MODUL 6
MIKROTIK FIREWALL
A. TUJUAN
1. Mengetahui management di mikrotik router board
B. DASAR TEORI
1. Router
Router adalah perangkat jaringan yang digunakan untuk membagi protocol
kepada anggota jaringan yang lainnya, dengan adanya router maka sebuah
protocol dapat di-sharing kepada perangkat jaringan lain. Contoh aplikasinya
adalah jika kita ingin membagi IP address kepada anggota jaringan maka kita
dapat menggunakan router ini, ciri-ciri router adalah adanya fasilitas DHCP
(Dynamic Host Configuration Procotol), dengan mensetting DHCP, maka kita dapat
membagi IP Address, fasilitas lain dari router adalah adanya NAT (Network
Address Translator) yang dapat memungkinkan suatu IP Address atau koneksi
internet disharing ke IP Address lain.
Router adalah peralatan yang bekerja pada layer 3 Open System
Interconnection (OSI) dan sering digunakan untuk menyambungkan jaringan luas
Wide Area Network (WAN) atau untuk melakukan segmentasi layer 3 di LAN. WAN
seperti halnya LAN juga beroperasi di layer 1, 2 dan 3 OSI sehingga router yang
digunakan untuk menyambungkan LAN dan WAN harus mampu mendukung.
Router memiliki kemampuan melewatkan paket IP dari satu jaringan ke
jaringan lain yang mungkin memiliki banyak jalur diantara keduanya. Router-router
yang saling terhubung dalam jaringan internet turut serta dalam sebuah algoritma
routing terdistribusi untuk menentukan jalur terbaik yang dilalui paket IP dari sistem
ke sistem lain. Proses routing dilakukan secara hop by hop. IP tidak mengetahui
jalur keseluruhan menuju tujuan setiap paket. IP routing hanya menyediakan IP
address dari router berikutnya yang menurutnya lebih dekat ke host tujuan.
2. Firewall
Firewall (tembok-api) adalah sebuah sistem atau perangkat yang
mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan
mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah tembok-api
diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang
(gateway) antara jaringan lokal dan jaringan lainnya. Tembok-api umumnya juga
digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses
terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah
lazim yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan
yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses ke
Internet dan juga tentu saja jaringan berbadan hukum di dalamnya, maka
perlindungan terhadap modal digital perusahaan tersebut dari serangan para
2. Network Firewall
Network Firewall didesain untuk melindungi jaringan secara keseluruhan
dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah
perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan
dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet Security
and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam
sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta
SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi
Solaris. Network Firewall secara umum memiliki beberapa fitur utama, yakni
apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful
firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT
Firewall. Network Firewall umumnya bersifat transparan (tidak terlihat) dari
pengguna dan menggunakan teknologi routing untuk menentukan paket mana
yang diizinkan, dan mana paket yang akan ditolak.
Fungsi Firewall
1. Mengatur dan Mengontrol Lalu lintas jaringan
Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus
dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk
mengakses jaringan private atau komputer yang dilindungi oleh firewall. Fire-
wall melakukan hal yang demikian, dengan melakukan inspeksi terhadap
paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan
penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan
koneksi tersebut.
• Protokol IP
Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling
membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan :
Aminah. Komunikasi di jaringan juga mengikuti cara yang sama untuk meman-
tau keadaan percakapan komunikasi yang terjadi.
Firewall dapat memantau informasi keadaan koneksi untuk menentukan
apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan
dengan memelihara sebuah tabel keadaan koneksi (dalam istilah firewall: state
table) yang memantau keadaan semua komunikasi yang melewati firewall.
Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakah
data yang melewati firewall sedang "ditunggu" oleh host yang dituju, dan jika
ya, aka mengizinkannya. Jika data yang melewati firewall tidak cocok dengan
keadaan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data
tersebut akan ditolak. Hal ini umumnya disebut sebagai Stateful Inspection.
yang cukup signifikan jika dibandingkan dengan firewall dengan inspeksi paket
biasa. Apalagi, proses ini diselesaikan tanpa adanya kebutuhan untuk
mendefinisikan sebuah kebijakan untuk mengizinkan respons dan komunikasi
selanjutnya. Kebanyakan firewall modern telah mendukung fungsi ini.
oleh host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas
yang oleh firewall telah diizinkan (dalam konfigurasinya). Sebagai contoh, jika
sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke sebuah web
server yang menjalankan sebuah layanan web yang memiliki lubang keaman-
an yang belum ditambal, maka seorang pengguna yang "iseng" dapat saja
membuat exploit untuk meruntuhkan web server tersebut karena memang web
server yang bersangkutan memiliki lubang keamanan yang belum ditambal.
