con-byte vs contents L7

10

Beberapa hari yang lalu setelah melakukan perjalanan dari RB ke RB (RouterBoard) untuk melakukan testing rule mikrotik yang ada di pc routerOS ternyata terdapat perbedaan hasil untuk bw managementnya.
Jika untuk pc routerOS cukup memakai connection-byte untuk menangkap (trap) object besar yg biasanya dilakukan oleh program download manager yg lebih dikenal IDM maka packet trap bisa langsung dikirim ke queue, tetapi untuk platform mipsbe (rb4xx-7xx) mengalami delay yang cukup lumayan sudah menguras bw yg tersedia capede

Setelah kembali mengembara ke dunia google ketemulah referensi-referensi dari berbagai komunitas dan blog maka kesimpulan untuk shapping bw menggunakan contents L7 dan kemungkinan cara inilah yang lebih efektif untuk trap file extensi jika menggunakan mikrotik platform mipsbe (rb4xx-7xx) ketimbang memakai trap mangle con-byte (connection-byte).

Dan berikut contoh regex L7 untuk file extensi (jika ingin menambahkan cukup di isi pada tanda kurung tutup-buka (blabla|ext|etc)

/ip firewall layer7-protocol
add comment="" name=kontens regexp="^.*get.+.(exe|rar|zip|7z|cab|asf|mov|wmv
    |mpg|mpeg|mkv|avi|flv|pdf|wav|rm|mp3|mp4|ram|rmvb|dat|daa|iso|nrg|bin|vcd|
    mp2|3gp|mpe|qt|raw|wma|ogg|doc|deb|tar|bzip|gzip|gzip2|0[0-9][0-9]).*$"

Continue reading

Perbedaan redirect to proxy memakai dst-nat dan mark-routing

28

Mungkin selama ini anda tidak pernah menyadari traffic sebuah server yang mengirimkan data atas permintaan ip klien jika menggunakan dst-nat to proxy itu server akan mengirim ke ip proxy bukan langsung ke ip klien yang telah melakukan permintaan tadi

Jadi kita akan mengalami kesulitan jika ingin membuat rule bypass/limit untuk ip server (port 80) yang dari luar yang telah masuk ke ip proxy

Contohnya ip klien 192.168.100.124 mengirim permintaan ke ip server 119.2.24.66:80 (server4.asixfiles.com) jika memakai dst-nat maka permintaan 119.2.24.66:80 ini akan di mapping ke ip proxy (contohnya 192.168.1.10:8080) sesuai NAT redirect pada mikrotik :

/ip firewall nat
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=80 protocol=
    tcp src-address=192.168.100.0/24 to-addresses=192.168.1.10 to-ports=8080

Secara otomatis ip server 119.2.24.66:80 (server4.asixfiles.com) mengirimkan data kepada ip proxynya bukan ke klien langsung karena yang melakukan permintaan adalah ip proxy bukan ip klien dan ip klien baru menerima data dari ip server melalui ip proxynya

dstnat

Jadi kesimpulannya kita tidak bisa memisahkan ip server ini karena telah masuk ke ip proxy, seandainya kita mau melakukan bypass/limitter server tertentu yang dari port 80 akan mengalami kesulitan.

Dan disinilah kelebihan jika memakai redirect to proxy memakai mark-routing, sebab ip klien bukan lagi di mapping melainkan dikirim langsung ke ip server melalui GATEWAY. jadi systemnya adalah original id’s seolah-olah tidak memakai proxy/mapping untuk permintaan dari ip klien.
Continue reading