FT UNP Padang Lembaran : Jobsheet 7

Jurusan : Teknik Elektronika Mata Kuliah : Administrasi Jaringan

Waktu : 3x 50 Menit Topik : Firewall
Kode : Judul : Firewall Filter

A. Tujuan
1. Mahasiswa mengenal dan memahami konsep Firewall Filter pada
jaringan komputer.
2. Mahasiswa mampu mengkonfigurasi fungsi Firewall Filter pada
perangkat Router untuk mengontrol dan mengawasi arus paket data
yang mengalir di jaringan.

B. Alat dan Bahan

1. Personal Komputer
2. Kabel UTP mode Cross-Over dan Staright-Trought
3. Router
4. Switch

C. Teori Singkat

Firewall adalah perangkat yang berfungsi untuk memeriksa dan

menentukan paket data yang dapat keluar atau masuk dari sebuah jaringan.
Dengan kemampuan tersebut maka firewall berperan dalam melindungi
jaringan dari serangan yang berasal dari jaringan luar (outside network).
Firewall mengimplementasikan packet filtering dan dengan demikian
menyediakan fungsi keamanan yang digunakan untuk mengelola aliran data
ke, dari dan melalui router. Sebagai contoh, firewall difungsikan untuk
melindungi jaringan lokal (LAN) dari kemungkinan serangan yang datang dari
Internet. Selain untuk melindungi jaringan, firewall juga difungsikan untuk
melindungi komputer user atau host (host firewall).
Fungsi firewall sebagai pengontrol, mengawasi arus paket data yang
mengalir di jaringan. Fungsi Firewal mengatur, memfilter dan mengontrol lalu
lintas data yang diizinkan untuk mengakses jaringan privat yang dilindungi,
beberapa kriteria yang dilakukan fire-wall apakah memperbolehkan paket data
lewati atau tidak, antara lain :

 Alamat IP dari komputer sumber

 Port TCP/UDP sumber dari sumber.
 Alamat IP dari komputer tujuan.
 Port TCP/UDP tujuan data pada komputer tujuan
 Informasi dari header yang disimpan dalam paket data.

secara sfesifik Fungsi Firewall adalah melakukan autentifikasi terhadap akses

kejaringan. Applikasi proxy Fire-wall mampu memeriksa lebih dari sekedar

1
FT UNP Padang Lembaran : Jobsheet 7
Jurusan : Teknik Elektronika Mata Kuliah : Administrasi Jaringan
Waktu : 3x 50 Menit Topik : Firewall
Kode : Judul : Firewall Filter

header dari paket data, kemampuan ini menuntutnya untuk mampu

mendeteksi protokol aplikasi tertentu yang spesifikasi.

Firewall beroperasi dengan menggunakan aturan/rule firewall. Setiap

aturan terdiri dari dua bagian - matcher yang sesuai arus lalu lintas terhadap
kondisi yang diberikan dan tindakan/action yang mendefinisikan apa yang
harus dilakukan dengan paket yang cocok. Aturan firewall filtering
dikelompokkan bersama dalam chain. Hal ini memungkinkan paket yang akan
dicocokkan terhadap satu kriteria umum dalam satu chain, dan kemudian
melewati untuk pengolahan terhadap beberapa kriteria umum lainnya untuk
chain yang lain.

Ada tiga chain yang telah ditetapkan pada RouterOS Mikrotik :

1. Input - digunakan untuk memproses paket memasuki router melalui salah

satu interface dengan alamat IP tujuan yang merupakan salah satu alamat
router. Chain input berguna untuk membatasi akses konfigurasi terhadap
Router Mikrotik.

