Protokol Layer7 adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream, atau istilah lainnya regex pattern. L7 mencocokan (mathcer) 10 paket koneksi pertama
atau 2KB koneksi pertama dan mencari pola/pattern data yang sesuai
dengan yang tersedia. Jika pola ini tidak ditemukan dalam data yang
tersedia, matcher tidak memeriksa lebih lanjut. Dan akan dianggap
unknown connections. Anda harus mempertimbangkan bahwa banyak koneksi
secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC
Router anda. Untuk menghindari itu tambahkan regular firewall matchers
(pattern) untuk mengurangi jumlah data yang dikirimkan ke layer-7
filter.
Source/Reference :
- http://mikrotik.co.id
Layer7 matcher harus melihat kedua arah lalu lintas (masuk dan
keluar). Untuk memenuhi persyaratan ini rule l7 harus diatur dalam
chain Forward. Jika rule pada chain input/prerouting maka aturan yang
sama harus diatur juga dalam chain output/postrouting , jika tidak
maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap
tidak benar /cocok.
Ok, lanjut ke permasalahan, yaitu block koneksi facebook & youtube :
A. Karyawan => IP Address : 172.16.10.0/24 => Drop
B. Si Bos => IP Address : 172.16.10.199 => Accept
Langkah-langkahnya adalah :
- Buat Firewall Mikrotiknya
Input name,script
^.+(facebook.com).*$
^.+(youtube.com).*$
- Selanjutnya, buat Firewall Rule baru dengan :
Chain : forward
Src Address : alamat jaringan dari client (172.16.10.0/24)
- Masuk tab Advanced, pada Layer 7 Protocol pilih "facebook" & "youtube"
- Masuk tab Action, pilih Action drop.
Sekarang coba tes setingan tadi berhasil apa tidak ? Saya rasa berhasil tapi si Boss bakal teriak-teriak karna gak bisa buka FB dan YT pasalnya pakai subnet /24 IP ikut ke block, jadi kita kasih pengecualian dulu ke IP Addressnya si Boss dengan cara sebagai berikut :
- Buat Filter rule kedua dengan Src Address spesifik ke IP address client nya yaitu 172.16.10.199 bukannya alamat jaringannya (network address).Jangan lupa Action nya pilih accept.
Begitupun Layer7 Protokol untuk youtube kita masukkan.
Rule yang telah kita buat hasilnya seperti dibawah :
Untuk langkah GUI nya sudah selesai, sekarang CLI nya :
Mode CLI
## Buat Karyawan
/ip firewall layer7-protocol
add name=Facebook regexp="^.+(www.facebook.com).*\$"
add name=Youtube regexp="^.+(www.youtube.com).*\$"
/ip firewall filter
add action=drop chain=forward src-address=172.16.10.0/24 comment=Drop_FB layer7-protocol=Facebook
add action=drop chain=forward src-address=172.16.10.0/24 comment=Drop_YT layer7-protocol=Youtube
## Pengecualian buat siboss
/ip firewall layer7-protocol
add name=Facebook regexp="^.+(www.facebook.com).*\$"
add name=Youtube regexp="^.+(www.youtube.com).*\$"
/ip firewall filter
add action=accept chain=forward src-address=172.16.10.199 comment=Acc_FB layer7-protocol=Facebook
add action=accept chain=forward src-address=172.16.10.199 comment=Acc_YT layer7-protocol=Youtube
Source/Reference :
- http://mikrotik.co.id
BACA JUGA : ARTIKEL TENTANG SETTING MIKROTIK DIBAWAH INI :
6. Tutorial Cara Meremote Winbox Mikrotik Dari Luar Jaringan
7. Cara Mengalihkan Pelanggan Hotspot Mikrotik Yang Expired Ke Halaman Isolir
7. Cara Mengalihkan Pelanggan Hotspot Mikrotik Yang Expired Ke Halaman Isolir
ARTIKEL MIKROTIK : KUMPULAN TUTORIAL SETTING MIKROTIK LANJUT
No comments:
Write comments