Beginilah scrip loadnya buat mikrotik entah betul apa nggak yang penting jalan aja ..

setting dulu mikrotik sebagai gateway standartnya … lalu di setting di bagian berikut ..

/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=client
add address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255 interface=speedy2
add address=192.168.2.2/24 network=10.112.0.0 broadcast=192.168.2.255 interface=speedy1

/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1,192.168.2.1 check-gateway=ping

/ip firewall nat
add chain=srcnat out-interface=speedy1 action=masquerade
add chain=srcnat out-interface=speedy2 action=masquerade

/ ip firewall mangle
add chain=input in-interface=speedy1 action=mark-connection new-connection-mark=speedy1_conn
add chain=input in-interface=speedy2 action=mark-connection new-connection-mark=speedy2_conn
add chain=output connection-mark=speedy1_conn action=mark-routing new-routing-mark=to_speedy1
add chain=output connection-mark=speedy2_conn action=mark-routing new-routing-mark=to_speedy2

/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_speedy1
add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_speedy2

sebagian di Impor dari : http://wiki.mikrotik.com/wiki/Load_Balancing_Persistent

1. Unicast
Protokol dalam trafik internet yang terbanyak adalah TCP, sebuah komunikasi antar host di internet (praktiknya adalah client-server, misal browser anda adalah client maka google adalah server). Trafik ini bersifat dua arah, client melakukan inisiasi koneksi dan server akan membalas inisiasi koneksi tersebut, dan terjadilah TCP session (SYN dan ACK).

2. Destination-address
Dalam jaringan IP kita mengenal router, sebuah persimpangan antara network address dengan network address yang lainnya. Makin menjauh dari pengguna persimpangan itu sangat banyak, router-lah yang mengatur semua trafik tersebut. Jika dianalogikan dengan persimpangan di jalan, maka rambu penunjuk jalan adalah routing table. Penunjuk jalan atau routing table mengabaikan “anda datang dari mana”, cukup dengan “anda mau ke mana” dan anda akan diarahkan ke jalan tepat. Karena konsep inilah saat kita memasang table routing cukup dengan dua parameter, yaitu network address dan gateway saja.

3. Source-address
Source-address adalah alamat IP kita saat melakukan koneksi, saat paket menuju ke internet paket akan melewati router-router ISP, upstream provider, backbone internet dst hingga sampai ke tujuan (SYN). Selanjutnya server akan membalas koneksi (ACK) sebaliknya hingga kembali ke komputer kita. Saat server membalas koneksi namun ada gangguan saat menuju network kita (atau ISPnya) maka komputer kita sama sekali tidak akan mendeteksi adanya koneksi. Seolah-olah putus total, walaupun kemungkinan besar putusnya koneksi hanya satu arah.

4. Default gateway
Saat sebuah router mempunyai beberapa interface (seperti persimpangan, ada simpang tiga, simpang empat dan simpang lima) maka tabel routing otomatis akan bertambah, namun default router atau default gateway hanya bisa satu. Fungsinya adalah mengarahkan paket ke network address yang tidak ada dalam tabel routing (network address 0.0.0.0/0).

5. Dua koneksi
Permasalahan umumnya muncul di sini, saat sebuah router mempunyai dua koneksi ke internet (sama atau berbeda ISP-nya). Default gateway di router tetap hanya bisa satu, ditambah pun yang bekerja tetap hanya satu. Jadi misal router NAT anda terhubung ke ISP A melalui interface A dan gateway A dan ke ISP B melalui interface B dan gateway B, dan default gateway ke ISP A, maka trafik downlink hanya akan datang dari ISP A saja. Begitu juga sebaliknya jika dipasang default gateway ke ISP B.

Bagaimana menyelesaikan permasalahan tersebut?
Konsep utamanya adalah source-address routing. Source-address routing ibaratnya anda dicegat di persimpangan oleh polisi dan polisi menanyakan “anda dari mana?” dan anda akan ditunjukkan ke jalur yang tepat.

Pada router NAT (atau router pada umumnya), source-address secara default tidak dibaca, tidak dipertimbangkan. Jadi pada kasus di atas karena default gateway ke ISP A maka NAT akan meneruskan paket sebagai paket yang pergi dari IP address interface A (yang otomatis akan mendapat downlink dari ISP A ke interface A dan diteruskan ke jaringan dalam).

Dalam jaringan yang lebih besar (bukan NAT), source-address yang melewati network lain disebut sebagai transit (di-handle dengan protokol BGP oleh ISP). Contoh praktis misalnya anda membeli bandwidth yang turun dari satelit melalui DVB, namun koneksi uplink menggunakan jalur terestrial (dial-up, leased-line atau fixed-wireless). Dalam kasus ini paket inisiasi koneksi harus menjadi source-address network downlink DVB, agar bandwidth downlink dari internet mengarah DVB receiver, bukan ke jalur terestrial.

Di lingkungan Linux, pengaturan source-address bisa dilakukan oleh iproute2. Iproute2 akan bekerja sebelum diteruskan ke table routing. Misal kita mengatur dua segmen LAN internal agar satu segmen menjadi source-address A dan satu segmen lainnya menjadi source-address B, agar kedua koneksi ke ISP terutilisasi bersamaan.

Penerapan utilisasi dua koneksi tersebut bisa mengambil tiga konsep, yaitu round-robin, loadbalance atau failover.

6. Round-robin
Misalkan anda mempunyai tiga koneksi internet di satu router NAT, koneksi pertama di sebut Batman, koneksi kedua disebut Baskin dan koneksi ketiga disebut Williams, maka konsep round-robin adalah sang Robin akan selalu berpindah-pindah secara berurutan mengambil source-address (bukan random). Misal ada satu TCP session dari komputer di jaringan internal, maka koneksi TCP tersebut tetap di source-address pertama hingga sesi TCP selesai (menjadi Batman & Robin). Saat TCP session Batman & Robin tersebut belum selesai, ada ada request koneksi baru dari jaringan, maka sang Robin akan mengambil source-address koneksi berikutnya, menjadi Baskin & Robin. Dan seterusnya sang Robin akan me-round-round setiap koneksi tanpa memperhatikan penuh atau tidaknya salah satu koneksi.

Pasti anda sedang pusing membaca kalimat di atas, atau sedang tertawa terbahak-bahak.

7. Loadbalance
Konsep loadbalance mirip dengan konsep round-robin di atas, hanya saja sang Robin dipaksa melihat utilisasi ketiga koneksi tersebut di atas. Misalkan koneksi Batman & Robin serta Baskin & Robin sudah penuh, maka koneksi yang dipilih yang lebih kosong, dan koneksi yang diambil menjadi Robin Williams. Request koneksi berikutnya kembali sang Robin harus melihat dulu utilisasi koneksi yang ada, apakah ia harus menjadi Batman & Robin, Baskin & Robin atau Robin Williams, agar semua utilisasi koneksi seimbang, balance.

8. Failover
Konsep fail-over bisa disebut sebagai backup otomatis. Misalkan kapasitas link terbesar adalah link Batman, dan link Baskin lebih kecil. Kedua koneksi tersebut terpasang online, namun koneksi tetap di satu link Batman & Robin, sehingga pada saat link Batman jatuh koneksi akan berpindah otomatis ke link Baskin, menjadi Baskin & Robin hingga link Batman up kembali.

*makan es krim Haagendaz dulu*

Tools NAT yang mempunyai ketiga fitur di atas adalah Packet Firewall (PF) di lingkungan BSD, disebut dengan nat pool. Saya belum menemukan implementasi yang bagus (dan cukup mudah) di Linux dengan iproute2.

*Uraian panjang di atas hanyalah kata sambutan sodara-sodara…*

Berikut contoh implementasi load balance dua koneksi sesuai judul di atas. Dijalankan di mesin OpenBSD sebagai NAT router dengan dua koneksi DSL Telkom, interface ethernet sk0 dan sk1.

