Tutorial Pengaturan Mikrotik Dari A-Z
 |
| Tutorial Pengaturan Mikrotik dari A-Z |
--Colokkan Kabel Lan ether1 di Routerboard ke Modem
--Colokkan Kabel Lan ether2 di Routerboard ke Switcth ke Hub
--Colokkan Kabel Lan PC / Laptop Anda Ke Hub
--Jalankan RB RB750 / RB450 / RB1000 / RB1100 Router...dengan winbox,d0wnl0ad winbox ((DISINI))
--Di sajian utama Winbox klik "New Terminal",lihat gambar di bawah ini:
--Rename Ether1 & Ether2,Ketik aba-aba di bawah ini di "New Terminal":
/interface set 0 name=public
/interface set 1 name=local
--Masukkan Ip Internet (Ip yang di berikan ISP anda) ke interface 0,dengan instruksi:
--Ini hanya ip teladan saja:
/ip address add address=118.97.161.162 netmask=255.255.255.248 interface=public
--Masukkan Ip Local (Ip untuk client anda) ke interface 1,dengan instruksi:
/ip address add address=192.168.0.1 netmask=255.255.255.0 interface=local
--Masukkan Gateway (Gateway yang di berikan ISP internet anda),dengan instruksi:
--Ini hanya ip teladan saja:
/ip route add gateway=192.168.0.1
--Masukkan DNS (DNS yang di berikan ISP Internet anda),dengan instruksi:
--Ini hanya dns teladan saja
/ip dns set primary dns=203.130.193.74 allow-remote-requests=yes
/ip dns set secondary dns=203.130.206.250 allow-remote-requests=yes
--jika ada keterangan yang timbul seperti:
expected end of command (line 1 column 12)
tukar instruksinya dengan:
/ip dns set servers=203.130.193.74,203.130.206.250 allow-remote-requests=yes
--Masukkan Nat,dengan instruksi:
/ip firewall nat add chain=srcnat out-interface=public action=masquerade
--Masukkan Ip pool,dengan instruksi:
/ip pool add name=pool ranges=192.168.1.2-192.168.1.254
--Masukkan nama Router anda,dengan instruksi:
--Ini hanya nama teladan saja:
/system identity set name=Router_Saya
--Masukkan password,dengan instruksi:
/Password (kemudian tekan "Enter" 2 kali)
new password:*******
retype new password: (ulangi password anda)
--Untuk Tes,masukkan ip di Pc anda Ip kelanjutan local Routerboard,misalkan ip local routerboard 192.168.1.1 berarti ip di pc anda 192.168.1.2,& Masukkan DNS 255.255.255.0 & gateway yaitu ip routerboard anda 192.168.1.1 & DNS yaitu ip routerboard anda juga 192.168.1.1 , ketik aba-aba di "New Terminal" winbox:
/ping 192.168.1.2
Kalau reply berarti udah pas setttingannya
--Tes ping ke internet,ketik aba-aba berikut di "New Terminal" winbox:
/ping yahoo.com
Manual:IP/Address
Sub-menu: /ip address
Standards: IPv4 RFC 791
Standards: IPv4 RFC 791
Alamat IP berfungsi untuk tujuan identifikasi host umum dalam jaringan IP. Alamat Khas (IPv4) terdiri dari empat oktet. Untuk pengalamatan yang tepat, router juga memerlukan nilai network mask, id yang mana bit dari alamat IP lengkap mengacu pada alamat host, dan yang - ke alamat jaringan. Nilai alamat jaringan dihitung oleh operasi biner DAN dari topeng jaringan dan nilai alamat IP. Ini juga memungkinkan untuk menentukan alamat IP diikuti dengan garis miring "/" dan jumlah bit yang membentuk alamat jaringan.
Dalam kebanyakan kasus, itu cukup untuk menentukan alamat, netmask, dan argumen antarmuka. Awalan jaringan dan alamat broadcast dihitung secara otomatis.
Anda sanggup menambahkan beberapa alamat IP ke antarmuka atau meninggalkan antarmuka tanpa alamat yang ditetapkan. Dalam hal menjembatani atau koneksi PPPoE, antarmuka fisik mungkin bot mempunyai alamat yang ditetapkan, namun sanggup dipakai dengan sempurna. Menempatkan alamat IP ke antarmuka fisik yang termasuk dalam jembatan berarti benar-benar meletakkannya di antarmuka jembatan itu sendiri. Anda sanggup memakai / alamat ip cetak detail untuk melihat ke antarmuka mana alamat tersebut dimiliki.
MikroTik RouterOS mempunyai jenis alamat berikut:
Statis - secara manual ditetapkan ke antarmuka oleh pengguna
Dinamis - secara otomatis ditetapkan ke antarmuka oleh DHCP atau koneksi PPP estabilished
Manual:IP/DNS
Spesifikasi
Paket yang dibutuhkan: sistem
Lisensi diperlukan: Level1
Level submenu: / ip dns
Standar dan Teknologi: DNS
Penggunaan perangkat keras: Tidak signifikan
Deskripsi
Router MikroTik dengan fitur DNS diaktifkan sanggup diatur sebagai server DNS untuk setiap klien yang sesuai DNS. Selain itu, router MikroTik sanggup ditetapkan sebagai server DNS primer di bawah pengaturan server dhcp-nya. Ketika ajakan remote diaktifkan, router MikroTik merespon ajakan DNS TCP dan UDP pada port 53.
Pengaturan Cache DNS
Sub-menu: /ip dns
Fasilitas DNS dipakai untuk memperlihatkan resolusi nama domain untuk router itu sendiri serta untuk klien yang terhubung.
Properties
Property | Description |
allow-remote-requests (yes | no; Default: no) | Menentukan apakah akan mengizinkan ajakan jaringan |
cache-max-ttl (time; Default: 1w) | Waktu-untuk-live maksimum untuk catatan cache. Dengan kata lain, catatan cache akan berakhir tanpa syarat sesudah waktu cache-max-ttl. Lebih pendek TTL yang diterima dari server DNS lebih baik. |
cache-size (integer[64..4294967295]; Default: 2048) | Menentukan ukuran cache DNS di KiB |
max-concurrent-queries (integer; Default: 100) | Menentukan berapa banyak kueri bersamaan yang diizinkan |
max-concurrent-tcp-sessions (integer; Default: 20) | Menentukan berapa banyak sesi TCP konkuren yang diizinkan |
max-udp-packet-size (integer [50..65507]; Default: 4096) | Ukuran maksimum paket UDP yang diizinkan. |
query-server-timeout (time; Default: 2s) | Menentukan berapa usang menunggu respons kueri dari satu server |
query-total-timeout (time; Default: 10s) | Menentukan berapa usang untuk menunggu respons kueri secara total. Perhatikan bahwa pengaturan ini harus dikonfigurasi dengan mempertimbangkan query-server-timeout dan jumlah server DNS yang digunakan. |
servers (list of IPv4/IPv6 addresses; Default: ) | Daftar alamat server DNS IPv4 / IPv6 |
Read-only Properties
Property | Description |
cache-used (integer) | Menampilkan ukuran cache yang ketika ini dipakai dalam KiB |
dynamic-server (IPv4/IPv6 list) | Daftar server DNS yang ditambahkan secara dinamis dari aneka macam layanan, misalnya, DHCP. |
Ketika server statis dan dinamis diset, entri server statis lebih diutamakan, namun tidak memperlihatkan bahwa server statis akan selalu dipakai (misalnya, ajakan sebelumnya diterima dari server dinamis, tetapi statis ditambahkan kemudian, kemudian entri dinamis akan lebih utamakan).
