FIREWALL

Firewall merupakan sebuah sistem keamanan yang berfungsi untuk memeriksa paket
yang keluar ataupun masuk. Dengan adanya firewall kita bisa melindungi jaringan kita terhadap
serangan dari luar maupun dari jaringan lokal kita sendiri.Di Mikrotik sendiri kita bisa membuat
Router Mikrotik sebagai firewall yang melindungi jaringan lokal dari serangan yang berasal dari
luar (internet). Karena nantinya Router Mikrotik akan memilih mana paket yang boleh masuk
atau keluar dan mana paket yang akan dibuang.

Firewall Concept
Pada RouterOS MikroTik terdapat sebuah fitur yang disebut dengan 'Firewall'. Fitur ini
biasanya banyak digunakan untuk melakukan filtering akses (Filter Rule), Forwarding (NAT),
dan juga untuk menandai koneksi maupun paket dari trafik data yang melewati router
(Mangle). Supaya fungsi dari fitur firewall ini dapat berjalan dengan baik, kita harus
menambahkan rule-rule yang sesuai. Terdapat sebuah parameter utama pada rule di fitur
firewall ini yaitu 'Chain'. Parameter ini memiliki kegunaan untuk menetukan jenis trafik yang
akan di-manage pada fitur firewall dan setiap fungsi pada firewall seperti Filter
Rule, NAT, Mangle memiliki opsi chain yang berbeda.pertama - tama saya akan menjelaskan
Filter Rules
FILTER RULES
Filter Rules merupakan salah satu firewall pada mikrotik yang digunakan untuk
menentukan apakah suatu paket data dapat masuk atau tidak kedalam sistem router mikrotik
paket data yang akan ditangani fitur filter ini adalah paket data yang ditunjukan pada salah satu
interface router. Ada beberapa fitur / chain yang ada di filter rules diantaranya
adalah Forward, Input, Output. Adapun fungsi dari masing-masing chain tersebut adalah
sebagai berikut:

 Forward :
Digunakan untuk memproses trafik paket data yang hanya melewati router.
Misalnya trafik dari jaringan public ke local atau sebaliknya dari jaringan local ke public,
contoh kasus seperti pada saat kita melakukan browsing. Trafik laptop browsing ke
internet dapat dimanage oleh firewall dengan menggunakan chain forward.

 Input :
Digunakan untuk memproses trafik paket data yang masuk ke dalam router
melalui interface yang ada di router dan memiliki tujuan IP Address berupa ip yang
terdapat pada router. Jenis trafik ini bisa berasal dari jaringan public maupun dari
jaringan lokal dengan tujuan router itu sendiri.Contoh: Mengakses router menggunakan
winbox, webfig, telnet baik dari Public maupun Local.
 Output :
Digunakan untuk memproses trafik paket data yang keluar dari router. Dengan
kata lain merupakan kebalikan dari 'Input'. Jadi trafik yang berasal dari dalam router itu
sendiri dengan tujuan jaringan Public maupun jaringan Local.Misal dari new terminal
winbox, kita ping ke ip google. Maka trafik ini bisa ditangkap dichain output.

NAT (Network Address Translation)

NAT (Network Address Translation) pada jaringan komputer berfungsi melakukan
perubahan IP Address pengirim dari sebuah paket data sehingga dengan adanya NAT ini setiap
komputer pada jaringan LAN dapat mengakses internet dengan mudah. Dan fungsi dari NAT
sendiri adalah untuk melakukan pengubahan Source Address maupun Destination Address.
Kemudian fungsi dari masing-masing chain tersebut adalah sebagai berikut:

 dstnat :
Memiliki fungsi untuk mengubah destination address pada sebuah paket data.
Biasa digunakan untuk membuat host dalam jaringan lokal dapat diakses dari luar
jaringan (internet) dengan cara NAT akan mengganti alamat IP tujuan paket dengan
alamat IP lokal. Jadi kesimpulan fungsi dari chain ini adalah untuk mengubah/mengganti
IP Address tujuan pada sebuah paket data.
  srcnat :
Memiliki fungsi untuk mengubah source address dari sebuah paket data. Sebagai
contoh kasus fungsi dari chain ini banyak digunakan ketika kita melakukan akses website
dari jaringan LAN. Secara aturan untuk IP Address local tidak diperbolehkan untuk
masuk ke jaringan WAN, maka diperlukan konfigurasi 'srcnat' ini. Sehingga IP Address
lokal akan disembunyikan dan diganti dengan IP Address public yang terpasang pada
router.

