MTCNA LAB VII

GNS3

FIREWALL & NAT

RInanza Zulmy Alhamri, S.Kom., M.Kom

POLITEKNIK KEDIRI
LAB 1. FIREWALL FILTER – INPUT DAN OUTPUT
1. Topologi yang akan digunakan adalah sebagai berikut

Input – Skenario 1
2. Masuk winbox menggunakan MAC Address, berikan alamat IP pada setiap interface di router,
loopback adapter, dan PC1 (VPCS) sesuai topologi
3. Coba masuk MikroTik melalui SSH menggunakan aplikasi Putty menggunakan IP pada MikroTik
4. Ada 2 cara menolak akses ke router via ssh yaitu:
 dengan mematikan service port ssh
 atau memberikan aturan firewall pada port ssh
5. Menolak akses via ssh dengan disable service port ssh, maka bisa di-disable port ssh yang ada pada
menu IP  services  sorot ssh  klik tanda ‘x’

6. Akses lewat terminal putty, koneksi akan ditolak dengan reply berupa refused

7. Akses via ssh ataupun akses service-service lainnya juga bisa ditolak menggunakan aturan firewall.
Aktikan kembali service ssh terlebih dahulu. Kemudian buka menu IP  firewall  pada jendela
firewall tab filter rules tambahkan aturan dengan klik add ‘+’

8. Pada tab general, isikan chain dengan input  protocol isikan tcp  Dst. Port ikian port 22 (SSH)
 in. interface masukkan ether1  pada tab action pilih action drop
9. Masuk ke router MikroTik melalui Putty dengan IP router

10. Akses router via webfix

11. Tolak akses webfix menggunakan aturan firewall dengan chain input, protocol tcp, dst. Port 80, in
interface ether1, action: drop

12. Lakukan akses webfix kembali

Input – Skenario 2
13. Action reject sama dengan drop namun memiliki pesan yang dikirim kembali sesuai dengan
kebutuhan. Pastikan ping dari PC1 ke mikroTik bisa berjalan terlebih dahulu

14. Buat aturan untuk menolak akses ke MikroTik menggunakan protokol ping pada cmd dengan chain
input, protocol icmp, in interface eher2, dan action drop
15. Lakukan ping kembali dari PC1 ke MikroTik

16. Ganti rule ping icmp dengan mengubah action dari drop menjadi reject  reject with isi dengan
icmp network unreachable

 ping kembali dari PC1 ke MikroTik:

17. Ganti rule ping icmp dengan mengubah action menjadi reject  reject with icmp host unreachable

 ping kembali dari PC1 ke MikroTik:

Input – Skenario 3
18. Buat aturan untuk menutup semua akses ke router MikroTik kecuali menggunakan WinBox 
Hapus semua rule yang telah dibuat sebelumnya  pertama, buat aturan untuk mengakses
 MikroTIk menggunakan WinBox dengan konfigurasu chain input, protocol tcp, dst port 8291,
dengan in interface ether1  tab action pilih action accept

19. Buat aturan kedua dengan drop semua akses ke router dengan konfigurasi chain input, in interface
ether1, dan action drop

20. Uji coba akses router menggunakan ftp dengan buka windows explorer  pada alamat windows
ketikkan ftp://192.168.1.1
21. Buat aturan firewall yang ketiga dengan menerima akses ftp melalui port 21. Konfigurasinya chain
input, protocol tcp, dst port 21, in interface ether1, dan action drop

22. Akses kembali router melalui ftp dengan cara yang sama seperti langkah 20
23. Ubah urutan aturan firewall accept ftp port 21 ke atasnya aturan firewall drop all input

24. Akses kembali router melalui ftp dengan cara yang sama seperti langkah 20

Output
25. Beri aturan output hanya untuk melakukan ping (icmp ke PC aktual maupun PC1

26. Lakukan ping dari dalam router ke pc menggunakan new terminal pada WinBox
LAB 2. FIREWALL FILTER- FORWARD
27. Gunakan topologi seperti berikut

28. Pastikan alamat IP setiap interface router

29. Pastikan alamat IP setiap PC satu jaringan dengan router masing-masing interface

30. Pastikan loopback adapter memiliki ip sesuai topologi

31. Tes ping dari antara PC1 dan PC2

32. Buat aturan firewall agar untuk semua forward, dimana artinya semua PC tidak bisa terhubung
dengan konfigurasi chain forward dan action drop

33. Lakukan ping dari semua PC

34. Ping dari PC1 ke PC2 dan sebaliknya

35. Berikan aturan firewall untuk menerima forward dari PC aktual dengan ditentukan alamat src
address dari PC aktual yaitu 192.168.88.2
36. Lakukan ping dari PC aktual ke PC1

37. Ubah urutan aturan dengan accept berada di atas drop

38. Lakukan ping dari PC aktual ke PC1 kembali

39. Berikan aturan accept forward dari PC1 dengan alamat 192.168.1.2, sesuaikan urutan aturan

40. Lakukan ping dari PC aktual ke PC1 kembali

LAB 3. CUSTOM CHAIN, FIREWALL LOG, DAN CONNECTION STATE
CUSTOM CHAIN
41. Aturan seperti pada lab 2 dimana semua forward di-drop kecuali PC aktual dengan PC1 bisa
dilakukan dengan cara lain menggunakan chain custom  hapus aturan accept yang telah dibuat
sebelumnya  Custom chain dilakukan dengan memilih chain forward  pilih action jump 
isikan src address dari PC Aktual yaitu 192.168.88.2  tuliskan jump target misalkan PCAktual 
OK