Untuk memutuskan 159.148.60.2 sebagai server DNS primer dan mengizinkan router untuk dipakai sebagai server DNS, lakukan hal berikut:
[admin@MikroTik] ip dns> set servers=159.148.60.2 \
\... allow-remote-requests=yes
[admin@MikroTik] ip dns> print
servers: 159.148.60.2
allow-remote-requests: yes
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 7KiB
[admin@MikroTik] ip dns>
Cache Monitoring
Submenu level: /ip dns cache
Description
Menu ini menyediakan daftar dengan semua alamat (DNS type "A") catatan yang disimpan di server
Property Description
Property | Desciption |
address (read-only: IP address) | IP address of the host |
name (read-only: name) | DNS name of the host |
ttl (read-only: time) | remaining time-to-live for the record |
All DNS Entries
· Submenu level: /ip dns cache all
Description
Menu ini menyediakan daftar lengkap dengan semua catatan DNS yang disimpan di server
Property Description
Property | Desciption |
data (read-only: text) | DNS data field. IP address for type "A" records. Other record types may have different contents of the data field (like hostname or arbitrary text) |
name (read-only: name) | DNS name of the host |
ttl (read-only: time) | remaining time-to-live for the record |
type (read-only: text) | DNS record type |
Static DNS Entries
· Submenu level: /ip dns static
Description
MikroTik RouterOS mempunyai fitur server DNS tertanam dalam cache DNS. Ini memungkinkan Anda untuk menghubungkan nama domain tertentu dengan masing-masing alamat IP dan mengiklankan tautan ini ke klien DNS memakai router sebagai server DNS mereka. Fitur ini juga sanggup dipakai untuk memperlihatkan informasi DNS palsu kepada klien jaringan Anda. Misalnya, menuntaskan ajakan DNS untuk sekumpulan domain tertentu (atau untuk seluruh Internet) ke halaman Anda sendiri.
Server bisa menuntaskan ajakan DNS menurut ekspresi reguler dasar POSIX, sehingga beberapa requets sanggup dicocokkan dengan entri yang sama. Jika entri tidak sesuai dengan standar penamaan DNS, itu dianggap sebagai ekspresi reguler dan ditandai dengan tanda ‘R’. Daftar ini dipesan dan dicentang dari atas ke bawah. Ekspresi reguler diperiksa terlebih dahulu, kemudian catatan biasa.
Property Description
Property | Desciption |
address (IP address) | Alamat IP untuk menuntaskan nama domain |
name (text) | Nama DNS untuk diselesaikan ke alamat IP yang diberikan.. |
regex (text) | DNS regex |
ttl (time) | time-to-live dari catatan DNS |
Notes
Pencarian DNS terbalik (Alamat ke Nama) dari entri ekspresi reguler tidak mungkin. Anda dapat, bagaimanapun, menambahkan catatan biasa aksesori dengan alamat IP yang sama dan tentukan beberapa nama untuk itu.
Ingat bahwa arti dari sebuah titik (.) Dalam ekspresi reguler ialah abjad apa pun, sehingga ungkapan tersebut harus lolos dengan benar. Misalnya, jikalau Anda perlu mencocokkan apa pun dalam domain example.com tetapi tidak semua domain yang diakhiri dengan example.com, ibarat www.another-example.com, gunakan nama = ". * \\. Contoh \\. Com "
Pencocokan ekspresi reguler secara signifikan lebih lambat daripada entri biasa, sehingga disarankan untuk meminimalkan jumlah hukum ekspresi reguler dan mengoptimalkan ekspresi itu sendiri. Contoh
Untuk menambahkan entri statis DNS untuk www.example.com untuk diselesaikan ke 10.0.0.1 Alamat IP:
[admin@MikroTik] ip dns static> add name=www.example.com address=10.0.0.1
[admin@MikroTik] ip dns static> print
Flags: D - dynamic, X - disabled, R - regexp
# NAME ADDRESS TTL
0 www.example.com 10.0.0.1 1d
[admin@MikroTik] ip dns static>
Atau gunakan regex untuk mencocokkan ajakan DNS:
[admin@MikroTik] ip dns static> add regexp="[*example*]" address=10.0.0.2
Flushing DNS cache
· Command name: /ip dns cache flush
Command Description
Command | Desciption |
flush | clears internal DNS cache |
Example
[admin@MikroTik] ip dns> cache flush
[admin@MikroTik] ip dns> print
servers: 159.148.60.2
allow-remote-requests: yes
cache-size: 2048 KiB
cache-max-ttl: 1w
cache-used: 10 KiB
[admin@MikroTik] ip dns>
Manual:IP/Route
Overview
Router menyimpan informasi routing di beberapa ruang terpisah:
FIB (Forwarding Information Base), yang dipakai untuk membuat keputusan forwarding paket. Ini berisi salinan informasi routing yang diperlukan.
Setiap protokol routing (kecuali BGP) mempunyai tabel internal itu sendiri. Di sinilah daerah keputusan routing per-protokol dibuat. BGP tidak mempunyai tabel routing internal dan menyimpan informasi routing lengkap dari semua rekan di RIB.
RIB berisi rute-rute yang dikelompokkan dalam tabel routing terpisah menurut nilai penanda rutenya. Semua rute tanpa tanda rute disimpan di tabel routing utama. Tabel-tabel ini dipakai untuk pemilihan rute terbaik. Tabel utama juga dipakai untuk pencarian nexthop.
Routing Information Base
RIB (Routing Information Base) berisi informasi routing lengkap, termasuk rute statis dan hukum routing kebijakan yang dikonfigurasi oleh pengguna, informasi routing yang dipelajari dari protokol routing, informasi perihal jaringan yang terhubung. RIB dipakai untuk menyaring informasi routing, menghitung rute terbaik untuk setiap awalan tujuan, membangun dan memperbarui Forwarding Information Base dan untuk mendistribusikan rute antara protokol routing yang berbeda.
Secara default, keputusan forwarding hanya didasarkan pada nilai alamat tujuan. Setiap rute mempunyai properti alamat dst, yang menentukan semua alamat tujuan yang sanggup dipakai oleh rute ini. Jika ada beberapa rute yang berlaku untuk alamat IP tertentu, yang paling spesifik (dengan netmask terbesar) digunakan. Operasi ini (menemukan rute paling spesifik yang cocok dengan alamat yang diberikan) disebut pencarian tabel perutean.
Jika tabel routing berisi beberapa rute dengan alamat dst yang sama, hanya satu dari mereka yang sanggup dipakai untuk meneruskan paket. Rute ini dipasang ke FIB dan ditandai sebagai aktif.
Ketika meneruskan keputusan memakai informasi tambahan, ibarat alamat sumber paket, itu disebut perutean kebijakan. Perutean kebijakan diimplementasikan sebagai daftar hukum perutean kebijakan, yang menentukan tabel perutean berbeda menurut alamat tujuan, alamat sumber, antarmuka sumber, dan tanda perutean (dapat diubah oleh hukum firewall mangle) paket.
Semua rute secara default disimpan di tabel routing utama. Rute sanggup ditugaskan ke tabel routing spesifik dengan mengatur properti routing-mark mereka ke nama tabel routing lain. Tabel routing direferensikan oleh nama mereka, dan dibentuk secara otomatis ketika mereka direferensikan dalam konfigurasi.
