Amankah Proxy Anda ???

Ip web proxy dan ip proxy setidaknya keduanya memiliki fungsi yang sama pada mikrotik. Alur pakainya pun sama, yaitu mendirect port yang dituju ke satu port yang telah ditentukan, misalkan port jalur web (80) yang keluar dialihkan ke port proxy (defaultnya 3128).

Terkadang ada juga yang mengganti port default proxy ke port lainnya pada seting, dengan tujuan agar port proxy nya tidak diketahui oleh orang lain yang tentunya proxy yang ada tidak diinginkan untuk dipakai oleh orang lain tersebut. Dan jika ini sampai terjadi, user "maling" ini enak-enak an dengan bandwidth yang ada.

Pada ip firewall nat, biasanya port dituju dibelokkan ke port proxy yang telah disetting. Sebagai contoh port proxy yang dipakai adalah 3128 (default), lihat 3 baris direct port dibawah ini:

add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=3128 comment="proxy-redirect" disabled=no

add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports=3128 comment="" disabled=no

add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=3128 comment="" disabled=no

Pada baris contoh diatas, rule ini adalah open proxy, yang mana proxy dari ip publik kita bisa dipakai oleh banyak orang. Open proxy seperti ini bisa diperbaiki dengan memberikan filter ip-local saja yang boleh mengakses port proxy serta ditambahkan interface local juga. Sehingga rule tersebut diatas bisa diperbaiki menjadi :

add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=3128 in-interface=LANsrc-address=192.168.10.0/24 comment="proxy-redirect" disabled=no

add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports=3128 in-interface=LAN src-address=192.168.10.0/24 comment="" disabled=no

add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=3128 in-interface=LAN src-address=192.168.10.0/24 comment="" disabled=no

Perhatikan tulisan yang ditebalkan:
LAN adalah nama interface jaringan lokal.
192.168.10.0/24 adalah ip local dengan subnet 24 yang diperbolehkan mengakses port proxy. Sesuaikan dengan kondisi ip lokal masing-masing.

Sebatas ini, open proxy telah bisa diatasi. Tetapi untuk lebih meyakinkan, kita akan membuat satu rule tambahan, yang mana rule ini akan memfilter ip yang berusaha menggunakan port proxy kita, yang mana rule ini mengcapture ip tersebut dan memasukkan ke dalam list "block". Berikut rule yang dibuat:

/ ip firewall mangle
add chain=prerouting src-address=!192.168.10.0/24 protocol=tcp dst-port=3128 connection-state=new action=add-src-to-address-list address-list=block address-list-timeout=1d comment="" disabled=no

Pada /ip firewall address-list akan tercipta satu nama list baru "block" yang isinya masih kosong, tentu saja akan berisi ip jika ada yang menggunakan port proxy selain dari ip local seperti yang dituliskan diatas, dan ip ini akan berada di dalam list ini selama 1 hari. Akan hilang jika router di restart / load.

Selanjutnya dibuat filter untuk drop semua ip yang berada dalam list "block" tersebut.

/ ip firewall filter
add chain=input action=drop src-address-list=block comment="drop ip-block"

Semua ip yang berada dalam daftar / list "block" di block aksesnya untuk input.

Tambahin lagi rule di filter nya:

/ ip firewall filter
add chain=input in-interface=WAN dst-address=IP-PUBLIK protocol=tcp dst-port=3128action=add-src-to-address-list address-list=block address-list-timeout=1d comment=""

WAN : interface yang mengarah keluar
IP-PUBLIK : Ip publik jaringan milik kita
3128 : alamat port yang dijadikan sebagai port proxy

Sumber : asadi-febriyan.blogspot.com

Satu Lagi Tambahan

/ ip firewall filter

add chain=input in-interface=Public protocol=tcp dst-port=8080 connection-state=new action=drop

digunakan untuk memblokir akses ip dari luar ke jaringan kita
Public : ip publik milik kita atau Ip yang diberikan oleh Provider, bahasa gaulnya sambungan dari modem ke jaringan kita lah