1. Aktifkan forwarding di /etc/sysctl.conf
net.inet.ip.forwarding=1

2. Pastikan konfigurasi interface dan default routing kosong, hanya filename saja
# /etc/hosts.sk0
# /etc/hosts.sk1
# /etc/hostname.sk0
# /etc/hostname.sk1
# /etc/mygate

Script koneksi DSL Speedy, pppoe0 untuk koneksi pertama dan pppoe1 untuk koneksi kedua. Sesuaikan interface, username dan passwordnya. Jangan lupa, gunakan indent tab.
# /etc/ppp/ppp.conf
default:
set log Phase Chat LCP IPCP CCP tun command
set redial 15 0
set reconnect 15 10000
pppoe0:
set device “!/usr/sbin/pppoe -i sk0″
disable acfcomp protocomp
deny acfcomp
set mtu max 1492
set mru max 1492
set crtscts off
set speed sync
enable lqr
set lqrperiod 5
set cd 5
set dial
set login
set timeout 0
set authname blahblahblah@telkom.net
set authkey asaljangandejek
add! default HISADDR
enable dns
enable mssfixup
pppoe1:
set device “!/usr/sbin/pppoe -i sk1″
disable acfcomp protocomp
deny acfcomp
set mtu max 1492
set mru max 1492
set crtscts off
set speed sync
enable lqr
set lqrperiod 5
set cd 5
set dial
set login
set timeout 0
set authname blahblahblah2@telkom.net
set authkey vikingboneksamasaja
add! default HISADDR
enable dns
enable mssfixup

3. Aktifkan interface sk0 dan sk1
# ifconfig sk0 up
# ifconfig sk1 up

4. Jalankan PPPoE, Point to Point Protocol over Ethernet.
# ppp -ddial pppoe0
# ppp -ddial pppoe1

5. Jika koneksi Speedy berhasil, IP address dari Speedy akan di-binding di interface tunneling tun0 dan tun1
# ifconfig
tun0: flags=8051 mtu 1492
groups: tun egress
inet 125.xxx.xxx.113 –> 125.163.72.1 netmask 0xffffffff
tun1: flags=8051 mtu 1492
groups: tun
inet 125.xxx.xxx.114 –> 125.163.72.1 netmask 0xffffffff

6. Dan default gateway akan aktif
# netstat -nr |more
Routing tables
Internet:
Destination Gateway Flags Refs Use Mtu Interface
default 125.163.72.1 UGS 7 17529 – tun0

7. Serta konfigurasi resolver DNS pun akan terisi
# cat /etc/resolv.conf
lookup file bind
nameserver 202.134.2.5
nameserver 203.130.196.5

8. Aktifkan Packet Firewall pf
# /etc/rc.conf
pf=”YES”

9. Script Packet Firewall NAT dan balancing dengan round-robin (ganti round-robin dengan loadbalance jika lebih sesuai dengan kebutuhan anda). Baris yang di-indent masih termasuk baris di atasnya. Entah kenapa tag <pre> malah menghilangkan karakter backslash (\).
# /etc/pf.conf
lan_net = “10.0.0.0/8″
int_if = “vr0″
ext_if1 = “tun0″
ext_if2 = “tun1″
ext_gw1 = “125.163.72.1″
ext_gw2 = “125.163.72.1″
# scrub all
scrub in all
# nat outgoing connections on each internet interface
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)
# pass all outgoing packets on internal interface
pass out on $int_if from any to $lan_net
# pass in quick any packets destined for the gateway itself
pass in quick on $int_if from $lan_net to $int_if
# load balance outgoing tcp traffic from internal network.
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto tcp from $lan_net to any flags S/SA modulate state
# load balance outgoing udp and icmp traffic from internal network
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from $lan_net to any keep state
# general “pass out” rules for external interfaces
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state

10. Aktifkan script yang diperlukan di /etc/rc.local agar setiap reboot langsung bekerja.
ifconfig sk0 up
ifconfig sk1 up
# aktifkan speedy
ppp -ddial pppoe0
ppp -ddial pppoe1

PF akan langsung bekerja membaca /etc/pf.conf.
Jika harus me-restart koneksi DSL Speedy, pastikan pppoe dimatikan dulu
# pkill ppp

Jika tidak, maka ppp akan membuat tunneling baru menjadi tun2, tun3 dan seterusnya.

11. Untuk memantau fungsi nat pool round-robin di atas bekerja atau tidak, bisa menggunakan tools pftop yang bisa diambil di http://www.eee.metu.edu.tr/~canacar/pftop/

Jika anda mengoptimasikan koneksi jaringan juga dengan menggunakan proxy, misalnya Squid, maka proxy Squid jangan dipasang juga di mesin router NAT tersebut, sebab saat Squid mengakses halaman web ke internet; oleh PF dianggap bukan sebagai koneksi NAT, jadi tidak akan di-balance, dan akan stay mengambil interface utama dan default gateway pertama. Simpanlah mesin proxy/squid di belakang router NAT, agar koneksi proxy ke internet menjadi trafik NAT yang akan di-balance oleh script PF di atas.

• pilihlah paket – paket dibawah ini untuk install OS Microtik :

System, dhcp, Advance Tools, RouTing, Security, Web – Proxy.

• ganti nama system sesuai dengan selera anda :

[admin@microtik] > system identity set name=warnet

Selanjutnya promt shell akan berubah menjadi :
Seperti yg anda inginkan :
[admin@warnet] >

• Ubahlah Password OS microtik anda dengan cara :

[admin@warnet] >user set admin password=……………………………… 

• aktivkan kedua Ethernet pada PC yang telah anda install OS Microtik :

[admin@warnet] >interface ethernet enable ether1
[admin@warnet] >interface ethernet enable ether2

• Berikan nama pada kedua ethernet untuk memudahkan konfigurasi :

[admin@warnet] >interface Ethernet set ether1 name=modem =====è Ethernet yg utk modem
[admin@warnet] >interface ethernet set ether2 name=local ===è Ethernet yg untuk ke HUB

• Masukan IP pada kedua landcard :

[admin@warnet] >ip address add interface=modem address= ( Diisi IP address dari ISP ) / netmask
[admin@warnet] >ip address add interface=lokal address= 192.168.0.1/255.255.255.0

• masukkan IP gateway yg di berikan dari ISP :

[admin@warnet] > ip route add gateway=10.11.1.1560

• SETTING DNS :

[admin@warnet] >ip dns set primary-dns=10.11.155.1secondary-dns=10.11.155.2

setelah itu coba ping semua IP yang telah di setting di atas.