Gambar diatas merupakan contoh penerapan chain input pada firewall

filter rule yang berfungsi untuk melakukan pembatasan akses mikrotik
hanya boleh dilakukan oleh komputer yang mempunyai IP 192.168.2.2
melalui interface ether2.
Konfigurasi melalui terminal :

[admin@mikrotik] > ip firewall filter add chain=input in-

interface=ether2 src-address=192.168.2.2
protocol=tcp action=accept

[admin@mikrotik] > ip firewall filter add chain=input in-

interface ether2 src-
address=192.168.2.0/24 protocol=tcp
action=drop

2
FT UNP Padang Lembaran : Jobsheet 7
Jurusan : Teknik Elektronika Mata Kuliah : Administrasi Jaringan
Waktu : 3x 50 Menit Topik : Firewall
Kode : Judul : Firewall Filter

2. Forward - digunakan untuk proses paket data yang melewati router.

Gambar diatas merupakan contoh penerapan chain forward pada firewall

filter rule mikrotik untuk melakukan block akses pada konten
omahjaringan.com yang di akses oleh ip 192.168.2.2

Konfigurasi melalui terminal :

[admin@mikrotik] > ip firewall filter add chain=forward src-

address=192.168.2.2
content=www.omahjaringan.com action=drop

Konfigurasi melalui Winbox :

3
FT UNP Padang Lembaran : Jobsheet 7
Jurusan : Teknik Elektronika Mata Kuliah : Administrasi Jaringan
Waktu : 3x 50 Menit Topik : Firewall
Kode : Judul : Firewall Filter

3. Output - digunakan untuk proses paket data yang berasal dari router dan
meninggalkan melalui salah satu interface.

Ketika memproses chain, rule yang diambil dari chain dalam daftar
urutan akan dieksekusi dari atas ke bawah. Jika paket cocok dengan kriteria
aturan tersebut, maka tindakan tertentu dilakukan di atasnya, dan tidak ada
lagi aturan yang diproses dalam chain. Jika paket tidak cocok dengan salah
satu rule dalam chain, maka paket itu akan diterima.

Action Filter Firewall MikroTik Router

Pada konfigurasi firewall mikrotik ada beberapa pilihan Action, diantaranya :

1. Accept : paket diterima dan tidak melanjutkan membaca baris berikutnya

2. Drop : menolak paket secara diam-diam (tidak mengirimkan pesan
penolakan ICMP)
3. Reject : menolak paket dan mengirimkan pesan penolakan ICMP
4. Jump : melompat ke chain lain yang ditentukan oleh nilai parameter
jump-target
5. Tarpit : menolak, tetapi tetap menjaga TCP connection yang masuk
(membalas dengan SYN/ACK untuk paket TCP SYN yang masuk)
6. Passthrough : mengabaikan rule ini dan menuju ke rule selanjutnya
7. log : menambahkan informasi paket data ke log

4
FT UNP Padang Lembaran : Jobsheet 7
Jurusan : Teknik Elektronika Mata Kuliah : Administrasi Jaringan
Waktu : 3x 50 Menit Topik : Firewall
Kode : Judul : Firewall Filter

D. Langkah Kerja
1. Bangun Network seperti Gambar berikut :

DNS : 10.1.1.235 INTERNET

10.1.1.1

Public 192.168.189.1X/24

Router X

lan 192.168.X.1/24

Gambar . Topologi Network untuk praktek Firewall Filter.

2. Untuk memulai konfigurasi Firewall, kita pilih menu : IP –>

FIREWALL. Selanjutnya kita dapat menambahkan pengaturan
Firewall secara Logika.

KASUS 1 : Membuat Firewall untuk Memblock Akses Internet Dari 1 IP

Address Client.

a. Buat New Firewall Rules, pada Option “GENERAL“, pilih Chain :

“FORWARD”.
b. Lalu kita pilih / isi Source Address dengan IP Address dari Client yang
akan kita Block. Misalnya Client dengan IP : 192.168.1.10.
c. Out Interface kita isi dengan interface : WAN.
d. Selanjutnya pada Option “ACTION”, kita pilih : “DROP”.

5
FT UNP Padang Lembaran : Jobsheet 7
Jurusan : Teknik Elektronika Mata Kuliah : Administrasi Jaringan
Waktu : 3x 50 Menit Topik : Firewall
Kode : Judul : Firewall Filter

e. Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.10 yang
akan mengakses internet dengan OUTGOING melalui Interface WAN,
maka koneksi ini akan di DROP oleh Mikrotik.