Setiap tabel routing hanya sanggup mempunyai satu rute aktif untuk setiap nilai awalan IP dst-address.
Ada aneka macam kelompok rute, menurut asal dan propertinya.
Rute default
Rute dengan alamat dst 0.0.0.0/0 berlaku untuk setiap alamat tujuan. Rute semacam itu disebut rute default. Jika tabel routing berisi rute default aktif, maka pencarian tabel routing dalam tabel ini tidak akan pernah gagal.
Rute yang terhubung
Nilai rute dan alamat yang sesuai
Rute terhubung dibentuk secara otomatis untuk setiap jaringan IP yang mempunyai setidaknya satu antarmuka yang diaktifkan yang menempel padanya (sebagai spesifikasi dalam konfigurasi / alamat ip). RIB melacak status rute yang terhubung, tetapi tidak mengubahnya. Untuk setiap rute yang terhubung ada satu item alamat ip sehingga:
alamat kepingan dari alamat dst rute yang terhubung sama dengan jaringan item alamat ip.
netmask kepingan dari dst-address dari rute yang terhubung sama dengan netmask kepingan dari alamat item alamat ip.
pref-src rute yang terhubung sama dengan alamat kepingan alamat dari item alamat IP.
antarmuka rute yang terhubung sama dengan antarmuka-sebenarnya dari item alamat ip (sama ibarat antarmuka, kecuali untuk port antarmuka bridge).
Rute Multipath (ECMP)
Karena hasil dari keputusan forwarding ialah cache, paket dengan alamat sumber yang sama, alamat tujuan, antarmuka sumber, tanda routing dan ToS dikirim ke gateway yang sama. Ini berarti bahwa satu sambungan hanya akan memakai satu tautan di setiap arah, sehingga rute ECMP sanggup dipakai untuk menerapkan penyetelan beban per sambungan. Lihat ikatan antarmuka jikalau Anda perlu mencapai per-load load balancing.
Untuk mengimplementasikan beberapa pengaturan, ibarat load balancing, mungkin perlu memakai lebih dari satu jalur ke tujuan yang diberikan. Namun, mustahil mempunyai lebih dari satu rute aktif ke tujuan dalam satu tabel routing.
Rute ECMP (Equal cost multi-path) mempunyai beberapa nilai nexthop gateway. Semua nexthops yang sanggup dijangkau disalin ke FIB dan dipakai dalam paket penerusan.
Protokol OSPF sanggup membuat rute ECMP. Rute semacam itu juga sanggup dibentuk secara manual.
Rute dengan antarmuka sebagai gateway
Nilai gateway sanggup ditentukan sebagai nama antarmuka, bukan alamat IP nexthop. Rute tersebut telah mengikuti properti khusus:
Tidak ibarat rute terhubung, rute dengan nexthops interface tidak dipakai untuk pencarian nexthop.
Adalah mungkin untuk memutuskan beberapa antarmuka sebagai nilai gateway, dan membuat rute ECMP. Tidak mungkin mempunyai rute yang terhubung dengan beberapa nilai gateway.
Pemilihan rute
Setiap tabel routing sanggup mempunyai satu rute aktif untuk setiap awalan tujuan. Rute ini dipasang ke FIB. Rute aktif dipilih dari semua rute kandidat dengan alamat dst yang sama dan tanda rute, yang memenuhi kriteria untuk menjadi rute aktif. Ada beberapa rute ibarat itu dari protokol routing yang berbeda dan dari konfigurasi statis. Rute kandidat dengan jarak terendah menjadi rute aktif. Jika ada lebih dari satu rute kandidat dengan jarak yang sama, pemilihan rute aktif ialah arbitrary (kecuali untuk rute BGP).
BGP mempunyai proses seleksi paling rumit (dijelaskan dalam artikel terpisah). Perhatikan bahwa seleksi protokol-internal ini dilakukan hanya sesudah rute BGP dipasang di tabel routing utama; ini berarti ada satu rute kandidat dari masing-masing rekan BGP. Perhatikan juga bahwa rute BGP dari instance BGP yang berbeda dibandingkan dengan jaraknya, sama ibarat rute lainnya.
Kriteria untuk menentukan rute kandidat
Untuk berpartisipasi dalam proses pemilihan rute, rute harus memenuhi kriteria berikut:
rute tidak dinonaktifkan.
jarak tidak 255. Rute yang ditolak oleh filter rute mempunyai nilai jarak 255.
pref-src tidak disetel atau merupakan alamat lokal router yang valid.
routing-mark tidak diatur atau dirujuk oleh firewall atau hukum routing kebijakan.
Jika jenis rute ialah unicast dan bukan rute yang terhubung, harus mempunyai setidaknya satu nexthop yang sanggup dijangkau.
Pencarian Nexthop
Nilai standar cakupan dan cakupan target
Pencarian Nexthop ialah kepingan dari proses pemilihan rute.
Rute yang dipasang di FIB perlu mempunyai antarmuka yang terkait dengan setiap alamat gateway. Alamat gateway (nexthop) harus sanggup pribadi dijangkau melalui antarmuka ini. Antarmuka yang harus dipakai untuk mengirim paket ke setiap alamat gateway ditemukan dengan melaksanakan pencarian nexthop.
Beberapa rute (mis. IBGP) mungkin mempunyai alamat gateway yang beberapa hop dari router ini. Untuk menginstal rute tersebut di FIB, perlu untuk menemukan alamat gateway yang sanggup dijangkau pribadi (sebuah nexthop langsung), yang harus dipakai untuk mencapai alamat gateway dari rute ini. Alamat selanjutnya yang berdekatan juga ditemukan dengan melaksanakan pencarian nexthop.
Pencarian Nexthop hanya dilakukan di tabel routing utama, bahkan untuk rute dengan nilai routing-mark yang berbeda. Anda perlu membatasi serangkaian rute yang sanggup dipakai untuk mencari nexthops langsung. Nilai Nexthop rute RIP atau OSPF, misalnya, seharusnya sanggup dijangkau secara pribadi dan harus dicari hanya memakai rute yang terhubung. Ini dicapai dengan memakai ruang lingkup dan ruang lingkup sasaran.
Rute dengan nama antarmuka sebagai nilai gerbang tidak dipakai untuk pencarian nexthop. Jika rute mempunyai kedua nexthops interface dan nexthops alamat IP aktif, maka nexthops interface diabaikan.
Rute dengan cakupan lebih besar dari nilai maksimum yang diterima tidak dipakai untuk pencarian nexthop. Setiap rute menentukan nilai lingkup maksimum yang diterima untuk itu nexthops di properti target-lingkup. Nilai default dari properti ini memungkinkan nexthop lookup hanya melalui rute yang terhubung, dengan pengecualian rute iBGP yang mempunyai nilai default yang lebih besar dan sanggup mencari nexthop juga melalui IGP dan rute statis.
Antarmuka dan nexthop pribadi dipilih menurut hasil pencarian nexthop:
Jika rute aktif yang paling spesifik yang ditemukan oleh nexthop lookup ialah rute yang terhubung, maka antarmuka rute yang terhubung ini dipakai sebagai antarmuka nexthop, dan gateway ini ditandai sebagai sanggup dijangkau. Karena gateway secara pribadi sanggup dijangkau melalui antarmuka ini (itulah tepatnya arti rute yang terhubung), alamat gateway dipakai sebagai alamat nexthop langsung.