[b][font=”]KONFIGURASI FIREWALL DAN NETWORK
ip firewall nat add action=masquerade chain=srcnat
ip firewall filter add chain=input connection-state=invalid action=drop
ip firewall filter add chain=input protocol=udp action=accept
ip firewall filter add chain=input protocol=icmp action=accept
[font=”]/ip firewall filter add chain=input in-interface=(ethernet card yg ke lan) action=accept
/ip firewall filter add chain=input in-interface=(ethernet card yg ke internet) action=accept

ip firewall filter add chain=input action=drop

ip web-proxy set enabled=yes src-address=0.0.0.0. port=8080 hostname=”” yahuu.net=yes parent-proxy=0.0.0.0:0 \
cache-administrator=”webmaster” max-object-size=4096KiB cache-drive=system max-cache-size=unlimited \
max-ram-cache-size=unlimited

ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=3128 /ip firewall nat add in-interface=modem
dst-port=80 protocol=tcp action=redirect
to-ports=3128 chain=dstnat dst-address=!192.168.0.1/24

================================================== ================

yang 3128 semuanya di ganti 8080 : caranya :

ip web-proxy set enable=yes
/ip web-proxy set port=3128
/ip web-proxy set max-cache-size=3145728 ( 3 kali total ram )
/ip web-proxy set hostname=”proxy.prima”
/ip web-proxy set allow-remote-requests=yes
/ip web-proxy set cache-administrator: “primanet.slawi@yahoo.com”
================================================== ================================================== ========
FILTERING :
http://www.mikrotik.com/testdocs/ros/2.9/ip/filter.php/ ip firewall filter
add chain=input connection-state=invalid action=drop \comment=”Drop Invalid connections”
add chain=input connection-state=established action=accept \comment=”Allow Established connections”
add chain=input protocol=udp action=accept \ comment=”Allow UDP”
add chain=input protocol=icmp action=accept \ comment=”Allow ICMP”
add chain=input src-address=192.168.0.0/24 action=accept \ comment=”Allow access to router from known network”
add chain=input action=drop comment=”Drop anything else”

ANTI VIRUS UTK MICROTIK :
add chain=forward action=jump jump-target=virus comment=”jump to the virus chain” ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++

add chain=forward protocol=icmp comment=”allow ping”add chain=forward protocol=udp comment=”allow udp”add chain=forward action=drop comment=”drop everything else”================================================== =====

SECURITY ROUTER MICROTIK ANDA :
/ ip firewall filteradd chain=input connection-state=established comment=”Accept established connections”add chain=input connection-state=related comment=”Accept related connections”add chain=input connection-state=invalid action=drop comment=”Drop invalid connections” add chain=input protocol=udp action=accept comment=”UDP” disabled=no add chain=input protocol=icmp limit=50/5s,2 comment=”Allow limited pings” add chain=input protocol=icmp action=drop comment=”Drop excess pings” add chain=input protocol=tcp dst-port=22 comment=”SSH for secure shell”add chain=input protocol=tcp dst-port=8291 comment=”winbox” # Edit these rules to reflect your actual IP addresses! # add chain=input src-address=159.148.172.192/28 comment=”From Mikrotikls network” add chain=input src-address=10.0.0.0/8 comment=”From our private LAN”# End of Edit #add chain=input action=log log-prefix=”DROP INPUT” comment=”Log everything else”add chain=input action=drop comment=”Drop everything else”
“http://wiki.mikrotik.com/wiki/Securing_your_router“
================================================== ========================================
SETTING KEAMANAN JARINGAN HANYA UNTUK LOKAL AREA ANDA :
/ip firewall filteradd chain=forward connection-state=established comment=”allow established connections” add chain=forward connection-state=related comment=”allow related connections”add chain=forward connection-state=invalid action=drop comment=”drop invalid connections”
add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop Blaster Worm” add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop Messenger Worm” add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster Worm” add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster Worm” add chain=virus protocol=tcp dst-port=593 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom” add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1363 action=drop comment=”ndm requester” add chain=virus protocol=tcp dst-port=1364 action=drop comment=”ndm server” add chain=virus protocol=tcp dst-port=1368 action=drop comment=”screen cast” add chain=virus protocol=tcp dst-port=1373 action=drop comment=”hromgrafx” add chain=virus protocol=tcp dst-port=1377 action=drop comment=”cichlid” add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=”Worm” add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus” add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y” add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle” add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop Beagle.C-K” add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment=”Drop MyDoom” add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor OptixPro”add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser” add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B” add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop Dabber.A-B” add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop Dumaru.Y” add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop MyDoom.B” add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus” add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2″ add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop SubSeven” add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, Agobot, Gaobot”
++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++

#MatikanPort yang Biasa di pakai Spam :
/ip firewall filter add chain=forward dst-port=135-139 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=135-139 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=445 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=445 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=593 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=4444 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=5554 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=9996 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=995-999 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=53 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=55 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-p

diatas di cek di websitenya lagi : http://www.mikrotik.com/documentation/manual_2.7/
http://www.mikrotik.com/docs/ros/2.9/ip/webproxy

lihat di system resource
dan 2/3 dari system resource di gunakan atau di alokasikan untuk : system resource print

************************************************** ******************************************
Graphing /tool graphing set store-every=hour[admin@MikroTik] tool graphing> print store-every: hour[admin@MikroTik] tool graphing> [admin@MikroTik] tool graphing interface> add interface=ether1 \allow-address=192.168.0.0/24 store-on-disk=yes[admin@MikroTik] tool graphing interface> printFlags: X – disabled # INTERFACE ALLOW-ADDRESS STORE-ON-DISK 0 ether1 192.168.0.0/24 yes[admin@MikroTik] tool graphing interface> [admin@VLP InWay] tool graphing> export
# oct/12/2005 09:51:23 by RouterOS 2.9.5
# software id = 1TLC-xxx
#
/ tool graphing
set store-every=5min
/ tool graphing queue
add simple-queue=all allow-address=10.8.2.99/32 store-on-disk=yes allow-target=yes disabled=no
/ tool graphing resource
add allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
/ tool graphing interface
add interface=Inway allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
add interface=LAN allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
add interface=DMZ allow-address=0.0.0.0/0 store-on-disk=yes disabled=no

source = http://crypt0gr4phy.wordpress.com/2007/02/02/setting-mikrotik/

/ ip web-proxy
set enabled=yes –>> to make ip web proxy enable
set src-address=0.0.0.0 –>> to make source address to access web proxy will allow
set port=8080 –>> to make port for web proxy
set hostname=”proxy.war.net.id” –>> setting for visble hostname web proxy
set transparent-proxy=yes –>> make transparant proxy enable
set parent-proxy=0.0.0.0:0–>> if we used parent proxy x
set cache-administrator=”support@somethink.org” –>> make set administrator info support
set max-object-size=4096KiB –>> maximal object can cacth with the proxy server
set cache-drive=system –>> where drive position that cache wil be saved
set max-cache-size=unlimited –>> maximal harddrive we used for cache
set max-ram-cache-size=unlimited –>> maximal ram we used for cache 

2. add nat for redirect port for squid to make transparant

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 –>> setting can redirect port 80 to 8080 for proxy server
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080 –>> setting can redirect port 3128 to 8080 for proxy server
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports=8080 –>> setting can redirect port 8080 to 8080 for proxy server

Catatan:
- Penginstalan dengan metode ini telah berhasil dilakukan pada OS Linux RH9, Slackware, debian- Untuk setiap distro menyesuaikan letak direktorynya- Squid yang telah digunakan adalah squid-2.4.STABLE1-src.tar.gz dan squid-2.4.STABLE4-src.tar.gz, squid-2.4.STABLE6-src.tar.gzo>Persiapan:
Downloadlah file-file yang dibutuhkan untuk instalasi dan optimasi squid pada direktori yg anda suka (misal /var/tmp):
- squid-2.4.STABLE6-src.tar.gz (bisa didapat di www.squid-cache.org)
- malloc.tar.gz (bisa didapat di http://debian.web.id/download/lib/malloc.tar.gz)
- floppy.tgz (bisa didapat di http://debian.web.id/download/systool/floppy.tgz)

