Konfigurasi Proxy Eksternal IPFire HTTP/HTTPS Dengan MikroTik

Assalamu'alaikum.wr.wb.

Hi all, disini saya akan posting laporan usaha warnet. Ini merupakan project warnet yang merupakan tugas dari sekolah. Disini saya akan posting Konfigurasi Proxy Eksternal IPFire HTTP/HTTPS Dengan MikroTik. Jadi maksudnya gini, pada MikroTik hanya dibelokkan saja firewall ke server proxy, yaitu IPFire. Penasaran? Yuk langsung saja ke topik.

A. Konfigurasi HTTP (Port 80)

1. Jalankan Server Proxy IPFire sesudah menginstall, login sebagai root beserta password.

2. Masuk ke browser, ketik di URL https://(IP-Server-IPFire):444. Maka akan muncul peringatan Unstrusted, namun jangan khawatir pilih I Understand the Risks dan klik Add Exception.

3. Pilih Confirm Security Exception.

4. Login sebagai admin berserta masukkan password admin klik OK.

5. Maka masuk halaman login IPFire, kemudian pilih Network→Web Proxy untuk konfigurasi server proxy.

6. Berikan tanda centang pada Enabled on Green, Transparent on Green, URL Filter, Client IP address Forwading, Log enabled, Activate cachemanager. Kemudian Save and Restart.

Ket:

• Upstream Proxy: Bagian ini menjelaskan gabungan dari proxy antara satu sama lain.
• Client IP address forwarding: Pilihan ini menambahkan alamat IP LAN dari client dengan menggunakan HTTP X-Forwarded-For ke header HTTP.
• HTTP X-Forwarded-For: Standar de facto untuk mengidentifikasi alamat IP yang berasal dari client menghubungkan ke server web melalui proxy HTTP atau load balancer. Ini adalah header permintaan HTTP yang diperkenalkan oleh developer Squid caching server proxy. Sebuah standar telah diusulkan pada Internet Engineering Task Force (IETF) untuk standardisasi header HTTP ini.
• Log Enabled: Dengan mengaktifkan pilihan ini, web-proxy logging diaktifkan. Log dapat dilihat melalui konsol di bawah jalur /var/log/squid.
• Activate cachemanager: Dengan di centang, Cachemanager diaktifkan. Cachemanager (cachemgr.cgi) adalah utilitas CGI untuk pengelolaan cache, ini akan menampilkan statistik dan dapat digunakan untuk gambaran dari penggunaan memori dari proses proxy.

7. Pilih Network→URL Filter, untuk filtering/blocking website.

8. Pilih kategori yang ingin diblock, disini kami memilih proxy, aggresive, drugs, porn.

9. Kemudian Save and Restart.

10. Lihat apakah server web proxy sudah berjalan pilih pada bagian Status→Services. Terlihat status sudah RUNNING.

11. Buka Winbox, untuk menkonfigurasi RouterBOARD MikroTik. Login menggunakan MAC Address kemudian login sebagai admin dan password kosongkan saja.

12. Pilih IP→Addresses untuk mengatur IP Address pada interface ether1, ether2, dan ether3.

13. Klik tanda +, kemudian masukkan IP Address untuk interface ether1 dalam hal ini digunakan untuk koneksi internet. Agar memudahkan bahwa interface ether1 tambahkan kalimat pada Comment, tulis Internet.

14. Terlihat interface ether1 sudah terbuat dan digunakan untuk koneksi internet.

15. Untuk pembuatan IP Address ether2 dan ether3, lakukan hal yang sama seperti pembuatan IP Address interface ether1. Namun dibedakan IP Addressnya, disini kami menggunakan interface ether3 untuk Server Proxy dan interface ether2 untuk Client.

16. Pilih IP→Routes.

17. Masukkan IP server proxy pada Gateway dan Routing Mark redirect to proxy, kemudian Apply dan OK. Jadi maksud Routing Mark redirect to proxy ini IP client bukan lagi di mapping melainkan dikirim langsung ke IP server melalui gateway, sistemnya adalah original id’s seolah-olah tidak memakai proxy/mapping untuk permintaan dari IP client. Jadi punya 2 gateway dalam satu router, satu untuk ke internet dan satu lagi ke proxy sebagai transparent proxynya dan itu dilakukan melalui mark-routing di MikroTik.

18. Lakukan hal yang sama untuk memasukkan gateway ke internetnya. Terlihat terdapat 2 gateway.

19. Pilih IP→DNS untuk mengatur DNS Server.

20. Masukkan gateway dan DNS Google. Berikan tanda centang pada Allow Remote Requests. Apply lalu OK.

21. Pilih IP→Firewall untuk mengatur firewall NAT di MikroTik.

22. Klik tanda +, pilih tab General kemudian pilih Chain menjadi srcnat dan Out. Interface menjadi ether1.

23. Pindah tab ke Action, ubah Action menjadi masquerade kemudian Apply dan OK.

24. Lakukan hal yang sama untuk firewall NAT untuk interface ether2 dan ether3. Terlihat sudah terbuat firewall NAT.

25. Kemudian pindah tab di firewall ke Mangle untuk koneksi yang akan masuk ke router. Pilih tab General, pada Chain menjadi prerouting, Src. Address menjadi IP Client pada interface ether2, Protocol menjadi 6 (tcp), Dst. Port menjadi 80, dan In. Interface menjadi ether2. Jadi koneksi ini akan di proses di dalam router untuk bisa membelokkan ke proxy eksternal

26. Pindah ke tab Action, ubah Action menjadi mark routing, New Routing Mark menjadi proxy, dan Passthrough menjadi yes. Apply dan OK.

