1. CARA BLOK SITUS DI MIKROTIK DENGAN ADDRESS LIST
Cara blok situs di mikrotik dengan address list, cara ini berlaku pada mikrotik versi 6.38 keatas, kita cukup menambahkan nama domain ke address list, cara ini paling mudah dan sering dilakukan (jika routerOS mikrotik anda dibawah versi 6.38 ip address website harus dicari dengan cara manual bisa dengan
nslookup di CLI atau memanfaatkan situs
Whois Lookup Domain)
Caranya masuk ke winbox , buka menu IP – FIREWALL – ADDRESS LIST – KLIK TANDA +
Gambar : cara menambahkan domain di address list
- NAME : buat nama daftar situs domain yang akan kita blokir, pada contoh diatas saya buat dengan nama situs_belanja
- ADDRESS : masukkan nama situs domain yang akan di blokir contoh www.tokopedia.com, selanjutnya klik OK, secara otomatis mikrotik akan melakukan lookup dan memberikan daftar ip yang di miliki oleh domain tersebut.
Untuk menambahkan nama situs lainnya ke dalam daftar tinggal klik tanda tambah, Name pilih situs_belanja, address masukkan www.bukalapak.com, dan begitu seterusnya.
Setelah selesai membuat daftar nama-nama situs domain, selanjutnya masuk ke tahap pemblokiran, caranya anda masih pada winbox, klik menu IP – FIREWALL – FILTER RULES – KLIK TANDA TAMBAH (+)
Gambar : Blokir website di mikrotik dengan address list
- GENERAL : chain pilih forward
- ADVANCED : pada Dst Address List pilih nama daftar situs yang sudah dibuat sebelumnya di address list, pada contoh ini saya pilih situs_belanja
- ACTION : pilih Drop
Sampai pada tahap ini anda sudah berhasil membuat settingan blok situs di mikrotik dengan menggunakan ip address.
Akan tetapi pada pilihan action sebenarnya ada banyak opsi selain drop contohnya reject yang akan kita bahas sesudah ini, menggunakan action drop pada FILTER RULES akan membebani kinerja CPU mikrotik, karena komputer klien akan melakukan request terus menerus dalam beberapa menit sampai ada informasi time out.
Script cara blokir situs belanja dengan filter rules mikrotik >> copy paste kedalam new terminal atau CLI
|
/ip firewall address-list
add address=www.tokopedia.com list=situs_belanja
add address=www.bukalapak.com list=situs_belanja
add address=www.blanja.com list=situs_belanja
add address=www.lazada.co.id list=situs_belanja
add address=shopee.co.id list=situs_belanja
add address=www.jd.id list=situs_belanja
/ip firewall filter
add action=drop chain=forward dst-address-list=situs_belanja
|
Alternatif lain apabila tetap ingin menggunakan DROP bisa memanfaat RAW yang ada pada RouterOS versi 6.39, ini adalah fitur baru yang sangat ringan pada pemakaian CPU dan memory, metode ini adalah recomended.
caranya masuk di menu IP-FIREWALL-RAW, dan klik tanda tambah (+)
Gambar : blokir website menggunakan raw di mikrotik
- GENERAL : chain pilih prerouting
- ADVANCED : pada Dst Address List pilih nama daftar situs yang sudah dibuat sebelumnya di address list, pada contoh ini saya pilih situs_belanja
- ACTION : pilih Drop
Kenapa filtering menggunakan raw lebih ringan ? Jawabannya karena semua proses yang masuk dan keluar ke mikrotik langsung menuju tujuannya, tanpa melewati connection tracking.
Akan tetapi perlu di ingat bahwa menggunakan RAW tidak akan berjalan pada matcher Layer7 atau connection tracking yang sudah di marked melalui mangle.
Script cara blok , menggunakan RAW >> Copy paste kedalam New Terminal atau CLI
|
/ip firewall address-list
add address=www.tokopedia.com list=situs_belanja
add address=www.bukalapak.com list=situs_belanja
add address=www.blanja.com list=situs_belanja
add address=www.lazada.co.id list=situs_belanja
add address=shopee.co.id list=situs_belanja
add address=www.jd.id list=situs_belanja
/ip firewall raw
add action=drop chain=prerouting dst-address-list=situs_belanja
|
2. CARA BLOK SITUS DI MIKROTIK DENGAN LAYER 7
Layer 7 termasuk dalam salah satu Open System Interconnection (OSI), Layer 7 (Application Layer ) merupakan layer dimana terjadi interaksi antarmuka end user dengan aplikasi yang bekerja menggunakan fungsionalitas jaringan, melakukan pengaturan bagaimana aplikasi bekerja menggunakan resource jaringan, untuk kemudian memberikan pesan ketika terjadi kesalahan.
Beberapa service dan protokol yang berada di layer ini misalnya HTTP, FTP, SMTP
Menggunakan teknik blocking dengan Layer 7 harus di deklarasikan terlebih dahulu kedalam regex pattern, apabila konten cocok maka akan di eksekusi, dan jika tidak akan diabaikan.
