Cara Memblokir Situs Menggunakan Web Proxy MikroTik & Cara Memblokir Website (Facebook) Menggunakan Layer 7 Mikrotik
Web Proxy Mikrotik memiliki beberapa fungsi, salah satunya yaitu fungsi filtering. Fitur Filtering Web Proxy ini dapat membatasi akses konten-konten tertentu yang di-request oleh client. Anda dapat membatasi akses ke situs tertentu, ekstensi file tertentu, melakukan redirect (pengalihan) ke situs lain, maupun pembatasan terhadap metode akses HTTP. Hal tersebut tidak dapat anda lakukan jika hanya menggunakan NAT. Penjelasan selengkapnya tentang Web Proxy Mikrotik ada disini :
Selanjutnya kita akan coba memblokir sebuah situs tertentu menggunakan fitur filtering Web Proxy ini. Pastikan Transparent Web Proxy Mikrotik sudak aktif. Jika belum silakan anda seting sesuai tutorial berikut ini :
Jika Transparent Web Proxy sudah aktif, kita mulai langkah-langkah Cara Memblokir Situs Menggunakan Web Proxy MikroTik berikut ini :
1. Login ke Mikrotik dengan Winbox
2. Masuk ke menu IP --> Web Proxy --> Access --> Add rule baru
3. Masukkan detail website yang mau di blok
> Dst. Port : isikan port http 80
> Dst. Host : isikan alamat website yang mau di blok misalnya www.rizkyagung.com
> Action : pilih deny untuk memblokir akses nya
4. Sebelum rule nya diaktifkan pastikan cek website yang mau di blok itu bisa dibuka apa tidak.
5. Aktifkan rule nya, dan cek apakah website sudah berhasil di blokir. Jika sukses maka akan tampil halaman error seperti ini :
6. Kita juga bisa memodifikasi rule nya dengan me-redirect ke situs lain. Misalnya ketika ada user yang mengakses web www.rizkyagung.com maka akan langsung dialihkan (redirect) ke blog ini MikrotikIndo.blogspot.com.
Tinggal isikan saja alamat website nya di kolom Redirect To :
dan cara berikut nya
Cara Memblokir Website (Facebook) Menggunakan Layer 7 Mikrotik
Di bawah ini saya akan share Tutorial Mikrotik untuk memblokir facebook menggunakan Mikrotik L7 Protokol (Layer 7). Protokol Layer7 adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream, atau istilah lainnya regex pattern.
Cara kerja L7 adalah mencocokan (mathcer) 10 paket koneksi pertama atau 2KB koneksi pertama dan mencari pola/pattern data yang sesuai dengan yang tersedia. Jika pola ini tidak ditemukan dalam data yang tersedia, matcher tidak memeriksa lebih lanjut. Dan akan dianggap unknown connections. Anda harus mempertimbangkan bahwa banyak koneksi secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC Router anda. Untuk menghindari itu tambahkan regular firewall matchers (pattern) untuk mengurangi jumlah data yang dikirimkan ke layer-7 filter.
Layer7 matcher harus melihat kedua arah lalu lintas (masuk dan keluar). Untuk memenuhi persyaratan ini rule l7 harus diatur dalam chain Forward. Jika rule pada chain input/prerouting maka aturan yang sama harus diatur juga dalam chain output/postrouting , jika tidak maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap tidak benar /cocok.
Oke udah tau kan tentang Layer 7 Protocol? Kita lanjut aja ya. Jadi skenario yang akan kita gunakan adalah seperti gambar berikut ini :
Di bawah ini saya akan share Tutorial Mikrotik untuk memblokir facebook menggunakan Mikrotik L7 Protokol (Layer 7). Protokol Layer7 adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream, atau istilah lainnya regex pattern.
Cara kerja L7 adalah mencocokan (mathcer) 10 paket koneksi pertama atau 2KB koneksi pertama dan mencari pola/pattern data yang sesuai dengan yang tersedia. Jika pola ini tidak ditemukan dalam data yang tersedia, matcher tidak memeriksa lebih lanjut. Dan akan dianggap unknown connections. Anda harus mempertimbangkan bahwa banyak koneksi secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC Router anda. Untuk menghindari itu tambahkan regular firewall matchers (pattern) untuk mengurangi jumlah data yang dikirimkan ke layer-7 filter.
