Blok Situs Dengan Layer7 di Mikrotik

Protokol Layer7 adalah metode untuk mencari pola dalam ICMP/TCP/UDP stream, atau istilah lainnya regexp pattern.

Cara kerja L7 adalah mencocokkan (mathcer) 10 paket koneksi pertama atau 2KB koneksi pertama dan mencari pola/pattern data yang sesuai dengan yang tersedia. Jika pola ini tidak ditemukan dalam data yang tersedia, matcher tidak memeriksa lebih lanjut. Dan akan dianggap unknown connections. Anda harus mempertimbangkan bahwa banyak koneksi secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC Router anda. Untuk menghindari hal tersebut, maka tambahkan regular firewall matchers (pattern) untuk mengurangi jumlah data yang dikirimkan ke layer-7 filter.

Layer 7 matcher harus melihat kedua arah lalu lintas (masuk dan keluar). Untuk memenuhi persyaratan ini rule L7 harus diatur dalam chain Forward. Jika rule pada chain input/prerouting, maka aturan yang sama juga harus diatur dalam chain output/postrouting, jika tidak, maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap tidak benar/cocok.

Berikut cara block situs dengan layer7 di mikrotik:

1. Pastikan Mikrotik yang anda gunakan adalah Versi 3.x , karena di versi 2.9.x fitur ini tidak saya temukan, aktifkan winbox dan buka router Mikrotik yang akan digunakan.
 

2.    Buat daftar pada Layer 7 Protocol dengan cara: klik IP->Firewall lalu pilih tab “Layer 7 Protocols” Lalu masukkan daftar URL diatas satu persatu di “Layer 7 Protocols” dengan cara: Klik tanda + dan isi kotak Name dan Regexp lalu OK
 

3.    Klik tab “Mangle” lalu klik tanda + lalu pilih Chain “Prerouting” untuk jaringan yang menggunakan Masquerade/NAT atau pilih Chain “Forward” untuk jarigan yang tidak menggunakan Masquerade/NAT
 

Kemudian klik tab “Advanced” dan pilih Layer 7 Protocol yang telah dibuat sebelumnya dengan mengklik drop-down atau segitiga hitam disamping kanan baris Layer 7 Protocol.
 

Kemudian klik tab “Action” dan pilih Action = mark connection, dan isi New Connection Mark = ilegal-url-connection dengan Passthrough terceklist (biasa pasti sudah terceklist) lalu klik OK.

Lakukan langkah ketiga ini utk setiap baris yang ada di Layer 7 Protocols

4.    Masih di tab Mangle klik tanda + lalu pilih Chain ”Prerouting” untuk jaringan Masquerade atau pilih ”Forward”: untuk jaringan non Masqureade, dan pilih Connection Mark dengan ”ilegal-url-connection” dengan mengklik drop-down atau segitiga hitam di samping kanan field/baris Connection Mark. Kemudian pilih tab Action dan pilih Action = mark packet dan isi New Packet Mark dengan “ilegal-url-packet” dengan Passthroug ter-ceklist. Dan klik OK.

5.    Pilih tab “Filter Rules” , jika mikrotik sebagai hotspot gateway pilih Filter Rules = hs-input , jika hanya sebagai router biasa pilih Filter Rules = Forwrad yang berada di kanan atas. Kemudian klik tanda + untuk membuat aturan baru. Pada field/baris Packet Mark pilih “ilegal-url-packet” kemudian klik tab Action Pilih Action = jump , dengan jump target = “ilegal-url” kemudian klik OK. Pastikan rule yang baru dibuat berada paling atas dari rule-rule yang ada. Caranya dengan men-drag baris rule yang baru dibuat ke baris paling atas dari rule-rule yang lainnya.

6.    Masih di Filter Rules klik lagi tanda + untuk membuat chain ilegal-url. Isi kotak Chain dengan “ilegal-url” kemudia klik tab Action. Pilih Action dengan “log” dan isi Log Prefix dengan “ILEGAL-URL” lalu OK, dengan action log maka kita dapat melihat di log mikrotik jika ada user yang mencoba mengakses URL tersebut dengan tanda “ILEGAL-URL”. Ulangi lagi langkah keenam diatas dengan mengklik tanda + tetapi pada tab Action diisi dengan “drop” untuk mendrop semua packet yang menuju ke URL yang didefinsikan sebagai “ilegal-url” lalu klik OK. Kemudian klik comment dan isi seperti gambar dibawah ini (ini berfungsi untuk pengaturan waktu di scheduler)


Pengaturan waktu (cron job)
Disini untuk mengatur waktu block atau allow user untuk mengakses situs facebook, pada tulisan sebelumnya dijelaskan waktu untuk mengakses facebook dari pukul 08.00-15.00 Wib, berikut langkah-langkahnya :
Tahap pertama : membuat script untuk mengallow dan memblock
* Script untuk allow
Untuk mengakses script : klik System>Script

Script ini berjalan dengan mendisable filter rules yang memiliki comment facebook, berikut contohnya :
 

Tahap kedua : mengatur waktu pemblokan dan allow.
Untuk mengakses Scheduler : klik System>Scheduler *Script untuk allow
 


*Script untuk memblock
 

Kemudian klik ok. Untuk melihat ip facebook yg berhasil di block anda bisa melihat di IP>FIREWALL>ADDRESS LIST, seperti gambar dibawah ini :