FIREWALL

Firewall merupakan perangkat yang berfungsi untuk memeriksa dan menentukan paket data
yang dapat keluar atau masuk dari sebuah jaringan. Dengan kemampuan menentukan
apakah sebuah paket data bisa masuk dan keluar dari suatu jaringan maka firewall berperan
untuk melindungi jaringan dari serangan yang berasal dari luar (outside netwaork), Misalnya
difungsikan untuk melindungi jaringan lokal (LAN) dari kemungkinan serangan yang berasal
dari internet. Pada materi ini akan membahas satu fitur yang ada di firewall router mikrotik
yaitu Network Address Translation (NAT).
NAT adalah suatu fungsi firewall yang sebenarnya melakukan tugas perubahan IP address
pengirim dari sebuah paket data. NAT ini umumnya dijalankan pada router-router yang
menjadi batas antara jaringan lokal dan jaringan internet. Secara teknis NAT akan
mengubah paket data yang berasal dari laptop user seolah-olah berasal dari router.
Masquerade akan menyembunyikan laptop yang ada di jaringan lokal sekaligus membuat
laptop tersebut bertopeng (ber-mask) ke IP address 192.168.5.194. Sehingga baik laptop
user 10.10.10.2 s/d 10.10.10.6 akan dikenal di internet sebagai IP address 192.168.5.194

Konfigurasi NAT
1. Sebelum konfigurasi IP address pada mikrotik interface1 (eth1), perlu mengetahui
dulu IP address internet tersebut dengan cara kabel LAN eth1 dipindahkan ke salah
satu laptop, kemudian buka CMD dan ketik ipconfig, jika dilakukan dengan benar
maka hasilnya bisa diperoleh seperti gambar di bawah ini. Ingat IP address pada
ethernet laptop di setting obtain dulu.

1
2. Berdasarkan gambar di atas Maka Ip address eth1 192.168.5.194/24
Sedangkan IP address untuk eth2 bebas tidak tergantung dari IP address eth1. Misal
10.10.10.1/29. Jika dikonfigurasi pada mikrotik akan seperti gambar di bawah ini

3. Konfigurasi IP address laptop harus satu network dengan eth2. Jika dilakukan
dengan benar kemudian di lihat pada CMD hasilnya seperti gambar di bawah ini

4. Konfigurasi routing default 0.0.0.0/0 ke gateway internet agar router mikrotik

memperoleh jalur/rute ke internet

5. Konfigurasi masquerade
Router mikrotik pada gambar paling atas merupakan router yg berada diantara
jaringan publik (internet) dan jaringan lokal (LAN). Router yg berada pada posisi
tersebut harus menjalankan Network Address Translation (NAT) yang berfungsi
mengganti IP address pada setiap paket data yang keluar dari laptop (IP address
private) menjadi IP address publik yg ada di ether1.

2
Di dalam menerapkan NAT, dikenal teknik masquerade yg merupakan teknik
pergantian otomatis IP address private menjadi IP address publik yg ada di router
mikrotik.

Tes ping hasil konfigurasi

Sampai konfigurasi ini jika tes ping pada winbox hasilnya sebagai berikut

3
 Artinya IP ini sudah terhubung dengan internet, tetapi belum bisa digunakan untuk
browsing karena belum ada DNS, maka perlu konfigurasi DNS.

6. Konfigurasi DNS

Tes Ping di winbox

Tes ping di CMD

Dengan demikian laptop sudah bisa digunakan untuk browsing. Alhamdulillah

A. Filter akses IP address tertentu

Firewall di router mikrotik dapat melakukan filtering akses (filter rule). Filter rule adalah
firewall yang digunakan untuk kebijakan hak akses sebuah traffic yang ada dalam
jaringan. Dalam menu firewall filter rule ada 3 chain ayitu input, output dan forward.
1. Chain input digunakan untuk mengelola paket yang masuk router dan alamat IP yang
dimiliki router.

4
2. Chain output digunakan untuk mengelola trafik yang keluar dari router ke alamat
tujuan, jadi trafik berasal dari dalam router ke destination network. Misalnya adalah
akses ping. Penerapan chain output salah satunya adalah dengan pengaturan jika
ada percobaan ke router salah sebanyak beberapa kali maka router akan blokir IP
address tersebut.
3. Chain forward digunakan untuk mengelola paket yang masuk ke router dan kemudian
diteruskan ke tujuan dengan cara melewati router. Misalnya trafik dari jaringan publik
ke jaringan lokal

Action Filter
 Accept = paket diterima dan tidak melanjutkan membaca baris berikutnya.
 drop = menolak paket secara diam-diam (tidak mengirimkan pesan penolakan ICMP).
 reject = menolak paket dan mengirimkan pesan penolakan ICMP.
 Tarpit= menolak, tetapi tetap menjaga TCP connections yang masuk
(membalas dengan SYN/ACK untuk paket TCP SYN yang masuk).
 log – menambahkan informasi paket data ke log.