KASUS 2 : Membuat Firewall untuk Memblock Akses Internet Dari 1 Mac

Address Client.

a. Buat New Firewall Rules, pada Option “GENERAL“, pilih Chain :

“FORWARD”.
b. Out Interface kita isi dengan interface : WAN.
c. Selanjutnya pada menu “ADVANCED”, isikan pada menu “Source
Mac Address” daripada Mac Address yang dimiliki oleh Client yang
akan kita Blokir akses internetnya.
d. Selanjutnya pada Option “ACTION”, kita pilih : “DROP”.
e. Jadi Firewall ini berarti : “Jika ada Client dengan Mac Address sesuai
Mac target yang akan mengakses internet dengan OUTGOING melalui
Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.

KASUS 3 : Membuat Firewall untuk Memblock Akses Internet Dari

Sekelompok Ip Address Client.

a. Pertama kita buat lebih dulu sejumlah IP Address pada menu Firewall
–> Address List. Misalnya kita berikan nama “CLIENT NO
INTERNET”.
b. Buatlah sejumlah daftar IP Address Client dari LAN kita yang akan di
block akses internet-nya.
c. Selanjutnya kita buat sebuah New Firewall Rules, pada Option
“GENERAL“, pilih Chain : “FORWARD”.
d. Out Interface kita isi dengan interface : WAN.
e. Selanjutnya pada menu “ADVANCED”, isikan pada menu “Source
Address List” daripada Daftar Address List yang telah kita buat untuk
memblokir akses internetnya. Kita pilih nama : “CLIENT NO
INTERNET”.
f. Selanjutnya pada Option “ACTION”, kita pilih : “DROP”.
g. Jadi Firewall ini berarti : “Jika ada Client dengan IP Address yang
terdaftar pada “CLIENT NO INTERNET” yang akan mengakses
internet dengan OUTGOING melalui Interface WAN, maka koneksi ini
akan di DROP oleh Mikrotik.

KASUS 4 : Membuat Firewall untuk Memblock Akses Internet Dari

Sekelompok Ip Address Attacker.

a. Pertama kita buat lebih dulu sejumlah IP Address pada menu Firewall
–> Address List. Misalnya kita berikan nama “ATTACKER”.

6
FT UNP Padang Lembaran : Jobsheet 7
Jurusan : Teknik Elektronika Mata Kuliah : Administrasi Jaringan
Waktu : 3x 50 Menit Topik : Firewall
Kode : Judul : Firewall Filter

b. Buatlah sejumlah daftar IP Address dari IP yang kita identifikasikan

sebagai Black List IP Address dan kita akan di block akses internet-nya.
IP Address ini biasanya terdeteksi sebagai LOG MERAH atau Ilegal
Access pada Mikrotik kita.
c. Selanjutnya kita buat sebuah New Firewall Rules, pada Option
“GENERAL“, pilih Chain : “FORWARD”.
d. In Interface kita isi dengan interface : WAN.
e. Selanjutnya pada menu “ADVANCED”, isikan pada menu “Source
Address List” daripada Daftar Address List yang telah kita buat untuk
memblokir akses internetnya. Kita pilih nama : “ATTACKER“.
f. Selanjutnya pada Option “ACTION”, kita pilih : “DROP”.
g. Jadi Firewall ini berarti : “Jika ada orang atau system dengan IP
Address yang terdaftar pada “ATTACKER” yang akan mengakses IP
Publick / IP WAN kita yang masuk melalui Interface WAN, maka
koneksi ini akan di DROP oleh Mikrotik.

KASUS 5 : Membuat Firewall untuk Memblock Akses Internet Dari Client Ke

Suatu Websites Terlarang.

a. Buat New Firewall Rules, pada Option “GENERAL“, pilih Chain :

“FORWARD”.
b. Lalu kita pilih / isi Destination Address dengan IP Address dari
websites yang akan kita Block. Misalnya Websites
http://www.porno.com dengan IP Public : 208.87.35.103.
c. Out Interface kita isi dengan interface : WAN.
d. Selanjutnya pada Option “ACTION”, kita pilih : “DROP”.
e. Jadi Firewall ini berarti : “Jika ada Client dari jaringan LAN kita yang
akan mengakses Websites http://www.porno.com dengan IP Public :
208.87.35.103 dengan OUTGOING melalui Interface WAN, maka
koneksi ini akan di DROP oleh Mikrotik.

