Redirect Mikrotik ke Komputer Proxy Squid (tanpa parent proxy MT)

on Minggu, 13 Februari 2011

Begini Saya meredirect Mikrotik (MT) ke squid Proxy tanpa menghidupkan web-proxy yang ada di MT
nya, saya sempat kesulitan mencari solusi supaya dapat me redirect port 80, 8080, ke port 3128 (transparent
proxy), karena kalau saya pakai web-proxy MT internet saya jadi lemot koneksinya, pernah saya pakai
parent proxy MT redirect ke squid tapi hasilnya gak maksimal internet kadang masih lemot karena webproxy
di hidupkan (enable), makanya saya mencoba meng kotak-kotak eh meng kotak-katik akhirnya dapet
referensi dari http://tldp.org/HOWTO/TransparentProxy-6.html, yang intinya bisa redirect port 80 ke 3128
tanpa menghidupkan web-proxy mikrotik. Topology yang saya gunakan adalah sebagai berikut :
Clientà Switch -à Mikrotik –àISP -
………. |
…….Squid-Box
Di mikrotik ada 3 LAN card terus saya namai lan, wan, proxy
Lan = 192.168.1.1
Wan = 202.114.12.112
Proxy = 192.168.0.1
Squid (Ubuntu 7.10 server) Eth0 = 192.168.0.2
Untuk settingan awal MT gak perlu saya tulis disini ya, termasuk pembagian bandwidth nya, serta
konfigurasi squidnya. saya langsung saja cara translasinya
Buat NAT nya dulu di IP firewall NAT (sharing internet)
/ip firewall nat add chain=srcnat out-interface=wan action=masquerade
Terus buat nat untuk redirect ke squid
/ip firewall nat add chain=dst-nat src-address=!192.168.0.2 protocol=tcp dst-port=80 in-interface=lan
action=dst-nat to-address=192.168.0.2 to-port=3128
/ip firewall nat add chain=dst-nat src-address=!192.168.0.2 protocol=tcp dst-port=8080 in-interface=lan
action=dst-nat to-address=192.168.0.2 to-port=3128
/ip firewall nat add chain=src-nat src-address=192.168.1.0 out-interface=lan action=srcnat srcaddress=
192.168.1.1 to-port=3128
Terus buat filter rules nya
/ip firewall filter add chain=forward src-address=192.168.1.0 dst-address=192.168.0.2 dst-port=3128 ininterface=
lan out-interface=wan action=accept
Nah sekarang coba deh, jadi bisa simpan cache di squid-proxy external tanpa harus lewat parent proxy nya
mikrotik… Kalau ada kendala coba di ubuntu servernya di tambahin ini (sebaiknya jgn diisi dulu di
Ubuntunya kalau belum bisa konek baru isi iptables dibawah ini) :
iptables –t nat –A PREROUTNG –I eth0 –s ! SQUID – tcp –dport 80 –j DNAT –to SQUID:3128
iptables –t nat –A PREROUTNG –I eth0 –s ! SQUID – tcp –dport 8080 –j DNAT –to SQUID:3128
iptables –t nat –A POSTROUTING –o eth0 –s LAN –d SQUID –j SNAT –to iptables-box
iptables –A FORWARD –s LAN –d SQUID -i eth0 -p tcp -dport 3128 –j ACCEPT
sekali lagi mohon ma`af rekan-rekan semua, karena masih tahap belajar, mungkin kalau ada kesalahan
mohon dikoreksi, atau ada tambahan mohon di benahi..
——————-
kalau bobol limiter bwnya itu akibat NAT/Masquerading pada Mikrotik maupun akibat redirecting pada
Proxy servernya sehingga pada server limitter akan kebaca IP Mikrotik ataupun Ip Proxy server.
Paling aman adalah sampeyan tinggal menggunakan mikrotik sebagai bandwidth management dan sebagai
router pembelok Policy routing dimana setiap packet dari client yang memiliki protocol TCP dan tujuan
portnya 80 dibelokkan dulu ke IP Proxy tanpa melalui proses NAT dan tidak mengubah header IP
sourcenya. Kemudian di proxy baru sampeyan redirect port 80 tadi kedalam port proxynya misal 8080.
Cara ini berlaku untuk Mikrotik berfungsi sebagai hotspot maupun sebagai router/gateway biasa. contoh
Perintah untuk membelokkan routing (Cara ini berlaku untuk Mikrotik berfungsi sebagai hotspot tanpa
transparent proxy maupun Mikrotik sebagai router/gateway biasa) :
Asumsi 1 : IP Network LAN 192.168.1.0/24
Asumsi 2 : IP Proxy server 192.168.1.254
Asumsi 3 : PC router/Gateway menggunakan Mikrotik
1. Pertama kita definisikan dulu IP mana yang harus kena policy routing atau dengan kata lain mau kita
belokkan ke Proxy untuk kita redirect
/ip firewall address-list add list=Source-IP-belok-ke-Proxy address=192.168.1.0/24 comment=”Blok
Source/asal Ip yang harus dibelokin ke Proxy” disabled=no
2. Kedua kita kita definisikan list IP yang dimana kalau client mengakses IP yang kita definisikan tersebut
tidak boleh kena Proxy (contohnya Ip Proxy itu sendiri)
/ip firewall address-list add list=Destination-IP-Ngga-Boleh-Kena-Proxy address=192.168.1.254
comment=”IP Proxy yang ngga boleh dibelokin kembali ke proxy” disabled=no
3. Langkah ketiga kita marking packet dulu yang dimana paket tersebut merupakan paket berasal dari Client
dengan protocol TCP dan dst-port 80 melalui mangle dengan nama proxy-route
/ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=proxy-route
passthrough=no dst-port=80 protocol=tcp src-address-list=Source-IP-belok-ke-Proxy dst-addresslist=!
Destination-IP-Ngga-Boleh-Kena-Proxy
4. Kemudian kita tambahkan routing dengan ketentuan Policy routing pada mikrotik kita sebagai berikut
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.254 routing-mark=proxy-route comment=”"
disabled=no
5. Kemudian di Server Proxy Kita kita tambahkan dengan Perintah redirecting paket yang mempunyai
tujuan protocol TCP dst-port 80 kedalam Port daemon Proxy kita (contohnya 8080). Contoh pada Linux
adalah :
iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 8080
6. Nah untuk Bandwidth management pada mikrotik yang menggunakan simple queue ngga masalah, tapi
kalau menggunakan Queue tree perlu lihat dulu apakah mikrotiknya berfungsi sebagai NAT atau tidak. Tapi
pada prinsipnya kalau settingan di Ip firewall manglenya benar, tidak akan menjadi masalah.

0 komentar:

Posting Komentar