MANGLE

Mangle merupakan suatu cara untuk menandai paket data dan koneksi tertentu pada .
Pada menu (Firewall → Mangle) terdapat 4 macam pilihan untuk chain, yaitu Forward, Input,
Output, Prerouting, dan Postrouting. Mangle sendiri memiliki fungsi untuk menandai sebuah
koneksi atau paket data, yang melewati router, masuk ke router, ataupun yang keluar dari
router. Dan yang perlu diingat bahwa proses pembacaan rule mangle ini dilakukan dari urutan
pertama ke bawah. Pada implementasinya Mangle sering dikombinasikan dengan fitur lain
seperti Management Bandwith ,Routing policy,dll. Adapun fungsi dari masing-masing chain
yang ada pada mangle adalah sebagai berikut:

 Forward, Input, Output :

Untuk penjelasan mengenai Forward, Input, dan Output sebenarnya tidak jauh
berbeda dengan apa yang telah diuraikan pada Filter rules diatas. Namun pada Mangle,
semua jenis trafik paket data forward, input, dan output bisa ditandai berdasarkan
koneksi atau paket atau paket data.

 Prerouting :
Merupakan sebuah koneksi yang akan masuk kedalam router dan melewati
router. Berbeda dengan input yang mana hanya akan menangkap trafik yang masuk ke
router. Trafik yang melewat router dan trafik yang masuk kedalam router dapat
ditangkap di chain prerouting.

 Postrouting :
Kebalikan dari prerouting, postrouting merupakan koneksi yang akan keluar dari
router, baik untuk trafik yang melewati router ataupun yang keluar dari router.
 Blokir Akses dengan Filter Rules (Input)
Sebelumnya saya sudah jelaskan tentang Filter Rules dan pada materi kali ini saya akan
memberitahu cara mengkonfigurasikannya. Pada konfigurasi filter rules kali ini saya akan
menggunakan fitur / chain input dengan Action (drop) yaitu mem-blokir, nanti saya akan mem-
blokir akses menuju ke router seperti SSH,TELNET, WINBOX, WEBFIG. Silahkan melihat tutorial
yang ada dibawah ini…

 SSH
Pertama-tama pastikan router & PC sudah terhubung ke internet.klik IP > Firewall
kemudian akan muncul jendela Firewall. Klik add / + .

Pilih Chain = input, Protocol=tcp, Dst. Port= 22 (SSH).

Klik Action, lalu pilih Action=drop untuk menolak akses ke router miktrotik dengan SSH.

Akan terlihat Rule baru yang bertindak mem-blokir akses ke router di Filter Rules.
 Sebagai pengujian silahkan membuka software putty lalu masukkan IP Router >
Connection type = SSH > open lalu hasilnya akan terlihat seperti ini.

 TELNET
Lansung saja ke IP > FIREWALL > Add/+.

Pilih Chain = input, Protocol=tcp, Dst. Port= 23 (Telnet).

Klik Action, lalu pilih Action=drop untuk menolak akses ke router miktrotik dengan
Telnet.

Akan terlihat Rule baru yang bertindak mem-blokir (drop) akses ke router di Filter Rules.
 Sebagai pengujian silahkan membuka software putty lalu masukkan IP Router >
Connection type = Telnet > open lalu hasilnya akan terlihat seperti ini.

 WEBFIG
Lansung saja ke IP > FIREWALL > Add/+.
Pilih Chain = input, Protocol=tcp, Dst. Port= 80 (http). Mengapa harus port 80 ? karena
Webfig ini bisa memakai software web browser apapun dengan port 80 (HTTP) untuk
mengakses Routerboard Mikrotik.

Klik Action, lalu pilih Action=drop untuk menolak akses ke router miktrotik dengan
Webfig.
Akan terlihat Rule baru yang bertindak mem-blokir akses ke router di Filter Rules.

Sebagai pengujian silahkan buka software web browser > IP router > Enter lalu hasilnya
akan terlihat seperti ini.
 WINBOX
Lansung saja ke IP > FIREWALL > Add/+.

Pilih Chain = input, Protocol=tcp, Dst. Port= 8291 (Winbox).

Klik Action, lalu pilih Action=drop untuk menolak akses ke router miktrotik dengan
Winbox.
Akan terlihat Rule baru yang bertindak mem-blokir akses ke router di Filter Rules.

Sebagai pengujian silahkan tutup software Winbox, lalu buka kembali. Disini saya login
dengan memakai IP Router. Masukkan IP router > connect.

Lalu hasilnya akan terlihat seperti ini.

