LAB 06

CISCO FIREWALL
Konfigurasi

Tujuan
Tools
Persiapan

: Melakukan konfigurasi firewall (access-lists) pada router Cisco

: Cisco Packet Tracer
: Susun PC, Server, Switch dan Router sesuai gambar konfigurasi di Packet Tracer.
Berikan IP Address yang sesuai dan tes dengan ping dan web browser ke server yang tersedia.

Bagian 1: Membuat Access Lists

Implementasi aturan/rule :
semua PC dari network 192.168.2.0/24 tidak diijinkan untuk melakukan akses web pada ServerWeb-1,
tapi tetap boleh ping
Di sini kita akan mencoba membuat firewall untuk mengakomodir kebutuhan tersebut
1. Pertama-tama kita akan membuat kelompok aturan dulu. Misalkan saja kita akan beri nama kelompok
aturannya adalah rule01 dan pada kelompok aturan tersebut akan dirumuskan aturan bahwa setiap PC
yang berasal dari network 192.168.2.0/24 dilarang melakukan akses web pada ServerWeb-1. Yang perlu
digarisbawahi di sini adalah bahwa firewall rule akan dieksekusi secara sekuensial atau berurutan mulai dari
rule pada baris pertama sampai dengan rule baris-baris berikutnya. Bila suatu baris rule sudah terpenuhi
maka rule-rule selanjutnya akan diabaikan. Berikut adalah tahapan konfigurasinya:
Router>enable
Router#configure terminal
Router(config)#ip access-list extended rule01
Router(config-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 host 192.168.1.10 eq 80
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit

2. Tahapan berikutnya adalah memasang kelompok rule yang sudah kita buat tersebut pada salah satu
interface router. Nah di sini kita memiliki dua alternatif. Kelompok rule yang bar saja kita buat tersebut bisa
diletakkan pada interface yang menghadap ke sisi PC (interface Fa1/0) atau bisa juga dipasang pada interface
yang menghadap sisi server (interface Fa0/0).
3. Bila kelompok rule kita pasang pada interface Fa1/0 maka kelompok rule tersebut akan dipasang pada sisi
inbound dari interface Fa1/0 karena arah paket yang mau kita blok berasal dari luar interface Fa1/0 yang
mencoba masuk melalui interface Fa1/0. Maka implementasinya akan menjadi seperti berikut ini:
Router>enable
Router#configure terminal
Router(config)#interface fastEthernet 1/0
Router(config-if)#ip access-group rule01 in
Router(config-if)#exit

4. Bila kelompok rule kita pasang pada interface Fa0/0 maka kelompok rule tersebut akan dipasang pada sisi
outbound dari interface Fa0/0 karena arah paket yang mau kita blok berasal dari dalam router yang
mencoba keluar melalui interface Fa0/0. Makan implementasinya akan menjadi seperti berikut ini:
Router>enable
Router#configure terminal
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group rule01 out
Router(config-if)#exit

5. Untuk pembuktian sekarang coba lakukan ping dari PC yang berada di network 192.168.2.0/24 ke server web
1. Tentunya akses ping ini tidak diblok karena rule firewall yang dibuat hanya memblok akses dari network
192.168.2.0/24 dengan tujuan ip 192.168.1.1 pada port 80 saja. Nah sekarang coba lakukan akses web dari
PC pada network 192.168.2.0/24 ke server web 1. Nah akses ini tidak akan berhasil karena akses ini akan
diblok oleh firewall
Aturan penulisan access list dapat dipelajari melalui tabel berikut ini:
allow/block protocol
source
destination
permit
deny

ip
tcp
udp

source NA + source WM
host + source IP
any

destination NA + destination WM
host + destination IP
any

port number
eq + port
number

Bagian 2: Latihan Mandiri

Latihan Mandiri 1:
Lakukan konfigurasi firewall sehingga memenuhi kondisi berikut ini:
- Network 192.168.2.0/24 tidak dapat melakukan akses web ke server web 1
- Network 192.168.2.0/24 tetap dapat melakukan akses ping ke server web 1
- Network 192.168.2.0/24 tetap dapat melakukan akses web dan ping ke server web 2
- PC 192.168.2.3 dapat melakukan akses web dan ping ke server web 1
Latihan Mandiri 2:
- Network 192.168.2.0/24 tidak dapat melakukan akses web ke server web 2
- Network 192.168.2.0/24 tetap dapat melakukan akses ping ke server web 2
- Network 192.168.2.0/24 tetap dapat melakukan akses web dan ping ke server web 1
- PC 192.168.2.3 dapat melakukan akses web dan ping ke server web 2
- Network 192.168.3.0/24 tidak dapat melakukan akses web ke server web 1
- Network 192.168.3.0/24 tetap dapat melakukan akses ping ke server web 1
- Network 192.168.3.0/24 tetap dapat melakukan akses web dan ping ke server web 2
- PC 192.168.3.3 dapat melakukan akses web dan ping ke server web 1
- Network 192.168.2.0/24 tidak dapat melakukan akses apapun ke network 192.168.3.0/24
- PC 192.168.2.3 dapat melakukan akses ping ke network 192.168.3.0/24
Latihan Mandiri 3:
- Network 192.168.2.0/24 tidak dapat melakukan akses ping ke server web 2
- Network 192.168.2.0/24 dapat melakukan akses web ke server web 2
- Network 192.168.2.0/24 tidak dapat melakukan akses web dan ping ke server web 1
- PC 192.168.2.3 dapat melakukan akses web dan ping ke server web 2
- Network 192.168.3.0/24 tidak dapat melakukan akses ping ke server web 1
- Network 192.168.3.0/24 dapat melakukan akses web ke server web 1
- Network 192.168.3.0/24 tidak dapat melakukan akses web dan ping ke server web 2
- PC 192.168.3.3 dapat melakukan akses ping ke server web 1
- PC 192.168.3.3 tidak dapat melakukan akses web ke server web 1