Cara Memblokir Website (Facebook) Menggunakan Layer 7 Mikrotik

shares |

Di bawah ini saya akan share Tutorial Mikrotik untuk memblokir facebook menggunakan Mikrotik L7 Protokol (Layer 7). Protokol Layer7 adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream, atau istilah lainnya regex pattern.

Cara kerja L7 adalah mencocokan (mathcer) 10 paket koneksi pertama atau 2KB koneksi pertama dan mencari pola/pattern data yang sesuai dengan yang tersedia. Jika pola ini tidak ditemukan dalam data yang tersedia, matcher tidak memeriksa lebih lanjut. Dan akan dianggap unknown connections. Anda harus mempertimbangkan bahwa banyak koneksi secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC Router anda. Untuk menghindari itu tambahkan regular firewall matchers (pattern) untuk mengurangi jumlah data yang dikirimkan ke layer-7 filter.


Layer7 matcher harus melihat kedua arah lalu lintas (masuk dan keluar). Untuk memenuhi persyaratan ini rule l7  harus diatur dalam chain Forward. Jika rule pada chain input/prerouting maka aturan yang sama harus diatur juga dalam chain output/postrouting , jika tidak maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap tidak benar /cocok.

Oke udah tau kan tentang Layer 7 Protocol? Kita lanjut aja ya. Jadi skenario yang akan kita gunakan adalah seperti gambar berikut ini :



Tutorial ini ada dua bagian :

1. Block facebook website buat semua orang yang konek ke local network.
Pertama, kita cek dulu situs Facebook bisa dibuka apa tidak.


Cek IP address client yang tidak boleh buka Facebook

Selanjutnya, masuk ke Winbox Mikrotik, masuk ke menu IP --> Firewall --> Layer 7 Protocols. Buat rule regexp baru untuk memblokir Facebook.
Langkah nya seperti pada gambar berikut ini :



 
Beri nama rule tersebut facebook, masukkan script regexp berikut ini :
^.+(facebook.com).*$


Selanjutnya, buat Firewall Rule baru dengan :
Chain : forward
Src Address : alamat jaringan dari client (172.16.10.0/24)


Masuk tab Advanced, pada Layer 7 Protocol pilih "facebook"


Masuk tab Action, pilih Action drop.


Sekarang coba tes setingan tadi berhasil apa tidak.


Cek juga apa setingan ini ngeblok situs selain facebook
Oke bisa, setingannya berjalan dengan lancar gan :)


2. Membuat facebook hanya bisa dibuka oleh beberapa user saja.

Oke lanjut ya, kali ini kita coba buka koneksi salah satu client biar bisa buka facebook untuk client kedua (172.16.10.199/24) tapi masih tetap memblokir akses ke facebook buat client lainnya.


Buat Filter rule keduadengan Src Address spesifik ke IP address client nya yaitu 172.16.10.199 bukannya alamat jaringannya (network address).
Jangan lupa Action nya pilih accept.


Pindah rule yang baru dibuat tadi ke paling atas ya.

Coba tes setingan ini pada client kedua (172.16.10.199/24):

Detail pada rule nya ada paket dan data yang lewat.

Cek juga pada client lainnya pada network yang sama apakah facebook bisa diakses apa tidak.

Coba lihat lagi rule nya
Drop packets rate nya naik kan. Ini berarti setingan kita berhasil memblokir Facebook menggunakan Layer 7 Protocol Mikrotik.

Kita juga bisa lakukan hal yang sama untuk memblokir situs youtube, dll. Silakan anda coba dan terapkan sendiri.
Semoga bermanfaat :)

Baca Tutorial Mikrotik Lainnya

18 comments:

  1. saya dah coba berhasil untuk beberapa saat, tapi kok beberapa menit kemudian facebook bisa dibuka lagi

    ReplyDelete
  2. Tp facebook jg berjalan di protokol https atau 443 nah kalo pke cara diatas... apakah sdah teratasi urusan facebook tanpa mempengaruhi situs lain yg juga berjalan di port 443

