Firewall Basic
Firewall bertujuan untuk melindungi Router dan Clinet dari akses yang tidak
diinginkan, misalanya difungsikan untuk melindungi jaringan lokal (LAN) dari
kemungkinana serangan yang berasal dai Internet. Firewall dapat diimpelentasiakan
dalam MikroTik melalui fitur Filter dan NAT.
Setiap aturan chain yang dibuat akan dibaca oleh router dari atas ke bawah, paket
dicocokan dengan kriteria umum dalam satu chain, jika cocok paket akan melalui
kriteria umum chain berikutnya / dibawah (kecuali dipasssthrought)
Firewall Strategy
Banyak traffic yang harus difilter dan dipilih mana yang harus di perbolehkan (accept)
dan mana yang harus dibuang (drop), ada 2 medote untuk menyederhanakan rule
firewall yang kita buat
o Drop beberapa, lainnya diterima (drop few, accept any)
o Terima beberpa, lainya dibuang (accept few, drop any)
Filter Rule, Protecting the Router + LAB
Buatlah firewall filter yang memperbolehkan hanya IP laptop anda sendiri yang hanya
bisa akses router
a. Kita akan membuat rule ini dengan strategy Accept Few & Drop Any
b. Chain yang digunakan adalah “input” karena kita akan melakukan filtering traffic
yang menuju arah router
c. Buat IF condition di menu IP > Firewall > Filter Rules > General IF (jika) ada traffic
yang menuju kea rah router (chain=input) berasal dai IP Laptop (Src. Address =
192.168.xx.2)
d. Buat THEN condition di menu Action, paket akan di “Accept” , kemudian klik Apply
e. Kita sudah melakukan Accept hanya IP laptop saja (accept few), sedangkan IP
selain laptop dibuatkan rule untuk di drop (drop any) dan buatlah lagi rule IF
condition di menu IP > Firewall > Filter > Rule > General, IF any traffic
g. Remove semua konfigurasi filter firewall yang barusan di buat, kita akan
membuat firewall dengan rule Drop Any Accept Few metodenya adalah drop
any packet kecuali dari IP laptop anda (192.168.xx.2) pada IF condition src
address adalah selain IP laptop (tanda ! berarti “selain”)
Sehingga hanya ada 1 rule dalam Firewall dengan fungsi yang sama
b. Lakukan uji coba dengan browsing menggunakan laptop dan amatilah log
pada router
Disini kita akan melakukan blok situs dari jaringan lokal, yang memiliki akses
ke luar sebagai contoh kita akan memblok situs www.kaskus.co.id
Kita mulai untuk membatasi semua clinet tidak bisa mengkases website
www.kaskus.co.id
a. Sebelumnya kita harus mengetahui IP server dari youtube caranya
adalah menggunakan nslookup di cmd
b. Buatlah filter rule untuk drop IP-kaksus, pada tad Advances, Dst. Addrress List =
IP-kakskus (nama address list yang telah dibuat)
*kita juga bisa mengatur client mana saja yang boleh mengkases kaskus.co.id
dengan mengatur Src. Address pada filter rule, atau definisikan terlebih dahulu IP
kelompok client pada Address List, dan kemudian lakukan action pada kelompok
clinet tersebut
Setiap paket data memiliki status (connection-state) yang dapat dilihat pada
connetion tracking, status koneksi tersebut adalah :
o Invalid = Traffic yang tiba- tiba tanpa adanya request dari internal, bisanya virus
atau traffic yang keluar/masuk melaui jalur yang berbeda
o New = Paket baru untuk satu koneksi
o Establish = Paket yang mengikuti new paket, yaitu yang merupakan paket
sambungan dari paket pertama
o Related = Paket yang muncul secara tiba-tiba namun masih memiliki korelasi dari
paket yang sudah ada (establish) atau baru (new)
o Destination NAT atau dstnat = diberlakukan untuk paket yang menuju jaringan
yang di NAT, biasanya digunakan untuk mengakses dari luar beberapa service
pada jaringan. Dstnat juga dipake untuk membelokkan akses port dari natted
network ke port tertentu pada router atau IP dan Port lain diluar router
a. Fungsikan salah satu clinet pada LAN 1 sebagai web server yang bisa diakses dari
IP luar (WAN), seperti topologi berikut
d. Ini dapat di artikan jika ada request ke 10.1.1.10 (IP PUBLIK LAN 1 ) dengan port
80 (web) maka akan di teruskan ke computer dengan IP Address 192.168.10.2
dengan port 80 yang memiliki service wen server sebenarnya.
e. Lakukan percobaan hasil dari dstnat coba akses IP wlan 1 di Router LAN 1 via web
browser dari LAN 2. Coba non aktifkan rule dan coba kembali.