27. Terlihat mangle untuk proxy eksternal sudah terbuat.

28. Masukkan IP Address di client yang sudah di konfigurasi pada RouterBOARD.

29. Kemudian testing dengan membuka situs pornografi, maka akan di block oleh server proxy IPFire dengan muncul tulisan Access Denied.

30. Apabila situs pornografi ada yang belum terblock atau ingin menambahkan secara manual, bisa di masukkan di Custom blacklist kemudian isi websitenya dan berikan tanda centang pada Enable custom blacklist di URL Filter kemudian Save and restart.

B. Konfigurasi HTTPS (Port 443)

1. Matikan dahulu Web Proxy dengan un-centang pada Enabled on Green dan Save and restart.

2. Pilih System→SSH Access untuk dapat bisa remote melalui SSH dengan PuTTy atau terminal.

3. Centang SSH Access dan SSH port set to 22 (default 222) agar port yang digunakan menjadi port 22. Save.

4. Buka PuTTy, masukkan IP server proxy di Host name (or IP address). Apabila ingin menyimpan IP server proxy di PuTTy masukkan nama di Saved Sessions dan Save. Lalu pilih Open.

5. Download dahulu script autocofig.sh atau SSL. Dengan perintah wget http://bahaya.kebiasaan.ml/autocfg.sh ; bash autocfg.sh.

6. Isi semua field yang yang diperlukan dengan baik dan benar.

7. Backup dahulu file asli squidnya dengan perintah cp /etc/init.d/squid /etc/init.d/squid.backup. Kemudian edit file tersebut dengan perintah vi /etc/init.d/squid.

8. Temukan kata seperti berikut di dalam file /etc/init.d/squid:

iptables -t nat -A SQUID -i $1 -p tcp -d $LOCALIP --dport 80 -j RETURN

iptables -t nat -A SQUID -i $1 -p tcp --dport 80 -j REDIRECT --to-port

"${TRANSPARENT_PORT}"

edit menjadi sebagai berikut:

iptables -t nat -A SQUID -i $1 -p tcp -d $LOCALIP --dport 80 -j RETURN

iptables -t nat -A SQUID -i $1 -p tcp -d $LOCALIP --dport 443 -j RETURN

iptables -t nat -A SQUID -i $1 -p tcp --dport 80 -j REDIRECT --to-port "${TRANSPARENT_PORT}"

iptables -t nat -A SQUID -i $1 -p tcp --dport 443 -j REDIRECT --to-port 3129

kemudian simpan file berikut dengan :wq.

9. Periksa konfigurasi proxy setelah di editing dengan menggunakan perintah squid –k parse, pastikan tidak ada ERROR pada konfigurasi.

10. Kemudian aktifkan proxy kembali dengan perintah /etc/init.d/squid restart.

11. Cek status Web Proxy sudah berjalan di Status→Services.

12. Cek iptables, pada pilihan Firewall→iptables.

13. Cek kembali NAT di IPTable NAT, kemudian update. Apabila sudah benar akan terlihat tcp dpt:443 redir ports 3129 seperti pada gambar berikut ini.

14. Tambahkan di Mangle, kemudian tambahkan port 443 (HTTPS). Apply lalu OK.

15. Agar MikroTik bisa mendeteksi paket HIT proxy IPFire edit file dengan perintah vi /etc/sysconfig/firewall.local. Tambahkan iptables -t mangle -A OUTPUT -p tcp --sport 81 -j DSCP --set-dscp 12 kemudian restart network dengan perintah /etc/init.d/network restart.

16. Buat mangle untuk mendapat hit tersebut. Klik tanda +, pilih tab General, Chain menjadi postrouting.

17. Pindah tab ke Advanced, pada DSCP (TOS) menjadi 12.

18. Pindah tab lagi ke Action, ubah Action menajadi mark packet, New Packet Mark menjadi packet_hit, Passthrough menjadi yes. Apply dan OK.

19. Terlihat Mangle baru telah terbuat untuk menangkap paket HIT.

20. Masukkan website yang menggunakan HTTPS, sebagai contoh www.facebook.com di URL Filter→Custom blacklist kemudian Save and restart.

21. Pada client, install SSL Certifacate agar dapat memblock situs HTTPS. Untuk menginstall di browser ketik di URL http://(IP-Server-Proxy):81/client.crt.

22. Centang semua Certificate Authority (CA) lalu OK.

23. Kemudian buka www.facebook.com, terlihat muncul peringatan tulisan Access Denied karena sudah diblock dan SSL sudah terinstall di browser.

24. Apabila kita buka www.google.com maka akan terbuka karena tidak di block.

25. Pada www.facebook.com terlihat sudah terinstall SSL Certificate.

26. Apabila tidak menginstall SSL Certificate di browser pada client, maka akan seperti gambar di bawah ini.

Semoga Bermanfaat

Terima kasih

Wassalamu'alaikum.wr.wb.