Dalam contoh ini, web server tersebut akhirnya mengakibatkan proteksi yang
ditawarkan oleh firewall menjadi tidak berguna. Hal ini disebabkan oleh firewall
yang tidak dapat membedakan antara request HTTP yang mencurigakan atau
tidak. Apalagi, jika firewall yang digunakan bukan application proxy. Oleh kar-
ena itulah, sumber daya yang dilindungi haruslah dipelihara dengan melakukan
penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi
oleh firewall.
yakni kerumitan konfigurasi terhadap firewall: daftar Access Control List fire-
wall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau
port yang dimasukkan ke dalamnya, selain tentunya juga exception yang diber-
lakukan.
ternal dalam paket-paket yang ia terima, melainkan alamat IP dari firewall. Pro-
tokol yang populer digunakan sebagai Circuit-Level Gateway adalah SOCKS
v5.
Application Level Firewall
pada proxy SMTP sehingga mereka dapat menerima surat elektronik dari luar
(tanpa menampakkan alamat e-mail internal), lalu meneruskan e-mail tersebut
kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan yang
lebih rumit, firewall jenis ini mengharuskan komputer yang dikonfigurasikan se-
bagai application gateway memiliki spesifikasi yang tinggi, dan tentu saja jauh
lebih lambat dibandingkan dengan packet-filter firewall.
3. Mikrotik
MikroTik RouterOS™, merupakan sistem operasi Linux base yang
diperuntukkan sebagai network router. Didesain untuk memberikan kemudahan
bagi penggunanya. Administrasinya bisa dilakukan melalui Windows Application
(WinBox). Selain itu instalasi dapat dilakukan pada Standard komputer PC
(Personal Computer). PC yang akan dijadikan router mikrotik pun tidak
memerlukan resource yang cukup besar untuk penggunaan standard, misalnya
hanya sebagai gateway. Untuk keperluan beban yang besar (network yang
kompleks, routing yang rumit) disarankan untuk mempertimbangkan pemilihan
resource PC yang memadai.
Sejarah MikroTik RouterOS, mikroTik adalah sebuah perusahaan kecil
berkantor pusat di Latvia, bersebelahan dengan Rusia. Pembentukannya
diprakarsai oleh John Trully dan Arnis Riekstins. John Trully adalah seorang
berkewarganegaraan Amerika yang berimigrasi ke Latvia. Di Latvia ia bejumpa
dengan Arnis, seorang sarjana Fisika dan Mekanik sekitar tahun 1995.
John dan Arnis mulai me-routing dunia pada tahun 1996 (misi MikroTik adalah
me-routing seluruh dunia). Mulai dengan sistem Linux dan MS-DOS yang
dikombinasikan dengan teknologi Wireless-LAN (WLAN) Aeronet berkecepatan 2
Mbps di Moldova, negara tetangga Latvia, baru kemudian melayani lima
pelanggannya di Latvia.
Prinsip dasar mereka bukan membuat Wireless ISP (W-ISP), tetapi membuat
program router yang handal dan dapat dijalankan diseluruh dunia. Latvia hanya
merupakan tempat eksperimen John dan Arnis, karena saat ini mereka sudah
membantu negara-negara lain termasuk Srilanka yang melayani sekitar 400
pengguna. Linux yang pertama kali digunakan adalah Kernel 2.2 yang
dikembangkan secara bersama-sama dengan bantuan 5-15 orang staff Research
4. NAT Firewall
NAT (Network Address Translation) Firewall secara otomatis menyediakan
proteksi terhadap sistem yang berada di balik firewall karena NAT Firewall hanya
mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik
firewall. Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu lintas
dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang
lebih luas (MAN, WAN atau Internet) seolah-olah paket tersebut datang dari
sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam
memori yang mengandung informasi mengenai koneksi yang dilihat oleh firewall.
Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal.
Kemampuan untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP
didasarkan terhadap pemetaan terhadap port-port dalam NAT firewall.
Stateful Firewall
tersedia pada beberapa firewall kelas atas, semacam Cisco PIX. Karena
menggabungkan keunggulan jenis-jenis firewall lainnya, stateful firewall menjadi
lebih kompleks.
Virtual Firewall
Virtual Firewall adalah sebutan untuk beberapa firewall logis yang berada
dalam sebuah perangkat fisik (komputer atau perangkat firewall lainnya).
Pengaturan ini mengizinkan beberapa jaringan agar dapat diproteksi oleh sebuah
firewall yang unik yang menjalankan kebijakan keamanan yang juga unik, cukup
dengan menggunakan satu buah perangkat. Dengan menggunakan firewall jenis
ini, sebuah ISP (Internet Service Provider) dapat menyediakan layanan firewall
kepada para pelanggannya, sehingga mengamankan lalu lintas jaringan mereka,
hanya dengan menggunakan satu buah perangkat. Hal ini jelas merupakan
penghematan biaya yang signifikan, meski firewall jenis ini hanya tersedia pada
firewall kelas atas, seperti Cisco PIX 535.
Transparent Firewall
Transparent Firewall (juga dikenal sebagai bridging firewall) bukanlah sebuah
firewall yang murni, tetapi ia hanya berupa turunan dari stateful Firewall. Daripada
firewall-firewall lainnya yang beroperasi pada lapisan IP ke atas, transparent
firewall bekerja pada lapisan Data-Link Layer, dan kemudian ia memantau lapisan-
lapisan yang ada di atasnya. Selain itu, transparent firewall juga dapat melakukan
apa yang dapat dilakukan oleh packet-filtering firewall, seperti halnya stateful
firewall dan tidak terlihat oleh pengguna (karena itulah, ia disebut sebagai
Transparent Firewall).
Intinya, transparent firewall bekerja sebagai sebuah bridge yang bertugas untuk
menyaring lalu lintas jaringan antara dua segmen jaringan. Dengan menggunakan
transparent firewall, keamanan sebuah segmen jaringan pun dapat diperkuat,
tanpa harus mengaplikasikan NAT Filter. Transparent Firewall menawarkan tiga
buah keuntungan, yakni sebagai berikut :
1. Konfigurasi yang mudah (bahkan beberapa produk mengklaim sebagai
"Zero Configuration"). Hal ini memang karena transparent firewall
dihubungkan secara langsung dengan jaringan yang hendak diproteksinya,
C. PERMASALAHAN
1. Buatlah konfigurasi jaringan komputer seperti gambar dibawah ini :
b. Client 1 bisa mengakses internet dan hanya bisa mengakses web pada
DMZ namun tidak bisa melakukan ping ke DMZ
d. Client 3 hanya bisa mengakses winbox pada Router namun tidak bisa
mengakses jaringan lain.
D. ANALISIS PERMASALAHAN
D.1. Konfigurasi Jaringan Komputer
Melakukan konfigurasi seperti gambar dibawah ini :
Dari gambar diatas terlihat bahwa client sudah dapat terhubung dengan
router, ditandai dengan tapilnya halaman admin untuk router. Selanjutnya
adalah melakukan konfigurasi – konfigurasi sesuai permasalahan.
2. Reset winbox
Tahap selanjutnya adalah melakukan reset terhadap router, hal ini
dimaksudnya untuk membersihkan konfigurasi – konfigurasi yang telah
tersimpan sebelumnya. Melakukan reset winbox dengan memilih New Terminal
pada menu sebelah kanan, kemudian akan muncul terminal. Pada terminal
menuliskan perintah berikut :
system reset
3. Konfigurasi interface
Interface adalah port – port yang digunakan untuk terhubung dengan
device atau host lainnya dalam satu jaringan. Pengaturan interface
dimaksudkan untuk memberikan pengenal yaitu mengganti nama interface
sesuai dengan fungsinya.