o> Langkah-langkah instalasi:
Konfigurasi dan Optimasi Squid
——————————-

- ekstraklah file squid hasil d/l an
# tar zxvf squid-2.4.STABLE6-src.tar.gz

- squid proxy server tidak dapat berjalan sebagai super user root, oleh karena itu, buatlah user yang akan menjalankan squid:
# useradd -d /cache/ -r -s /dev/null squid >/dev/null 2>&1
# mkdir /cache/ —- anda tidak perlu mengetikkan perintah ini jika anda telah membuat partisi /cache pada saat penginstalan linux pertama kali.
# chown -R squid.squid /cache/- editlah file icons/Makefile.in dengan text editor yang anda suka dan gantilah baris:
DEFAULT_ICON_DIR = $(sysconfdir)/icons
menjadi:
DEFAULT_ICON_DIR= $(libexecdir)/icons- editlah file src/Makefile.in dengan text editor yang anda suka dan gantilah baris:
DEFAULT_CACHE_LOG = $(localstatedir)/logs/cache.log
menjadi:
DEFAULT_CACHE_LOG = $(localstatedir)/log/squid/cache.log
DEFAULT_ACCESS_LOG = $(localstatedir)/logs/access.log
menjadi:
DEFAULT_ACCESS_LOG = $(localstatedir)/log/squid/access.log
DEFAULT_STORE_LOG = $(localstatedir)/logs/store.log
menjadi:
DEFAULT_STORE_LOG = $(localstatedir)/log/squid/store.log
DEFAULT_PID_FILE = $(localstatedir)/logs/squid.pid
menjadi:
DEFAULT_PID_FILE = $(localstatedir)/run/squid.pid
DEFAULT_SWAP_DIR = $(localstatedir)/cache
menjadi:
DEFAULT_SWAP_DIR = /cache
DEFAULT_ICON_DIR = $(sysconfdir)/icons
menjadi:
DEFAULT_ICON_DIR = $(libexecdir)/iconsMaksud dari pengeditan file di atas adalah untk mengubah lokasi default dari file cache.log, access.log, dan store.log agar ditempatkan di dalam direktori
/var/log/squid, dan meletakkan pid (process identification) squid di direktori /var/run, serta menyimpan direktori icons di /usr/lib/squid/icons.Menggunakan GNU malloc library untuk meningkatkan cache performance squid
————————————————————————-
- kopikan malloc.tar.gz ke direktori /var/tmp
# cp malloc.tar.gz /var/tmp
- ekstrak dan compile malloc
# cd /var/tmp
# tar zxvf malloc.tar.gz
# cd malloc
# export CC=egcs
# make
- kopikan library hasil kompilasi malloc (libmalloc.a) ke lib direktori linux anda
# cp libmalloc.a /usr/lib/libgnumalloc.a
- kopikan file malloc.h hasil kompilasi malloc ke direktori system include linux anda
# cp malloc.h /usr/include/gnumalloc.hKompilasi dan Optimasi Squid
—————————-
- Masuklah kembali ke direktori di mana terdapat source squid
# cd /var/tmp/squid-2.4.STABLE6

- Ketikkan command berikut di komputer anda:

CC=”egcs”
./configure
–prefix=/usr
–exec-prefix=/usr
–bindir=/usr/sbin
–libexecdir=/usr/lib/squid
–localstatedir=/var
–sysconfdir=/etc/squid
–enable-delay-pools
–enable-cache-digests
–enable-poll
–disable-ident-lookups
–enable-truncate
Command-command tersebut di atas akan sangat berarti sekali jika anda membaca help file yang disediakan (just type ./configure –help)

- Sekarang kita lakukan kompilasi dan instalasi squid, cukup ketikkan command-command berikut pada linux anda:

# make -f makefile
# make install
# mkdir -p /var/log/squid
# rm -rf /var/logs/
# chown squid.squid /var/log/squid/
# chmod 750 /var/log/squid/
# chmod 750 /cache/
# rm -f /usr/sbin/RunCache
# rm -f /usr/sbin/RunAccel
# strip /usr/sbin/squid
# strip /usr/sbin/client
# strip /usr/lib/squid/unlinkd
# strip /usr/lib/squid/cachemgr.cgi

Menggunakan script-script yang ada pada file floppy.tgz
——————————————————-
- ekstrak file floppy.tgz (misal ke /var/tmp)
# tar zxvf floppy.tgz

- kopikan script2 yg dibutuhkan oleh squid ke direktori yang sesuai
# cd /var/tmp/floppy
# cp /var/tmp/floppy/Squid/init.d/squid /etc/rc.d/init.d/
# cp /var/tmp/floppy/Squid/logrotate.d/squid /etc/logrotate.d/

Mengedit file konfigurasi squid
——————————-
- editlah file squid.conf yg terletak pada direktori /etc/squid/ dengan text editor yg anda suka (misal vi, pico, joe, atau mcedit)
# vi /etc/squid/squid.conf

Pada artikel ini saya tidak akan membahas semua option yang ada pada squid.conf, saya hanya akan membahas option-option yang dirasa penting untuk menjalankan squid dan berpengaruh besar dalam optimasi squid.

http_port 3128
Option ini akan menentukan di port berapa squid akan berjalan (biasanya di port 3128 dan 8080)

icp_port 0
Option ini akan menentukan melalui port berapa squid akan mengirimkan dan menerima request ICP dari proxy cache tetangga.

cache_mem 32 MB
Option ini menentukan berapa besar memory yang akan digunakan oleh squid, defaultnya adalah 8 MB yaitu default yang cocok untuk digunakan pada
banyak sistem. Namun jika anda memiliki memory yang berlebih, maka disarankan untuk menaikkannya. Ada yang berpendapat bahwa nilai ini
didapat dari sepertiga memory bebas bagi squid.

cache_dir ufs /cache 1600 4 256
Option pada cache_dir menentukan sistem penyimpanan seperti apa yang akan digunakan (ufs), nama direktori tempat penyimpanan cache (/cache), ukuran
disk dalam megabytes yang digunakan oleh direktori tempat penyimpanan cache (1600 Mbytes), jumlah subdirektori pertama yang akan dibuat di bawah /cache (4),
dan jumlah subdirektori kedua yang akan diciptakan di bawah subdirektori pertama tadi (256).
Nilai2 pada option cache_dir tadi harus disesuaikan dengan sistem yang anda miliki, biasanya yang harus disesuaikan hanyalah tempat penyimpanan cache, ukuran disk,
dan jumlah subdirektori yang akan dibuat. Mengenai angka2 tersebut, dapat kita peroleh dari rumus yang telah disediakan oleh Mas Devshed untuk optimasi sbb:
1. Gunakan 80% atau kurang dari setiap kapasitas cache direktori yang telah kita siapkan. Jika kita mengeset ukuran cache_dir kita melebihi nilai ini,
maka kita akan dapat melihat penurunan performansi squid.
2. Untuk menentukan jumlah subdirektori pertama yang akan dibuat, dapat menggunakan rumus ini:
x=Ukuran cache dir dalam KB (misal 6GB=~6,000,000KB) y=Average object size (gunakan saja 13KB)
z= Jumlah subdirektori pertama = (((x / y) / 256) / 256) * 2 = # direktori
Sebagai contoh, misal saya menggunakan 6 GB dari untuk /cache (setelah disisihkan 80% nya), maka:
6,000,000 / 13 = 461538.5 / 256 = 1802.9 / 256 = 7 * 2 = 14
maka baris cache_dir akan menjadi seperti ini: cache_dir ufs 6000 14 256

cache_store_log none
Option ini akan melog setiap aktivitas dari storage manager. Log ini akan memperlihatkan objek-objek mana saja yang dikeluarkan dari cache, dan objek-objek mana saja yang disimpan dan untuk brp lama objek tersebut disimpan. Karena biasanya tidak ada gunanya untuk menganalisis data ini, maka disarankan untuk didisable.

negative_ttl 2 minutes
Default dari option ini adalah 5 menit, tetapi menyarankan agar direndahkan menjadi 2 dan jika mungkin menjadi 1 menit. Kenapa settingannya seperti itu? bahwa kita menginginkan proxy yang kita miliki setransparan mungkin. Jika seorang user mencari halaman web yang dia yakin itu ada, maka kita pasti tidak ingin adanya waktu lag antara URL menuju dunia dan kemampuan user untuk mengaksesnya.

