Sniffing In Mikrotik To Syslog | Greylog Server (Client Side)

Bagaimanakah cara supaya paket yang lewat (buka isi tapi header packet) dari sumber (src-address) tertentu menuju (dst-address) ke suatu alamat di router mikrotik agar tertangkap / grap / nyangkut / terlihat / sniffed / dll XD


Simpel sih...

Kalau packet nya via http bisa menggunakan web proxy semacam squid server...
Tapi kalau via https sangat impossible sepengetahuan saya packet nya nyangkut, mungkin dikemudian hari akan ada utility yang bisa...

Simpel nya bisa menggunakan syslog / greylog (sama saja sih), berikut gambaran teknisnya:

[SYSLOG SERVER] <------------- mengirim log--------- [ROUTER]

gitu aja sih, hahahahaa...

1. Pertama kita instal Syslog / Greylog (bagus segi user interface)
2. Pastikan ROUTER terhubung (ping) ke SYSLOG SERVER
3. Setting di ROUTER mikrotik dibawah ini

Contoh Kasus:
SYSLOG SERVER: address 10.14.1.36 port 5151
Kita akan menangkap packet yang menuju ke site berikut:

account.sonyentertainmentnetwork.com
auth.np.ac.playstation.net
auth.api.sonyentertainmentnetwork.com
auth.api.np.ac.playstation.net

- Masuk ke IP -> Firewall dan buat filter rule baru
  -- Chain = forward
  -- Content = account.sonyentertainmentnetwork.com
  -- Action = log

Jadi bikin 4 rule dengan content yang berbeda2




Hasilnya:



- Masuk ke System -> Logging dan di tab Action buat log action baru
 -- Name = sonyspam
 -- Type = remote
 -- Remote Address = 10.14.1.36
 -- Remote Port = 5151



- Masuk ke tab Rule di System -> Logging
 -- Topic = firewall
 -- sonyspam



Kalau sudah coba cek kalau ada packet yang nyangkut di log, pastikan di greylog sudah terlihat packet nya ^_^
Ganbate yoo 

Related Posts:

Neighbors Itu...


Nazar....

Kamu harus tau ya, kalau Neighbor itu....

- Hanya bisa terlihat ketika device current memiliki IP yang se-segment dengan neighbor nya
- Hanya bisa terlihat ketika Discovery Interface ke-dua nya tidak di-disable
- Hanya bisa terlihat ketika device current dan device neighbor head to head / face to face tanpa dilewati switch terlebih dahulu atau apapun itu namanya XD

Semangat ya ^_^

Related Posts:

Allow Remote Request - DNS Mikrotik



Fungsi DNS adalah menerjemahkan nama menjadi IP address (misalnya situsku.com menjadi 123.45.67.89). Kalo tidak ada pengalihan traffic, DNS yang digunakan client adalah DNS pada komputer client itu sendiri, jadi tidak menggunakan setting DNS di Mikrotik. Setting DNS di MikroTik adalah untuk keperluan internal MikroTik, kecuali dengan aktifnya allow-remote-request.


Allow Remote Request memungkinkan Mikrotik menjadi DNS cache, sehingga kita bisa mengarahkan DNS komputer kita ke IP Mikrotik untuk akses lebih cepat, khususnya untuk NS yang sudah terekam di cache Mikrotik.

Contoh:
DNS di Mikrotik disetting menggunakan openDNS (208.67.222.222 dan 208.67.220.220), dengan setting allow-remote-request=yes.

Bila Client menggunakan setting DNS speedy maka dia tidak akan menggunakan OpenDNS (setting pada MikroTik) kecuali port 53 TCP/UDP di-redirect.

Bila DNS Client diisi IP Mikrotik (misal 192.168.x.x), maka dia akan menggunakan DNS cache MikroTik, sehingga bila di MikroTik diisikan OpenDNS maka dia akan mengikuti.

Related Posts:

Load Balance Bonding vs PCC



Dalam dunia Load Balance Mikrotik, kita akan mendengar istilah Metode Bonding & PCC, perbedaannya yang sangat mencolok menurut saya pribadi adalah..

Ketika kita menggunakan Bonding, jika salah satu link down / intermitten, maka semua akan terkena efek nya, karna semua link diumpamakan sebagai satu kesatuan pipa... Jika down salah satu, maka internet tidak dapat dipakai sama sekali, jika intermitten, maka jaringan intermitten juga... (mohon dikoreksi jika ada yang lebih tau). Maka untuk memakai bonding harus dipastikan kembali bahwa link-link internet stabil dan dapat diandalkan, kelebihannya bonding benar-benar meratakan pemakaian bandwith

Ketika kita menggunakan PCC, maka memang tidak selalu rata dalam penggunaan bandwith, namun jika salah satu link down, maka trafik akan langsung dialihkan ke link lain. Untuk meratakan pemakaian bandwith (tidak rata banget) bisa menambahkan mangle pengalihan route.