Jika rute aktif yang paling spesifik yang ditemukan nexthop mempunyai nexthop yang sudah diselesaikan, alamat nexthop dan antarmuka pribadi disalin dari nexthop tersebut dan gateway ini ditandai sebagai rekursif.
Jika rute aktif yang paling spesifik yang ditemukan nexthop ialah rute ECMP, maka ia memakai gerbang pertama dari rute yang tidak sanggup dijangkau.
Jika pencarian nexthop tidak menemukan rute apa pun, maka gerbang ini ditandai sebagai tidak sanggup dijangkau.
Meneruskan Basis Informasi
Gambaran FIB
FIB (Forwarding Information Base) berisi salinan informasi yang diharapkan untuk penerusan paket:
semua rute aktif
aturan perutean kebijakan
Secara default (ketika tidak ada nilai marka yang digunakan) semua rute aktif berada di tabel utama, dan hanya ada satu hukum implisit tersembunyi (aturan "tangkap semua") yang memakai tabel utama untuk semua pencarian tujuan.
Pencarian tabel perutean
FIB memakai informasi berikut dari paket untuk menentukan tujuannya:
alamat sumber
alamat tujuan
antarmuka sumber
tanda routing
ToS (tidak dipakai oleh RouterOS dalam hukum perutean kebijakan, tetapi ini ialah kepingan dari perutean kunci pencarian cache)
Keputusan routing yang mungkin adalah:
menerima paket secara lokal
buang paket (baik secara rahasia atau dengan mengirim pesan ICMP ke pengirim paket)
kirim paket ke alamat IP tertentu pada antarmuka tertentu
Hasil keputusan routing diingat dalam cache routing. Ini dilakukan untuk meningkatkan kinerja penyampaian. Ketika paket lain dengan alamat sumber yang sama, alamat tujuan, antarmuka sumber, tanda routing dan ToS dirutekan, hasil cache digunakan. Ini juga memungkinkan untuk menerapkan load balancing per-koneksi memakai rute ECMP, sebab nilai-nilai yang dipakai untuk mencari entri dalam cache perutean ialah sama untuk semua paket yang termasuk dalam koneksi yang sama dan pergi ke arah yang sama.
Jika tidak ada entri cache perutean untuk paket ini, ini dibentuk dengan menjalankan keputusan routing:
periksa paket yang harus dikirim secara lokal (alamat tujuan ialah alamat router)
proses hukum perutean kebijakan implisit
aturan perutean kebijakan proses ditambahkan oleh pengguna
proses implisit menangkap-semua hukum yang mencari tujuan di tabel routing utama
hasil pengembalian ialah "jaringan tidak sanggup dijangkau"
Hasil keputusan routing sanggup berupa:
Alamat IP dari nexthop + interface
antarmuka point-to-point
pengiriman lokal
membuang
ICMP dilarang
Host ICMP tidak sanggup dijangkau
Jaringan ICMP tidak sanggup dijangkau
Aturan yang tidak sesuai dengan paket ketika ini diabaikan. Jika hukum mempunyai tindakan drop atau tidak sanggup dicapai, maka hukum dikembalikan sebagai hasil dari proses keputusan routing. Jika agresi dicari maka alamat tujuan paket dicari dalam tabel routing yang ditentukan dalam aturan. Jika pencarian gagal (tidak ada rute yang cocok dengan alamat tujuan paket), maka FIB berlanjut ke hukum berikutnya. Jika tidak:
jika jenis rutenya ialah blackhole, dihentikan atau tidak sanggup dicapai, maka kembalikan tindakan ini sebagai hasil keputusan routing;
jika ini ialah rute yang terhubung, atau rute dengan antarmuka sebagai nilai gerbang, kemudian kembalikan antarmuka ini dan alamat tujuan paket sebagai hasil keputusan routing;
jika rute ini mempunyai alamat IP sebagai nilai gerbang, kemudian kembalikan alamat ini dan antarmuka yang terkait sebagai hasil keputusan routing;
jika rute ini mempunyai beberapa nilai nexthop, pilih salah satunya dengan mode round robin.
Hasil keputusan routing ini disimpan dalam entri cache perutean baru.
Properties
Route flags
Property(Flag) | Description |
disabled (X) | Item konfigurasi dinonaktifkan. Tidak mempunyai dampak apa pun pada rute lain dan tidak dipakai dengan meneruskan atau routing protokol dengan cara apa pun. |
active (A) | Rute dipakai untuk penerusan paket. Lihat pemilihan rute.. |
dynamic (D) | Item konfigurasi yang dibentuk oleh perangkat lunak, bukan oleh antarmuka manajemen. Itu tidak diekspor, dan tidak sanggup dimodifikasi secara langsung. rute yang terhubung. |
connect (C) | |
static (S) | |
rip (r) | RIP route. |
bgp (b) | BGP route. |
ospf (o) | OSPF route. |
mme (m) | MME route. |
blackhole (B) | Secara rahasia buang paket yang diteruskan oleh rute ini. |
unreachable (U) | Buang paket yang diteruskan oleh rute ini. Memberi tahu pengirim dengan pesan ICMP host unreachable (tipe 3 kode 1).. |
prohibit (P) | Buang paket yang diteruskan oleh rute ini. Memberi tahu pengirim dengan komunikasi ICMP dihentikan secara administratif (tipe 3 kode 13) pesan. |
General properties
Property | Description |
check-gateway (arp | ping; Default: "") | Secara terpola (setiap 10 detik) periksa gerbang dengan mengirim ajakan ICMP echo (ping) atau ajakan ARP (arp). Jika tidak ada respons dari gateway yang diterima selama 10 detik, mintalah waktu keluar. Setelah dua gerbang waktu habis dianggap tidak sanggup dijangkau. Setelah mendapatkan jawaban dari gateway, itu dianggap sanggup dijangkau dan penghitung waktu habis diatur ulang. |
comment (string; Default: "") | Deskripsi rute tertentu |
distance (integer[1..255]; Default: "1") | Nilai yang dipakai dalam pemilihan rute. Rute dengan nilai jarak yang lebih kecil diberikan preferensi. Jika nilai properti ini tidak disetel, maka defaultnya tergantung pada protokol rute: • rute yang terhubung: 0 • rute statis: 1 • eBGP: 20 • OSPF: 110 • RIP: 120 • MME: 130 • iBGP: 200 |
dst-address (IP prefix; Default: 0.0.0.0/0) | Awalan IP rute, menentukan alamat tujuan yang sanggup dipakai oleh rute ini. Netmask kepingan dari properti ini menentukan berapa banyak bit yang paling signifikan dalam alamat tujuan paket harus sesuai dengan nilai ini. Jika ada beberapa rute aktif yang cocok dengan alamat tujuan paket, maka yang paling spesifik (dengan nilai netmask terbesar) digunakan. |
gateway (IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "") | Array alamat IP atau nama antarmuka. Menentukan paket host atau antarmuka mana yang harus dikirim. Rute dan rute yang terhubung dengan blackhole, unreachable atau prohibit type tidak mempunyai properti ini. Biasanya nilai properti ini ialah satu alamat IP gateway yang sanggup pribadi dicapai melalui salah satu antarmuka router (tetapi lihat nexthop lookup). Rute ECMP mempunyai lebih dari satu nilai gerbang. Nilai sanggup diulang beberapa kali. |
