yup, IPv6 telah terpasang. Sekarang buat script startup nya. Berikut contoh script yang saya gunakan :

#!/bin/sh
#
# $NetBSD: inetd,v 1.6 2000/09/19 13:04:38 lukem Exp $
# $FreeBSD: src/etc/rc.d/inetd,v 1.5 2005/01/16 03:12:03 obrien Exp $
#

# PROVIDE: gw6c
# REQUIRE: DAEMON LOGIN NETWORKING cleanvar
# KEYWORD: shutdown

. /etc/rc.subr

name=”gw6c”
gw6c_dir=”/usr/local/etc/gw6c”
command=”/usr/local/etc/gw6c/bin/${name}”
pidfile=”/var/run/${name}.pid”
required_files=”/usr/local/etc/${name}.conf”
start_cmd=”gw6c_start”
stop_cmd=”gw6c_stop”

gw6c_start()
{
echo -n ‘Starting the Gateway6 Client: ‘
cd ${gw6c_dir}/bin
${command} -f ${required_files}
echo ‘gw6c.’
}

gw6c_stop()
{
echo -n ‘Stopping the Gateway6 Client: ‘
pkill -HUP ${name}
echo ‘gw6c.’
}

run_rc_command “$1″

# end of scripts

Simpan file tersebut di /usr/local/etc/rc.d/gw6c

Selesai sudah konfigurasi untuk tunneling IPv6 pada FreeBSD

Saya akan mencoba menjelaskan secara rinci bagaimana cara menginstallnya. Cara yang ditulis dibawah ini sudah dipraktekkan pada Linux Fedora Core 5 (Bordeaux).

Untuk langkah pertama, pastikan paket paket yang dibutuhkan oleh cacti sudah terinstall. Paket tersebut meliputi :

1. net-snmp
2. rrdtool
3. mysql
4. php

Untuk mengetahui apakah paket tersebut telah terinstall. Dapat dilakukan dengan perintah di bawah ini :

rpm -qa | grep <namapaket>

Kalau paket tersebut belum terinstall alias nggak ada, install dengan perintah :

yum -y install <namapaket>

Setelah semua paket diatas terinstall, barulah install cacti nya :

[root@router:~$] yum -y install cacti

Setelah cacti terinstall edit file /etc/passwd dengan menggunakan perintah vipw dan cari baris berikut :

cacti:x:100:101::/usr/share/cacti:/sbin/nologin

Ganti menjadi seperti berikut :

cacti:x:100:101::/usr/share/cacti:/bin/bash

Setelah itu buatkan password untuk user cacti :

[root@router:~$] passwd cacti
Changing password for user cacti.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

Edit file berikut :

[root@router:~$] nano /etc/httpd/conf.d/cacti.conf

Ganti baris berikut ini :

<Directory /usr/share/cacti/>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
</Directory>

Menjadi :

<Directory /usr/share/cacti/>
Order Deny,Allow
Deny from all
Allow from <ip network anda>
</Directory>

Setelah itu buat user database mysql yang akan digunakan cacti :

[root@router:~$] mysql -u root -p

mysql> create database cactidb;
mysql> grant all on cactidb.* to root;
mysql> grant all on cactidb.* to root@localhost;
mysql> grant all on cactidb.* to cacti;
mysql> grant all on cactidb.* to cacti@localhost;
mysql> set password for cacti@localhost=password(‘passwordshell’);
mysql> exit;

Setelah itu switch user ke user cacti :

[root@router:~$] su – cacti

bash-3.1$ cd /usr/share/doc/cacti-x.x.xy/

bash-3.1$ mysql -p -u cacti cactidb < cacti.sql

Enter password:

bash-3.1$ exit

Ubah owner folder ‘/usr/share/cacti/rra’ dan ‘/usr/share/cacti/log’ :

[root@router:~$] chown -R cacti /usr/share/cacti/rra /usr/share/cacti/log

Buat crontab untuk menjalankan cacti nya :

