Mengkonfigurasi firewal jaringan

Konfigurasi Firewall di MikroTik Router
Konfigurasi firewall di MikroTik Router pada chapter ini ditujukan bagi rekan IJC yang baru mulai melakukan konfigurasi Router MikroTik. Pembahasan akan meliputi konfigurasi Firewall NAT dan Firewall Filter. Konfigurasi Firewall NAT tersebut dapat diterapkan pada jaringan lokal (LAN) sederhana yang ingin terhubung ke Internet. Sedangkan konfigurasi Firewall Filter ditujukan untuk memberikan batasan akses Internet bagi komputer client yang ada di jaringan lokal tersebut.
Secara umum firewall ditempatkan diantara jaringan lokal dan jaringan publik, ditujukan untuk melindungi jaringan lokal dengan mebatasi traffik yang menuju router (input), keluar dari router (output) dan melewati router (forward). Selain itu dapat digunakan untuk menyembunyikan suatu network, sehingga tidak terlihat dari network yang lain.
Masquerade
Penerapan IP Address private (yang sama) pada beberapa LAN yang berbeda akan membuat server msupun router di Internet sulit mengidentifikasi client mana yang melakukan request. Ini disebabkan karena setiap administrator jaringan bebas menggunakan alokasi IP Address private. Sebagai contoh, web server di Internet akan kebingungan jika ada 2 (dua) komputer client yang melakukan request dan ternyata kedua komputer tersebut memiliki IP Address yang sama.
Untuk menghindari kebingungan tersebut, maka IP Address private pada LAN harus disembunyikan. IP Address private umumnya tidak akan dirouting oleh ISP-ISP di Internet, sehingga mau tidak mau harus disembunyikan. Router yang menjadi Internet Gateway (R1 dan R2) harus menjalankan Network Address Translation dengan action=masqueradeDengan action=masquerade (menyamar/bertopeng), client pada LAN akan dikenal sebagai Router dengan IP Address yang ada di interface ether1.
Jika interface ether1 yang terhubung ke Internet, maka perintah yang dapat digunakan untuk menjalankan masquerade adalah sebagai berikut.
1
[admin@IlmuJaringan] > ip firewall nat add chain=srcnat src-address=192.168.1.0/24 out-interface=ether1 action=masquerade
Selain itu, bisa pula konfigurasi dilakukan dengan menggunakan parameter action=src-nat, seperti berikut ini.
1
[admin@R1] > ip firewall nat add chain=srcnat src-address=192.168.1.0/24 out-interface=ether1 action=src-nat to-addresses=80.1.1.2
1
[admin@R2] > ip firewall nat add chain=srcnat src-address=192.168.1.0/24 out-interface=ether1 action=src-nat to-addresses=90.1.1.2
Jika ingin menggunakan WinBox menu yang dapat digunakan adalah IP > Firewall > tab NAT > tombol Add.

Filtering
Router MikroTik dilengkapi dengan fitur Firewall Filter yang dapat mengatur lalu lintas packet data yang melintasi router (panah biru), menuju router (panah ungu) dan data yang keluar dari router (panah hijau). Selanjutnya, dengan parameter action, Router MikroTik dapat menentukan apakah packet tersebut dapat diijinkan (accept) atau ditolak/dibuang (drop). Packet yang melintasi router sering disebut dengan packet dengan packet forward, packet yang menuju router disebut dengan packet input dan packet yang keluar dari router disebut dengan packet output.
Karena komunikasi dalam jaringan komputer adalah komunikasi 2 (dua) arah, maka packet yang melintasi (forward) router akan dibalas dengan paket yang juga melintasi router (forward).
Adapun packet yang keluar (output) dari router akan dibalas dengan packet yang menuju (input) ke router. Demikian pula sebaliknya, packet yang menuju router (input) akan dibalas dengan packet yang keluar dari router (output).
Parameter action, pada Firewall akan menentukan apakah suatu packet dapat diijinkan (accept) atau ditolak/dibuang (drop). Selain itu terdapat beberapa parameter action yang dapat digunakan untuk skenario jaringan yang lebih kompleks.
Parameter yang tidak kalah penting adalah parameter chain. Parameter chain yang akan menentukan jenis packet apa yang akan dikelola oleh konfigurasi Firewall. Secara default ada 3 (tiga) pilihan pada saat akan menggunakan parameter chain.
  1. chain=forward, digunakan jika konfigurasi Firewall ditujukan untuk mengendalikan packet yang melintasi router.
  2. chain=input, digunakan jika konfigurasi Firewall ditujukan untuk mengendalikan packet yang menuju router.
  3. chain=output, digunakan jika konfigurasi Firewall ditujukan untuk mengendalikan packet yang menuju router.
Traffic dari komputer client yang menuju Internet (maupun sebaliknya) adalah packet dengan kategori forward, karena melintasi router untuk menuju Internet, maupun sebaliknya, melintasi router untuk kembali ke komputer client. Untuk mengatur packet yang melintasi router, maka harus digunakan konfigurasi Firewall Filter dengan parameter chain=forward.
Penggunaan Firewall Filter dengan menggunakan chain=input dan chain=output akan dibahas pada artikel Intermediate MikroTik
Sebagai contoh, jika tidak ingin mengijinkan client 192.168.1.2 mengakses Internet, maka perintah berikut dapat digunakan.
1
/ip firewall filter add chain=forward src-address=192.168.1.2 action=drop
Bila ingin menggunakan WinBox, maka menu yang dapat digunakan adalah IP –> Firewall –> tab Filter –> tombol Add.
Sebagai contoh, jika tidak ingin mengijinkan client 192.168.1.2 mengakses Internet (Facebook), maka perintah berikut dapat digunakan.
1
/ip firewall filter add chain=forward src-address=192.168.1.2 protocol=tcp dst-port=80,443 content=.facebook.com action=drop
Bila dalam Firewall terdapat banyak rule, maka baris-baris tersebut akan dijalankan dari atas ke bawah. Contoh yang memperlihatkan konfigurasi Firewall Filter yang hanya mengijinkan client 192.168.1.2, 192.168.1.3 dan 192.168.1.4 untuk mengakses Internet.