pref-src (IP; Default: "") | Pemilahan alamat IP lokal yang akan dipakai untuk paket lokal yang dikirim melalui rute ini. Nilai properti ini tidak besar lengan berkuasa pada paket yang diteruskan. Jika nilai properti ini disetel ke alamat IP yang bukan alamat lokal router ini maka rute akan menjadi tidak aktif. Jika nilai pref-src tidak diatur, maka untuk paket-paket lokal yang dikirim memakai router rute ini akan menentukan salah satu alamat lokal yang dilampirkan ke antarmuka output yang cocok dengan awalan rute tujuan (contoh). |
route-tag (integer; Default: "") | Nilai atribut tag rute untuk RIP atau OSPF. Untuk RIP, hanya nilai 0,4294967295 yang valid. |
routing-mark (string; Default: "") | Nama tabel routing yang berisi rute ini. Tidak diatur secara default yang sama dengan main. Paket yang ditandai oleh firewall dengan nilai penandaan ini akan dirutekan memakai rute dari tabel ini, kecuali diganti dengan hukum perutean kebijakan. Tidak lebih dari 251 tanda routing sanggup ditambahkan per router. |
scope (integer[0..255]; Default: "30") | Digunakan dalam resolusi nexthop. Rute sanggup menuntaskan nexthop hanya melalui rute yang mempunyai cakupan kurang dari atau sama dengan ruang lingkup sasaran dari rute ini. Nilai default tergantung pada protokol rute: • rute terhubung: 10 (jika antarmuka berjalan) • Rute OSPF, RIP, MME: 20 • rute statis: 30 • Rute BGP: 40 · • rute yang terhubung: 200 (jika antarmuka tidak berjalan) |
target-scope (integer[0..255]; Default: "10") | Digunakan dalam resolusi nexthop. Ini ialah nilai maksimum lingkup untuk rute yang melaluinya nexthop rute ini sanggup diselesaikan. Lihat pencarian nexthop. Untuk nilai iBGP diatur ke 30 secara default. |
type (unicast | blackhole | prohibit | unreachabl; Default: unicast) | Rute yang tidak menentukan nexthop untuk paket, tetapi melaksanakan beberapa tindakan lain pada paket mempunyai jenis yang berbeda dari unicast biasa. blackhole route secara rahasia membuang paket, sementara unreachable dan melarang rute mengirim pesan ICMP Destination Unreachable (kode 1 dan 13 masing-masing) ke alamat sumber paket. |
vrf-interface (string; Default: "10") | VRF interface name |
Other Read-only properties
Property | Description |
gateway-status (array) | Array gateway, status gerbang, dan antarmuka mana yang dipakai untuk penerusan. Sintaks "antarmuka IP negara", contohnya "10.5.101.1 jembatan pintas yang terjangkau". Negara sanggup tidak terjangkau, terjangkau atau rekursif. Lihat nexthop lookup untuk detailnya. |
ospf-metric (integer) | Menggunakan metrik OSPF untuk rute tertentu |
ospf-type (string) |
BGP Route Properties
Properti ini berisi informasi yang dipakai oleh protokol routing BGP. Namun, nilai properti ini sanggup diatur untuk semua jenis rute, termasuk statis dan terhubung. Ini sanggup dilakukan secara manual (untuk rute statis) atau memakai filter rute.
Property | Description |
bgp-as-path (string; Default: "") | Nilai atribut BGP AS_PATH. Daftar nomor AS yang dipisahkan koma dengan nomor AS konfederasi yang dilingkupi dalam () dan AS_SET yang disertakan dalam {}. Digunakan untuk menyelidiki AS loop dan dalam algoritma seleksi rute BGP: rute dengan AS_PATH yang lebih pendek lebih disukai (tetapi baca bagaimana AS_PATH dihitung). |
bgp-atomic-aggregate (yes | no; Default: ) | Nilai atribut BGP ATOMIC_AGGREGATE. |
bgp-communities (array of (integer:integer | internet | no-advertise | no-export |local-as; Default: ) | Nilai daftar komunitas BGP. Atribut ini sanggup dipakai untuk mengelompokkan atau memfilter rute. Nilai berjulukan mempunyai arti khusus: internet - advertise this route to the Internet community (i.e. all routers) • no-advertise - do not advertise this route to any peers • no-export - do not advertise this route to EBGP peers • local-as - same as no-export, except that route is also advertised to EBGP peers inside local confederation (dalam indonesia) • internet - beriklan rute ini ke komunitas Internet (yaitu semua router) • no-advertise - jangan mengiklankan rute ini ke teman sebaya • no-export - tidak mengiklankan rute ini ke rekan EBGP • lokal-sama - sama dengan tanpa-ekspor, kecuali rute itu juga diiklankan ke rekan-rekan EBGP di dalam konfederasi lokal |
bgp-local-pref (integer; Default: ) | Nilai atribut BGP LOCAL_PREF. Digunakan dalam algoritma pemilihan rute BGP: rute dengan nilai LOCAL_PREF yang lebih besar lebih disukai. Jika nilai tidak diatur maka itu ditafsirkan sebagai 100. |
bgp-med (integer; Default: ) | Nilai atribut BGP MULTI_EXIT_DISC BGP. Digunakan dalam algoritma pemilihan rute BGP: rute dengan nilai MULTI_EXIT_DISC yang lebih rendah lebih disukai .. Jika nilainya tidak diatur maka itu ditafsirkan sebagai 0. |
bgp-origin (igp | egp | incomplete; Default: ) | Nilai atribut BGP ORIGIN. Digunakan dalam algoritma pemilihan rute BGP: rute igp lebih disukai daripada egp dan egp lebih tidak lengkap. |
bgp-prepend (integer [0..16]; Default: ) | Berapa kali untuk menambahkan nomor AS milik router ke atribut AS_PATH ketika mengumumkan rute melalui BGP. Hanya memengaruhi rute yang dikirim ke rekan eBGP (untuk nilai iBGP 0 selalu digunakan). |
Terjemahan Alamat Jaringan ialah standar Internet yang memungkinkan host di jaringan area lokal untuk memakai satu set alamat IP untuk komunikasi internal dan kumpulan alamat IP lain untuk komunikasi eksternal. LAN yang memakai NAT disebut sebagai jaringan natted. Agar NAT berfungsi, harus ada gateway NAT di setiap jaringan yang di-natt. NAT gateway (NAT router) melaksanakan penulisan ulang alamat IP dalam perjalanan paket dari / ke LAN.
Ada dua tipe NAT:
sumber NAT atau srcnat. Jenis NAT ini dilakukan pada paket-paket yang berasal dari jaringan natted. Router NAT menggantikan alamat sumber pribadi dari paket IP dengan alamat IP publik gres ketika ia berjalan melalui router. Operasi terbalik diterapkan pada paket jawaban yang bergerak ke arah lain.
tujuan NAT atau dstnat. Jenis NAT ini dilakukan pada paket yang ditakdirkan ke jaringan yang di-natt. Ini paling sering dipakai untuk membuat host di jaringan pribadi menjadi sanggup diakses dari Internet. Router NAT yang melaksanakan dstnat menggantikan alamat IP tujuan dari suatu paket IP ketika ia melaksanakan perjalanan melalui router menuju jaringan pribadi.