Misal yang diblokir IP address 10.10.10.3/29.

Catatan : sebelum melakukan konfigurasi interface ether1 saya ganti ether1_internet (ini
opsional saja tdk berpengaruh terhadap konfigurasi firewall)
1. Konfigurasi NAT seperti gambar

2. Konfigurasi filter rule

Klik menu IP >> Firewall >> filter rule

5
 Jika konfigurasinya berhasil hasilnya

3. IP address laptop diganti 10.10.10.3 kemudian ping ke 8.8.8.8.

4. Hasilnya laptop tidak terhubung dengan 8.8.8.8

B. Filter rule ke beberapa IP address

Misal yang diblokir IP address 10.10.10.4 s/d 10.10.10.6

Langkah-langkahnya sebagai berikut:
1. Membuat satu filter rule lagi dan dikonfigurasi seperti gambar di bawah ini.

6
2. Setelah konfigurasi hasilnya seperti di bawah ini ada dua filter rule

3. IP address laptop diganti salah satu dari IP yang diblokir misal 10.10.10.6, kemudian
ping ke google.com, maka hasilnya seperti gambar di bawah ini. (laptop tidak
terhubung dengan internet

Dengan demikian bahwa IP address yang diblokir adalah:

10.10.10.3, 10.10.10.4, 10.10.10.5 dan 10.10.10.6
Sedangkan IP address yg tidak terblokir adalah 10.10.10.2

7
C. Filter rule ke website tertentu
Misalkan yang diblokir adalah website mikrotik.com
Langkah-langkahnya sebagai berikut:
1. Mengetahui IP server domain yang akan diblok, hal ini bisa dilakukan dengan
menggunakan ping domain.

2. Menambahkan filter rule pada firewall

Tes koneksi ke mikrotik.com dengan web brouser

8
 Terlihat di brouser client tidak menampilkan halaman web mikrotik.com.
Permasalahan yang muncul dari penggunaan filter ini adalah ada website besar
seperti facebook.com, youtube.com dan lain lain yang memiliki puluhan IP address
server yang berbeda.

D. Filter rule ke port tertentu

Secara umum ada banyak port logic yang digunakan dalam sebuah jaringan, baik itu
jaringan LAN, internet, WAN, jaringan yang menggunakan protocol tertentu dan
sebagainya. Pada dasarnya sebuah Port Logic pada jaringan komputer dan juga pada
sebuah komputer terdiri dari banyak sekali jenis dan fungsinya. Apabila diurutkan secara
runtut, sebuah port logic di dalam komputer dan jaringannya terdiri dari port 0 hingga port
10000.
Port yang merupakan salah satu perangkat untuk mengakses internet menjadi salah satu
hardware jaringan yang wajib ada. Akan tetapi, ada bebrapa port logic yang paling umum
digunakan pada jaringan internet, baik untuk menghubungkan protocol ataupun untuk
melakukan sitem sharing dan fungsi lainnya. Berikut ini contoh dua port logic yang
terdapat di dalam jaringan, beserta dengan fungsinya dan yang akan diblokir

1. Port 80 merupakan port untuk HTTP

HTTP adalah sebuah protokol jaringan lapisan aplikasi yang digunakan untuk sistem
informasi terdistribusi, kolaboratif, dan menggunakan hipermedia. Penggunaannya

9
 banyak pada pengambilan sumber daya yang saling terhubung dengan tautan, yang
disebut dengan dokumen hiperteks

2. Port 443 merupakan port untuk HTTPS

HTTPS (Hypertext Transfer Protocol Securre dan disingkat menjadi HTTPS) dapat
diartikan sebagai bentuk protokol valid dan aman. Hal ini disebabkan perintah dan
data melalui protokol HTTPS ini telah dilindungi dengan sistem Encrypt melalui
berbagai format, sehingga ini akan menyulitkan bagi orang-orang yang mau
membajak isi dari dokumen yang dikirim dengan menggunakan media HTTPS. Dapat
dipahami juga bahwa HTTPS merupakan gabungan dari HTTP dengan SSL/TSL
protokol. Seluruh komunikasi yang dilakukan melalui HTTPS akan dienkripsi dan
dianalisa dengan tujuan untuk keamanan ketika terjadi transaksi data melalui
internet.

Langkah-langkah-langkah blokir port 80 dan 443

Klik menu IP >> firewall >> filter rule >> , konfigurasi seperti gambar

Pindah dan Klik

Hasilnya

10
Tes browsing ke update virus corona di banyuwangi

Blokir di disable

Tes browsing misal ke update virus corona di banyuwangi

11
12