Layer7 matcher harus melihat kedua arah lalu lintas (masuk dan keluar). Untuk memenuhi persyaratan ini rule l7 harus diatur dalam chain Forward. Jika rule pada chain input/prerouting maka aturan yang sama harus diatur juga dalam chain output/postrouting , jika tidak maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap tidak benar /cocok.
Oke udah tau kan tentang Layer 7 Protocol? Kita lanjut aja ya. Jadi skenario yang akan kita gunakan adalah seperti gambar berikut ini :
Tutorial ini ada dua bagian :
1. Block facebook website buat semua orang yang konek ke local network.
Pertama, kita cek dulu situs Facebook bisa dibuka apa tidak.
Cek IP address client yang tidak boleh buka Facebook
Selanjutnya, masuk ke Winbox Mikrotik, masuk ke menu IP --> Firewall --> Layer 7 Protocols. Buat rule regexp baru untuk memblokir Facebook.
Langkah nya seperti pada gambar berikut ini :
Beri nama rule tersebut facebook, masukkan script regexp berikut ini :
^.+(facebook.com).*$
Selanjutnya, buat Firewall Rule baru dengan :
Chain : forward
Src Address : alamat jaringan dari client (172.16.10.0/24)
Masuk tab Advanced, pada Layer 7 Protocol pilih "facebook"
Masuk tab Action, pilih Action drop.
Sekarang coba tes setingan tadi berhasil apa tidak.
Cek juga apa setingan ini ngeblok situs selain facebook
Oke bisa, setingannya berjalan dengan lancar gan 
2. Membuat facebook hanya bisa dibuka oleh beberapa user saja.
Oke lanjut ya, kali ini kita coba buka koneksi salah satu client biar bisa buka facebook untuk client kedua (172.16.10.199/24) tapi masih tetap memblokir akses ke facebook buat client lainnya.
Buat Filter rule keduadengan Src Address spesifik ke IP address client nya yaitu 172.16.10.199 bukannya alamat jaringannya (network address).
Jangan lupa Action nya pilih accept.
Pindah rule yang baru dibuat tadi ke paling atas ya.
Coba tes setingan ini pada client kedua (172.16.10.199/24):
Detail pada rule nya ada paket dan data yang lewat.
Cek juga pada client lainnya pada network yang sama apakah facebook bisa diakses apa tidak.
Coba lihat lagi rule nya
Drop packets rate nya naik kan. Ini berarti setingan kita berhasil memblokir Facebook menggunakan Layer 7 Protocol Mikrotik.
Kita juga bisa lakukan hal yang sama untuk memblokir situs youtube, dll. Silakan anda coba dan terapkan sendiri.
selanjut nya selamat berkreasi sendiri
Keduanya harus memasukkan daftar situs yang akan diblokir secara manual satu per satu. Hal ini tentu akan sangat merepotkan jika jumlah situs yang akan diblokir sampai ratusan bahkan ribuan. Kendala lainnya adalah kita tidak tau situs apa saja yang harus diblokir.
Nah, oleh karena itu solusi yang cocok adalah menggunakan DNS Static. Dalam hal ini kita dapat menggunakan DNS Gratis dari Nawala atau OpenDNS yang sudah memfilter konten berbahaya. Jadi kita tidak perlu lagi repot-repot memfilter manual semua situs-situs berbahaya tersebut.
Caranya sangat mudah, silakan anda login ke Mikrotik via Winbox.
1. Jika anda menggunakan DHCP Client, misalnya menggunakan internet dari speedy atau modem GSM maka anda harus menonaktifkan fitur "Use Peer DNS"
Masuk ke menu IP --> DHCP Client --> Buka DHCP client nya -- > uncheck "Use Peer DNS"
2. Masuk ke menu IP --> DNS --> Masukkan DNS Server nya di kolom Servers --> centang Allow Remote Request
- DNS Nawala (gratis tanpa register) :
- 180.131.144.144
- 180.131.145.145
- DNS OpenDNS (gratis register dulu) --> opendns.com
Bedanya jika menggunakan DNS Nawala jika masuk ke situs yang terblokir muncul pesan tetapi tidak dpat diganti. Sedagkan kalo OpenDNS bisa kita masukkan pesan tertentu sesuai keinginan seperti pada gambar pertama diatas.