Pada praktikum menggunakan router board 333 yang mana memiliki 3 port
yang masing – masing port memiliki kegunaan masing masing. Ethernet1
Pada gambar diatas dapat dilihat bahwa tiap interface (ethernet) diberikan
nama masing – masing sesuai dengan kegunaannya.
4. Konfigurasi IP interface
Konfigurasi IP dimaksudkan agar tiap interface atau device dapat saling
terhubung satu sama lain. Pada percobaan ini, untuk interface internet
diberikan IP 192.168.1.4/29, dmz dengan IP 192.168.2.1, dan client dengan IP
192.168.3.1.
Cara yang sama juga berlaku untuk interface yang lain, sehingga tiap
interface mendapatkan IP masing – masing
5. Konfigurasi IP DMZ
Agar DMZ bisa terhubung dengan router, maka perlu melakukan
konfigurasi IP, dimana pada percobaan ini DMZ di berikan IP 192.168.2.2/30.
6. Konfigurasi IP Client
Tahap selanjutnya adalah mengkonfigurasi IP pada masing masing
komputer client. Pada percobaan ini digunakan 3 buah client, sehingga masing
– masing client memiliki IP berurut 192.168.3.2, 192.168.3.3, dan 192.168.3.4.
7. Konfigurasi DNS
Konfigurasi DNS dimaksudnya untuk memberikan nama untuk sebuat IP
sehingga lebih mudah di ingat dan diakses oleh orang banyak. Untuk
mengkonfigurasi DNS dapat dengan memilih menu IP → DNS. Setelah jendela
DNS terbuka kemudian menekan tombokl Setting.
dari gambar diatas terlihat bahwa sebuah DNS baru dengan nama
winkom.org, dengan IP 192.168.3.3. Jadi setiap komputer yang terhubung yang
mengakses winkom.org maka akan di translate ke IP 192.168.3.3
2. Client 1 bisa mengakses internet dan hanya bisa mengakses web pada
DMZ namun tidak bisa melakukan ping ke DMZ
Agar client 1 bisa mengakses internet, maka harus dibuat terlebih dahulu
konfigurasi untuk firewall, dengan memilih IP → Firewall. Kemudian setelah
jendela firewall terbuka maka pilih tanda (+) atau add new rule.
Yang pertama adalah membuat sebuah rule agar client 1 bisa terhubung
dengan web pada DMZ, yaitu dengan memberikan source nya 192.168.3.2
(client 1) dan destination nya 192.168.2.2 (DMZ) dengan hanya protokol TCP
port 80.
Dari gambar diatas terlihat bahwa client 1 tidak dapat melakukan ping
terhadap DMZ, dimana balasan yang diterima berupa Host Unreachable.
Kemudian selanjutnya melakukan akses web terhadap DMZ.
Setelah semua rule yang diatas dimasukkan, akan terlihat list rule seperti
gambar dibawah ini :
Dari gambar diatas terlihat bahwa client 2 tidak bisa melakukan browsing
internet dengan adanya pemberitahuan problem loading page. Kemudian
selanjutnya melakukan perintah FTP ke 192.168.2.2 (DMZ)
4. Client 3 hanya bisa mengakses winbox pada Router namun tidak bisa
mengakses jaringan lain.
Untuk membatasi winbox hanya dapat diakses oleh client 3, dapat dilakukan
dengan cara memilih IP à Services
E. KESIMPULAN
1. Router adalah sebuah alat jaringan komputer yang mengirimkan paket data
melalui sebuah jaringan atau Internet menuju tujuannya, melalui sebuah proses
yang dikenal sebagai routing. Proses routing terjadi pada lapisan 3 (Lapisan
jaringan seperti Internet Protocol) dari stack protokol tujuh-lapis OSI
4. Network Address Translation atau yang lebih biasa disebut dengan NAT adalah
suatu metode untuk menghubungkan lebih dari satu komputer ke jaringan
internet dengan menggunakan satu alamat IP
5. Akses mirotik:
1. via console
2. via winbox
3. via web
F. TUGAS PENDAHULUAN
Gambar 6.1 contoh dari mikrotik dalam bentuk Routerboard, dengan tipe RB450 dan
RB 750
- Masquarade
Mikrotik - Masquerade
Berikut contoh konfigurasi sederhana untuk melakukan masquerading pada Mikrotik.