Settingan menggunakan metode Bonding

1. Buat Interface Bonding

Interfaces -> Bonding -> klik Add 
Bonding -> Slaves -> ether1 & ether2
Mode -> Balance rr
Link Monitoring -> mii
Transmit Hash Policy -> layer 2 &/ layer 3

1. Setting IP Address
/ip address 
add address=192.168.101.2/30 interface=bonding (dari ISP1)
add address=192.168.102.2/30 interface=bonding (dari ISP2)
add address=10.10.10.1/24 interface=sfp1 (ip lokal)

2. Setting Default Route (distance bisa leveling atau 1 saja)
/ip route 
add dst-address=0.0.0.0/0 gateway=192.168.101.1 distance=1 check-gateway=ping 
add dst-address=0.0.0.0/0 gateway=192.168.102.1 distance=1 check-gateway=ping

3.Setting NAT (via out-Interface)
/ip firewall nat 
add action=masquerade chain=srnat out-interface=ether1 
add action=masquerade chain=srcnat out-interface=ether2


Settingan menggunakan metode PCC

1. Setting IP Address

/ip address 
add address=192.168.101.2/30 interface=ether1 (dari ISP1)
add address=192.168.102.2/30 interface=ether2 (dari ISP2)
add address=10.10.10.1/24 interface=sfp1 (ip lokal)

2. Setting Default Route (jangan lupa distance ada leveling)
/ip route 
add dst-address=0.0.0.0/0 gateway=192.168.101.1 distance=1 check-gateway=ping 
add dst-address=0.0.0.0/0 gateway=192.168.102.1 distance=2 check-gateway=ping

3.Setting NAT (via out-Interface)
/ip firewall nat 
add action=masquerade chain=srcnat out-interface=ether1 
add action=masquerade chain=srcnat out-interface=ether2

Ref Bonding: http://mikrotik.co.id/artikel_lihat.php?id=161
Ref PCC: http://www.mikrotik.co.id/artikel_lihat.php?id=34


Related Posts:

SNMP on CISCO


Masuk ke konfigurasi terminal:
switch> enable
password:
switch# configure terminal
switch (config)#
Setup Community untuk SNMP nya:
switch (config)# snmp-server community public ro
switch (config)# exit
siwtch# exit
SNMP nya hanya read-only, kalau mau dapat akses write hanya ubah ro menjadi rw
Ref: https://fadhly.web.id/posts/enable-snmp-pada-cisco.html

Related Posts:

Enable Peer BGP Quagga & Mikrotik


Belajar... belajar... belajar... Bagaimana cara enable / disable peer bgp yang ada di mikrotik dan di quagga ?

Kalau dimikrotik tinggal disable enable saja peer yang mau gituina aja kan :D




Nah kalau di quagga ternyata mudah.... Untuk mendisable peer begini langkah nya:
root@rettix# telnet 0 bgpd
bgp> enable
bgp# conf t
bgp(config)# router bgp ASN
bgp(config-router)# neighbor PEER_IP_ADDRESS shutdown

Nah kalau mau enable tinggal tambahkan no pada neighbor peer nya
bgp(config-router)# no neighbor PEER_IP_ADDRESS shutdown

Lalu selanjut nya lihat summary nya
bgp(config-router)# show running-config
atau
bgp# sh ip bgp sum



Semangaaaaaaaaaaaaaaaaaaaaaaaaat....

*tambahan config bgp :D

 neighbor IP_REMOTE_PEER remote-as ASN
 neighbor IP_REMOTE_PEER description INTERNASIONAL-PRIMARY
 neighbor IP_REMOTE_PEER update-source 223.21.123.122
 neighbor IP_REMOTE_PEER timers 20 60
 neighbor IP_REMOTE_PEER weight 1500
 neighbor IP_REMOTE_PEER route-reflector-client
 neighbor IP_REMOTE_PEER next-hop-self
 neighbor IP_REMOTE_PEER default-originate
 neighbor IP_REMOTE_PEER prefix-list INTERNASIONAL in
 neighbor IP_REMOTE_PEER prefix-list INTERNASIONAL out
 neighbor IP_REMOTE_PEER filter-list INTERNASIONAL -IN in
 neighbor IP_REMOTE_PEER filter-list INTERNASIONAL -OUT out

Related Posts: