Di bawah ini saya akan share Tutorial Mikrotik untuk memblokir facebook menggunakan Mikrotik L7 Protokol (Layer 7). Protokol Layer7 adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream, atau istilah lainnya regex pattern.
Cara kerja L7 adalah mencocokan (mathcer) 10 paket koneksi pertama
atau 2KB koneksi pertama dan mencari pola/pattern data yang sesuai
dengan yang tersedia. Jika pola ini tidak ditemukan dalam data yang
tersedia, matcher tidak memeriksa lebih lanjut. Dan akan dianggap
unknown connections. Anda harus mempertimbangkan bahwa banyak koneksi
secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC
Router anda. Untuk menghindari itu tambahkan regular firewall matchers
(pattern) untuk mengurangi jumlah data yang dikirimkan ke layer-7
filter.
Layer7 matcher harus melihat kedua arah lalu lintas (masuk dan
keluar). Untuk memenuhi persyaratan ini rule l7 harus diatur dalam
chain Forward. Jika rule pada chain input/prerouting maka aturan yang
sama harus diatur juga dalam chain output/postrouting , jika tidak
maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap
tidak benar /cocok.
Oke udah tau kan tentang Layer 7 Protocol? Kita lanjut aja ya. Jadi skenario yang akan kita gunakan adalah seperti gambar berikut ini :
Tutorial ini ada dua bagian :
1. Block facebook website buat semua orang yang konek ke local network.
Pertama, kita cek dulu situs Facebook bisa dibuka apa tidak.
Cek IP address client yang tidak boleh buka Facebook
Selanjutnya, masuk ke Winbox Mikrotik, masuk ke menu IP --> Firewall --> Layer 7 Protocols. Buat rule regexp baru untuk memblokir Facebook.
Langkah nya seperti pada gambar berikut ini :
Beri nama rule tersebut facebook, masukkan script regexp berikut ini :
^.+(facebook.com).*$
Selanjutnya, buat Firewall Rule baru dengan :
Chain : forward
Src Address : alamat jaringan dari client (172.16.10.0/24)
Masuk tab Advanced, pada Layer 7 Protocol pilih "facebook"
Masuk tab Action, pilih Action drop.
Sekarang coba tes setingan tadi berhasil apa tidak.
Cek juga apa setingan ini ngeblok situs selain facebook
Oke bisa, setingannya berjalan dengan lancar gan
2. Membuat facebook hanya bisa dibuka oleh beberapa user saja.
Oke lanjut ya, kali ini kita coba buka koneksi salah satu client biar bisa buka facebook untuk client kedua (172.16.10.199/24) tapi masih tetap memblokir akses ke facebook buat client lainnya.
Buat Filter rule keduadengan Src Address spesifik ke IP address client nya yaitu 172.16.10.199 bukannya alamat jaringannya (network address).
Jangan lupa Action nya pilih accept.
Pindah rule yang baru dibuat tadi ke paling atas ya.
Coba tes setingan ini pada client kedua (172.16.10.199/24):
Detail pada rule nya ada paket dan data yang lewat.
Cek juga pada client lainnya pada network yang sama apakah facebook bisa diakses apa tidak.
Coba lihat lagi rule nya
Drop packets rate nya naik kan. Ini berarti setingan kita berhasil memblokir Facebook menggunakan Layer 7 Protocol Mikrotik.
Kita juga bisa lakukan hal yang sama untuk memblokir situs youtube, dll. Silakan anda coba dan terapkan sendiri.
Semoga bermanfaat :)
saya dah coba berhasil untuk beberapa saat, tapi kok beberapa menit kemudian facebook bisa dibuka lagi
ReplyDeleteTp facebook jg berjalan di protokol https atau 443 nah kalo pke cara diatas... apakah sdah teratasi urusan facebook tanpa mempengaruhi situs lain yg juga berjalan di port 443
ReplyDeleteKadang bisa kadang enggak, gimana yah ilmu pastinya ._>
ReplyDeletememang cara itu untuk fb yg https masih bisa di buka dan hasilnya pun kalau pki L7 cuma LOADING.............