Terlihat pada konfigurasi di bawah, tujuan kita adalah agar semua terminal di LAN
pada range IP 10.0.0.0/24 bisa terhubung ke ISP (Internet).
Setelah selesai, cek dengan melakukan ping dan browsing (jangan lupa dengan setup
DNS), apabila bisa maka konfigurasi berhasil
- NAT
Saat ini, protokol IP yang banyak digunakan adalah IP version 4 (IPv4). Dengan
panjang alamat 4 bytes berarti terdapat 2 pangkat 32 = 4.294.967.296 alamat IP yang
tersedia. Jumlah ini secara teoretis adalah jumlah komputer yang dapat langsung
koneksi ke internet. Karena keterbatasan inilah sebagian besar ISP (Internet Service
Provider) hanya akan mengalokasikan satu alamat untuk satu user dan alamat ini
bersifat dinamik, dalam arti alamat IP yang diberikan akan berbeda setiap kali user
melakukan koneksi ke internet. Hal ini akan menyulitkan untuk bisnis golongan
menengah ke bawah. Di satu sisi mereka membutuhkan banyak komputer yang
terkoneksi ke internet, akan tetapi di sisi lain hanya tersedia satu alamat IP yang berarti
hanya ada satu komputer yang bisa terkoneksi ke internet. Hal ini bisa diatasi dengan
metode NAT. Dengan NAT gateway yang dijalankan di salah satu komputer, satu
alamat IP tersebut dapat dishare dengan beberapa komputer yang lain dan mereka
bisa melakukan koneksi ke internet secara bersamaan.
Routing dinamik
• Router berbagi informasi routing secara otomatis
• Jumlah gateway sangat banyak.
• Routing tbael dibuat secara dinamik.
• Membutuhkan protokl routing seperti RIP atau OSPF
Routing statis
Cara kerja routing statis dapat dibagi menjadi 3 bagian
• administarator jaringan yang mengkonfigurasi router.
• router melakukan routing berdasarkan informasi dalam tabel routing.
• routing statis digunakan untuk melewatkan paket data.
Seorang administrator harus mengunakan perintah ip.route scara manual untuk
mengkonfigurasi router dengan routing statis.
Routing dinamis
• Routing protokol adalah berbeda dengan routed protokol. Routing protokol
adalah komunikasi antara router2. Routing protokol mengijinkan router untuk
sharing informasi tentang jaringan dan koneksi antar router.
• Router menggunakan informasi ini untuk membangun dan memperbaiki tabel
routingnya. seperti pada contoh dibawah ini.
- Menemukan rute
- Pemilihan rute
- Menjaga informasi routing.
Tabel routing : Sebuah router mempelajari informasi routing dari mana sumber dan
tujuannya yang kemudian di tempatkan pada tabel routing. Router akan berpatokan
pada tabel ini. untuk memberi tahu port yang akan digunakan untuk meneruskan paket
ke alamat tujuan.
Kita masuk ke mikrotik, melalui new terminal, kita ikuti langkah berikut:
Setting IP Addres
/ ip address add address=192.168.0.1/24 network=192.168.0.0
broadcast=192.168.0.255 interface=client
add address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255
interface=modem1
add address=192.168.2.2/24 network=192.168.2.0 broadcast=192.168.2.255
interface=modem2
IP Route
/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1,192.168.2.1 check-
gateway=ping
Setting Firewall: NAT dan Mangle
/ip firewall nat
add chain=srcnat out-interface=modem1 action=masquerade
add chain=srcnat out-interface=modem2 action=masquerade
/ ip firewall mangle
add chain=input in-interface=modem1 action=mark-connection new-
connection-mark=modem1_conn
add chain=input in-interface=modem2 action=mark-connection new-
connection-mark=modem2_conn
add chain=output connection-mark=modem1_conn action=mark-routing new-
routing-mark=to_modem1
add chain=output connection-mark=modem2_conn action=mark-routing new-
routing-mark=to_modem2
Routing ke mangle
/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_modem1
add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_modem2
- DHCP Server
Sekarang kita coba membuat DHCP server dengan mikrotik, tujuannya adalah
memberikan otomatis IP address pada PC client kita
Pertama buat IP Pool, yaitu range IP yang bisa digunakan oleh server DHCP anda.
