Modul 6 | Firewall

 Firewall Basic
Firewall bertujuan untuk melindungi Router dan Clinet dari akses yang tidak
diinginkan, misalanya difungsikan untuk melindungi jaringan lokal (LAN) dari
kemungkinana serangan yang berasal dai Internet. Firewall dapat diimpelentasiakan
dalam MikroTik melalui fitur Filter dan NAT.

 Firewall Filter – RULE

Firewall dalam RouterOS berisi satu atau lebih rule/perintah yang bekerja dengan
prinsip IF-THEN ( JIKA … MAKA … ). Rule/perintah ini disusun dalah chain
(semacam area kerja), ada chain (area kerja) yang akan secara otomatis akan
dikunjungi da nada chain yang dibuat secara manual (custom-chain)

 Firewall Filter – CHAIN

Terdapat 3 chain yang akan dilewati secara default oleh traffic, yaitu :
1. INPUT chain : dilewati traffic yang menuju Router
2. OUTPUT chain : dilewati oleh traffic yang keluar dari router dan berasal dari
router
itu sendiri
3. FORWARD chain : dilewati oleh traffic yang dari luar router dan tidak menuju ke
router
(tapi menuju ke IP lain di luar router)

 Firewall Filter CHAIN – INPUT

Traffic yang dari luar dan menuju ke salah satu IP dai Router

 Firewall Filter CHAIN – OUTPUT

Traffic yang berasal dari luar dan berasal dari router
 Firewall Filter CHAIN – FORWARD
Traffic yang bukan berasal dari router dan bukan menuju ke Router, melaikan hanya
melewati router

Setiap aturan chain yang dibuat akan dibaca oleh router dari atas ke bawah, paket
dicocokan dengan kriteria umum dalam satu chain, jika cocok paket akan melalui
kriteria umum chain berikutnya / dibawah (kecuali dipasssthrought)
 Firewall Strategy
Banyak traffic yang harus difilter dan dipilih mana yang harus di perbolehkan (accept)
dan mana yang harus dibuang (drop), ada 2 medote untuk menyederhanakan rule
firewall yang kita buat
o Drop beberapa, lainnya diterima (drop few, accept any)
o Terima beberpa, lainya dibuang (accept few, drop any)
 Filter Rule, Protecting the Router + LAB
Buatlah firewall filter yang memperbolehkan hanya IP laptop anda sendiri yang hanya
bisa akses router
a. Kita akan membuat rule ini dengan strategy Accept Few & Drop Any
b. Chain yang digunakan adalah “input” karena kita akan melakukan filtering traffic
yang menuju arah router
c. Buat IF condition di menu IP > Firewall > Filter Rules > General IF (jika) ada traffic
yang menuju kea rah router (chain=input) berasal dai IP Laptop (Src. Address =
192.168.xx.2)

d. Buat THEN condition di menu Action, paket akan di “Accept” , kemudian klik Apply

e. Kita sudah melakukan Accept hanya IP laptop saja (accept few), sedangkan IP
selain laptop dibuatkan rule untuk di drop (drop any) dan buatlah lagi rule IF
condition di menu IP > Firewall > Filter > Rule > General, IF any traffic

Then action “Drop”

f. Akan ada 2 Rule, perhatikan jumlah bytes pada setiap chain ketika kita
melakukan akses ke router, tetap atau bertambah ?
 Cobalah Ping dari laptop yang memiliki IP Address 192.168.10.2 seharusnya
akan mendapatkan reply, setelah itu ubahlah IP laptop tersebut dan coba ping
kembali, seharusnya akan mendapat balasan request time out

g. Remove semua konfigurasi filter firewall yang barusan di buat, kita akan
membuat firewall dengan rule Drop Any Accept Few metodenya adalah drop
any packet kecuali dari IP laptop anda (192.168.xx.2) pada IF condition src
address adalah selain IP laptop (tanda ! berarti “selain”)

Sehingga hanya ada 1 rule dalam Firewall dengan fungsi yang sama

 Firewall Logging + LAB

Firewall Logging adalah fitur untuk mencatat segala aktifitas jaringan yang kita
inginkan.
a. Buat filter rule pada menu IP > Firewall > Filter Rules, untuk logging semua
client yang mengakses website melewati router, kita buat rulenya bisa
menggunakan script ini di terminal mikrotik
Chain=forward protocol=tcp dst-port=80 in-interface=ether1 action=log
log-prefix=”akses website”

b. Lakukan uji coba dengan browsing menggunakan laptop dan amatilah log
pada router

Block Situs + LAB

Disini kita akan melakukan blok situs dari jaringan lokal, yang memiliki akses
ke luar sebagai contoh kita akan memblok situs www.kaskus.co.id

Kita mulai untuk membatasi semua clinet tidak bisa mengkases website
www.kaskus.co.id
a. Sebelumnya kita harus mengetahui IP server dari youtube caranya
adalah menggunakan nslookup di cmd

b. Disini terlihat kaskus.co.id menggunakan IP 103.6.117.3 dan

103.6.117.4 atau bisa menggunakn penrintah ping kaskus.co.id, setelah
kita mengetahui IP Servernya, kita akan mencoba memblok semua IP
servernya

c. Buatlah filter Rule, Chain=forward, Dst.Address=103.6.117.3,

Action=drop dan ulangi lagi untuk semua IP kaskus.co.id
 Lakukan pengujian, cobalah akses website www.kaskus.co.id