[root@router:~$] crontab -e

*/5 * * * * php /usr/share/cacti/poller.php > /dev/null 2>&1

Setelah semua beres, download web cacti nya lalu di ekstrak :

[root@router:~$] cd /var/www/html

[root@router:~$] wget http://www.cacti.net/downloads/cacti-0.8.6j.tar.gz

[root@router:~$] tar -zxvf cacti-0.8.6j.tar.gz

[root@router:~$] mv cacti-0.8.6 cacti

Edit file file /usr/share/cacti/include/db.php dan /var/www/html/cacti/include/config.php

/* make sure these values refect your actual database/host/user/password */
$database_type = “mysql”;
$database_default = “cactidb”;
$database_hostname = “localhost”;
$database_username = “cacti”;
$database_password = “passwordshell”;
$database_port = “3306″;

Langkah terakhir restart Apache :

[root@router:~$] /etc/init.d/httpd restart

Stopping httpd: [ OK ]
Starting httpd: [ OK ]

Sekarang akses http://hostname/cacti/ dan ikuti langkah langkah nya. Sampai pada halaman login, masukkan username : admin dan password : admin.

Selesai sudah instalasi cacti. Kurang lebihnya mohon maaf.

Pada penulisan artikel ini saya ingin agar server yang saya manage dapat memonitor bandwidth incoming dan outgoing sehingga dapat dilihat seberapa besar bandwidth yang digunakan. Sebelum mulai silahkan anda siapkan sebungkus rokok (jika anda perokok), secangkir kopi (jika anda suka kopi … ~) .

Pastikan juga bahwa Apache Web Server sudah terinstall dengan baik. Dalam penulisan ini versi Apache yang saya gunakan adalah Apache 2.2.4.

Langkah pertama yang harus dilakukan adalah install SNMP.

SNMP (Simple Network Management Protocol) adalah protokol manajemen jaringan yang banyak digunakan pada jaringan berbasis TCP/IP. SNMP merupakan protokol standard industri yang digunakan untuk memonitor dan mengelola berbagai perangkat di jaringan Internet meliputi hub, router, switch, workstation dan sistem manajemen jaringan secara jarak jauh (remote).

Untuk instalasinya cukup mudah yaitu menggunakan ports karena cukup cepat dan simple.

[root@ns1 ~]# cd /usr/ports/net-mgmt/net-snmp4

[root@ns1 /usr/ports/net-mgmt/net-snmp4]# make install clean

Jalankan Services SNMP

[root@ns1 ~]# /usr/local/sbin/snmpd

Untuk mengecek apakah services SNMP sudah run di dalam mesin FreeBSD nya dapat menggunakan snmpwalk