cache_effective_user squid
cache_effective_group squid
Jika squid cache dijalankan oleh root, maka user yang akan menjalankannya akan diubah sesuai UID/GID user yang disebutkan pada option di atas. Pada contoh option di atas jika squid dijalankan oleh root, maka squid cache akan dijalankan dengan UID/GID squid.

maximum_object_size 1024 KB
Dengan option ini, ukuran file maksimum yang disimpan oleh squid cache bisa dibatasi. Dengan kata lain objek yang lebih besar dari bilangan ini tidak akan disaved ke dalam disk yang sudah disisihkan buat cache (misal /cache).

minimum_object_size 4 KB
Dengan option ini maka objek yang lebih kecil dari bilangan yang disebutkan tidak akan disaved ke dalam disk yang sudah disisihkan buat cache. Ada tambahan dari artikel yang ditulis Mas Jay bahwa ukuran file minimum yang dicache bertujuan mengefektifkan filesystem di mana biasanya ext2 diformat dengan 4 KB inode.

ftp_usera nu@huhui.com
Dengan option ini, maka ketika klien mengakses situs ftp anonymous, email address di atas akan dikirim sebagai password bagi ftp server anonymous.

reference_age 1 month
Dengan option ini, maka file cache yang tidak pernah diakses lagi selama nilai parameter di atas, akan dihapus secara otomatis oleh squid.

acl PazzNET src 192.168.1.0/255.255.255.0
http_access allow PazzNET
http_access deny all
Option-option tersebut menentukan subnet mana yang boleh mengakses proxy squid. Jika ada beberapa subnet, kita bisa menambahkan definisi acl nya.

cache_mgr anu@huhui.com
Email-address dari local cache manager yang akan menerima email jika cache mati.Email ini pulalah yang akan muncul pada browser klien jika terjadi suatu kesalahan ketika mengakses suatu web via proxy squid.

visible_hostname hari.huhui.com
Informasi ini dikirim sebagai footer pada saat pesan error tampil di layar browser klien.

half_closed_clients off
Beberapa klien dapat membatalkan koneksi TCP nya, dengan membiarkan bagian penerimaaannya terbuka. Kadang-kadang squid tidak dapat membedakan antara koneksi TCP yang half-closed dan full-closed. Defaultnya, koneksi half-closed tetap terbuka sampai pembacaan dan penulisan pada soket memunculkan pesan error. Ubahlah nilai ini ke off, maka squid dengan serta merta akan menutup koneksi client jika tidak ada data yang dibaca lagi.

Saran Mas Devshed yang lain untuk meningkatkan performance:
cache_swap_high 100%
cache_swap_low 80%

Setelah semua selesai dilakukan, cobalah start squid anda dan rasakanlah perbedaannya
# /etc/rc.d/init.d/squid start

Jika ada error, jangan panik, carilah letak kesalahan dengan selalu memonitor log
# tail -f /var/log/messages

Jika masih ada error, berdo’alah, dan tanyakan pada forum2 linux di kota2 anda atau di #indolinux tentunya ~

Pengembangan lebih lanjut untuk optimasi squid :
- Gunakan filesystem ReiserFS pada partisi cache direktori
- Gunakan 7200 RPM UDMA 66 drives atau fast (7200 atau 10k RPM) SCSI drives.Tweak dengan patch Andre Hedrick’s Unified IDE patch.
- Besarkan RAM

Reference:
———-
1. Mourani, Gerhard, Securing and Optimizing Redhat Linux
2. Devshed, www.devshed.com
3. Squid.conf
4. FAQ

Kebanyakan orang jika mendengar kata DNS Server di unix, biasanya mereka berpikir tentang BIND ( Barkeley Internet Name Daemond, yaitu sebuah nameserver daemond yang dikembangkan oleh Barkeley. Hampir semua distribusi unix, secara defaultnya menyertakan BIND sebagai program DNS server mereka, sehingga banyak orang mengidentifikasikan atau berpikir DNS Server adalah BIND, namun

pada kenyataannya BIND bukan satu-satunya DNS Server yang ada. Ada banyak program DNS yang lain di unix yang dapat berfungsi sebagai DNS Server diantaranya dents dan djbdns.

Pada artikel ini hanya membahas tentang djbdns saja , karena djbdns memiliki aliran yang agakberbeda dengan BIND dalam melakukan seting dnscache maupun suatu domain.

APA ITU DJBDNS?

DJBDNS adalah koleksi dari beberapa peralatan DNS yang cukup canggih, yang terdiri dari atas

DNSCACHE, yaitu program yang berfungsi melakukan caching informasi domain dari DNS Server, dnscache menerima dns query dari localhost maupun clientnya (hanya Ipaddress yang diijinkan ), dan dnscache akan mencari dan mengumpulkan informasi dari remote DNS Server serta memberikan jawaban dari query tersebut.
TINYDNS, yaitu DNS Server yang mempunyai autorisasi untuk satu domain tertentu, memberikan informasi tentang domain yang ditanganinya ke client langsung jika autoritatif, tinydens hanya bekerja berdasarkan paket UDP saja.
PICKDNS,yaitu DNS Server yang berfungsi sebagai load balancing, biasanya difungsikan untuk membagi beban/load dari suatu server.
WALLDNS.yaitu berfungsi sebagai reverse dns, menyediakan informasi reverse dan meneruskan informasi sambil menyembunyikan informasi dari localhost.
RBLDNS, yaitu berfungsi untuk mempublikasikan daftar alamat-alamat IP.
LIBRARY DNS, yang berfungsi untuk menangani paket-paket DNS yang keluar masuk. Ini dapat digunakan oleh klien seperti web broser ,dsb. Untuk melihat alamat host, nama host, record MX. Dsb.
DNSFILTER, sebagai penerjamah IP-address-to-host-nama secara parallel.
DNSIP, DNSIPQ,DNSNAME,DNSTXT DAN DNSMX, yaitu berfungsi sebagai utilitas sederhana untuk berinteraksi dan memeriksa DNS.
DNSQ DAN DNSTRACE, berfungsi sebagai alat untuk melakukan debigging.

MENGAPA MENGGUNAKAN DJBDNS?

Tahukah adanda bahwa sebenarnya BIND sangatlah rentan terhadap serangan-serangan yang dapat membahayakan keamanan server anda?

Seringkali seorang cracker melakukan penyusupan atau DoS (Denialof Services) terhadap server dengan memanfaatkan celah keamanan yang terdapat pada BIND, banyak sekali versi dari BIND yang masih rentan terhadap serangan-serangan seperti ini.

Jika anda terlanjur menggunakan BIND dan masih bersikeras untuk tetap menggunakan BIND dan patch level terbaruh yang bias anda temukan melalui website dari BIND yaitu dihttp://www.isc.org/bind.html, serta selalu mengikuti perkembangan informasi tentang security BIND, serta gunakan option u dan g untuk menjalankan BIND sebagai non-root UID/GID, karena dengan cara ini sedikit banyak akan mempersulit para cracker untuk bias melakukan kudeta terhadap root dengan memanfaatkan user yang menjalankan BIND.

APA SAJA FITUR YANG DITAWARKAN DJBDNS?

Djbdns terdiri dari beberapa program yang dijalankan nonroot UID/GID sehingga kendali penuh dari system tidak bias disentuh dari djbdns.

Dnscache akan mengabaikan semua dns queries dari alamat yang tidak termasuk dalam daftar alamat ip yang diijinkan untuk mengakses dnscache, jadi dengan cara ini tidak sembarang orang bias mencuri resource dari system anda, seperti yang terjadi pada kebanyakan nameserver di internet. Pada tinydns akanmengabaikan queries yang bukan outrisasinya.
Dnscache dan dns library menggunakan ID untuk setiap query baru dan port UDP baru pada untuk ksetiap query dan alan mengabaikan query dari alamat IP yang tidak relevan.
Dnsccache menggunakan generator kriptografi untuk memilih nomor port dan ID yang sulit ditebak.
Dnscache kebal terhadap serangan yang mencoba mengacaukan cache (cache-poisoning)
Tinydns, pickdns dan walldns tidak men-cache informasi dan tidak bias ditipu dengan melakukan rekursi informasi/domain.