Host di belakang router yang mendukung NAT tidak mempunyai konektivitas end-to-end yang benar. Oleh sebab itu beberapa protokol Internet mungkin tidak berfungsi dalam skenario dengan NAT. Layanan yang memerlukan inisiasi koneksi TCP dari luar jaringan pribadi atau protokol tanpa negara ibarat UDP, sanggup terganggu. Selain itu, beberapa protokol secara inheren tidak kompatibel dengan NAT, teladan yang berani ialah protokol AH dari suite IPsec.
Untuk mengatasi keterbatasan ini, RouterOS menyertakan sejumlah dukungan yang disebut NAT, yang memungkinkan NAT traversal untuk aneka macam protokol.
Menyamar
Firewall NAT action = masquerade ialah subversi unik dari action = srcnat, ia dirancang untuk penggunaan khusus dalam situasi ketika IP publik sanggup berubah secara acak, contohnya DHCP-server mengubahnya, atau tunnel PPPoE sesudah disconnect akan mendapatkan IP yang berbeda, singkatnya - ketika publik IP bersifat dinamis.
Setiap kali antarmuka terputus dan / atau perubahan alamat IP-nya, router akan menghapus semua entri pelacakan koneksi masqueraded yang mengirim paket keluar antarmuka itu, dengan cara ini meningkatkan waktu pemulihan sistem sesudah perubahan alamat ip publik.
Sayangnya ini sanggup menjadikan beberapa problem ketika agresi = masquerade dipakai dalam penyetelan dengan koneksi / tautan tidak stabil yang dialihkan ke tautan lain ketika primer mati. Dalam skenario ibarat hal berikut sanggup terjadi:
saat terputus, semua entri pelacakan koneksi terkait dibersihkan;
paket berikutnya dari setiap koneksi yang dibersihkan (sebelumnya disamarkan) akan masuk ke firewall sebagai koneksi-state = baru, dan, jikalau antarmuka utama tidak kembali, paket akan dialihkan melalui rute alternatif (jika Anda memilikinya) sehingga membuat koneksi baru;
tautan utama kembali, perutean dipulihkan melalui tautan utama, sehingga paket yang termasuk ke koneksi yang ada dikirim melalui antarmuka utama tanpa menyamarkan IP lokal ke jaringan publik.
Anda sanggup mengatasinya dengan membuat rute blackhole sebagai alternatif untuk rute yang mungkin hilang ketika terputus).
Ketika agresi = srcnat dipakai sebagai gantinya, entri pelacakan koneksi tetap dan koneksi sanggup dilanjutkan.
Property | Description |
action (action name; Default: accept) | Tindakan untuk mengambil jikalau paket dicocokkan dengan aturan: · Menerima - mendapatkan paket. Paket tidak diteruskan ke hukum NAT berikutnya. · Add-dst-to-address-list - tambahkan alamat tujuan ke daftar Alamat yang ditentukan oleh parameter daftar alamat · Add-src-to-address-list - tambahkan alamat sumber ke daftar alamat yang dispesifikasikan oleh parameter daftar alamat · Dst-nat - menggantikan alamat tujuan dan / atau port dari paket IP ke nilai yang ditentukan oleh to-address dan to-portsparameters · Lompat - lompat ke rantai yang ditentukan pengguna yang ditentukan oleh nilai parameter lompat-target · Log - tambahkan pesan ke log sistem yang berisi data berikut: di-antarmuka, di luar antarmuka, src-mac, protokol, src-ip: port-> dst-ip: port dan panjang paket. Setelah paket dicocokkan, diteruskan ke hukum berikutnya dalam daftar, sama ibarat passthrough · Masquerade - mengganti port sumber dari sebuah paket IP ke salah satu yang ditentukan oleh parameter to-port dan mengganti alamat sumber dari paket IP ke IP yang ditentukan oleh kemudahan routing. Baca lebih lanjut >> · Netmap - membuat pemetaan statis 1: 1 dari satu set alamat IP ke yang lain. Sering dipakai untuk mendistribusikan alamat IP publik ke host di jaringan pribadi · Passthrough - jikalau paket dicocokkan dengan aturan, tambahkan penghitung dan lanjutkan ke hukum berikutnya (berguna untuk statistik). · Redirect - mengganti port tujuan dari suatu paket IP ke yang ditentukan oleh parameter to-ports dan alamat tujuan ke salah satu alamat lokal router · Kembali - melewati kontrol kembali ke rantai dari daerah lompatan terjadi · Sama - memperlihatkan klien tertentu alamat IP sumber / tujuan yang sama dari rentang yang diberikan untuk setiap koneksi. Ini paling sering dipakai untuk layanan yang mengharapkan alamat klien yang sama untuk beberapa koneksi dari klien yang sama · Src-nat - menggantikan alamat sumber dari paket IP ke nilai yang ditentukan oleh parameter to-address dan to-ports |
address-list (string; Default: ) | Nama daftar alamat yang akan digunakan. Berlaku jikalau tindakan ialah add-dst-to-address-list atau add-src-to-address-list |
address-list-timeout (none-dynamic | none-static | time; Default: none-dynamic) | Interval waktu sesudah itu alamat akan dihapus dari daftar alamat yang ditentukan oleh parameter daftar alamat. Digunakan bersama dengan add-dst-to-address-list atau add-src-to-address-listactions · Nilai tidak ada yang dinamis (00:00:00) akan meninggalkan alamat dalam daftar alamat hingga reboot · Nilai tidak ada statis akan meninggalkan alamat dalam daftar alamat selamanya dan akan dimasukkan dalam ekspor konfigurasi / cadangan |
chain (name; Default: ) | Menentukan hukum rantai mana yang akan ditambahkan. Jika input tidak sesuai dengan nama rantai yang sudah didefinisikan, rantai gres akan dibuat. |
comment (string; Default: ) | Komentar deskriptif untuk aturan. |
connection-bytes (integer-integer; Default: ) | Cocokkan paket hanya jikalau jumlah byte yang diberikan telah ditransfer melalui koneksi tertentu. 0 - berarti infinity, contohnya connection-bytes = 2000000-0 berarti bahwa hukum cocok jikalau lebih dari 2MB telah ditransfer melalui koneksi yang relevan |
connection-limit (integer,netmaks; Default: ) | Batasi batas koneksi per alamat atau blok alamat / td> |
connection-mark (no-mark | string; Default: ) | Cocokkan paket yang ditandai melalui kemudahan mangle dengan tanda koneksi tertentu. Jika tidak ada tanda yang ditetapkan, hukum akan cocok dengan koneksi yang tidak ditandai. |
connection-rate (Integer 0..4294967295; Default: ) | Connection Rate ialah firewall matcher yang memungkinkan untuk menangkap kemudian lintas menurut kecepatan koneksi ketika ini. |
connection-type (ftp | h323 | irc | pptp | quake3 | sip | tftp; Default: ) | Cocokkan paket dari koneksi terkait menurut informasi dari pembantu pelacakan koneksi mereka. Pembantu koneksi yang relevan harus diaktifkan di bawah / port layanan firewall ip |
content (string; Default: ) | Cocokkan paket yang berisi teks tertentu |
dscp (integer: 0..63; Default: ) | Cocokkan bidang header IP DSCP. |
dst-address (IP/netmask | IP range; Default: ) | Cocokkan Paket yang tujuannya sama dengan IP yang ditentukan atau jatuh ke rentang IP yang ditentukan. |
dst-address-list (name; Default: ) | Mencocokkan alamat tujuan paket dengan daftar alamat yang ditetapkan pengguna |
dst-address-type (unicast | local | broadcast | multicast; Default: ) | Cocokkan dengan jenis alamat tujuan: · Unicast - alamat IP yang dipakai untuk transmisi point to point · Lokal - jikalau alamat dst ditugaskan ke salah satu antarmuka router · Broadcast - paket dikirim ke semua perangkat di subnet · Multicast - paket diteruskan ke grup perangkat yang ditentukan |
dst-limit (integer[/time],integer,dst-address | dst-port | src-address[/time]; Default: ) | Cocokkan paket hingga batas pps yang diberikan terlampaui. Berbeda dengan matcher batas, setiap alamat IP tujuan / port tujuan mempunyai batasnya sendiri. Parameter ditulis dalam format berikut: count [/ waktu], burst, mode [/ expire]. · Hitungan - rata-rata paket paket maksimum yang diukur dalam paket per interval waktu · Waktu - menentukan interval waktu di mana tingkat paket diukur (opsional) · Burst - jumlah paket yang tidak dihitung oleh paket rate · Mode - pengklasifikasi untuk pembatasan laju paket · Kadaluwarsa - menentukan interval sesudah alamat ip / port recored yang akan dihapus (opsional) |