ReplyDeleteshere aja klo blok https Facebook bisa pki ini..
/ip firewall layer7-protocol add name=blok regexp=facebook.com
/ip firewall mangle add chain=prerouting layer7-protocol=blok action=mark-packet new-packet-mark=blok passthrough=no
/ip firewall filter add chain=forward packet-mark=blok action=jump jump-target=blok
/ip firewall filter add chain=blok packet-mark=blok src-address-list=!exeption dst-address-list=!exeption action=drop
NB: Masih Belajar JUGA... :)
Memang klo pki https, fb msh bisa di buka dan klau pki L7 hasilnya cma LOADING.........
ReplyDeleteshere aja blok https facebook
/ip firewall layer7-protocol add name=blok regexp=facebook.com
/ip firewall mangle add chain=prerouting layer7-protocol=blok action=mark-packet new-packet-mark=blok passthrough=no
/ip firewall filter add chain=forward packet-mark=blok action=jump jump-target=blok
/ip firewall filter add chain=blok packet-mark=blok src-address-list=!exeption dst-address-list=!exeption action=drop
NB: Msih Belajar JGA... :)
Terimakasih banyak atas share trik nya pasti bermanfaat buat semua termasuk saya :)
Deletedi jaringan saya juga begitu mas agung. ada komputer yang ter-blok dan tidak bisa membuka facebook, sementara yang lain bisa lolos. semua langkah tutorial yang ada di sini sudah saya lakukan dan jalankan dengan benar. apa memang mesti pakai proxy?kalau menggunakan proxy routerboard sayanya kasian mas,,, trims sebelumnya :)
ReplyDeleteps.
saya pengguna baru dan masih terus belajar
gimana cara mengubah tampilan halaman yang diblok?seperti "situs ini kami block"....jadi ada peringatannya...atau di alihkan ke web lain
ReplyDeleteBisa coba pake DNS aja gan
Deletecaranya klik disini
dimana mas agung??
Deletekalau pakai DNS, blocknya tetap memakai layer 7???
awalnya saya ingin bloknya melalui layer 7 karena tidak mau mengubah DNS...
terima kasih sebelumnya mas...
mantab mas tutornya, terima kasih infonya
ReplyDeleteDi kolom regexp apa cuma bisa dimasukkan 1 aja?
ReplyDeletebisakah misal nya saya ingin memblok facebook.com dan yahoo.com dalam 1 list ?
terima kasih, masih belajar :D
sangat membantu :D
ReplyDeleteapa majsud dari ini
ReplyDelete^.+(facebook.com).*$
apa tdak bisa hanya menggunakan www.facebook.com
terimakasih. work gan
ReplyDeleteom di intip juga om tentang block anonymox proxy hasil begadangan ane mudah"an bermanfaat: http://www.pashacomp.net/2016/04/mikrotik-block-anonymox-di-mikrotik.html
ReplyDeletesaya mempergunakan cara di atas dan saya mencoba untuk memasukkan beberapa situs sekaligus seperti ^.+(facebook.com|instagram.com|twitter.com|youtube.com|youtu.be|netflix.com|vimeo.com|dailyMotion.com|hulu.com|twitch.tv|liveleak.com|vine.co|break.com|tv.com|metacafe.com|viewster.com|video.liputan6.com|googlevideo.com|www.21cineplex.com/video/trailer/|www.21cineplex.com/data/movie/trailer/video|video.viva.co.id|www.stafaband.co|streaming|manga|anime|stafaband.co.uk|www.stafaband.info|stafaband.eu|mp3|mp4|game|movie).*$ namun pada saat masuk ke ipv4.googlelapis.com dimana google mendteksi traffic yang tidak wajar situr ipv4 google tersebut tidak dapat di akses. apakah ada solusi dengan hal ini
ReplyDeletetrimakasih....
ReplyDelete