MTCSE 02 Firewall
MTCSE 02 Firewall
●
RouterOS mengimplementasikan firewall stateful. Stateful-
firewall adalah firewall yang mampu melacak koneksi ICMP, UDP,
dan TCP.
●
Ini berarti bahwa firewall dapat mengidentifikasi apakah suatu
paket terkait dengan paket sebelumnya.
●
Firewall dapat melacak kondisi pengoperasian.
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.30
/ip dns
set allow-remote-requests=yes servers=10.10.10.30/ip firewall nat
add action=masquerade chain=srcnat out-interface=wlan1-internet
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.14
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether2-Lan name=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.11.1 dns=192.168.11.1
/system identity
set name=R1
wlan1
ether1 ether3
ether2
e0 e0 e0
/ip address
add address=10.10.10.1/27 interface=wlan1-internet network=10.10.10.0
add address=192.168.1.1/28 interface=Lan network=192.168.1.0
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.30
/ip dns
set allow-remote-requests=yes servers=10.10.10.30
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.14
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=Lan name=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.11.1 dns=192.168.11.1
/system identity
set name=R1
●
Raw Table memilik dua chain yakni prerouting dan output
●
Fungsi Raw Table adalah melakukan proses paket data sebelum
Connection Tracking, sehingga mengurangi utilitas CPU secara
signifikan
●
Fungsi ini jauh lebih efisien
●
Semua RouterBOARDs dari pabrik dilengkapi dengan konfigurasi default.
Ada beberapa konfigurasi yang berbeda tergantung pada jenis board:
•
Router CPE
•
Router LTE CPE AP
•
Router AP (single atau dual band)
•
PTP Bridge (AP atau CPE)
•
WISP Bridge (AP dalam mode ap_bridge)
•
Switch
•
IP Only
•
CAP (Controlled Access Point)
●
Kapan Anda harus menghapus konfigurasi default dan mengatur
konfigurasi router dari awal?
●
Dalam jenis konfigurasi ini, router dikonfigurasikan sebagai perangkat Wireless Client.
●
Interface WAN adalah interface Wireless.
●
Port WAN telah dikonfigurasi dengan DHCP client, diproteksi oleh IP Firewall dan
koneksi / MAC discovery dinonaktifkan.
●
Daftar router yang menggunakan jenis konfigurasi ini adalah:
●
RB711, 911, 912, 921, 922 - with Level3 (CPE) license
•
SXT
•
QRT
•
SEXTANT
•
LHG
•
LDF
•
DISC
•
Groove
•
Metal
●
Tipe konfigurasi ini diterapkan pada router yang memiliki
Interface LTE dan Wireless.
●
Interface LTE dianggap sebagai port WAN yang diproteksi oleh
firewall dan koneksi / MAC discovery dinonaktifkan.
●
Alamat IP pada port WAN diperoleh secara otomatis. Wireless
dikonfigurasikan sebagai Access Point dan dibridge dengan
semua port Ethernet yang tersedia.
●
Daftar router yang menggunakan jenis konfigurasi ini:
•
WAP LTE kit
•
mini LtAP kit
●
Jenis konfigurasi ini diterapkan pada router Access Point rumahan
untuk digunakan langsung setelah dikeluarkan dari kotak tanpa
konfigurasi tambahan (kecuali kata sandi router dan wireless)
●
Port Ethernet pertama dikonfigurasikan sebagai port WAN
(diproteksi oleh firewall, dengan DHCP Client dan koneksi / MAC
discovery yang dinonaktifkan)
●
Port Ethernet dan interface wireless lainnya ditambahkan ke bridge
LAN lokal dengan IP 192.168.88.1/24 dan server DHCP
●
Dalam hal router dual band, satu wireless dikonfigurasikan sebagai
Access Point 5 GHz dan yang lainnya sebagai Access Point 2.4 GHz.