 Sesuaikan urutan

42. Buata aturan jump

43. Lakukan ping PC aktual ke PC1

44. Berikan aturan yang sama seperti lab 2

45. Lakukan ping PC aktual ke PC1 kembali

46. Lakukan ping dari PC Aktual ke PC2

47. Alamat ip bisa di list untuk memudahkan penggunaan alamat IP yang lebih dari 1 alamat. Misalkan
memberikan aturan terhadap alamat IP PC1 yang bisa digunakan untuk ping adalah 192.168.1.2-
192.168.1.5, maka buka tab address lists  klik add  beri nama list dengan PC1  isikan alamat
IP (192.168.1.2-192.168.1.5)  OK
48. Ubah aturan firewall accept PCAktual dengan klik 2x  pada tab general kosongi dst. Address 
pada tab advanced isi dst. Address dengan address list PC1  OK

49. Ubah aturan firewall accept forward 192.168.1.2 dengan klik 2x  pada tab general kosongi src.
Address  pada tab advanced isi src. Address dengan address list PC1  OK

50. Ganti alamat IP PC1 dengan misal 192.168.1.4

51. Lakukan ping dari PC aktual menuju PC1

 FIREWALL LOG
52. Untuk mengetahui IP siapa saja yang melakukan akses ke dalam router bisa disimpan di dalam
firewall log. Misalkan ingin mencatat lalu lintas forward maka tambahkan aturan  chain forward
 action log  Ok  urutkan paling pertama

53. Lakukan ping dari PC aktual ke PC1

54. Bisa dilihat pada menu log

55. Misal khusus ping maka protocol yang dipilih adalah icmp dan prefix log bisa ditandai misal ‘ini
yang icmp’
56. Lakukan ping PC Aktual ke PC1, pada log akan terlihat log prefix.

CONNECTION STATE
57. Jika ingin hanya PC aktual yang bisa ping ke PC1 namun tidak sebaliknya bisa memfilter connection
state dengan cara klik 2x accept forward PC1  pilih connection state berupa established

58. Ping PC aktual ke PC1

 Ping dari PC1 ke PC Aktual

59. Untuk tracking connection yang dilakukan client bisa membuka tab connections  tracking
LAB 4. NAT
60. Buat topologi

 Cloud 1 sebagai sumber internet dengan NIO Loopback adapter yang telah tersharing internet
masuk ke ether1 MikroTik
 Cloud 2 sebagai client dengan NIO VirtualBox Host-Only masuk ke ether2 MikroTik

SHARING INTERNET PADA MIKROTIK

61. Pastikan PC Aktual terkoneksi internet

62. Masuk WinBox melalui MAC Address

63. Aktifkan DHCP Client melalui interface ether1

64. Pastikan mendapatkan alamat IP Dinamis

65. Aktifkan DNS Allow Remote Request

66. Ping google.com melalui New Terminal

SHARING INTERNET CLIENT

67. Berikan alamat IP pada interface ether2 sesuai topologi
68. Aktifkan aturan NAT dengan Chain src-nat  out-interface ether1  action masquerade

69. Buka VirtualBox Windows XP dengan network VirtualBox Host Only Adapter

70. Start image XP, Berikan alamat IP client sesuai dengan topologi

71. Buka browser, buka google,com

MENGAKTIFKAN WEB PROXY
72. Pada WinBox buka IP  Web Proxy
73. Pada jendela Web Proxy, tab General centang kotak Enabled  isi port dengan nilai 8080 
kemudian OK

74. Pada PC client (XP) buka browser masuk ke pengaturan proxy, karena pada modul ini
menggunakan Internet Explorer maka buka Tools  Internet Options  buka tab Connections 
klik men LAN Settings  pada proxy server centang kotak  isi address dengan alamat IP Gateway
(192.168.10.1)  port dengan nilai 8080  OK

75. Refresh google, kemudian buka WinBox pada jendela Web Proxy tab General buka menu
Connections. Bila pada jendela Web Proxy Connections terdapat source address dari google dan
terisi maka dipastikan web proxy telah aktif
 *PERHATIAN: Aktifnya Web Proxy dimungkinkan lama

MENGAKTIFKAN EDIRECT HALAMAN

76. Buat aturan NAT dengan cara klik menu IP  Firewall  pada jendela Firewall buka tab NAT 
Klik simbol ‘+’  pada jendela new NAT rule, pada chain isikan dst-nat  Protocol isikan tcp 
Dst. Port isikan 8080

77. Masih pada jendela new NAT rule tab action  pada form action pilih dst-nat  to-address isikan
alamat IP interface router ke client yaitu 192.168.10.1  to-ports isikan 8080  OK

78. Hasilnya

79. Kemudian buka menu IP  Web Proxy  pada tab General pilih menu Access  kemudian pada
Web Proxy Access tambahkan aturan dengan klik ‘+’  pada Dst. Host isikan URL yang akan
diblokir misal “detik.com”  pada form action pilih deny  pada form Redirect To masukkan
alamat URL redirect misal google.com  OK
80. Buka kembali browser, ketikkan URL detik.com, amati yang terjadi. Biar efek redirect ekerja
bersihkan coockies dan cache