 Best Practice
  1. Anda bekerja pada suatu kantor, dan kantor tersebut memiliki komputer client dengan jumlah 10 unit (192.168.1.2 s/d 192.168.1.11).
  2. Client dengan IP Address 192.168.1.2 dan 192.168.1.3 adalah komputer pimpinan.
  3. Client dengan IP Address 192.168.1.4 dan 192.168.1.11 adalah komputer karyawan.
  4. Berilah akses Internet kepada 10 unit client tersebut sepanjang waktu dan sepanjang hari.
  5. Namun, untuk komputer karyawan tidak diperkenankan untuk membuka situs Facebook selama hari kerja dan jam kerja (08.00 – 16.00).
  6. Pastikan bahwa tidak ada komputer client lain (selain 10 unit tadi) yang dapat menggunakan akses Internet.
Adapun konfigurasi yang dapat digunakan adalah sebagai berikut.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
[admin@IlmuJaringan] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0    chain=forward action=accept connection-state=established log=no
      log-prefix=""
1    chain=forward action=drop protocol=tcp
      src​-​address​=​192.168.1.4​-​192.168.1.11 dst-port=80,443
      content=.facebook.com time​=​8h​-​16h​,​mon​,​tue​,​wed​,​thu​,​fri log=no
      log-prefix=""
2    chain=forward action=accept src​-​address​=​192.168.1.2​-​192.168.1.11 log=no
      log-prefix=""
3    chain=forward action=drop src-address=192.168.1.0/24 log=no log-prefix=""
Note :
  • Konfigurasi Firewall adalah permainan logika, sehingga konfigurasi Firewall akan berbeda antara satu Administrator jaringan dengan Administrator lainnya. Logika berpikir setiap Administrator jaringan tentu akan berbeda.
  • Konfigurasi dengan parameter connection-state=established akan dijelaskan pada artikel Intermediate MikroTik.

Komentar

Posting Komentar

Postingan populer dari blog ini

Mengevaluasi firewall jaringan

DAFTAR ISI Kata pengantar Daftar isi Bab 1. Pendahuluan Latar belakang Tujuan Rumusan masalah Manfaat Bab 11. Pembahasan 2.1 pengertian firewall serta jenis – jenis firewall 2.2 fungsi – fungsi firewall 2.3 cara kerja firewall Bab 111. Penutup 3.1 kesimpulan 3.2 saran Daftar pustaka BAB 1 PENDAHULUAN 1.1 latar belakang Firewall  adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah firewall diimplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah generik yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses ke Int...
Baca selengkapnya

Menganalisis permasalahan firewall

Gambar
asalamualaikum wr,wb  Bagaimana kabar nya sahabat bloger ( kumaha damang) ?? semoga baik-baik saja .pada kesempatan kali ini saya akan share cara menganalisis permasalahan pada jaringan atau sering disebut troubleshoting network oke langsung saja .  Keperluan yang harus disiapkan: a.   Komputer dengan OS Linux Fedora Core 5 dan WindowsXP b.   Repository fedora core 5 c.   Praktikan sudah pernah menggunakan command line (CLI) di Linux dan Command Prompt di            Windows   Langkah langkah Praktek : A. Windows OS     Praktikan  mencoba  memahami  dan  memanfaatkan  tools  tools jaringan sepert nslookup, ping, tracert, pathping, netdiag, ipconfig. 1.   ipconfig         ipconfig merupakan tools untuk menampilkan setting jaringan yang digunakan oleh sebuah komputer. Administrator atau pengguna sebelum menggunakan tools la...
Baca selengkapnya

Mengkonfigurasi load balancing

Gambar
Konfigurasi Dasar Berikut ini adalah Topologi Jaringan dan IP address yang akan kita gunakan /ip address add address=192.168.101.2/30 interface=ether1 add address=192.168.102.2/30 interface=ether2 add address=10.10.10.1/24 interface=wlan2 /ip dns set allow-remote-requests=yes primary-dns=208.67.222.222 secondary-dns=208.67.220.220 Untuk koneksi client, kita menggunakan koneksi wireless pada wlan2 dengan range IP client 10.10.10.2 s/d 10.10.10.254 netmask 255.255.255.0, dimana IP 10.10.10.1 yang dipasangkan pada wlan2 berfungsi sebagai gateway dan dns server dari client. Jika anda menggunakan DNS dari salah satu isp anda, maka akan ada tambahan mangle yang akan kami berikan tanda tebal Setelah pengkonfigurasian IP dan DNS sudah benar, kita harus memasangkan default route ke masing-masing IP gateway ISP kita agar router meneruskan semua trafik yang tidak terhubung padanya ke gateway tersebut. Disini kita menggunakan fitur check-gateway berguna jika salah satu gateway kita pu...
Baca selengkapnya