●
Daftar router yang menggunakan jenis konfigurasi ini adalah :
•
RB: 450, 751, 850, 951, 953, 2011, 3011, 4011
•
mAP, wAP, hAP, OmniTIK
●
Interface Ethernet dan Wireless dimasukkan ke dalam Bridge
●
Alamat IP default 192.168.88.1/24 diatur pada interface Bridge
●
Ada dua opsi yang mungkin - sebagai CPE dan sebagai AP
●
Untuk interface wireless CPE diset dalam mode "station-bridge".
●
Untuk mode AP "bridge" digunakan.
●
Daftar router yang menggunakan jenis konfigurasi ini:
•
DynaDish - sebagai CPE
●
Konfigurasi sama dengan PTP Bridge dalam mode AP, kecuali interface
wireless diatur ke ap_bridge untuk pengaturan PTMP.
●
Router dapat diakses langsung menggunakan MAC Address.
●
Jika perangkat terhubung ke jaringan dengan DHCP Server yang
diaktifkan, DHCP Client dikonfigurasi pada interface bridge dan akan
mendapatkan alamat IP, yang dapat digunakan untuk mengakses
router.
●
Daftar router yang menggunakan jenis konfigurasi ini:
•
RB 911,912,921,922 - with Level4 license
•
cAP, Groove A, Metal A, RB711 A
•
BaseBox, NetBox
•
mANTBox, NetMetal
●
Konfigurasi ini memanfaatkan fitur switch chip untuk mengkonfigurasi
switch.
●
Semua port ethernet ditambahkan ke group switch dengan alamat IP
default 192.168.88.1/24 diset pada port master.
●
Mulai RouterOS v6.41 dan seterusnya, gunakan Hardware Offload dan
tambahkan semua port ke dalam bridge.
●
Daftar router yang menggunakan jenis konfigurasi ini:
•
FiberBox
•
CRS tanpa interface wireless
●
Ketika tidak ada konfigurasi khusus yang ditemukan, alamat IP
192.168.88.1/24 diset pada ether1, atau combo1, atau sfp1.
●
Daftar router yang menggunakan jenis konfigurasi ini:
• BPR 411.433.435.493.800, M11, M33.1100
• CCR
●
Jenis konfigurasi ini digunakan ketika perangkat akan digunakan
sebagai access point wireless yang dikendalikan oleh CAPsMAN
●
Ketika konfigurasi default CAP dimuat, ether1 dianggap sebagai
port manajemen dengan DHCP Client
●
Semua interface Ethernet lainnya dibridge dan semua interface
wireless diatur untuk dikelola oleh CAPsMAN
●
Tak satu pun dari routerboard saat ini datang dengan mode CAP
diaktifkan dari pabrik. Konfigurasi yang disebutkan di atas
berlaku untuk semua board dengan setidaknya ketika satu
interface wireless diatur ke mode CAP
●
Catatan. Paket IPv6 secara default dinonaktifkan pada RouterOS
v6.
●
Jika konfigurasi router diatur ulang dengan default-
configuration=yes dan paket IPv6 diaktifkan maka konfigurasi
default juga akan diterapkan ke firewall IPv6.
●
Bekerja dengan new-connection untuk mengurangi beban pada
router;
●
Buat address-list untuk alamat IP yang diizinkan untuk
mengakses router Anda;
●
Aktifkan akses ICMP (opsional);
●
Drop yang lainnya, log = yes mungkin ditambahkan ke paket log
yang sesuai dengan aturan tertentu;
●
Paket established / related ditambahkan ke fasttrack ** untuk
throughput data yang lebih cepat
•
firewall hanya akan bekerja dengan new-connection;
●
Drop invalid connection dan log dengan prefix invalid;
●
Drop upaya untuk mencapai alamat non-publik dari jaringan lokal
Anda (rfc1918) (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
•
drop forward dst-address-list = not_in_internet
•
bridge1 adalah interface jaringan lokal
•
log upaya dengan prefix = "!public_from_LAN";
** Catatan terdapat limitasi Fasttrack untuk Queue dan fasilitas lainnya
●
Drop incoming packets yang bukan NATed,
•
ether1 adalah interface publik, log upaya masuk dengan prefix
“!NAT”;
●
Drop paket yang masuk dari Internet, yang bukan alamat IP
publik (rfc1918),
•
ether1 adalah interface publik
•
log upaya masuk dengan awalan = "!publik";
●
Drop paket dari LAN yang tidak memiliki IP LAN,
•
192.168.88.0/24 adalah jaringan lokal yang digunakan subnet;
●
Fasilitas cache DNS dapat digunakan untuk memberikan resolusi
nama domain untuk router itu sendiri serta untuk klien yang
terhubung dengannya.