 Blok Menggunakan Address List + LAB

Kita bisa mendefinisikan IP Address terlebih dahulu pada address-list, sebelum
dibuatkan rule utk address-list tersebut
a. Buatlah address list untuk IP kaskus.co.id, misalkan berinama IP-kaskus

b. Buatlah filter rule untuk drop IP-kaksus, pada tad Advances, Dst. Addrress List =
IP-kakskus (nama address list yang telah dibuat)
 *kita juga bisa mengatur client mana saja yang boleh mengkases kaskus.co.id
dengan mengatur Src. Address pada filter rule, atau definisikan terlebih dahulu IP
kelompok client pada Address List, dan kemudian lakukan action pada kelompok
clinet tersebut

 Connection Tracking & Connection State + LAB

Dalam sebuah Router, semu traffic yang lewat akan dicatat (agar dapat dikembalikan
dengan benar ke Client yang melakukan request), di MikroTik, hal ini disebut
Connection Tracking. Dapat dilihat di menu IP > Firewall > Connection

Connection Tracking mempunyai kemampuan untuk melihat informasi koneksi yang

melewat router seperti source dan destination IP dan port yang sedang digunakan,
status koneksi, tipe protocol, dll.

Setiap paket data memiliki status (connection-state) yang dapat dilihat pada
connetion tracking, status koneksi tersebut adalah :
o Invalid = Traffic yang tiba- tiba tanpa adanya request dari internal, bisanya virus
atau traffic yang keluar/masuk melaui jalur yang berbeda
o New = Paket baru untuk satu koneksi
o Establish = Paket yang mengikuti new paket, yaitu yang merupakan paket
sambungan dari paket pertama
o Related = Paket yang muncul secara tiba-tiba namun masih memiliki korelasi dari
paket yang sudah ada (establish) atau baru (new)

a. Untuk kemampuan menghemat resource, biasanya setiap Firewall diawali

dengan filtering connection state. Buatlah rule untuk connection state invalid
 Connection state invalid – Drop
 b. Dengan cara yang sama buatlah Filter Rule untuk Connection state :
 Connection state Established – Accept
 Connection state related – Accept
 Connection state new – Passtrough

 Network Address Translation (NAT)

NAT adalah suatu metode untuk menghubungkan lebih dari satu komputer jaringan
internet dengan menggunakan satu alamat IP. NAT digunakan karena ketersediaan
alamat IP public. NAT merupakan salah satu bagian dair Firewall (mengamkan Router).
NAT digunakan untuk :
o Mengamankan jaringan internal (sehingga orang dari luar tidak bisa langsung
mengakses PC anda)
o Memungkinkan IP Lokal diganti menjadi IP Publik sehingga dapat dikenali di
internet
o Mengatur penggunaan alokasi IP lokal

Ada dua Type dalam NAT Firewall MikroTik

 o Source NAT atau scr nat = diberlakukan untuk paket yang berasal dai Network
yang di NAT (privat/local network), action dari srcnat yang umum digunakan
adalah masquerade, perintahnya adalah :
/ip firewall nat add chain-srcnat action=masquerade out-interfcae=Publiv
Dapat diartikan bahwa paket dari interface manapun yang keluar melalui interface
public akan dibungkus (masquerade) dan ditranslasikan mejadi IP Public.

o Destination NAT atau dstnat = diberlakukan untuk paket yang menuju jaringan
yang di NAT, biasanya digunakan untuk mengakses dari luar beberapa service
pada jaringan. Dstnat juga dipake untuk membelokkan akses port dari natted
network ke port tertentu pada router atau IP dan Port lain diluar router

 Membuat Rule untuk DMZ + LAB

DMZ adalah singkatan dari Dimilitarized Zone, isitilah ini berasal dari penggunaan
militer, yang beraarti dareah penyangga antara dua musuh. Bila diterapkan di dalam
network artinya komputer atau subnetwork kecil yang berasa di antara jaringan
internal yang terpecaya, di MikroTIk DMZ adalah suatu service tertentu salam zona
privat (LAN) yang dapat di akses dari luar (internet) dengan metode port forwading.

a. Fungsikan salah satu clinet pada LAN 1 sebagai web server yang bisa diakses dari
IP luar (WAN), seperti topologi berikut

b. Jalankan web server di Laptop anda dengan Program XAMPP

c. Agar web sever dalam jaringan LAN1 bisa diakses dari luar, maka harus dibuatkan
rule dstnat pada menu IP > Firewall > NAT

d. Ini dapat di artikan jika ada request ke 10.1.1.10 (IP PUBLIK LAN 1 ) dengan port
80 (web) maka akan di teruskan ke computer dengan IP Address 192.168.10.2
dengan port 80 yang memiliki service wen server sebenarnya.
e. Lakukan percobaan hasil dari dstnat coba akses IP wlan 1 di Router LAN 1 via web
browser dari LAN 2. Coba non aktifkan rule dan coba kembali.