E. Evaluasi dan Penugasan

Pada kasus berikut berikut alamat IP radio wireless adalah =
10.0.0.0/16, IP LAN = 192.168.2.0/24 dan IP WAN = 203.89.24.0/21 dan IP
lainnya yang dapat dipercaya = 202.67.33.7, atau IP WAN sesuaikan
dengan IP dari ISP anda.
Untuk membuat address-list dapat menggunakan contoh skrip
seperti berikut ini tinggal disesuaikan dengan konfigurasi jaringan Anda.
Buat script berikut menggunakan notepad kemudian copy-paste ke console
mikrotik.

7
FT UNP Padang Lembaran : Jobsheet 7
Jurusan : Teknik Elektronika Mata Kuliah : Administrasi Jaringan
Waktu : 3x 50 Menit Topik : Firewall
Kode : Judul : Firewall Filter

/ ip firewall address-list
add list=ournetwork address=203.89.24.0/21 comment=”Datautama Network” \
disabled=no
add list=ournetwork address=10.0.0.0/16 comment=”IP Radio” disabled=no
add list=ournetwork address=192.168.2.0/24 comment=”LAN Network” disabled=no

Selanjutnya copy-paste skrip berikut pada console mikrotik

/ ip firewall filter
add chain=forward connection-state=established action=accept comment=”allow \
established connections” disabled=no
add chain=forward connection-state=related action=accept comment=”allow \
related connections” disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop \
Messenger Worm” disabled=no
add chain=forward connection-state=invalid action=drop comment=”drop invalid \
connections” disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop \
Blaster Worm” disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster \
Worm” disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster \
Worm” disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom” \
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________” \
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment=”ndm requester” \
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment=”ndm server” \
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment=”screen cast” \
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment=”hromgrafx” \
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment=”cichlid” \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus” \
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y” \
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle” \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop \
Beagle.C-K” disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment=”Drop MyDoom” \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor \
OptixPro” disabled=no

8
FT UNP Padang Lembaran : Jobsheet 7
Jurusan : Teknik Elektronika Mata Kuliah : Administrasi Jaringan
Waktu : 3x 50 Menit Topik : Firewall
Kode : Judul : Firewall Filter

add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” \

disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser” \
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B” \
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop \
Dabber.A-B” disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop \
Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau \
webmin” disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop \
MyDoom.B” disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus” \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2″ \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop \
SubSeven” disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, \
Agobot, Gaobot” disabled=no
add chain=forward action=jump jump-target=virus comment=”jump to the virus \
chain” disabled=no
add chain=input connection-state=established action=accept comment=”Accept \
established connections” disabled=no
add chain=input connection-state=related action=accept comment=”Accept related \
connections” disabled=no
add chain=input connection-state=invalid action=drop comment=”Drop invalid \
connections” disabled=no
add chain=input protocol=udp action=accept comment=”UDP” disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment=”Allow \
limited pings” disabled=no
add chain=input protocol=icmp action=drop comment=”Drop excess pings” \
disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ournetwork \
action=accept comment=”FTP” disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ournetwork \
action=accept comment=”SSH for secure shell” disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=ournetwork \
action=accept comment=”Telnet” disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=ournetwork \
action=accept comment=”Web” disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=ournetwork \
action=accept comment=”winbox” disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment=”pptp-server” \
disabled=no
add chain=input src-address-list=ournetwork action=accept comment=”From \
Datautama network” disabled=no
add chain=input action=log log-prefix=”DROP INPUT” comment=”Log everything \
else” disabled=no
add chain=input action=drop comment=”Drop everything else” disabled=no

Bagaimana efek yang ditimbulkan oleh script diatas terhadap jaringan, buat

9
FT UNP Padang Lembaran : Jobsheet 7
Jurusan : Teknik Elektronika Mata Kuliah : Administrasi Jaringan
Waktu : 3x 50 Menit Topik : Firewall
Kode : Judul : Firewall Filter

analisa dan pembahasan anda secara detil !

10