Fitur diatas memang dirancang khusus untuk djbdns yang benar-benar realibel dan aman.

INSTALASI DJBDNS (DNSCACHE DAN TINYDNS)

Djbdns hanya berjalan di sitem operasi unix, anda ias menggunakan beberapa variasi unix seperti Linux, FreeBSD dan Open BSD.Untuk menjalankan Djbdns dibutuhkan program tambahan yaitu daemontool yang dapat di dpwnload di http://cr.yp.to/daemontools.html, sedangkan djbdns dapat didownload di http://cr.yp.to/djbdns/djbdns-1.05.tar.gz

MEMASANG DAEMONTOOLS

Seperti biasa, lakukan gunzip dan untar terhadap packet daemondtools yang anda download.

# tar xvfz daemondtools-0.70.tar.gz masuk ke directory daemondtools-0.70 dan lakukan kompilasi (default akan diinstall di /usr/local, edit file conf-home jika anda menginkan diinstal di /usr);

# make

kemudian lakukan instalasi:

# make setup check

buatlah directory untuk meletakkan program yang akan dijalankan oleh daemondtools, misalnya nya namanya services di root directory

# mkdir /services

MEMASANG DJBDNS

Seperti biasa lakukan un-tar dari un-gzippedterhadap file djbdns yang anda download terlebih dahulu:

# tar xvfz djbdns-1.02.tar.gz

lalulakukan kompilasi (defaultakan diinstall di/usr/local, edit file conf-home jilka anda menghendaki di install di /usr}.

# echo gcc -O2 -include /usr/include/errno.h > conf-cc

# make

dan install dengan perintah:

# make setup check

MENGKONFIGURASIKAN DNSCACHE

Dnscache adalah DNS cache server local (atau jaringan local); dnscache akan menerima dan menjawab DNS query dari klien local, seperti web broser, mail user agent dsb., dan akan menyimpan informasi tersebut untuk menjawab DNS query berikutnya, sehinggga dnscache akan memberikan respon cepat apabila terdapat DNS query yang sudah disimpan.

Mengkonfigurasi dnscache di djbdns sangatlah mudah, semua sudah diatur oleh program yang bernama dnscache-conf, syntax umum dari dnscache-conf adalah:

Dnscache-conf acct logacct /directory

Dimana acct adalah account yang menjalankan dnscache, logacct adalah account yang digunakan untukmencatat log , jadi yang pertama sebagai acct dan log acct, contoh:

# useradd dnscache -s /bin/false

# useradd dnslog -s /bin/false

Tentukan anda akan menjalankan dnscache dimana, apakah hanya dns cache local atau dnscache external, jika anda mempunya client yang nantinya akan diijinkan untukmelakukan DNS queries ke server anda, silakan anda pasang dnscache ini pada IP jaringan anda. Sedangkan jika tujuannya hanya untuk menjawab dns queries dari computer local anda sendiri (localhost), anda cukup memasangnya pada alamat 127.0.0.1, lalu tentukan daftar IP/Range IP yang diijinkan untuk menggunakan dnscache anda, kemudian buat link simbolik-link dengan directory dari service daemontool anda, perhatikan contoh berikut:

Misal serber anda menggunakan ethenet dengan IP 192.168.1.1, dan akan mengkonfigurasi dnscache sebagai external cache untuk jaringan internet anda {missal dengan IP 192.168.1.0/24) maka anda harus mengkonfigurasikan sbb:

# dnscache-conf dnscache dnslog /etc/dnscachex 192.168.1.1

# touch /etc/dnscache/root/ip/192.168.1

# ln -s /etc/dnscache /service

Jika anda hanya ingin membuat cache local untuklocalhost saja, anda cukup memasangnya di alamat 127.0.0.1

Contoh:

#dnscache-conf dnscache dnslog /etc/dnscache 127.0.0.1

# ln -s /etc/dnscache /service

Sebelum anda menjalankan dnscache anda, pastikan apakah anda mempunyai dns server lokallain untuk intranet anda, jika ya, anda harus memberitahu nama domain dan alamat ip dari dns server tersebut. Sebagai contoh anda mempunyai domain local intranet dengan nama lokalku.net dengan IP 192.168.2 maka anda harus memberitahu dnscache , bahwa ada nameserver local tersebutdengancara:

# echo 192.168.1.2 > /etc/dnscache/root/servers/lokalku.net

# echo 192.168.1.2 > /etc/dnscache/root/servers/1.168.192.in-addr.arpa

setelah semua oke, kemudian jalankan daemontools: # csh cf svscan /services &

Setelah anda bias menjalankan dnscache mungkin anda akan bertanya , bagaimana membuat DNS server untukmenangani sebuah domain dengan menggunakan DJBDNS? Jawabannya adalah: anda dapat menggunakan tinydns yang sudah merupakan satu paket yang tergabung dalam djbdns.

Sekarang marilah kita menginjak pada tahap berikutnya yaitu mengkonfigurasikan tinydns, sebenarnya hamper sama dengan mengkonfigurasi dnscache, hanya bedanya karena tinydns bertugas untuk menjawab DNS query dari sebuah domain, maka anda akan berhubungan dengan record NS , A, MX, PTR dsb. Dari domain anda, namun konfigurasi tinydns tidak serumit konfigurasi pada BIND.

MENGKONFIGURASI TINYDNS

Tinydns mempunya program konfigurasi yang bernama tinydns-conf, dengan syntax umum sbb:

# tinydns-conf /directory , jadi sebelumnya anda harus menentukan beberapa hal , yaitu:

Tinydns beserta lognya akan dijalankan dengan menggunakan account apa
Direktori tempat konfigurasi tinydns
Alamat IP dari nameserver

Sebagai contoh anda akan menjalankan tinydns dengan account bernama tinydns dan account untuk log bernama tinylog, directory konfigurasi ada di /etc/tinydns dan alamat IP dari DNS servernya ada di 192.168.1.2 maka anda harus mengikuti langkah sebagai berikut:

Tambahkan user tinydns dan tinylog terlebih dahulu
# adduser tinydns -s /bin/false

# adduser tinylog -s /bin/false

Jalankan tinydns-conf sesuai dengan spesifikasi diatas:
# tinydns-conf tinydns tinylog /etc/tinydns 19.168.1.2

Buat simbolik link dengan directory services dengan daemontolls:
# ln -s /etc/tinydns /services

sampai tahap ini tinydns sudah siap untukmengkonfigurasikan sebuah nameserver dari sebuah domainyang bernama lokalku.net, anda masuk kedalam directory /etc/tinydns/root terlebih dahulu:

# cd /etc/tinydns/root

kemudian anda berikan poperintah sbb:

# ./ add-ns lokalku.net 192.168.1.2

# ./ add-ns 1.168.192.in-addr.arpa 192.168.1.2

# ./ add-host ns.lokalku.net 192.168.1.2

# make

Sampai tahap ini, kita mempunyai 1 host yang bernama ns.lokalku.net dengan alamat ip 192.168.1.2

Cacti adalah frontend dari RRDTool yang menyimpan informasi kedalam database MySQL dan membuat graph berdasarkan informasi tersebut. Proses pengambilan data (lewat SNMP maupun skrip) sampai kepada pembuatan gambar (graph) dilakukan menggunakan bahasa pemrograman PHP.
http://www.raxnet.net/products/cacti . 

