Mtcna

Mikrotik Certified Network Associate

RIZKI AL MUBAROK, MTCRE

FIREWALL
Firewall Principle
Firewall diposisikan antara jaringan lokal dan jaringan publik, bertujuan melindungi computer dari
serangan, dan secara efektif mengontrol koneksi data menuju, dari, dan melalui router.
 Connection Tracking dan state
Penggunaan Connection tracking memungkinkan pelacakan koneksi UDP, sekalipun status UDP
tidak terhubung . Maka, Firewall di MikroTik dapat menyaring UDP "states".
Implementasi Connection Tracking
• Pada saat membuat firewall, pada baris paling atas umumnya akan
dibuat rule sebagai berikut:
– Connection state invalid  Drop
– Connection state established  Accept
– Connection state related  Accept
– Connection state new  Diproses ke rule berikutnya
• System rule ini akan sangat menghemat resource router,
karena proses filtering selanjutnya akan dilakukan ketika
koneksi dimulai (connection state = new)
 LAB – Buatlah Firewall untuk Connection
State
Pada IP>Firewall>Filter Rule buat chain
• Chain Foward
– Connection state invalid  action Drop
– Connection state established  action Accept
– Connection state related  action Accept
– Connection state new  action pass-through
 Structure : chain and action
Traffic FLow
 Setiap paket data memiliki asal (source) dan tujuan (destination).
 Traffic flow bisa dibedakan menjadi 3 kategori, dilihat dari sudut pandang router.
Dari Luar router menuju ke luar router lagi - (Forward)
• Contoh : traffic client browsing ke internet
Dari luar router menuju ke dalam router itu sendiri (Local process) – (Input)
• Contoh : traffic winbox ke router
Dari dalam router (local process) menuju ke luar router – (Output)
• Contoh : traffic ping dari new terminal winbox
 Structure : chain and action
Posisi Chain
Service Port
 Firewall NAT
NAT atau Network Address Translation adalah sebuah firewall yang berfungsi untuk merubah/menyamarkan IP
address pengirim seolah olah menjadi IP address dari Router. NAT adalah suatu metode untuk menghubungkan
banyak computer ke jaringan internet dengan menggunakan satu atau lebih alamat IP.
NAT digunakan karena ketersediaan alamat IP public. NAT ini biasanya digunakan disaat Router berada diantara 2
jaringan yang berbeda.
Firewall NAT ini dibagi menjadi 2 Yaitu Srcnat dan Dstnat.
Namun di Bab ini saya bakal lebih ngebahas tentang srcnat.
Chain pada IP Firewall NAT
1. srcnat, dengan action yang diperbolehkan:
1. Masquarade – subnet LAN to 1 dinamic IP WAN
2. Src-nat – subnet LAN to 1 static IP WAN
3. Netmap – subnet LAN to different subnet WAN
4. Same – subnet LAN to same subnet WAN
2. dsnat (port fowarding), dengan action yang
diperbolehkan:
1. Dst-nat – membelokkan traffik ke luar router
2. Redirect – membelokkan traffik ke router sendiri
Konfigurasi NAT pada Lab sebelumnya :

[admin> ip firewall nat add chain=srcnat out-interface=ether1

action=masquerade

Di lab tersebut dibuat sebuah rule firewall yang berfungsi untuk menyembunyikan
(masquerade) IP jaringan lokal yang akan menuju Internet melalui ether1/wLan1

“Jika ada paket yang lewat berasal dari Source (sumber) dan ingin
keluar melalui ether1 maka akan di samarkan (masquerade)
 LAB Firewall NAT
( Masquerade IP Address Tertentu )

• Berikut ini adalah perintah konfigurasi masquerade dengan menggunakan

perintah IP Adress pengirim (src-address) didalamnya

[admin> ip firewall nat add chain=srcnat src-address=10.10.10.0/24 outinterface=ether1

action=masquerade
Jika kita menggunakan perintah diatas artinya kita hanya membolehkan IP address
dengan network 10.10.10.0/24 (10.10.10.1–10.10.10.254) yang bisa terkoneksi ke
internet.
lalu gimana misalnya kita Cuma hanya 3 user aja yang bisa konek ke internet , yaitu user
yang menggunakan IP 10.10.10.2, 10.10.10.3 dan 10.10.10.4. Selain dari IP itu tidak
bisa konek ke internet.

