Mikrotik: case hotspot stiki.ac.id

Kasus ini ditanyakan ke saya oleh mas Ronny Susetyo aka ballacksave, admin (ngaku-nya newbie) stiki.ac.id via YM

Nah pertanyaan saya pada dasarx sama seperti dasep yaitu bgm client yg di bawah mikrotik
(dosen, sabarnet,hotspot) klo buka jaringan yg diatas mikrotik seperti webserver, mail dan webhosting (203.134.237.0/29) bisa nggak ke limit, tapi klo browsing ke internet tetep ke limit.
nb:
di mikrotikx saya pake /ip hotspot, untuk bagi2 bandwidthx……
mohon pencerahan…

Read more »

Simple Queues and bridge mode in v3

Udah sekian lama ingin pasang v3 di mesin limiter tapi selalu kebentur tidak mau jalan.

Semua rule yang di import dari v2.9.x, tidak mau jalan dengan sukses.

Rasanya tidak ada yang salah, tapi kenapa queue-nya masih bablas saja, mesin percobaan tetap saja bisa menembus.

Rupanya di v3 ada tambahan yang harus di aktifkan bila setup mesin mikrotiknya sebagai brigde dan bw limiter.
Read more »

Bypass traceroute traffic

Pada mesin modern, aplikasi traceroute biasa mempergunakan protokol UDP dari pada ICMP.

Oleh karena itu bila admin sudah membaypass icmp, maka yang di dapat ping time akan stabil pada saat utilitas traffic full.

Tapi pada saat kondisi yang sama bila dilakukan traceroute, hasilnya berbeda signifikan.

Setelah menganalisa paket traceroute dengan tcpdump dan panduan dari wiki, didapat pada saat aktifitas traceroute berjalan, dia membuka sesi udp menuju port 33434 incremental pada setiap hop yang dilalui.
Read more »

Mikrotik: L2TP Ipsec connect to XP

Keinginan untuk membuat koneksi yang lebih secure, mau tidak mau membuat bongkar google dan forum.mikrotik.com.

Permisalan, kita akan membangun koneksi ipsec dari pusat ke cabang, ip private yang akan dibangun 10.0.0.1 dan 10.0.0.2

step-by-step prosedurenya:
Read more »

Burst for each TCP connection

Diambil dari http://forum.mikrotik.com/viewtopic.php?t=12870

This is little how-to create manual burst using queue tree.

As it is bandwidth control using queue tree first we need to mangle traffic

first i mangle all connections, then i mark first 2Mbytes then i mark the rest of packets

/ip firewall mangle add chain=forward protocol=tcp \
action=mark-connection \
new-connection-mark=new_conn passthrough=yes \
comment="mark all new connections" disabled=no

/ip firewall mangle add chain=forward protocol=tcp  \
connection-mark=new_conn \
connection-bytes=0-2000000 action=mark-packet \
new-packet-mark=new_packet passthrough=no \
comment="mark packets" disabled=no

/ip firewall mangle add chain=forward protocol=tcp \
connection-mark=new_conn action=mark-packet \
new-packet-mark=old_packets passthrough=no \
comment="marking old packets" disabled=no

Read more »

How to stop (smtp) viruses !!

Diambil dari http://forum.mikrotik.com/viewtopic.php?t=11474

Hi, i created these 2 simple rules for firewall forward and this work very fine…… do not say it to anybody ;) :D

2 ;;; BLOCK SPAMMERS OR INFECTED USERS
chain=forward protocol=tcp dst-port=25 \
src-address-list=spammer action=drop

3 ;;; Detect and add-list SMTP virus or spammers
chain=forward protocol=tcp dst-port=25 connection-limit=30,32 \
limit=50,5 src-address-list=!spammer action=add-src-to-address-list \
address-list=spammer address-list-timeout=1d

When detect an infected user with a worm or doing spamming this rule add this user to a spammer list and block the SMTP outgoing for 1 day ;)

Regards!
Alessio