• Instalasi

Cacti membutuhkan beberapa aplikasi berikut terinstall kedalam sistem sebelumnya.

• • RRDtool
    
  • net-snmp
    
  • PHP
    
  • MySQL
    

beberapa modul php untuk mendukung snmp juga harus diinstall. 

Download tarball terbaru Cacti di website diatas, buat user cacti:cacti, ekstrak tarball tersebut,

$ sudo mkdir /var/www/html/cacti 

$ sudo tar xzf cacti-0.8.6g.tar.gz -C /var/www/html/cacti 

pertama perlu dibuat database untuk menyimpan data yang dihasilkan lewat polling kedalam database MySQL, struktur database sudah diletakkan kedalam file cacti.sql,

$ mysqladmin -u root -p create cacti 

$ mysql -u root cacti < cacti.sql 

$ mysql -u root -p 

mysql> GRANT ALL ON cacti.* TO cacti@localhost IDENTIFIED BY ‘password’; 

mysql> flush privileges; 

modifikasi file include/config.php, dan ubah beberapa variable berikut:

 $database_default  = “cacti”; 

 $database_hostname = “localhost”; 

 $database_username = “cacti”; 

 $databse_password  = “password”; 

$ sudo chown -R cacti:cacti /var/www/html/cacti/{rra,log} 

edit crontab user cacti , tambahkan entri

$ sudo crontab -e -u cacti 

*/5 * * * * /usr/bin/php /var/www/html/cacti/cmd.php 

Konfigurasikan cacti lewat web-browser di
http://hostname/cacti
Konfigurasi: Login dengan user admin, ubah password user admin.
Garis besar konfigurasi mulai dari polling sampai kepada graphing untuk single-host melalui SNMP adalah sbb:
create devices:

• • Pada tab “Console”, klik link “Create Device”
    
  • Klik link “Add” (pada link kanan atas)
    
  • Isikan informasi yang diperlukan, klik “Create”
    

Note: 

* hostname dapat diisikan IP number atau FQDN host yang bersangkutan 

* template, apabila device yang akan di polling menggunakan SNMP net-snmp, pilih “ucd/net SNMP host”, selain itu pilih “Generic SNMP-enabled host” 

* versi SNMP, gunakan versi 2 untuk net-snmp 

• Pada form “Associated Data Queries” periksa apakah query yang dilakukan berhasil menghasilkan beberapa data, apabila tidak berhasil, periksa apakah _memang_ snmp polling ke host yang dituju dapat dilakukan, klik link “Verbose Query” untuk melakukan debugging.
  
  • Pada form “Associated Graph Templates” tambahkan beberapa elemen yang perlu dibuatkan graph nya (pada pulldown menu, pilih kemudian klik “Add”)
    
  • Pada halaman “Devices” akan terdapat link host yang baru saja dikonfigurasikan, pilih link tersebut, dan buat graph nya dengan meng-klik “Create Graph for this host” (kanan atas)
    
  • Pada form “Graph Templates” dan “Data Query” pilih (checkbox) yang perlu dibuatkan graph nya, klik “Create”
    
  • Selanjutnya form “Graph from host template” akan muncul, modifikasi seperlunya, klik creat
• Graph Trees
  
  • Graph trees ini digunakan untuk meletakkan graph yang dibuat oleh Cacti, dari tree ini dapat dibuat hierarki yang nantinya lebih mempermudah pengorganisasian graph.
    
  • Pada tab “Console”, pilih link “Graph Trees”, graph dapat dikategorikan menjadi beberapa kategori, semisal berdasarkan fungsi menggunakan trees, contoh: buat tree untuk kategori “Server” atau “Routers and Switches”, dibawah tree ini nantinya graph dari tiap-tiap host yang akan diletakkan
    
  • Untuk menambah tree, klik link “Add”, atau apabila graph yang dihasilkan oleh suatu host masuk kategori didalam tree tersebut, klik link pada kategori tersebut.
    Disarankan untuk membuat kategori-kategori berdasarkan fungsi host yang akan dibuat, buatlah kategori umum, kemudian dibawah kategori tersebut masukkan host-host yang termasuk dari kategori tersebut, jadi buatlah kategori, kemudian buatlah hostname dibawah kategori tersebut.

• Graph management

Untuk menampilkan graph yang dihasilkan, graph tersebut perlu dimasukkan kedalam trees yang telah dibuat, klik link “Graph Management”, didalam form tersebut akan muncul beberapa data yang telah dikumpulkan dan dapat ditampilkan graph nya, untuk melakukan filtering sehingga host tertentu saja yang ditampilkan (apabila data sources nya banyak), pada pulldown menu (atau isian), pilih host yang diinginkan.

• • • Pilih (checkbox), dan pada pulldown menu “Choose an action”, pilih “Place on a Tree (KATEGORI)”. Go
      
    • Letakkan graph tersebut dibawah hostname yang telah dibuat sebelumnya di menu “Graph Trees”
      
• Backup

Untuk membackup RRA (Round Robin Archive) dan database cacti

$ mysqldump -u cacti -p cacti > /backup/cacti-backup.sql 

$ sudo tar -czvf /backup/cacti-backup.tar.gz /var/www/html/cacti/{rra,log,include/config.php} 

$ sudo crontab -u cacti -l > /backup/cacti-backup.crontab 

• Restore :

Untuk proses restore 

$ mysqladmin -u root -p create cacti 

$ mysql -u cacti -p cacti < cacti-backup.sql 

$ mysql -u root -p 

mysql> GRANT ALL ON cacti.* TO cacti@localhost IDENTIFIED BY ‘password’; 

mysql> flush privileges; 

$ cd /backup && sudo tar -xzpvf cacti-backup.tar.gz 

$ sudo mv var/www/html/cacti/rra/* /var/www/html/cacti/rra/ 

$ sudo mv var/www/html/cacti/log/* /var/www/html/cacti/log/ 

$ sudo mv var/www/html/cacti/include/config.php /var/www/html/cacti/include/ 

$ sudo crontab -u cacti /backup/cacti-backup.crontab 

Dan periksa kembali owner di rra/ dan log/ dimiliki oleh user cacti
Referensi :
   

Cacti 
killspike2 scripts (remove spike on rrdgraph) 
RRDtool 
net-snmp 
PHP 
MySQL

Teori Singkat

SNMP (Simple Network Management Protocol) adalah protokol manajemen jaringan yang paling banyak digunakan pada jaringan berbasis TCP/IP. SNMP merupakan protokol standard industri yang digunakan untuk memonitor dan mengelola berbagai perangkat di jaringan Internet meliputi hub, router, switch, workstation dan sistem manajemen jaringan secara jarak jauh (remote).

Instalasi SNMP

office# cd /usr/local
office# wget http://andalasmedia.homeunix.org/~harinto/Source/ucd-snmp-4.2.6.tar.gz
office# tar -zxvf ucd-snmp-4.2.6.tar.gz
office# cd ucd-snmp-4.2.6
office# ./configure –prefix=/usr/local/snmp

System Contact Information (root@pdg.asiamaya.net): senthod@pdg.asiamaya.net
setting System Contact Information to… senthod@pdg.asiamaya.net
checking System Location…

*** System Location:

Describes the location of the system. This information is
available in the MIB-II tree. this can also be over-ridden using the
“syslocation” syntax in the agent’s configuration files.

System Location (Unknown): Traffict Monitoring Office

office# make
office# make install

office# cp EXAMPLE.conf /var/snmp.conf
office# ee /var/snmp.conf

Cari pada bagian seperti contoh di bawah ini :

####
# First, map the community name (COMMUNITY) into a security name
# (local and mynetwork, depending on where the request is coming
# from):

# sec.name source community
com2sec local localhost COMMUNITY
com2sec mynetwork NETWORK/24 COMMUNITY

Sebagai contoh, saya mengganti NETWORK/24 seperti di bawah ini :

# sec.name source community
com2sec local localhost COMMUNITY
com2sec asianet 202.152.27.126/32 asianet

Bila sudah selesai pengeditan Anda, silahkan Anda simpan.