[root@ns1 ~]# snmpwalk localhost public system
system.sysDescr.0 = FreeBSD ns1.somewhere.com 6.2-STABLE FreeBSD 6.2-STABLE #0: Fri Mar 22 00:12:54 WIT 2007 root@ns1.somewhere.com:/usr/obj/usr/src/sys/ENDOET i386
system.sysObjectID.0 = OID: enterprises.ucdavis.ucdSnmpAgent.unknown
system.sysUpTime.0 = Timeticks: (413200709) 47 days, 19:46:47.09
system.sysContact.0 = root@ns1.somewhere.com
system.sysName.0 = ns1.somewhere.com
system.sysLocation.0 = Unknown
system.sysORLastChange.0 = Timeticks: (0) 0:00:00.00
system.sysORTable.sysOREntry.sysORID.1 = OID: ifMIB
system.sysORTable.sysOREntry.sysORID.2 = OID: .iso.org.dod.internet.snmpV2.snmpModules.snmpMIB
system.sysORTable.sysOREntry.sysORID.3 = OID: tcpMIB
system.sysORTable.sysOREntry.sysORID.4 = OID: ip
system.sysORTable.sysOREntry.sysORID.5 = OID: udpMIB
system.sysORTable.sysOREntry.sysORID.6 = OID: .iso.org.dod.internet.snmpV2.snmpModules.snmpVacmMIB.vacmMIBConformance.vacmMIBGroups.vacmBasicGroup
system.sysORTable.sysOREntry.sysORID.7 = OID: .iso.org.dod.internet.snmpV2.snmpModules.snmpFrameworkMIB.snmpFrameworkMIBConformance.snmpFrameworkMIBCompliances.snmpFrameworkMIBCompliance
system.sysORTable.sysOREntry.sysORID.8 = OID: .iso.org.dod.internet.snmpV2.snmpModules.snmpMPDMIB.snmpMPDMIBConformance.snmpMPDMIBCompliances.snmpMPDCompliance
system.sysORTable.sysOREntry.sysORID.9 = OID: .iso.org.dod.internet.snmpV2.snmpModules.snmpUsmMIB.usmMIBConformance.usmMIBCompliances.usmMIBCompliance
system.sysORTable.sysOREntry.sysORDescr.1 = The MIB module to describe generic objects for network interface sub-layers
system.sysORTable.sysOREntry.sysORDescr.2 = The MIB module for SNMPv2 entities
system.sysORTable.sysOREntry.sysORDescr.3 = The MIB module for managing TCP implementations
system.sysORTable.sysOREntry.sysORDescr.4 = The MIB module for managing IP and ICMP implementations
system.sysORTable.sysOREntry.sysORDescr.5 = The MIB module for managing UDP implementations
system.sysORTable.sysOREntry.sysORDescr.6 = View-based Access Control Model for SNMP.
system.sysORTable.sysOREntry.sysORDescr.7 = The SNMP Management Architecture MIB.
system.sysORTable.sysOREntry.sysORDescr.8 = The MIB for Message Processing and Dispatching.
system.sysORTable.sysOREntry.sysORDescr.9 = The management information definitions for the SNMP User-based Security Model.
system.sysORTable.sysOREntry.sysORUpTime.1 = Timeticks: (0) 0:00:00.00
system.sysORTable.sysOREntry.sysORUpTime.2 = Timeticks: (0) 0:00:00.00
system.sysORTable.sysOREntry.sysORUpTime.3 = Timeticks: (0) 0:00:00.00
system.sysORTable.sysOREntry.sysORUpTime.4 = Timeticks: (0) 0:00:00.00
system.sysORTable.sysOREntry.sysORUpTime.5 = Timeticks: (0) 0:00:00.00
system.sysORTable.sysOREntry.sysORUpTime.6 = Timeticks: (0) 0:00:00.00
system.sysORTable.sysOREntry.sysORUpTime.7 = Timeticks: (0) 0:00:00.00
system.sysORTable.sysOREntry.sysORUpTime.8 = Timeticks: (0) 0:00:00.00
system.sysORTable.sysOREntry.sysORUpTime.9 = Timeticks: (0) 0:00:00.00

Kemudian masukkan baris berikut ke dalam rc.conf agar services SNMP di load pada saat booting

snmpd_enable=”YES”
snmptrapd_enable=”YES”
snmptrapd_flags=”-a -p /var/run/snmptrapd.pid”

Selesai sudah instalasi SNMP pada mesin FreeBSD. Cukup mudah kan ?

Langkah kedua yaitu install MRTG nya. Seperti biasa saya menggunakan ports juga untuk install nya

[root@ns1 ~]# cd /usr/ports/net-mgmt/mrtg

[root@ns1 /usr/ports/net-mgmt/mrtg]# make install clean

Yap. Selesai sudah installasi MRTG nya. Tinggal membuat file konfigurasi nya.

Untuk membuat file konfigurasinya cukup mudah. Dengan menggunakan cfgmaker maka file konfigurasi MRTG akan ter create secara otomatis.