Cara blok situ di mikrotik dengan motede ini sangat membenani kinerja routerbord, karena setiap trafik yang masuk akan diperiksa dahulu kedalam regex pattern dan tentu saja penggunaan resource CPU dan memory mikrotik akan terkuras.
Caranya masuk ke winbox pilih pada menu IP – FIREWALL – LAYER 7 PROTOCOL – KLIK TANDA TAMBAH +
Layer 7 Protocols untuk blok situs di mikrotik
- NAME : isi dengan nama penanda yang nantinya akan di tangkap di filter rules
- REGEXP : isi ^.+(www.tokopedia.com).*\$ , tanda ^ artinya pembuka string, tanda titik, tambah dan bintang artinya adalah semua karakter, dan $ adalah penutup string.
- Klik OK untuk menyimpan
Setelah selesai menambah regexp kedalam layer 7 tahap selanjutnya adalah menambahkan rules untuk dieksekusi, masuk ke menu IP – FIREWAL – FILTER RULES
Filter Rules blok situs di mikrotik dengan layer7
- GENERAL : chain pilih forward
- ADVANCED : pada Layer 7 Protocol pilih nama Regexp yang sudah dibuat tadi di Layer 7 protocols
- ACTION : pilih drop dan Klik OK untuk menyimpan
Sekarang coba buka situs yang sudah di deklarasikan tadi, jika berhasil maka situs domain tidak akan bisa dibuka, jangan lupa clear cache browser terlebih dahulu.
Script cara blokir situs mikrotik dengan Layer 7 > Copy paste kedalam New Terminal atau CLI
|
/ip firewall layer7-protocol
add name=tokopedia regexp="^.+(www.tokopedia.com).*\\\$"
/ip firewall filter
add action=drop chain=forward layer7-protocol=tokopedia
|
3. CARA BLOK SITUS DI MIKROTIK MENGGUNAKAN PORT TENTENTU
Diatas sudah dijelaskan 2 metode cara blokir yaitu dengan menggunakan Address list dan Layer 7, metode tersebut akan bekerja dengan spesifik pada koneksi yang sudah di defenisikan pada masing-masing rules.
Sekarang kita akan bahas cara lain untuk melakukan blok yaitu dengan metode menggunakan port, Nah apa itu port ?
Dikutip dari wikipedia Port adalah mekanisme yang mengizinkan sebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer lainnya dan program di dalam jaringan.
Port dapat mengidentifikasikan aplikasi dan layanan yang menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port juga mengidentifikasikan sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klien atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server.
Port dapat dikenali dengan angka
16-bit (dua byte) yang disebut dengan
Port Number dan diklasifikasikan dengan jenis protokol transport apa yang digunakan, ke dalam
Port TCP dan
Port UDP. Karena memiliki angka 16-bit, maka total maksimum jumlah port untuk setiap protokol transport yang digunakan adalah 65536 buah.
Setelah kita memahami sedikit tentang defenisi port, mari kita terapkan cara blokir menggunakan port, disini saya contohnya blokir judi online di mikrotik.
Masuk ke winbox klik menu IP-FIREWALL-RAW – KLIK TANDA TAMBAH +
Gambar : port judi online di mikrotik
- GENERAL : chain pilih prerouting, Protocol pilih 6 (tcp) pada kolom Dst port masukkan 9338,9339,2823,4530
- ACTION : pilih drop, Klik OK untuk menyimpan.
Untuk mencari tau daftar port dan protocol lain yang banyak digunakan, bisa anda lihat di table
daftar port wikipedia
Script blok judi berdasarkan Port > Copy paste kedalam New Terminal atau CLI
|
/ip firewall raw
add action=drop chain=prerouting dst-port=9338,9339,2823,4530 protocol=tcp
|
4. CARA BLOK SITUS DI MIKROTIK BERDASARKAN IP ADDRESS KOMPUTER TERTENTU
Dari penjelasan diatas kita sudah bahas berbagai macam cara blokir di mikrotik, nah itu semua akan di eksekusi pada semua komputer yang terhubung ke jaringan yang melewati router mikrotik, bagaimana jika hanya komputer tertentu saja yang di blokir.
Caranya sangat mudah, kita tinggal menentukan alamat ip komputer target, dan masukkan di Src address, di src address kita bisa tentukan dengan 2 pilihan, single ip atau semua segmen ip
Buka kembali settingan yang sudah dibuat sebelumnya, tambahkan ip target di bagian Src Address, seperti gambar dibawah ini :
Cara blok situs di mikrotik per ip
Ip address 192.168.1.2 bisa dirubah sesuai dengan ip target, atau menggunakan network jika yang akan di blok seluruh segmen ip contohnya 192.168.1.0/24
Script blok judi berdasarkan Port dan ip tertentu
|
/ip firewall raw
add action=drop chain=prerouting dst-port=9338,9339,2823,4530 protocol=tcp \
src-address=192.168.1.2
|
Bagaimana jika yang di blokir bukan 1 ip saja dan bukan persegmen ? cara nya kita harus menambah rentang target ip kedalam address list.
