log

src: http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention To stop SSH/FTP attacks on your router, follow this advice. This configuration allows only 10 FTP login incorrect answers per minute in /ip firewall filter  add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \ address-list=ftp_blacklist address-list-timeout=3h This will prevent a SSH brute forcer to be banned for 10 days after repetitive attempts. Change the timeouts as necessary. in /ip firewall filter  add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src

src: mikrotik reference manual Untuk membagi bandwidth secara merata untuk tiap komputer di LAN: Ubah XX dengan octet ketiga dari LAN address mark traffic: /ip firewall mangle add chain=forward src-address=192.168.XX.0/24 action=mark-connection new-connection-mark=usersXX-con /ip firewall mangle add connection-mark=usersXX-con action=mark-packet new-packet-mark=usersXX chain=forward Buat 2 pcq: pcq-download untuk mengelompokkan traffic berdasar alamat tujuan (dst-address) pcq-download ini berada di interface LAN Fungsi dari pcq-download adalah membuat dynamic queue untuk tiap dst-address (user) yg mendownload ke LAN 192.168.XX.0/24 pcq-upload berada di interface Public dan akan mengelompokkan traffic berdasar alamat asal (src-address) add pcq: /queue type add name=pcqXX-download kind=pcq pcq-classifier=dst-address /queue type add name=pcqXX-upload kind=pcq pcq-classifier=src-address  Buat queue tree utk download traffic (local_interface diganti nama interface ethernet

Masalah ini muncul sejak tanggal 20 Maret 2013, bermula dari laporan sesama staff kantor bahwa dia tidak menerima e-mail apapun di account-nya, suatu hal yang tidak semestinya terjadi karena ia berlangganan milis yg cukup aktif. Hasil pemeriksaan awal di maillog ditemukan beberapa hal yg sedikit mengaburkan permasalahan sebenarnya, seperti: Apr 2 03:01:01 students sendmail[98938]: gethostbyaddr(192.168.2.2) failed: 1 Apr 2 03:01:02 students sendmail[98983]: gethostbyaddr(192.168.2.2) failed: 1 error diatas [sebenarnya] tidak berkaitan dengan problem yang saya bahas, karena IP address tersebut berada di interface yang tidak digunakan (disable), untuk mencegah munculnya pesan diatas maka hapus setting IP address di interface tsb. Kemudian ada pesan: Apr 2 02:42:30 students sendmail[98806]: r31JgNd1098806: Losing ./qfr31JgNd1098806: savemail panic Apr 2 02:42:30 students sendmail[98806]: r31JgNd1098806: SYSERR(www): savemail: cannot save rejected email anywhere  Sedikit membin

Jumat 19 April 2013, terima laporan dari user yang kesulitan untuk get e-mail dari mail server karyawan. Pada saat di-cek dengan perintah ' ps ' terlihat ada [sangat] banyak proses get-mail yang mengantri [jauh lebih banyak dari kondisi normal] Periksa dengan perintah ' netstat -an | grep 110 ' ternyata semua proses tersebut berasal dari satu IP address, yaitu: 219.76.186.165 Langsung diputuskan untuk mengambil tindakan tegas dan terukur: blokir IP address tersebut: ipfw add 4 deny log all from 219.76.186.165/32 to any hasil blok terlihat di /var/log/security: Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14115 my_IP_addr:110 in via fxp0 Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14147 my_IP_addr:110 in via fxp0 Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:12885 my_IP_addr:110 in via fxp0 Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14735 my_IP_addr:110 in via fxp0 Apr 19 08:35:43 mail /kernel