Firewall adalah perangkat yang berfungsi untuk memeriksa dan menentukan paket data yang dapat keluar atau masuk dari sebuah jaringan. Dengan kemampuan tersebut maka firewall berperan dalam melindungi jaringan dari serangan yang berasal dari jaringan luar (outside network). Firewall mengimplementasikan packet filtering dan dengan demikian menyediakan fungsi keamanan yang digunakan untuk mengelola aliran data ke, dari dan melalui router. Sebagai contoh, firewall difungsikan untuk melindungi jaringan lokal (LAN) dari kemungkinan serangan yang datang dari Internet. Selain untuk melindungi jaringan, firewall juga difungsikan untuk melindungi komputer user atau host (host firewall).
- Filter Rule : digunakan untuk melakukan kebijakan boleh atau tidaknya sebuah trafik ada dalam jaringan, identik dengan accept atau drop. Pada menu Firewall → Filter Rules terdapat 3 macam chain yang tersedia. Chain tersebut antara lain adalah Forward, Input, Output. Adapun fungsi dari masing-masing chain tersebut adalah sebagai berikut:
Pada RouterOS MikroTik terdapat sebuah fitur yang disebut dengan 'Firewall'. Fitur ini biasanya banyak digunakan untuk melakukan filtering akses (Filter Rule), Forwarding (NAT), dan juga untuk menandai koneksi maupun paket dari trafik data yang melewati router (Mangle). Supaya fungsi dari fitur firewall ini dapat berjalan dengan baik, kita harus menambahkan rule-rule yang sesuai. Terdapat sebuah parameter utama pada rule di fitur firewall ini yaitu 'Chain'. Parameter ini memiliki kegunaan untuk menetukan jenis trafik yang akan di-manage pada fitur firewall dan setiap fungsi pada firewall seperti Filter Rule, NAT, Mangle memiliki opsi chain yang berbeda.
Sekarang kita bahas satu-satu apa itu fitur yang telah kita bahas diatas :
Forward :Digunakan untuk memproses trafik paket data yang hanya melewati router. Misalnya trafik dari jaringan public ke local atau sebaliknya dari jaringan local ke public, contoh kasus seperti pada saat kita melakukan browsing. Trafik laptop browsing ke internet dapat dimanage oleh firewall dengan menggunakan chain forward.
Input :Digunakan untuk memproses trafik paket data yang masuk ke dalam router melalui interface yang ada di router dan memiliki tujuan IP Address berupa ip yang terdapat pada router. Jenis trafik ini bisa berasal dari jaringan public maupun dari jaringan lokal dengan tujuan router itu sendiri. Contoh: Mengakses router menggunakan winbox, webfig, telnet baik dari Public maupun Local.
Output :Digunakan untuk memproses trafik paket data yang keluar dari router. Dengan kata lain merupakan kebalikan dari 'Input'. Jadi trafik yang berasal dari dalam router itu sendiri dengan tujuan jaringan Public maupun jaringan Local.Misal dari new terminal winbox, kita ping ke ip google. Maka trafik ini bisa ditangkap dichain output.
Contoh Penerapan Firewall Filter Rule :
NAT (Network Address Translation)
NAT adalah pengalihan suatu alamat IP ke alamat yang lain. Apabila suatu paket dialihkan dengan NAT pada suatu link, maka pada saat ada paket kembali dari tujuan maka link ini akan mengingat darimana asal dari paket itu, sehingga komunikasi akan berjalan seperti biasa.Pada menu Firewall → NAT terdapat 2 macam opsi chain yang tersedia, yaitu dst-nat dan src-nat. Dan fungsi dari NAT sendiri adalah untuk melakukan pengubahan Source Address maupun Destination Address. Kemudian fungsi dari masing-masing chain tersebut adalah sebagai berikut:
dstnat :
Memiliki fungsi untuk mengubah destination address
pada sebuah paket data. Biasa digunakan untuk membuat host dalam jaringan lokal
dapat diakses dari luar jaringan (internet) dengan cara NAT akan mengganti
alamat IP tujuan paket dengan alamat IP lokal. Jadi kesimpulan fungsi dari
chain ini adalah untuk mengubah/mengganti IP Address tujuan pada sebuah paket
data.
srcnat :
Memiliki fungsi untuk
mengubah source address dari sebuah paket data. Sebagai contoh kasus fungsi
dari chain ini banyak digunakan ketika kita melakukan akses website dari
jaringan LAN. Secara aturan untuk IP Address local tidak diperbolehkan untuk
masuk ke jaringan WAN, maka diperlukan konfigurasi 'srcnat' ini. Sehingga IP
Address lokal akan disembunyikan dan diganti dengan IP Address public yang
terpasang pada router.