Caranya buka menu IP-FIREWALL-ADDRESS LIST- KLIK TANDA TAMBAH +
- NAME : isi dengan nama address yang nantinya akan ditangkap di Src Address List
- ADDRESS : masukkan rentang ip komputer disini saya contohkan 192.168.1.2-192.168.1.20 – klik OK untuk menyimpan
- Jika ingin menambahkan ip lain klik kembali tanda tambah name : pilih blok_ip atau sesuai nama yang sudah dibuat tadi, Address > masukkan target ip komputer lain, setelah selesai menambah daftar IP klik OK untuk menyimpan
Selanjutnya kembali ke RAW/ FILTER RULES (sesuai dengan pilihan cara blok situs diatas)
- ADVENCED : pilih nama yang sudah kita buat di address list tadi, disini saya contohkan blok_ip
Script blok judi berdasarkan rentang ip tertentu
|
/ip firewall address-list
add address=192.168.1.2-192.168.1.20 list=blok_ip
/ip firewall raw
add action=drop chain=prerouting dst-port=9338,9339,2823,4530 protocol=tcp \
src-address-list=blok_ip
|
5. CARA BLOK SITUS DI MIKROTIK PADA JAM TERTENTU
Kita bisa membuat jadwal blokir situs pada jam tertentu di mikrotik, sesuai dengan keinginan kita, biasanya sering di terapkan di kantor-kantor yang mengizinkan karyawan hanya dapat mengakses situs tertentu pada jam tertentu misalnya pada jam istirahat.
Sebelum masuk ke tahap pembuatan jadwal jam blokir di mikrotik, setting terlebih dahulu SNTP Client sesuai zona negara masing-masing, untuk melihat daftar POOLl NTP dapat di lihat di website
www.pool.ntp.org
Caranya masuk ke menu System – SNTP Client
SNTP client mikrotik
- ENABLE : klik sampai ada tandak cheklist
- PRIMARY NTP SERVER : 0.id.pool.ntp.org
- SECONDARY NTP SERVER : 1.id.pool.ntp.org , klik OK untuk menyimpan
Kemudian jika sudah selesai, kita akan membuat jadwal jam blokir situs, buka kembali salah satu settingan yang sudah dibuat tadi.
Cara blokir situs pada jam tertentu di mikrotik
- EXTRA : pada kolom time isi rentang jam yang akan diterapkan pada contoh diatas saya buat mulai jam 13:00:00 -s/d 14:00:00 , kemudian days pilih hari apa saja schedule akan di jalankan, pada contoh diatas saya checklist semua, artinya dijalankan setiap hari pada jam 13:00:00 -s/d 14:00:00. jika sudah selesai klik OK untuk menyimpan.
Apabila anda melihat rules yang dibuat berubah menjadi warna merah dan ada tulisan inactive time itu artinya rulesnya belum di jalankan, karena time saat ini belum memasuki sesuai schedule, akan tetapi jika berwarna hitam itu artinya schedule sedang di jalankan dan jam saat ini sama dengan time di settingan.
6. MACAM MACAM ACTION DI FILTER RULES UNTUK MELAKUKAN BLOK
Ada 3 macam action yang dapat di pilih di filter rules, untuk melakukan blok, berikut ini penjelesannya
Pilihan Action=drop : trafik data yang berasal dari client akan dibuang oleh router secara diam-diam, dengan tidak mengirimkan pesan penolakan ICMP, sehingga jika kita mengirimkan pesan ping dari CMD, maka hasilnya adalah Request Timed out, jika kita terapkan untuk bloking situs website dengan drop maka prosesnya loadingnya akan lama dan berulang ulang sampai muncul di browser pesan Request Timed out.
Action=reject, trafik data akan dibuang oleh router namun router akan memberikan pesan penolakan paket dengan mengirimkan pesan penolakan ICMP.
Action=tarpid, trafik data yang berasal dari client akan ditolak, tetapi tetap menjaga TCP connection yang masuk (membalas dengan SYN/ACK untuk paket TCP SYN yang masuk)
7. CARA BLOK SITUS DI MIKROTIK DENGAN WEB PROXY
Blok situs di mikrotik dengan menggunakan web proxy internal juga bisa, tetapi saya kurang tertarik membahasnya disini, kenapa ? karena web proxy internal mikrotik tidak dapat melakukan bloking terhadap situs dengan protocol HTTPS , sementara hampir semua situs sekarang sudah mulai migrasi ke https, jadi saya kira topik ini kurang menarik untuk dibahas, jika ingin tetap melakukan bloking website menggunakan web proxy lebih baik pelajari external proxy yang bernama
squid web cache , karena squid web cache mampu melakukan https interception dengan fitur
ssl peek and splice
Demikianlah sedikit penjelasan tentang macam macam teknik cara blok situs di mikrotik, jika ada pertanyaan jangan lupa tinggalkan komentar dibawah artikel ini.