[admin@> ip firewall nat add chain=srcnat src-address= 10.10.10.2-10.10.10.4

outinterface=ether1 action=masquerade
 LAB Firewall NAT
(Masquerade untuk Aplikasi Tertentu )

• Jika kita menginginkan computer user hanya mendapatkan

layanan internet tertentu (mis hanya akses browsing) maka
kita harus menambahkan opsi protocol dan destination port
pada baris konfigurasi masquerade
• Jadi kita harus tahu nomer2 port tujuan di server internet.
Misal destination port 80 untuk http, port 443 untuk https,
Untuk beberapa layanan yang menggunakan protocol yang
sama (mis protocol tcp) maka untuk mempersingkat
konfigurasi kita bisa buat opsi dst-port=80,443,5050 seperti
berikut Interface terhubung
[admin@> ip firewall nat add chain=srcnat src-address= ke internet
10.101.10.3-10.10.10.4 protocol=tcp dst-port=80 outinterface=ether1
action=masquerade
 Firewall Filter
Rules
 Adalah cara untuk memfilter paket, dilakukan untuk
meningkatkan keamanan jaringan, dan mengatur flow data dari,
ke client, ataupun router
 Pembacaan rule filter dilakukan dari atas ke bawah secara
berurutan. Jika melewati rule yang kriterianya sesuai akan
dilakukan action yang ditentukan, jika tidak sesuai, akan dianalisa
ke baris selanjutnya.
Chain pada Filter

FORWARD

INPUT INPUT
OUTPUT OUTPUT

FORWARD
 Firewall Filter
Chain pada Filter
 Firewall Filter
Action pada Filter
accept : paket diterima dan tidak melanjutkan membaca baris berikutnya.
add-dst-to-address-list : menambahkan alamat tujuan ke parameter address-list
add-dst-to-address-list : menambahkan alamat sumber ke parameter address-list
drop : menolak paket secara diam-diam (tidak mengirimkan pesan penolakan ICMP)
Jump : melompatkan ke chain yang ditentukan oleh parameter jump target
Log : menambahkan informasi paket data ke log
Passtrough : mengabaikan rule yang telah ditentukan lalu menuju rule berikutnya
Reject : menolak paket dan mengirimkan pesan penolakan ICMP
Tarpit : menolak, tetapi tetap menjaga TCP connections yang masuk
IP>Firewall>Filter Rules>General
Firewall Filter
Source IP (IP client)
Destination IP (IP internet)
Protocol (TCP/UDP/ICMP, dll)
Source port (biasanya port dari client)
Destination port (service port tujuan)

Interface (traffik masuk atau keluar)

Paket yang sebelumnya telah ditandai

 LAB- Filter Chain INPUT
Blok Akses
Kita akan mencoba mem-blok semua traffic yang masuk ke dalam router mnggunakan chain INPUT
Langkah :
IP  Firewall Filter Rules  Add
Dengan rule ini, maka semua traffic yang menuju ke Router akan di blok, Kita tidak bisa melakukan
ping termasuk kita tidak bisa mengakses RouterBoard kita, jadi cara diatas tidak terlalu efektif. Untuk
menanganinya kita akan gunakan strategy drop few, accept any atau sebaliknya accept few drop
any.
Ada 2 strategy/metode untuk menyederhanakan rule firewall yang
kita buat:
– Drop beberapa, lainya diterima (drop few, accept any)
– Terima beberapa, lainya dibuang (accept few, drop any)
Lab Firewall Filter INPUT (Membatasi IP untuk mengakses Router)
Kasus
192.168.1.2/24

10.10.10.1/24
GATEWAY ISP
10.10.10.2/24
Skenarionya kita ingin hanya ip admin saja yang bias mengakses ke router,
jadi selain IP admin akan di drop. Misal IP admin 10.10.10.2
Kita buat rule : Accept few, Drop any
Buat 2 rule

Kita masukkan Kemudian masukkan satu rule untuk mendrop semua

chain=input lalu di bagian src-address paket,
kita masukkan IP dari admin atau ip maka IP nya ubah menjadi src-address = 0.0.0.0/0 ini
kita sendiri, kemudian di tab action=accept. menandakan berjuta juta IPlainnya. Kemudian Actionnya
kita buat menjadi drop.
 Sebenarnya ada cara yang lebih simple, yaitu cukup dengan membuat 1 rule saja
Sebelum itu kita HAPUS dulu semua konfigurasi sebelumnya.
Kemudian kita buat rule baru seperti dibawah ini. Kemudian kita klik kotak
kecil dibagian depan src-address.
Bisa dilihat perbedaannya adalah di Tanda
“!”didepan Src.Address. tanda “!” artinya adalah
“selain”.Jadi kita terjemahkan rule diatas :