MANGLE
Pada menu Firewall → Mangle terdapat 4
macam pilihan untuk chain,
yaitu Forward, Input, Output, Prerouting,
dan Postrouting. Mangle sendiri memiliki fungsi untuk menandai sebuah
koneksi atau paket data, yang melewati route, masuk ke router, ataupun yang
keluar dari router. Pada implementasinya Mangle sering dikombinasikan dengan
fitur lain sepertiManagement Bandwith, Routing policy, dll. Adapun fungsi
dari masing-masing chain yang ada pada mangle adalah sebagai berikut:
Forward, Input, Output :
Untuk
penjelasan mengenai Forward, Input, dan Output sebenarnya tidak jauh berbeda
dengan apa yang telah diuraikan pada Filter rules diatas. Namun pada Mangle,
semua jenis trafik paket data forward, input, dan output bisa ditandai
berdasarkan koneksi atau paket atau paket data.
Prerouting :
Merupakan sebuah
koneksi yang akan masuk kedalam router dan melewati router. Berbeda dengan
input yang mana hanya akan menangkap trafik yang masuk ke router. Trafik yang
melewat router dan trafik yang masuk kedalam router dapat ditangkap di chain prerouting.
Postrouting :
Kebalikan
dari prerouting, postrouting merupakan koneksi yang akan keluar dari router,
baik untuk trafik yang melewati router ataupun yang keluar dari router.
Contoh Penerapan NAT dan Mangle :
CUSTOM PADA CHAIN (JUMP)
Nah, selain jenis chain yang telah
diuraikan diatas, sebenarnya ada jenis chain yang lain dimana kita bisa
menambahkan atau menentukan sendiri nama dari chain tersebut selain dari
forward, input, output dll. Nama chain tersebut dapat kita tentukan sendiri,
namun pada prinsipnya tetap mnegacu pada chain utama yang tersedia di Firewall.
Biasanya custom chain digunakan untuk menghemat resource router dan mempermudah
admin jaringan dalam membaca rule firewall. By default router akan membaca rule
firewall secara berurutan sesuai nomor urut rule firewall. Namun dengan fitur
jump ini, admin jaringan dapat menentukan pembacaan rule firewall yang lebih
efisien. Untuk membuat custom chain tersebut kita memerlukan
sebuah 'Action' yaitu Jump. Jump sendiri berfungsi untuk melompat
ke chain lain yang telah didefiniskan pada paramater jump-target. Sehingga kita bisa menempatkan
rule dari custom chain yang telah kita buat pada urutan paling bawah.
Ini dimaksudkan untuk mempermudah dalam pengelolaan rule-rule firewall,
terlebih lagi jika kita memeiliki rule-rule yang banyak. Adapun langkah-langkah
pembuatan Custom Chain adalah
sebagai berikut. Pada contoh kasus kali ini kita akan membuat sebuah rule
yang mana akan membuat icmp trafik yang mengontrol dan menstabilkan ping
koneksi ke jaringan. Untuk itu agar lebih mudah dalam pengelolaan kita akan membuat
sebuah chain baru yang bernama “Jump for icmp forward flow” dengan jenis
trafik “Forward”.Pertama,
pilih menu Firewall → Filter Rules.
Kemudian isikan parameter sesuai dengan tampilan gambar dibawah ini.
HASILNYA :
Untuk lebih lengkapnya pelajari rule dibawah ini :
Mode CLI
/ip firewall filter
add action=jump chain=forward comment="Jump for icmp forward flow" \
jump-target=icmp protocol=icmp
add chain=icmp icmp-options=0:0 protocol=icmp
add chain=icmp icmp-options=11:0 protocol=icmp
add chain=icmp icmp-options=3:0-1 protocol=icmp
add chain=icmp icmp-options=3:4 protocol=icmp
add action=drop chain=icmp disabled=yes protocol=icmp
add action=jump chain=output jump-target=icmp protocol=icmp
Source / Reference :
- http://www.mikrotik.co.id/
- http://www.nurulfikri.com/
BACA JUGA : ARTIKEL TENTANG SETTING MIKROTIK DIBAWAH INI :
6. Tutorial Cara Meremote Winbox Mikrotik Dari Luar Jaringan
7. Cara Mengalihkan Pelanggan Hotspot Mikrotik Yang Expired Ke Halaman Isolir
7. Cara Mengalihkan Pelanggan Hotspot Mikrotik Yang Expired Ke Halaman Isolir
ARTIKEL MIKROTIK : KUMPULAN TUTORIAL SETTING MIKROTIK LANJUT
No comments:
Write comments