Untuk case ini PC akan diberikan ip dari 192.168.0.2 sampai 192.168.0.254, berarti
ada 253 PC yang bisa dihandle server DHCP.
/ip pool
add name="dhcp_pool" ranges=192.168.0.2-192.168.0.254
/ip dhcp-server
add address-pool=dhcp_pool authoritative=after-2sec-delay bootp-
support=static disabled=no interface=ether2 lease-time=3d
name="dhcp_server"
Setting diatas menjelaskan bahwa server anda menggunakan address pool dgn nama
“dhcp_pool” dan menggunakan “ether2″ untuk interface yang digunakan mikrotik
(interface tersebut yang terhubung dengan switch/hub jaringan lokal anda)
/ip dhcp-server network
add address=192.168.0.0/24 comment="" dns-
server=10.20.40.100,10.20.40.200 gateway=192.168.0.1 netmask=24
Setting diatas menjelaskan bahwa DHCP mikrotik menggunakan Network ID
192.168.0.0/24 Netmask 255.255.255.0 (/24) dengan pemberian gateway ke
192.168.0.1 dan DNS 10.20.40.100, 10.20.40.200
Setting network pada PC client anda dengan mencentang “Obtain an IP Address
Automatically” dan “Obtain DNS Server Address Automatically”
Done! anda sudah bisa membuat DHCP server dengan mikrotik
Adapun konfigurasi :
/ ip firewall address-list
add list=ournetwork address=211.202.58.1/xx comment=”JAK.net” dis-
abled=no
add list=ournetwork address=192.168.0.1/24 comment=”LAN Network”
disabled=no
/ ip firewall filter
add chain=forward connection-state=established action=accept com-
ment=”allow established connections” disabled=no
add chain=forward connection-state=related action=accept
comment=”allow related connections” disabled=no
- Mangle
Mangle merupakan metode bandwidth manajemen, kalau seandainya ingin bandwidth
tersebut dibagi sama rata oleh Mikrotik.
seperti bandwidth 256kbps downstream dan 128kbps upstream. Sedangkan client
yang akan mengakses sebanyak 10 client, maka otomatis masing-masing client
mendapat jatah bandwidth downstream sebanyak 256kbps dibagi 10 dan upstream
sebanyak 128kbps dibagi 10. Jadi masing-masing client mendapat 25,6kbps untuk
downstream dan 12.8kbps untuk upstream. Andaikata hanya 2 Client yang mengakses
maka masing-masing client dapat 128kbps untuk downstream dan 64kbps untuk
upstream.
Untuk itu dipakai type PCQ (Per Connection Queue), yang bisa secara otomatis
membagi trafik per client.
Tentang jenis queue di mikrotik ini dapat dibaca pada manualnya di
http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php .
——————————————————————————–
/queue tree add name=Download parent=Local max-limit=256k
/queue tree add parent=Download queue=pcq-download packet-mark=users
——————————————————————————-
Dan trafik upstreamnya :
——————————————————————————-
/queue tree add name=Upload parent=Public max-limit=128k
/queue tree add parent=Upload queue=pcq-upload packet-mark=users
- Queue
Queue (manajemen bandwith)
Configurasi Simple Queue:
Anda bisa membuat kelompok (parent) untuk client-kusus dengan bandwith 256kbps
yang didalamnya terdiri dari 3 user sehingga bandwith 256 tadi akan di share untuk 3
user tesebut, dan parent2 yang lainpun bisa anda buat sesuai keinginan anda.
[nanang@Mikrotik] queue> simple
[nanang@Mikrotik] queue simple
- DNS server
Domain Name System (DNS) adalah distribute database system yang
digunakan untuk pencarian nama komputer (name resolution) di jaringan yang
mengunakan TCP/IP (Transmission Control Protocol/Internet Protocol). DNS biasa
digunakan pada aplikasi yang terhubung ke Internet seperti web browser atau e-mail,
dimana DNS membantu memetakan host name sebuah komputer ke IP address. DNS
dapat disamakan fungsinya dengan buku telepon. Dimana setiap komputer di jaringan
Internet memiliki host name (nama komputer) dan Internet Protocol (IP) address.
