FIREWALL MIKROTIK: PROTEKSI DDOS, BOTNET & BLOKIR VPN/PROXY

Juli 20, 2025 Rufaidah-network No comments


FIREWALL MIKROTIK: PROTEKSI DDOS, BOTNET & BLOKIR VPN/PROXY

Oleh: Sophan Ahmad


PENDAHULUAN

Jaringan tanpa proteksi rentan terhadap serangan DDoS, botnet, dan penyalahgunaan VPN/proxy oleh klien. DDoS (Distributed Denial of Service) membanjiri server/jaringan dengan trafik sampah. Botnet adalah jaringan komputer yang terinfeksi malware untuk melakukan serangan atau scanning. Sedangkan VPN/proxy sering dipakai klien nakal untuk menghindari aturan bandwidth atau blokir.

MikroTik RouterOS menyediakan fitur firewall lengkap untuk mitigasi masalah-masalah ini. Dokumen ini akan memberikan tutorial praktis step-by-step.

============================================================
PRINSIP KERJA FIREWALL MIKROTIK

  • Chains: Input (untuk router itu sendiri), Forward (trafik melewati router), Output (dari router).

  • Connection tracking: mencatat status koneksi.

  • Filter rules: untuk menerima, drop, atau log paket.

  • Mangle rules: untuk menandai paket/koneksi.

============================================================
MITIGASI DDOS & BOTNET

1. BLOKIR SYN FLOOD

/ip firewall filter add chain=input protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="Drop SYN flood"

2. BLOKIR UDP FLOOD

/ip firewall filter add chain=forward protocol=udp connection-limit=30,32 action=drop comment="Drop UDP flood"

3. BLOKIR ICMP FLOOD

/ip firewall filter add chain=input protocol=icmp limit=50,5 action=accept comment="Allow limited ICMP"
/ip firewall filter add chain=input protocol=icmp action=drop comment="Drop excess ICMP"

4. DETEKSI BOTNET (SCANNING/ANOMALI)

Blokir koneksi yang membuka terlalu banyak port dalam waktu singkat:

/ip firewall filter add chain=forward protocol=tcp psd=21,3s,3,1 action=drop comment="Drop port scan"

Log koneksi mencurigakan:

/ip firewall filter add chain=forward protocol=tcp connection-limit=100,32 action=log log-prefix="BOTNET? "

============================================================
BLOKIR VPN & PROXY

VPN & Proxy sering memakai port & signature tertentu. Kita bisa mendeteksi & memblokir port umum mereka.

1. BLOKIR PSIPHON

Psiphon sering pakai TCP port 443/80 tapi ciri khasnya menginisiasi banyak koneksi TLS cepat:

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-limit=10,32 dst-port=443,80 action=drop comment="Drop Psiphon"

2. BLOKIR SHADOWSOCKS

Biasanya pakai TCP/UDP di port acak tapi default 8388:

/ip firewall filter add chain=forward protocol=tcp dst-port=8388 action=drop comment="Drop Shadowsocks TCP"
/ip firewall filter add chain=forward protocol=udp dst-port=8388 action=drop comment="Drop Shadowsocks UDP"

3. BLOKIR OPENVPN

OpenVPN default di UDP 1194:

/ip firewall filter add chain=forward protocol=udp dst-port=1194 action=drop comment="Drop OpenVPN"

4. BLOKIR WIREGUARD

WireGuard pakai UDP default 51820:

/ip firewall filter add chain=forward protocol=udp dst-port=51820 action=drop comment="Drop WireGuard"

5. BLOKIR WEB PROXY / HTTP TUNNEL

Blokir koneksi HTTP CONNECT atau header tertentu dengan layer7 (regex):

/ip firewall layer7-protocol add name=proxy-http regexp="^CONNECT"
/ip firewall filter add chain=forward layer7-protocol=proxy-http action=drop comment="Drop HTTP Proxy"

============================================================
TIPS & BEST PRACTICE

✅ Simpan konfigurasi firewall secara berkala.
✅ Monitor log secara aktif untuk pola aneh.
✅ Jangan hanya mengandalkan satu metode, kombinasikan.
✅ Uji coba setiap aturan di jam sepi sebelum diterapkan penuh.