dst-port (integer[-integer]: 0..65535; Default: ) | Daftar nomor port tujuan atau rentang nomor port |
fragment (yes|no; Default: ) | Cocokan dengan paket yang terfragmentasi. Fragmen pertama (awal) tidak dihitung. Jika pelacakan koneksi diaktifkan, tidak akan ada fragmen sebab sistem secara otomatis mengumpulkan setiap paket |
hotspot (auth | from-client | http | local-dst | to-client; Default: ) | Cocokan Paket yang diterima dari klien HotSpot terhadap aneka macam hotspot HotSpot. · Auth - cocok dengan paket klien HotSpot yang diautentikasi · From-client - cocok dengan paket yang berasal dari klien HotSpot · Http - cocok dengan ajakan HTTP yang dikirim ke server HotSpot · Local-dst - cocok dengan paket yang ditakdirkan untuk server HotSpot · to-client - matches dengan paket yang dikirim ke klien HotSpot |
icmp-options (integer:integer; Default: ) | Cocokan dengan tipe ICMP: kolom kode |
in-bridge-port (name; Default: ) | Antarmuka konkret paket telah memasuki router, jikalau antarmuka masuk ialah jembatan/bridge |
in-interface (name; Default: ) | Antarmuka paket telah memasuki router |
ingress-priority (integer: 0..63; Default: ) | Cocokkan prioritas ingress dari paket. Prioritas sanggup diturunkan dari VLAN, WMM atau MPLS EXP bit. |
ipsec-policy (in | out, ipsec | none; Default: ) | Cocok dengan kebijakan yang dipakai oleh IpSec. Nilai ditulis dalam format berikut: arah, kebijakan. Arah Digunakan untuk menentukan apakah akan cocok dengan kebijakan yang dipakai untuk dekapsulasi atau kebijakan yang akan dipakai untuk enkapsulasi. · In - valid dalam rantai PREROUTING, INPUT dan FORWARD · Out - berlaku di rantai POSTROUTING, OUTPUT dan FORWARD · IPSec - cocok jikalau paket tunduk pada pemrosesan IPSec; · None - cocok dengan paket yang tidak tunduk pada pemrosesan IPSec (misalnya, paket transport IpSec). Sebagai contoh, jikalau router mendapatkan paket Ipsec encapsulated Gre, maka hukum ipsec-policy = in, ipsec akan cocok dengan paket Gre, tetapi hukum ipsec-policy = in, tidak ada yang akan cocok dengan paket ESP. |
ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing | no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp; Default: ) | Mencocokkan opsi header IPv4. ·any - match - pertandingan paket dengan setidaknya satu dari opsi ipv4 · loose-source-routing - match paket pertandingan dengan opsi routing sumber longgar. Opsi ini dipakai untuk merutekan datagram internet menurut informasi yang diberikan oleh sumber · No-record-route - mencocokkan paket tanpa opsi rute catatan. Opsi ini dipakai untuk merutekan datagram internet menurut informasi yang diberikan oleh sumber · No-router-alert - cocok dengan paket tanpa opsi alter router · No-source-routing - cocok dengan paket tanpa opsi routing sumber · No-timestamp - mencocokkan paket tanpa opsi timestamp · record-route - match - mencocokkan paket dengan opsi rute catatan · Router-alert - cocokkan paket dengan opsi alter router · strict-source-routing - match dengan opsi perutean sumber yang ketat · Timestamp - mencocokkan paket dengan stempel waktu |
jump-target (name; Default: ) | Nama rantai sasaran untuk melompat ke. Hanya berlaku jika action=jump |
layer7-protocol (name; Default: ) | Nama filter Layer7 didefinisikan dalam sajian protokol layer7. |
limit (integer,time,integer; Default: ) | Cocokkan paket hingga batas pps yang diberikan terlampaui. Parameter ditulis dalam format berikut: menghitung [/ waktu], meledak. · Count - rata-rata paket paket maksimum yang diukur dalam paket per interval waktu · Time - menentukan interval waktu di mana tingkat paket diukur (opsional, 1s akan dipakai jikalau tidak ditentukan) · Burst - jumlah paket yang tidak dihitung oleh paket rate |
log-prefix (string; Default: ) | Menambahkan teks tertentu di awal setiap pesan log. Berlaku jika action=log |
nth (integer,integer; Default: ) | Cocok dengan setiap paket nth. |
out-bridge-port (name; Default: ) | Antarmuka yang sebetulnya paket meninggalkan router, jikalau antarmuka keluar ialah jembatan |
out-interface (; Default: ) | Antarmuka paket meninggalkan router |
packet-mark (no-mark | string; Default: ) | Cocokkan paket yang ditandai melalui kemudahan mangle dengan tanda paket tertentu. Jika tidak ada tanda yang ditetapkan, hukum akan cocok dengan paket yang tidak ditandai. |
packet-size (integer[-integer]:0..65535; Default: ) | Cocokkan paket dengan ukuran atau ukuran tertentu dalam byte. |
per-connection-classifier(ValuesToHash:Denominator/Remainder; Default: ) | PCC matcher memungkinkan untuk membagi kemudian lintas ke dalam fatwa yang sama dengan kemampuan untuk menyimpan paket dengan rangkaian opsi tertentu dalam satu fatwa tertentu. Baca lebih lanjut >> |
port (integer[-integer]: 0..65535; Default: ) | |
protocol (name or protocol ID; Default: tcp) | Cocokan jikalau port (sumber atau tujuan) sesuai dengan daftar port atau rentang port yang ditentukan. Hanya berlaku jikalau protokol TCP atau UDP |
psd (integer,time,integer,integer; Default: ) | Cocokan dengan protokol IP tertentu yang ditentukan oleh nama atau nomor protokol |
random (integer: 1..99; Default: ) | Usahakan mendeteksi scan TCP dan UDP. Parameter dalam format berikut WeightThreshold, DelayThreshold, LopPortWeight, HighPortWeight |
routing-mark (string; Default: ) | • WeightThreshold - total berat paket TCP / UDP terbaru dengan port tujuan berbeda yang berasal dari host yang sama untuk diperlakukan sebagai urutan pemindaian port |
same-not-by-dst (yes | no; Default: ) | • DelayThreshold - penundaan untuk paket dengan port tujuan yang berbeda yang berasal dari host yang sama untuk diperlakukan sebagai kemungkinan pemindaian port |
src-address (Ip/Netmaks, Ip range; Default: ) | • LowPortWeight - berat paket dengan port tujuan istimewa (<= 1024) |
src-address-list (name; Default: ) | • HighPortWeight - berat paket dengan port tujuan non-priviliged |
src-address-type (unicast | local | broadcast | multicast; Default: ) | Cocokkan paket secara acak dengan probabilitas yang diberikan. |
src-port (integer[-integer]: 0..65535; Default: ) | Cocokkan paket ditandai dengan kemudahan mangle dengan tanda routing tertentu |
src-mac-address (MAC address; Default: ) | Menentukan apakah akan mempertimbangkan atau tidak mengarahkan alamat IP ketika menentukan alamat IP sumber baru. Berlaku jikalau tindakan = sama |
tcp-flags (ack | cwr | ece | fin | psh | rst | syn | urg; Default: ) | Cocokkan paket yang sumbernya sama dengan IP yang ditentukan atau jatuh ke rentang IP yang ditentukan. |
tcp-mss (integer[-integer]: 0..65535; Default: ) | Cocokkan alamat sumber paket terhadap daftar alamat yang ditetapkan pengguna |
time (time-time,sat | fri | thu | wed | tue | mon | sun; Default: ) | |
to-addresses (IP address[-IP address]; Default: 0.0.0.0) | Cocokan dengan jenis alamat sumber: |
to-ports (integer[-integer]: 0..65535; Default: ) | • unicast - Alamat IP yang dipakai untuk transmisi titik ke titik |
ttl (integer: 0..255; Default: ) | • lokal - jikalau alamat ditetapkan ke salah satu antarmuka router |
Stats
/ip firewall nat print stats will show additional read-only properties
Property | Description |
bytes (integer) | Total amount of bytes matched by the rule |
packets (integer) | Total amount of packets matched by the rule |
Secara default cetak setara dengan mencetak statis dan hanya menampilkan hukum statis.