Secara umum, setiap client yang akan mengkoneksikan komputer yang satu ke
komputer yang lain, akan menggunakan host name. Lalu komputer anda akan
menghubungi DNS server untuk mencek host name yang anda minta tersebut berapa
IP address-nya. IP address ini yang digunakan untuk mengkoneksikan komputer anda
dengan komputer lainnya.
Namun jika kita telah membangun DNS server sendiri maka pada router mikrotik maka
kita arahkan DNS nya ke DNS server yang telah kita bangun, dalam hal ini server DNS
yang penulis bangun menggunakan IP 192.168.2.100
Berikut adalah step by step seting DNS server di Mikrotik :
1. Login ke winbox
2. Pilih menu IP
3. Pilih DNS
4. Klik tombol settings
5. Pada Primary DNS masukan IP DNS server milik anda dalam hal ini penulis
gunakan 192.168.2.100
6. Pada Secondary DNS masukan IP DNS server lain misal milik telkom, google,
OPenDNS atau Nawala
7. Klik Ok
dan berikut ini adalah screenshoot-nya
3. via web
Mikrotik juga dapat diakses via web/port 80 dengan menggunakan browser
IATG-SOLO
C-c quit C-o save&quit C-u undo C-k cut line C-y paste
Edit kemudian tekan Cltr-o untuk menyimpan dan keluar dari editor
Kalo menggunakan winbox, tampilannya seperti ini:
Nilai 0 adalah nilai ether1, jika ingin mengganti ethet2 nilai 0 diganti dengan 1.
masuk ke editor ketik missal saya ganti dengan nama local:
local
C-c quit C-o save&quit C-u undo C-k cut line C-y paste
Edit kemudian tekan Cltr-o untuk menyimpan dan keluar dari editor
Lakukan hal yang sama untuk interface ether 2, sehingga jika dilihat lagi akan muncul
seperti ini:
Via winbox:
Pilih menu interface, klik nama interface yg ingin di edit, sehingga muncul jendela edit interface .
Masukkan IP addres value pada kolom address beserta netmask, masukkan nama
interface yg ingin diberikan ip addressnya.Untuk Interface ke-2 yaitu interface public,
caranya sama dengan diatas, sehingga jika dilihat lagi akan menjadi 2 interface:
Via winbox:
Network Address Translation atau yang lebih biasa disebut dengan NAT adalah
suatu metode untuk menghubungkan lebih dari satu komputer ke jaringan internet
dengan menggunakan satu alamat IP. Banyaknya penggunaan metode ini disebabkan
karena ketersediaan alamat IP yang terbatas, kebutuhan akan keamanan (security),
dan kemudahan serta fleksibilitas dalam administrasi jaringan.
Saat ini, protokol IP yang banyak digunakan adalah IP version 4 (IPv4). Dengan
panjang alamat 4 bytes berarti terdapat 2 pangkat 32 = 4.294.967.296 alamat IP yang
tersedia. Jumlah ini secara teoretis adalah jumlah komputer yang dapat langsung
koneksi ke internet. Karena keterbatasan inilah sebagian besar ISP (Internet Service
Provider) hanya akan mengalokasikan satu alamat untuk satu user dan alamat ini
bersifat dinamik, dalam arti alamat IP yang diberikan akan berbeda setiap kali user
melakukan koneksi ke internet. Hal ini akan menyulitkan untuk bisnis golongan
menengah ke bawah. Di satu sisi mereka membutuhkan banyak komputer yang
terkoneksi ke internet, akan tetapi di sisi lain hanya tersedia satu alamat IP yang berarti
hanya ada satu komputer yang bisa terkoneksi ke internet. Hal ini bisa diatasi dengan
metode NAT. Dengan NAT gateway yang dijalankan di salah satu komputer, satu
alamat IP tersebut dapat dishare dengan beberapa komputer yang lain dan mereka
bisa melakukan koneksi ke internet secara bersamaan.