[root@ns1 ~]# /usr/local/bin/cfgmaker –global ‘WorkDir: /usr/local/www/apache22/data/mrtg –global ‘Options[_]:growright,bits’ –output /usr/local/www/apache22/data/mrtg/cfg/mrtg.cfg public@localhost

Untuk menambahkan Interface IP Address yang akan dimonitor, misalnya saya akan memonitor IP Address 192.168.1.1, jalankan perintah berikut ini

[root@ns1 ~]# /usr/local/bin/cfgmaker public@192.168.1.1 >> /usr/local/www/apache22/data/mrtg/cfg/mrtg.cfg

Setelah langkah di atas dilakukan, sekarang membuat halaman index.html pada MRTG dengan menggunakan indexmaker

[root@ns1 ~]# /usr/local/bin/indexmaker –output /usr/local/www/apache22/data/mrtg/index.html /usr/local/www/apache22/data/mrtg/cfg/mrtg.cfg

Setelah itu run MRTG untuk pertama kalinya dengan perintah berikut

[root@ns1 ~]# /usr/local/bin/mrtg /usr/local/www/apache22/data/mrtg/cfg/mrtg.cfg

Pada saat pertama kali running, akan tampil pesan error. Abaikan saja. Kemudian untuk eksekusi berikutnya cukup masukkan baris berikut ke dalam cronjobs

0,5,10,15,20,25,30,35,40,45,50,55 * * * * /usr/local/bin/mrtg /usr/local/www/apache22/data/mrtg/cfg/mrtg.cfg

Selesai sudah instalasi MRTG pada server FreeBSD. Coba buka hasil dari instalasi MRTG nya dengan url http://192.168.1.1/mrtg/ melalui web browser. Nah, sudah berhasil kah?

Demikian artikel ini saya buat untuk memajukan FreeBSD di Indonesia ini, kurang lebihnya saya mohon maaf.

Wassalamu’alaikum Wr. Wb.

Aktifkan tcp forwarding di mesin BSD anda dengan command :

sysctl -w net.inet.ip.forwarding=1

dan edit di /etc/sysctl.conf agar tetap tereksekusi pada saat router reboot


net.inet.ip.forwarding=1

Pastikan konfigurasi interface ethernet dan default routingnya kosong, hanya filename saja

# /etc/hosts.fxp0

# /etc/hosts.fxp1

# /etc/hostname.fxp0

# /etc/hostnamefxp1

# /etc/mygate

Berikut ini contoh script koneksi ADSL Telkom Speedy pada PPP, pppoe0 untuk koneksi pertama dan pppoe1 untuk koneksi kedua. Sesuaikan interface, username dan passwordnya.

# /etc/ppp/ppp.conf

default:

set log Phase Chat LCP IPCP CCP tun command

set redial 15 0

set reconnect 15 10000

pppoe0:

set device “!/usr/sbin/pppoe -i fxp0″

disable acfcomp protocomp

deny acfcomp

set mtu max 1492

set mru max 1492

set crtscts off

set speed sync

enable lqr

set lqrperiod 5

set cd 5

set dial

set login

set timeout 0

set authname usernamespeedy1@telkom.net

set authkey passwordspeedy1

add! default HISADDR

enable dns

enable mssfixup

pppoe1:

set device “!/usr/sbin/pppoe -i fxp1″

disable acfcomp protocomp

deny acfcomp

set mtu max 1492

set mru max 1492

set crtscts off

set speed sync

enable lqr

set lqrperiod 5

set cd 5

set dial

set login

set timeout 0

set authname usernamespeedy2@telkom.net

set authkey passwordspeedy2

add! default HISADDR

enable dns

enable mssfixup

Aktifkan interface fxp0 dan fxp1 pada mesin router

# ifconfig fxp0 up

# ifconfig fxp1 up

Jalankan PPPoE, Point to Point Protocol over Ethernet.