Selain itu, jika menggunakan DNS Nawala kita ga bisa menambahkan atau mengurangi situs yang diblokir, sedangkan kalo menggunakan DNS OpenDNS bisa diatur situs apa saja yang mau diblokir. Namun jika menggunakan OpenDNS harus register dulu.
3. Setelah diganti DNS nya, jangan lupa untuk Flush DNS Cache nya. Pada menu DNS Settings --> Cache --> Flush Cache
Keduanya harus memasukkan daftar situs yang akan diblokir secara manual satu per satu. Hal ini tentu akan sangat merepotkan jika jumlah situs yang akan diblokir sampai ratusan bahkan ribuan. Kendala lainnya adalah kita tidak tau situs apa saja yang harus diblokir.
Nah, oleh karena itu solusi yang cocok adalah menggunakan DNS Static. Dalam hal ini kita dapat menggunakan DNS Gratis dari Nawala atau OpenDNS yang sudah memfilter konten berbahaya. Jadi kita tidak perlu lagi repot-repot memfilter manual semua situs-situs berbahaya tersebut.
Caranya sangat mudah, silakan anda login ke Mikrotik via Winbox.
1. Jika anda menggunakan DHCP Client, misalnya menggunakan internet dari speedy atau modem GSM maka anda harus menonaktifkan fitur "Use Peer DNS"
Masuk ke menu IP --> DHCP Client --> Buka DHCP client nya -- > uncheck "Use Peer DNS"
2. Masuk ke menu IP --> DNS --> Masukkan DNS Server nya di kolom Servers --> centang Allow Remote Request
- DNS Nawala (gratis tanpa register) :
- 180.131.144.144
- 180.131.145.145
- DNS OpenDNS (gratis register dulu) --> opendns.com
Bedanya jika menggunakan DNS Nawala jika masuk ke situs yang terblokir muncul pesan tetapi tidak dpat diganti. Sedagkan kalo OpenDNS bisa kita masukkan pesan tertentu sesuai keinginan seperti pada gambar pertama diatas.
Selain itu, jika menggunakan DNS Nawala kita ga bisa menambahkan atau mengurangi situs yang diblokir, sedangkan kalo menggunakan DNS OpenDNS bisa diatur situs apa saja yang mau diblokir. Namun jika menggunakan OpenDNS harus register dulu.
3. Setelah diganti DNS nya, jangan lupa untuk Flush DNS Cache nya. Pada menu DNS Settings --> Cache --> Flush Cache
atau bisa menggunakan command :
ip dns cache flush
4. Lakukan flush DNS cache juga pada windows dengan command di CMD :
ipconfig /flushdns
Nah, sekarang siapapun yang mengakses konten dewasa akan diblokir oleh DNS server. Namun masalahnya, bagaimana jika client mengganti alamat DNS nya secara manual misal pake DNS google 8.8.8.8? Hal ini akan membuat pemblokiran ini menjadi sia-sia.
Sekarang pertanyaannya, bagaimana cara mencegah client mengganti DNS manual misal ke 8.8.8.8? Caranya dengan memaksa client untuk menggunkaan DNS dari Mikrotik kita. Tutorialnya silakan anda baca disini :
Cara Mencegah Client Mengganti DNS secara Manual
Oke, demikianlah Cara Mudah Memblokir Situs-situs Dewasa dengan DNS di Mikrotik. Silakan dicoba, dan semoga bermanfaat :)
^.+(facebook.com).*$
Keduanya harus memasukkan daftar situs yang akan diblokir secara manual satu per satu. Hal ini tentu akan sangat merepotkan jika jumlah situs yang akan diblokir sampai ratusan bahkan ribuan. Kendala lainnya adalah kita tidak tau situs apa saja yang harus diblokir.
Nah, oleh karena itu solusi yang cocok adalah menggunakan DNS Static. Dalam hal ini kita dapat menggunakan DNS Gratis dari Nawala atau OpenDNS yang sudah memfilter konten berbahaya. Jadi kita tidak perlu lagi repot-repot memfilter manual semua situs-situs berbahaya tersebut.
Caranya sangat mudah, silakan anda login ke Mikrotik via Winbox.