Jika ada yang mencoba masuk selain IP

10.10.10.2 maka akan di drop
 Lab Firewall Filter INPUT (Membatasi Port untuk mengakses Router)
Lab ini akan dibahas mengenai membatasi Port untuk mengakses Router. Maksud port disini adalah port
port fitur remote yang digunakan mikrotik diantaranya, port 8291 (Winbox), 22 (ssh), 23 (telnet), 80
(WebFig)

Skenarionya :
“Kita akan memblok semua
port kecuali Port Winbox
(8291).”
Drop Few , Accept Any ( Buang beberapa , Terima Semuanya )
“Kita ingin Router Kita tidak bisa diakses melalui telnet, namun tetap
bisa diakses melalui cara yang lain”

Maka seperti ini lah hasil akhir pembuatan rule kita. Rule ini akan
membuat router tidak bisa diakses melalui telnet.
 Lab Address List
Melihat Ip address dari computer yang melakukan aksess ilegal
Kita dapat menggunakan address list untuk melihat ip address dari computer yang
melakukan percobaan akses konfigurasi (winbox,SSH,Telnet) terhadapt router kita.
 Firewall FILTER CHAIN FORWARD.

Firewall ini lah yang menangani paket yang melewati Router, baik dari jaringan lokal maupun dari
jaringan luar. Firewall ini juga yang menentukan boleh tidaknya sebuah paket menuju internet
ataupun menuju jaringan lokal. Karena berhubungan dengan internet maka Firewall ini
menentukan website apa saja yang bisa diakses oleh client.

Lab Blok Akses Forward

dilab kali ini saya bakal ngasih percobaan yaitu kita akan memblok Akses yang melewati Router. Jadi dalam
kasus ini Client tidak akan bisa melakukan koneksi ke internet, yaitu dengan cara memblok Akses Forward
nya.
 Lab Blok Akses Forward (membatasi IP untuk mengakses
internet)

dilab kali ini kita bakal ngasih percobaan yaitu misalnya kita Cuma pengen 3 user aja yang bisa konek ke
internet , yaitu user yang menggunakan IP 10.10.10.2,10.10.10.3 dan 10.10.10.4. Selain dari IP itu tidak
bisa konek ke internet. yaitu dengan cara memblok Akses Forward nya.
Kita coba menggunakan 1 Rule
 Lab Address List
Address List itu salah satu fitur mikrotik yang digunakan untuk membuat IP tertentu menjadi
sebutan nama. Jadi nantinya kita tidak perlu lagi berurusan sama angka angka , kita Cuma urusan
dengan nama.

Skenario
Disini saya ingin membuat IP lokal saya yaitu
10.10.10.024 dengan sebutan IP Lokal
Sedangkan untuk IP 10.10.10.2 yaitu IP
saya sendiri disebut dengan IP Rizki.
Lab Address List
 Lab Blok Situs dengan Address List
Di lab ini kita coba akan memblok situs www.kompas.com : 202.61.113.35
Kita cari tahu dulu IP dari kompas.com dengan nslookup

Lalu kita buat rules nya untuk memblok situs kompas.com

kita masukkan IP tersebut ke address list
 Lab Address List – blok ping
- Siapa dari lokal kita yang ping ke router, dia tidak bisa akses internet beberapa detik
- Buat rule firewall untuk memasukkan setiap IP yang melakukan ping ke dalam address-list
dan beri nama address list “bahaya-ping”
 Lab Address List – blok ping
- Buat rule drop untuk address-list “bahaya-ping”
- Rule ini akan bekerja jika ada yang ping ke router saja
 LAB- Firewall Logging
Firewall Logging adalah fitur untuk mencatat (menampilkan pada log) aktifitas yang jaringan yang
kita inginkan.
• Buat filter rule pada menu IP>Firewall>Filter Rules, untuk logging semua yang ping router kita
 LAB- Firewall Logging
Ping dari PC Client ke IP router yang mengarah ke client nya, dan buka log nya pada menu.