●
Jika cache DNS tidak diperlukan pada router Anda atau jika
router lain digunakan untuk tujuan tersebut, cache DNS harus
dinonaktifkan:
/ip dns set allow-remote-requests=no
●
Jika cache DNS dibiarkan aktif maka pastikan untuk melindungi
UDP / 53 pada chain input dengan aturan firewall
R1 R2 R3
Bridge
R2 Setup (Bridge)
/interface bridge add name=bridge1
/interface ethernet
set [ find default-name=ether2 ] name=E2-ToR1
set [ find default-name=ether3 ] name=E3-ToR3
/interface bridge port
add bridge=bridge1 interface=E2-ToR1
add bridge=bridge1 interface=E3-ToR3
/interface bridge filter
add action=accept chain=forward mac-protocol=pppoe
add action=accept chain=forward mac-protocol=pppoe-discovery
add action=drop chain=forward
/system identity set name=Bridge
●
ICMP membantu enginer jaringan untuk mengatasi masalah
komunikasi
●
Tidak ada metode otentikasi; dapat digunakan oleh peretas
untuk membuat crash komputer di jaringan
●
Firewall / packet filter harus dapat menentukan, berdasarkan
pada jenis pesannya, apakah paket ICMP harus diizinkan untuk
lewat
●
Echo Reply (Type 0, Code 0)
●
Destination Unreachable (Type 3)
•
Net Unreachable (Code 0)
•
Host Unreachable (Code 1)
•
Protocol Unreachable (Code 2)
•
Port Unreachable (Code 3)
•
Fragmentation Needed and DF Set (Code 4)
•
Source Route Failed (Code 5)
•
Destination Network Unknown (Code 6) (Deprecated)
•
Destination Host Unknown (Code 7)
•
Source Host Isolated (Code 8) (Deprecated)
•
Communication with Destination Network Administratively Prohibited
(Code 9) (Deprecated)
●
Destination Unreachable (Type 3)
•
Communication with Destination Host Administratively
Prohibited (Code 10) (Deprecated)
•
Network Unreachable for Type of Service (Code 11)
•
Host Unreachable for Type of Service (Code 12)
•
Communication Administratively Prohibited (Code 13)
•
Host Precedence Violation (Code 14)
•
Precedence Cutoff in Effect (Code 15)
●
Source Quench (Type 4, Code 0)
●
Redirect (Type 5)
•
Redirect Datagrams for the Network (Code 0)
•
Redirect Datagrams for the Host (Code 1)
•
Redirect datagrams for the Type of Service and Network (Code 2)
•
Redirect Datagrams for the Type of Service and Host (Code 3)
●
Time Exceeded (Type 11)
•
Time to Live Exceeded in Transit (Code 0)
•
Fragment Reassembly Time Exceeded (Code 1)
●
Parameter Problem (Type 12)
•
Pointer Indicates the Error (Code 0)
•
Required Option is Missing (Code 1)
●
Echo or Echo Reply Message
•
Echo Message (Type 8, Code 0)
•
Echo Reply Message (Type 0, Code 0)
●
Router Solicitation or Router Advertisement message
•
Router Solicitation Message (Type 10, Code 0)
•
Router Advertisement Message (Type 9, Code 0)
●
Timestamp or Timestamp Reply Message
•
Timestamp Message (Type 13, Code 0)
•
Timestamp Reply Message (Type 14, Code 0)
●
Information Request or Information Reply Message (Deprecated)
•
Information Request Message (Type 15, Code 0)
•
Information Reply Message (Type 16, Code 0)
●
Address Mask Request or Address Mask Reply
•
Address Mask Request (Type 17, Code 0)
•
Address Mask Reply (Type 18, Code 0)