1. Jika anda menggunakan DHCP Client, misalnya menggunakan internet dari speedy atau modem GSM maka anda harus menonaktifkan fitur "Use Peer DNS"
Masuk ke menu IP --> DHCP Client --> Buka DHCP client nya -- > uncheck "Use Peer DNS"
2. Masuk ke menu IP --> DNS --> Masukkan DNS Server nya di kolom Servers --> centang Allow Remote Request
- DNS Nawala (gratis tanpa register) :
- 180.131.144.144
- 180.131.145.145
- DNS OpenDNS (gratis register dulu) --> opendns.com
Bedanya jika menggunakan DNS Nawala jika masuk ke situs yang terblokir muncul pesan tetapi tidak dpat diganti. Sedagkan kalo OpenDNS bisa kita masukkan pesan tertentu sesuai keinginan seperti pada gambar pertama diatas.
Selain itu, jika menggunakan DNS Nawala kita ga bisa menambahkan atau mengurangi situs yang diblokir, sedangkan kalo menggunakan DNS OpenDNS bisa diatur situs apa saja yang mau diblokir. Namun jika menggunakan OpenDNS harus register dulu.
3. Setelah diganti DNS nya, jangan lupa untuk Flush DNS Cache nya. Pada menu DNS Settings --> Cache --> Flush Cache
Keduanya harus memasukkan daftar situs yang akan diblokir secara manual satu per satu. Hal ini tentu akan sangat merepotkan jika jumlah situs yang akan diblokir sampai ratusan bahkan ribuan. Kendala lainnya adalah kita tidak tau situs apa saja yang harus diblokir.
Nah, oleh karena itu solusi yang cocok adalah menggunakan DNS Static. Dalam hal ini kita dapat menggunakan DNS Gratis dari Nawala atau OpenDNS yang sudah memfilter konten berbahaya. Jadi kita tidak perlu lagi repot-repot memfilter manual semua situs-situs berbahaya tersebut.
Caranya sangat mudah, silakan anda login ke Mikrotik via Winbox.
1. Jika anda menggunakan DHCP Client, misalnya menggunakan internet dari speedy atau modem GSM maka anda harus menonaktifkan fitur "Use Peer DNS"
Masuk ke menu IP --> DHCP Client --> Buka DHCP client nya -- > uncheck "Use Peer DNS"
2. Masuk ke menu IP --> DNS --> Masukkan DNS Server nya di kolom Servers --> centang Allow Remote Request
- DNS Nawala (gratis tanpa register) :
- 180.131.144.144
- 180.131.145.145
- DNS OpenDNS (gratis register dulu) --> opendns.com
Bedanya jika menggunakan DNS Nawala jika masuk ke situs yang terblokir muncul pesan tetapi tidak dpat diganti. Sedagkan kalo OpenDNS bisa kita masukkan pesan tertentu sesuai keinginan seperti pada gambar pertama diatas.
Selain itu, jika menggunakan DNS Nawala kita ga bisa menambahkan atau mengurangi situs yang diblokir, sedangkan kalo menggunakan DNS OpenDNS bisa diatur situs apa saja yang mau diblokir. Namun jika menggunakan OpenDNS harus register dulu.
3. Setelah diganti DNS nya, jangan lupa untuk Flush DNS Cache nya. Pada menu DNS Settings --> Cache --> Flush Cache
atau bisa menggunakan command :
ip dns cache flush
4. Lakukan flush DNS cache juga pada windows dengan command di CMD :
ipconfig /flushdns
Nah, sekarang siapapun yang mengakses konten dewasa akan diblokir oleh DNS server. Namun masalahnya, bagaimana jika client mengganti alamat DNS nya secara manual misal pake DNS google 8.8.8.8? Hal ini akan membuat pemblokiran ini menjadi sia-sia.
Sekarang pertanyaannya, bagaimana cara mencegah client mengganti DNS manual misal ke 8.8.8.8? Caranya dengan memaksa client untuk menggunkaan DNS dari Mikrotik kita. Tutorialnya silakan anda baca disini :
Cara Mencegah Client Mengganti DNS secara Manual
Cara Mencegah Client Mengganti DNS secara Manual
Oke, demikianlah Cara Mudah Memblokir Situs-situs Dewasa dengan DNS di Mikrotik. Silakan dicoba, dan semoga bermanfaat :)
Komentar
Posting Komentar