Sekarang kita jalankan SNMPnya :

office# /usr/local/snmp/sbin/snmpd
office# ps ax | grep snmpd
272 ?? I 0:00.07 /usr/local/snmp/sbin/snmpd
18316 p0 DL+ 0:00.00 grep snmp

Pastikan ini tidak ada error, silahkan Anda selalu ngecek dengan perintah “tail -f /var/log/messages”, setiap Anda melakukan pengeditan. Kemudian silahkan Testing SNMP-nya dengan perintah seperti dibawah ini :

office# /usr/local/snmp/bin/snmpwalk -v1 -c public localhost system

Hasilnya seperti dibawah ini, :

system.sysDescr.0 = FreeBSD office.pdg.asiamaya.net 4.4-RELEASE FreeBSD 4.4-RELEASE #1: Wed Jul i386
system.sysObjectID.0 = OID: enterprises.ucdavis.ucdSnmpAgent.unknown
system.sysUpTime.0 = Timeticks: (12301) 0:02:03.01
system.sysContact.0 = senthod@pdg.asiamaya.net.where
system.sysName.0 = office.pdg.asiamaya.net
system.sysLocation.0 = Traffict Monitoring Office

Bila sewaktu mentest dengan snmpwalk, muncul pesan host time out atau unkown host, silahkan Anda cek sekali lagi konfigurasi Anda. Bisa jadi waktu Configure SNMP-nya ada error atau setingan di /var/snmp.conf-nya belum benar. Selalu cek dengan “tail -f /var/log/messages” Smile

Biar setiap kali sistem restart, snmpnya langsung jalan, tambahkan aja di file startup-nya.

office# touch /etc/rc.local
office# ee /etc/rc.local

#Running SNMP
/usr/local/snmp/sbin/snmpd

Finish. Selamat Mencoba, Semoga Berhasil

——————————————————————————–

Note : Sebelum install mending buat netscafe dolo, idupin TV atau mp3
1. Install freeBSD melalui CDRoom/Ftp/DOS.
( saya gunakan freeBSD.4.9-RELEASE )
2. setelah tahap install selesai, lalu isikan ip address untuk Routernya.

ketik command :

/stand/sysinstall –> Configure –> Networking –> Interfaces –> rl0/rl1

Note : 

rl0 ==> dalam hal ini di artikan eth0 jika di linux.
rl1 ==> dapat di artikan eth1 di linux

coba restart network dengan command: sh /etc/netstart
3. OK sekarang untuk membuat Router dan Squid kita coba lakukan Kompile kernel
dengan option pendukung :

cd /usr/src/sys/i386/conf

cp GENERIC ROUTER —> copy kernel asli jika kemudian terjadi masalah
bisa kembali ke awal
a. OK lalu masukan option-optin di bawah ini :
ident ROUTER #pastikan ident sama dengan nama kernel

options IPDIVERT #option untuk NAT
#option untuk firewall dan forward
options IPFILTER
options IPFILTER_LOG
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT
options IPFIREWALL_FORWARD

b. kemudian kita kompile kernelnya :
config ROUTER
cd ../../compile/ROUTER
make depend && make && make install
( setelah selesai coba reboot dengan single User mode ).
4. Lanjutkan dengan Installasi Squid :
( saya menggunakan squid-2.5.STABLE7.tar.gz )

Download file squid versi squid-2.5.STABLE7.tar.gz dari google
fetch http://hostname/squid-2.5.STABLE7.tar.gz —-> fetch = wget

tar -zxvf squid-2.5.STABLE7.tar.gz

./configure \
–prefix=/usr/local/squid \
–exec-prefix=/usr/local/squid \
–enable-delay-pools \
–enable-cache-diggests \
–enable-poll \
–disable-ident-lookups \
–enable-snmp
make
make install

5. setelah selesai lanjutkan ke bagian konfigurasi squid nya :

ee /usr/local/squid/etc/squid.conf —> edit squid.conf
#dibawah ini contoh penggalan isi dari squid.conf

#direktory cache dan log
cache_dir ufs /usr/local/squid/var/cache 512 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log

#group dan user squid
cache_effective_user squid
cache_effective_group squid

#Squid transparant proxy
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

6. Lanjutkan ke bagian user group dan dir untuk cache dan logs nya :
mkdir /usr/local/squid/var/cache —–> bikin dir cache dan logs (kalau belum ada).

mkdir /var/log/squid

pw groupadd squid —–> buat group squid

pw useradd squid -g squid -d dev/null -s etc/shells —–> buat user squid
chown -R squid:squid /usr/local/squid/var/cache —> rubah permisions untuk cache lognya

chown -R squid:squid /var/log/squid

touch -f /var/log/squid/access.log
touch -f /var/log/squid/cache.log

chown squid:squid /var/log/squid/access.log
chown squid:squid /var/log/squid/cache.log
/usr/local/squid/sbin/squid -z —–> jalankan command ini untuk membuat swap dir.

7. Ok setelah semuah konfigurasi selesai coba jalankan squidnya :
/usr/local/squid/sbin/squid -D -f /usr/local/squid/etc/squid.conf

ps ax|grep squid —> ketikan command ini untuk memastikan squidnya jalan.
setelah itu coba cek apa squid benar-benar OK :

tail -f /var/log/messages

tail -f /var/log/squid/cache.log

8. Untuk mempermudah gunakan script ini sebagai alat bantu
ee /usr/sbin/squid.sh —> buat file shell.

chmod 755 squid.sh —> lakukan perubahan permision file.

———————– Cut di sini ———————————

#!/bin/sh
echo -n ‘ Squid ‘
case “$1″ in
start)
/usr/local/squid/sbin/squid -D -f /usr/local/squid/etc/squid.conf
;;
stop)
/usr/local/squid/sbin/squid -k shutdown
;;
restart)
/usr/local/squid/sbin/squid -k reconfigure
;;
*)
echo “Usage: `basename $0` {start|stop|restart}”
;;
esac
———————– Cut di sini ———————————

Nah… jadi jika ingin men stop atau me-run kan squid tinggal gunakan command :
/usr/sbin/squid.sh start —> ( gunakan start, stop atau restart ).

9. OK squid sudah beres sekarang masuk ke konfigurasi ip forward nya
ee /etc/sysctl.conf —-> edit file sysctl.conf

net.inet.ip.forwarding=1 —> masukan option forward.
sekarang pastikan command di bawah ini pada file rc.conf anda :

ee /etc/rc.conf —–> edit file rc.conf

gateway_enable=YES
firewall_enable=YES
firewall_type=OPEN

natd_enable=YES
natd_interface=”rl0″
inetd_enable=YES

router_enable=YES
named_enable=YES
sshd_enable=YES

ifconfig_rl1=”inet ip_local netmask local_mask”
ifconfig_rl0=”inet ip_public netmask public_mask”
10. Langkah terakhir rule untuk ip forwardnya agar lebih aman masukan langsung rule nya
ke file rc.local .. so sewaktu server di reboot bisa di bacanya hehehe….
btw sekalian squidnya jugak boleh jadi coba pastekan aja langsung file di bawah ke rc.local :

ee /etc/rc.local —> edit file rc.local
/sbin/ipfw -f flush
/sbin/ipfw add divert natd all from any to any via rl0
/sbin/ipfw add pass all from any to any
/sbin/ipfw add 00050 fwd 192.168.0.254,3128 tcp from any to any 80 via rl1

/usr/sbin/squid.sh start