[admin@dzeltenais_burkaans] /ip firewall mangle> print stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 prerouting mark-routing 17478158 127631
1 prerouting mark-routing 782505 4506
Untuk mencetak juga hukum dinamis memakai cetak semua.
[admin@dzeltenais_burkaans] /ip firewall mangle> print all stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 prerouting mark-routing 17478158 127631
1 prerouting mark-routing 782505 4506
2 D forward change-mss 0 0
3 D forward change-mss 0 0
4 D forward change-mss 0 0
5 D forward change-mss 129372 2031
Atau untuk hanya mencetak hukum dinamis memakai dinamika cetak
[admin@dzeltenais_burkaans] /ip firewall mangle> print stats dynamic
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 D forward change-mss 0 0
1 D forward change-mss 0 0
2 D forward change-mss 0 0
3 D forward change-mss 132444 2079
Menu specific commands
Property | Description |
reset-counters (id) | Reset statistics counters for specified firewall rules. |
reset-counters-all () | Reset statistics counters for all firewall rules. |
Basic examples
Source NAT
Masquerade
Jika Anda ingin "menyembunyikan" LAN pribadi 192.168.0.0/24 "di belakang" satu alamat 10.5.8.109 diberikan kepada Anda oleh ISP, Anda harus memakai fitur terjemahan alamat jaringan sumber (masquerading) dari router MikroTik. Masquerading akan mengubah alamat IP sumber dan port paket yang berasal dari jaringan 192.168.0.0/24 ke alamat 10.5.8.109 dari router ketika paket dirutekan melaluinya.
Untuk memakai masquerading, hukum NAT sumber dengan agresi 'masquerade' harus ditambahkan ke konfigurasi firewall:
/ip firewall nat add chain=srcnat action=masquerade out-interface=Public
Semua koneksi keluar dari jaringan 192.168.0.0/24 akan mempunyai alamat sumber 10.5.8.109 dari router dan port sumber di atas 1024. Tidak ada saluran dari Internet akan dimungkinkan ke alamat Lokal. Jika Anda ingin mengizinkan koneksi ke server di jaringan lokal, Anda harus memakai terjemahan alamat jaringan tujuan (NAT).
Source nat to specific address
Jika Anda mempunyai beberapa alamat IP publik, sumber nat sanggup diubah ke IP tertentu, misalnya, satu subnet lokal sanggup disembunyikan di balik IP pertama dan subnet lokal kedua disamarkan di balik IP kedua.
/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 action=src-nat to-addresses=1.1.1.1 out-interface=Public
add chain=srcnat src-address=192.168.2.0/24 action=src-nat to-addresses=1.1.1.2 out-interface=Public
Destination NAT
Forward all traffic to internal host
Jika Anda ingin menautkan alamat Public IP 10.5.8.200 ke Local one 192.168.0.109, Anda harus memakai fitur terjemahan alamat tujuan dari router MikroTik. Juga jikalau Anda ingin mengizinkan server lokal untuk memulai koneksi ke luar dengan IP Publik yang diberikan Anda harus memakai terjemahan alamat sumber juga.
Tambahkan IP Publik ke antarmuka Publik:
/ip address add address=10.5.8.200/32 interface=Public
Tambahkan hukum yang memungkinkan saluran ke server internal dari jaringan eksternal:
/ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \
to-addresses=192.168.0.109
Tambahkan hukum yang memungkinkan server internal untuk menjalin koneksi ke jaringan luar yang alamat sumbernya diterjemahkan ke 10.5.8.200:
/ip firewall nat add chain=srcnat src-address=192.168.0.109 action=src-nat \
to-addresses=10.5.8.200
Port mapping/forwarding
Jika Anda ingin mengarahkan ajakan untuk port tertentu ke mesin internal (kadang-kadang disebut membuka port, pemetaan port), Anda sanggup melakukannya ibarat ini:
/ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.1.1 to-port=1234
Aturan ini diterjemahkan menjadi: ketika koneksi masuk meminta port TCP 1234, gunakan tindakan DST-NAT dan alihkan ke alamat lokal 192.168.1.1 dan port 1234
Port forwarding to internal FTP server
Seperti yang Anda lihat dari ilustrasi di atas FTP memakai lebih dari satu koneksi, tetapi hanya saluran perintah yang harus diteruskan oleh Destination nat. Saluran data dianggap sebagai koneksi terkait dan harus diterima dengan hukum "terima terkait" jikalau Anda mempunyai firewall yang ketat. Perhatikan bahwa untuk koneksi terkait biar dideteksi dengan benar, dukungan FTP harus diaktifkan.
/ip firewall nat
add chain=dstnat dst-address=10.5.8.200 dst-port=21 protocol=tcp action=dst-nat to-addresses=192.168.0.109
/ip firewall filter
add chain=forward connection-state=established,related action=accept
Perhatikan bahwa FTP aktif mungkin tidak berfungsi jikalau klien berada di belakang firewall kurang pandai atau router NATed, sebab saluran data diprakarsai oleh server dan tidak sanggup secara pribadi mengakses klien.
sigoogle2.blogspot.com/search?q=tutorial-pengaturan-mikrotik-dari-z
0 Response to "Tutorial Pengaturan Mikrotik Dari A-Z"
Posting Komentar