# ppp -ddial pppoe0

# ppp -ddial pppoe1

Jika dial koneksi ADSL Telkom Speedy berhasil, maka IP Address dari ADSL Telkom Speedy akan di Binding di dalam interface tunneling tun0 dan tun1

# ifconfig

tun0: flags=8051 mtu 1492

groups: tun egress

inet 125.xxx.xxx.234 -> 125.163.72.1 netmask 0xffffffff

tun1: flags=8051 mtu 1492

groups: tun

inet 125.xxx.xxx.235 -> 125.163.72.1 netmask 0xffffffff

Default gateway akan otomatis aktif dan terisi

# netstat -nr

Routing tables

Internet:

Destination Gateway Flags Refs Use Mtu Interface

default 125.163.72.1 UGS 5 18347 - tun0

Konfigurasi DNS server pada file /etc/resolv.conf akan otomatis terisi

# cat /etc/resolv.conf

nameserver 202.134.2.5

nameserver 203.130.196.5

Untuk load balancing nya saya menggunakan OpenBSD Packet Filter (pf). Aktifkan PacketFirewall pf.

# /etc/rc.conf

pf=”YES”

Script Packet Firewall NAT dan balancing menggunakan round-robin (atau bisa diganti dengan loadbalance jika lebih sesuai dengan kebutuhan).

# /etc/pf.conf

lan_net = “192.168.0.0/24″

int_if = “em0″

ext_if1 = “tun0″

ext_if2 = “tun1″

ext_gw1 = “125.163.72.1″

ext_gw2 = “125.163.72.1″

# scrub all

scrub in all

# nat outgoing connections on each internet interface

nat on $ext_if1 from $lan_net to any -> ($ext_if1)

nat on $ext_if2 from $lan_net to any -> ($ext_if2)

# pass all outgoing packets on internal interface

pass out on $int_if from any to $lan_net

# pass in quick any packets destined for the gateway itself

pass in quick on $int_if from $lan_net to $int_if

# load balance outgoing tcp traffic from internal network.

pass in on $int_if route-to { ($ext_if1 $ext_gw1), ($ext_if2 \ $ext_gw2) } \ round-robin proto tcp from $lan_net to any flags S/SA \ modulate state

# load balance outgoing udp and icmp traffic from internal network

pass in on $int_if route-to { ($ext_if1 $ext_gw1), ($ext_if2 \ ext_gw2) } \ round-robin proto { udp, icmp } from $lan_net to any keep state

# general “pass out” rules for external interfaces

pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state

pass out on $ext_if1 proto { udp, icmp } from any to any keep state

pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state

pass out on $ext_if2 proto { udp, icmp } from any to any keep state

Setelah itu restart pf rules dengan perintah

# pfctl -f /etc/pf.conf

Masukkan baris berikut ke dalam /etc/rc.local agar setiap router restart / reboot akan otomatis menjalankan PPPoE.

# /etc/rc.local

ppp -ddial pppoe0

ppp -ddial pppoe1

Untuk membunuh / merestart koneksi ADSL, PPPoE harus dimatikan terlebih dahulu

# pkill ppp

Fungsi NAT Pool round-robin dapat dipantau menggunakan pftop yang dapat diambil di sini.

Pertama kita buat address-list “trusted-network” yang berisi alamat IP yang berhak mengakses router dan masuk dalam kategori “Trusted Network”.

Dalam contoh berikut ini, saya menggunakan IP lokal network / LAN 192.168.1.0/24. Dan IP public 202.152.x.x dari akses internet rumah saya. Anda bisa menambahkan list IP tersebut agar dapat mengakses routernya.

/ip firewall address-list add list=trusted-network address=192.168.1.0/24 comment=”Trusted Network” disabled=no

/ip firewall address-list add list=trusted-network address=202.152.x.x/24 comment=”Trusted Network” disabled=no

Selanjutnya buat chain virus agar port-port yang sering dimanfaatkan virus di blok sehingga traffic virus tidak dapat dilewatkan, tetapi perlu diperhatikan jika ada user yang kesulitan mengakses service tertentu apakah port yang dibutuhkan user tersebut terblok oleh firewall.