============================================================
PENUTUP

Firewall MikroTik cukup kuat untuk menghadapi DDoS ringan-menengah, botnet scanning, dan klien nakal yang mencoba VPN/proxy. Dengan skrip sederhana di atas, Anda sudah selangkah lebih aman.

Selamat mencoba & semoga jaringan Anda semakin stabil dan aman.

============================================================
SELESAI ✅

Read more »

Kisah Network Engineer di Polres Bitung: Tantangan & Solusi

Juli 18, 2025 Rufaidah-network No comments

 

Awal Perjalanan

Perjalanan saya sebagai network engineer di Polres Bitung berawal ketika saya menerima telepon dari seorang teman lama, Rezky, anak Manado, yang meminta bantuan untuk menyelesaikan pekerjaan jaringan di Polres Bitung, Sulawesi Utara. Saat itu saya masih berada di Sengkang, Kabupaten Wajo, Sulawesi Selatan.

Tanpa banyak pikir panjang, saya bersiap dan melakukan perjalanan panjang naik motor dari Sengkang melewati Trans Sulawesi, hingga tiba di Bitung. Sepanjang perjalanan ini saya juga sempat beberapa kali singgah ke Kota Gorontalo dan Manado, total tiga kali ke Gorontalo dan satu kali ke Manado sebelum akhirnya tiba di Bitung.

Lingkup Pekerjaan

Sesampainya di Polres Bitung, pekerjaan yang sudah menunggu saya ternyata bukan instalasi kabel dari awal. Rekan-rekan di sana sudah menyelesaikan penarikan kabel. Tugas saya adalah menyambungkan kabel dari switch hub Extreme Networks ke access point (AP) Extreme Networks, baik yang di dalam ruangan maupun yang di luar ruangan.

Biasanya saya terbiasa menggunakan RJ45 AMP untuk konektor kabel jaringan, tetapi kali ini saya diminta menggunakan RJ45 model lain yang sudah disatukan menjadi satu dengan beberapa item, total ada lima item yang berbeda. Hal ini cukup membuat saya harus beradaptasi cepat dengan peralatan yang sudah tersedia.

Tantangan di Lapangan

Tantangan terbesar bukan hanya soal peralatan, tetapi juga dokumentasi yang sangat detail dan cukup rumit. Semua perangkat sudah menyala, namun saya tetap harus memastikan setiap sambungan terdokumentasi dengan rapi, termasuk topologi, label kabel, dan konfigurasi.

Selain itu, saya juga memperhatikan bahwa jaringan Polres hanya menggunakan satu jalur internet melalui provider XL yang jalurnya berada di sepanjang Trans Sulawesi. Saya menyampaikan saran kepada pihak Polres Bitung untuk mempertimbangkan penambahan satu jalur backup (redundancy) karena kabel yang ada rawan putus akibat kondisi medan yang berat dan sering tergeletak di tanah.

Hasil & Pengakuan

Alhamdulillah, semua pekerjaan berhasil saya selesaikan dengan baik. Semua perangkat berjalan normal, access point indoor dan outdoor sudah berfungsi optimal, dokumentasi diselesaikan sesuai standar. Atas kontribusi saya, pihak Polres Bitung melalui Kasium memberikan saya sebuah surat pengalaman kerja bilingual (Indonesia & Inggris) yang menjelaskan secara resmi apa yang saya kerjakan beserta hasilnya.

Penutup

Bekerja sebagai network engineer di lingkungan kepolisian seperti Polres Bitung memberi saya pengalaman berharga. Tidak hanya soal teknis jaringan, tetapi juga belajar bagaimana beradaptasi dengan prosedur ketat, peralatan yang berbeda, dan situasi di lapangan yang penuh tantangan.

Perjalanan panjang dari Sengkang ke Bitung melalui darat naik motor terasa terbayar lunas ketika melihat jaringan di sana berjalan lancar dan semua pihak puas dengan hasilnya.

Penulis saat melakukan pemasangan & konfigurasi perangkat jaringan di Polres Bitung.

Read more »

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | coupon codes