    ReplyDelete
  3. Kadang bisa kadang enggak, gimana yah ilmu pastinya ._>

    ReplyDelete
  4. memang cara itu untuk fb yg https masih bisa di buka dan hasilnya pun kalau pki L7 cuma LOADING.............

    shere aja klo blok https Facebook bisa pki ini..
    /ip firewall layer7-protocol add name=blok regexp=facebook.com

    /ip firewall mangle add chain=prerouting layer7-protocol=blok action=mark-packet new-packet-mark=blok passthrough=no

    /ip firewall filter add chain=forward packet-mark=blok action=jump jump-target=blok

    /ip firewall filter add chain=blok packet-mark=blok src-address-list=!exeption dst-address-list=!exeption action=drop

    NB: Masih Belajar JUGA... :)

    ReplyDelete
  5. Memang klo pki https, fb msh bisa di buka dan klau pki L7 hasilnya cma LOADING.........

    shere aja blok https facebook

    /ip firewall layer7-protocol add name=blok regexp=facebook.com

    /ip firewall mangle add chain=prerouting layer7-protocol=blok action=mark-packet new-packet-mark=blok passthrough=no

    /ip firewall filter add chain=forward packet-mark=blok action=jump jump-target=blok

    /ip firewall filter add chain=blok packet-mark=blok src-address-list=!exeption dst-address-list=!exeption action=drop

    NB: Msih Belajar JGA... :)

    ReplyDelete
    Replies
    1. Terimakasih banyak atas share trik nya pasti bermanfaat buat semua termasuk saya :)

      Delete
  6. di jaringan saya juga begitu mas agung. ada komputer yang ter-blok dan tidak bisa membuka facebook, sementara yang lain bisa lolos. semua langkah tutorial yang ada di sini sudah saya lakukan dan jalankan dengan benar. apa memang mesti pakai proxy?kalau menggunakan proxy routerboard sayanya kasian mas,,, trims sebelumnya :)

    ps.
    saya pengguna baru dan masih terus belajar

    ReplyDelete
  7. gimana cara mengubah tampilan halaman yang diblok?seperti "situs ini kami block"....jadi ada peringatannya...atau di alihkan ke web lain

    ReplyDelete
    Replies
    1. dimana mas agung??
      kalau pakai DNS, blocknya tetap memakai layer 7???
      awalnya saya ingin bloknya melalui layer 7 karena tidak mau mengubah DNS...
      terima kasih sebelumnya mas...

      Delete
  8. mantab mas tutornya, terima kasih infonya

    ReplyDelete
  9. Di kolom regexp apa cuma bisa dimasukkan 1 aja?
    bisakah misal nya saya ingin memblok facebook.com dan yahoo.com dalam 1 list ?

    terima kasih, masih belajar :D

    ReplyDelete
  10. apa majsud dari ini

    ^.+(facebook.com).*$

    apa tdak bisa hanya menggunakan www.facebook.com

    ReplyDelete
  11. om di intip juga om tentang block anonymox proxy hasil begadangan ane mudah"an bermanfaat: http://www.pashacomp.net/2016/04/mikrotik-block-anonymox-di-mikrotik.html

    ReplyDelete
  12. saya mempergunakan cara di atas dan saya mencoba untuk memasukkan beberapa situs sekaligus seperti ^.+(facebook.com|instagram.com|twitter.com|youtube.com|youtu.be|netflix.com|vimeo.com|dailyMotion.com|hulu.com|twitch.tv|liveleak.com|vine.co|break.com|tv.com|metacafe.com|viewster.com|video.liputan6.com|googlevideo.com|www.21cineplex.com/video/trailer/|www.21cineplex.com/data/movie/trailer/video|video.viva.co.id|www.stafaband.co|streaming|manga|anime|stafaband.co.uk|www.stafaband.info|stafaband.eu|mp3|mp4|game|movie).*$ namun pada saat masuk ke ipv4.googlelapis.com dimana google mendteksi traffic yang tidak wajar situr ipv4 google tersebut tidak dapat di akses. apakah ada solusi dengan hal ini

    ReplyDelete

Silakan anda berikan kritik, saran, masukan atau pertanyaan seputar Mikrotik pada kolom Komentar di bawah ini :