/ip firewall filter add chain=forward connection-state=established action=accept comment=”Allow Established Connections” disabled=no

/ip firewall filter add chain=forward connection-state=related action=accept comment=”Allow Related Connections” disabled=no

/ip firewall filter add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop Messenger Worm” disabled=no

/ip firewall filter add chain=forward connection-state=invalid action=drop comment=”Drop Invalid Connections” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop Blaster Worm” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=”Worm” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster Worm” disabled=no

/ip firewall filter add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster Worm” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=593 action=drop comment=”________” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=1363 action=drop comment=”NDM Requester” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=1364 action=drop comment=”NDM Server” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=1368 action=drop comment=”Screen Cast” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=1373 action=drop comment=”Hromgrafx” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=1377 action=drop comment=”Cichlid” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop Beagle.C-K” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=3127 action=drop comment=”Drop MyDoom” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor OptixPro” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” disabled=no

/ip firewall filter add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop Dabber.A-B” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop Dumaru.Y, sebaiknya disable karena juga sering digunakan utk vpn / webmin” disabled=yes

/ip firewall filter add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop MyDoom.B” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2″ disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop SubSeven” disabled=no

/ip firewall filter add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, Agobot, Gaobot” disabled=no

Jump semua paket yang melewati router ke dalam virus chain

/ip firewall filter add chain=forward action=jump jump-target=virus comment=”Jump to The Virus Chain” disabled=no

Accept Established and Related Connection

/ip firewall filter add chain=input connection-state=established action=accept comment=”Accept Established Connections” disabled=no

/ip firewall filter add chain=input connection-state=related action=accept comment=”Accept Related Connections” disabled=no

Drop Invalid Connection

/ip firewall filter add chain=input connection-state=invalid action=drop comment=”Drop Invalid Connections” disabled=no

Accept UDP Connection, Limited Pings and Drop Excess Ping

/ip firewall filter add chain=input protocol=udp action=accept comment=”UDP” disabled=no

/ip firewall filter add chain=input protocol=icmp limit=50/5s,2 action=accept comment=”Allow Limited Pings” disabled=no

/ip firewall filter add chain=input protocol=icmp action=drop comment=”Drop Excess Pings” disabled=no

Allow Input Connection From Trusted Networks

/ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=trusted-network action=accept comment=”FTP” disabled=no

/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=trusted-network action=accept comment=”SSH for Secure Shell” disabled=no

/ip firewall filter add chain=input protocol=tcp dst-port=23 src-address-list=trusted-network action=accept comment=”Telnet” disabled=no

/ip firewall filter add chain=input protocol=tcp dst-port=80 src-address-list=trusted-network action=accept comment=”Web” disabled=no

/ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address-list=trusted-network action=accept comment=”Winbox” disabled=no

/ip firewall filter add chain=input protocol=tcp dst-port=1723 action=accept comment=”pptp-server” disabled=no

/ip firewall filter add chain=input src-address-list=trusted-network action=accept comment=”From Trusted Network” disabled=no

Log All and Drop Everything Else

/ip firewall filter add chain=input action=log log-prefix=”DROP INPUT” comment=”Log Everything Else” disabled=no

/ip firewall filter add chain=input action=drop comment=”Drop Everything Else” disabled=no

Dengan Firewall diatas maka :

1. Router hanya dapat diakses service FTP, SSH, Web dan Winbox dari IP yang telah didefinisikan dalam address-list “trusted-network”.
2. Port-port yang sering dimanfaatkan oleh virus di blok oleh Router sehingga traffic virus tidak dapat melewati Router, tetapi perlu diperhatikan jika ada user yang mengakses service tertentu harus dicek pada chain=”virus” apakah port yang dibutuhkan user tersebut terblok oleh firewall atau tidak.
3. Ping Request dibatasi untuk menghindari excess ping.

NB : Perlu diperhatikan bahwa default user dari mikrotik ini adalah admin. Untuk lebih safe nya, buat user baru dan password dengan group full kemudian disable user admin, hal ini untuk meminimasi resiko router mikrotik di hack orang.