 Blok situs dengan Firewall (Forward)
Sebelumnya saya sudah menjelaskan tentang Firewall Filter Rules dengan fitur / chain Forward,
kali ini saya akan memblokir sebuah situs web dengan menggunakan firewall filter rules.
Silahkan melihat tutorial yang ada dibawah ini…

Pertama - tama cari tahu terlebih dahulu IP website yang akan diblokir. Cara dengan membuka
program CMD lalu ketik nslookup (nama websitenya). Contoh : nslookup detik.com

Langsung saja ke program winbox lalu klik IP > Firewall > Address Lists > Add/+, lalu masukkan
Name = (nama websitenya) > Address = (IP websitenya). Disini saya menggunakan Address
lists tetapi bisa juga langsung menggunakan filter Rules.
Akan terlihat list website beserta IP nya pada Adress Lists.

Klik Filter Rules > Add/+ > advanced > Dst. Address Lists : (nama websitenya).
Klik Action > Action = drop. Yang berarti website yang telah kita masukkan ke router mikrotik
akan terblokir dari router mikrotik kita.

Sebagai pengujian saya akan membuka situs web yang telah saya blokir tadi & hasilnya akan
terlihat seperti ini.
 Blok Situs dengan Web Proxy
Pada materi kali ini saya akan memberikan cara memblokir situs dengan Web Proxy. Silahkan
melihat tutorialnya yang ada dibawah ini…

Pertama - tama buka software winboxnya lalu klik IP > Web Proxy > Enable (dicentang/diceklis).

Masukkan Cache Administrator = (bebas) > apply. Langkah selanjutnya klik Access > Add/+ >
dst. Host = (nama websitenya) > Action = deny. Maksud dari destination host (dst. Host) dan
action yang di deny adalah kita memblokir / melarang website tersebut dari router kita.
Akan terlihat website yang kita daftarkan di router kita di Web proxy access.
Langkah selanjutnya klik IP > Firewall > NAT > Add/+. Kemudian masukkan Chain = dstnat >
Protocol = tcp > Dst. Port = 80,443 (HTTP & HTTPS).

Klik Action > Action = redirect > To Ports = 8080 (Http Proxy). Yang berarti kita akan
mengalihkan ke port 8080 dari website yang akan kita blokir.
Akan terlihat Rule baru pada NAT yang bertindak untuk mengalihkan apabila ada suatu user
ingin membuka situs yang terblokir dari router kita & akan langsung dialihkan ke port yang
telah kita tentukan di NAT.
Sebagai pengujian saya akan membuka situs web yang telah saya daftarkan dan telah dideny di
Web Proxy, lalu dialihkan ke port 8080. Hasilnya akan terlihat seperti ini.

Connection State
Connection State adalah Status paket data yang lewat melalui router. Status Koneksi sendiri
dibagi menjad 4 macam, yaitu Invalid, New, Established, Related. Agar lebih jelas silahkan
baca penjelasannya dibawah ini :

 Invalid : paket tidak dimiliki oleh koneksi apapun, tidak ada tujuan / destinasi.
 New : paket pertama dari sebuah koneksi dan belum terkoneksi kedua arah.
 Established : Paket yang sedang berjalan dan dikenali
 Related : paket pembuka sebuah koneksi baru, tetapi masih berhubungan dengan
koneksi sebelumnya.
 Setelah membaca penjelasan diatas, saya akan memberi tahu cara membuat 4 status
koneksi seperti yang ada dibawah ini.

 INVALID
Pertama - tama login ke winboxnya lalu klik IP > Firewall > Filter Rules > Add/+ .
Pilih Chain = forward > Connection State = Invalid (dicentang / diceklis).

Langkah selanjutnya masih di New Firewall rule, klik Action > Action = drop.
 ESTABLISHED
Langsung saja ke New Filter Rule, lalu Pilih Chain = forward > Connection State =
Established (dicentang / diceklis).

Masih di New Firewall rule, klik Action > Action = accept.

 NEW
Langsung saja Pilih Chain = forward > Connection State = New (dicentang / diceklis).

Langkah selanjutnya masih di New Firewall rule lagi, klik Action > Action = passthrough.
 RELATED
Pilih Chain = forward > Connection State = Related (dicentang / diceklis).

Langkah selanjutnya masih di New Firewall rule, klik Action > Action = accept.
Setelah membuat rule nanti akan terlihat di filter rule akan ada 4 status koneksi, hasilnya akan
terlihat seperti ini.

Sekian dari ilmu yang bisa saya sampaikan pada modul ini apabila ada kekurangan mohon
dimaklumi. Selamat mencoba…..