Gambar 6.9 masquerading, rule source NAT dengan action 'masquerade' ditambahkan
pada konfigurasi firewall
Salah satu fungsi proxy adalah untuk menyimpan cache. Apabila sebuah LAN
menggunakan proxy untuk berhubungan dengan Internet, maka yang dilakukan oleh
browser ketika user mengakses sebuah url web server adalah mengambil request
tersebut di proxy server. Sedangkan jika data belum terdapat di proxy server maka
proxy mengambilkan langsung dari web server. Kemudian request tersebut disimpan di
cache proxy. Selanjutnya jika ada client yang melakukan request ke url yang sama, akan
diambilkan dari cache tersebut. Ini akan membuat akses ke Internet lebih cepat.
Bagaimana agar setiap pengguna dipastikan mengakses Internet melalu web proxy yang
telah kita aktifkan? Untuk ini kita dapat menerapkan transparent proxy. Dengan
transparent proxy, setiap Browser pada komputer yang menggunakan gateway ini secara
otomatis melewati proxy.
enabled: yes
src-address: 0.0.0.0
port: 3128
hostname: "IATG-SOLO"
transparent-proxy: yes
parent-proxy: 0.0.0.0:0
cache-administrator: "ropix.fauzi@infoasia.net"
max-object-size: 8192KiB
cache-drive: system
max-cache-size: unlimited
max-ram-cache-size: unlimited
status: running
reserved-for-cache: 4733952KiB
reserved-for-ram-cache: 2048KiB
Membuat rule untuk transparent proxy pada firewall NAT, tepatnya ada dibawah rule
untuk NAT masquerading:
[ropix@IATG-SOLO] > /ip firewall nat add chain=dstnat in-
interface=local src-address=192.168.0.0/24 protocol=tcp dst-port=80
action=redirect to-ports=3128
Pada winbox:
1. Aktifkan web proxy pada menu IP>Proxy>Access>Setting ( check box enable)
Gambar 6.11 rule untuk transparent proxy pada menu IP firewall dan Nat
Tutorial berikutnya semua setting mikrotik menggunakan winbox, karena lebih user
friendly dan efisien.
Simple queue:
Misal kita akan membatasi bandwidth client dengan ip 192.168.0.3 yaitu untuk
upstream 64kbps dan downstream 128kbps
Setting pada menu Queue>Simple Queue
Queue tree
Klik menu ip>firewall>magle
Bridge adalah suatu cara untuk menghubungkan dua segmen network terpisah
bersama-sama dalam suatu protokol sendiri. Paket yang diforward berdasarkan alamat
ethernet, bukan IP address (seperti halnya router). Karena forwarding paket
dilaksanakan pada Layer 2, maka semua protokol dapat melalui sebuah bridge.
Jadi analoginya seperti ini, anda mempunyai sebuah jaringan local 192.168.0.0/24
gateway ke sebuah modem ADSL yg juga sebagai router dengan ip local
192.168.0.254 dan ip public 222.124.21.26.
Anda ingin membuat proxy server dan mikrotik sebagai BW management untuk
seluruh client. Nah mau ditaruh dimanakan PC mikrotik tersebut? Diantara hub/switch
dan gateway/modem? Bukankah nanti jadinya dia sebagai NAT dan kita harus
menambahkan 1 blok io privat lagi yang berbeda dari gateway modem?
Solusinya mikrotik di set sebagai bridging, jadi seolah2 dia hanya menjembatani antar
kabel UTP saja. Topologinya sbb:
Internet----------Moderm/router-----------Mikrotik--------Switch/Hub-----Client
Dengan memberikan IP Address pada interface bridge, maka mikrotik dapat di remote
baik dari jaringan yg terhubung ke interface local ataupun public.
DAFTAR PUSTAKA
Wijayanto Heri, Widhiarta IBK. 2007, Diktat Mata Kuliah Jaringan Komputer,
Jurusan Teknik Elektro. FT. UNRAM
Wiranata Ervan. 2010, Laporan Praktikum Jaringan Komputer. Jurusan teknik
Elektro. FT. UNRAM
Akbar, Lalu Irfan ST, M.Eng, 2011, Modul Mata Kuliah Jaringan Komputer,
Jurusan Teknik Elektro. FT.Unram
TUGAS
1.