[LAB 5] : KONFIGURASI FIREWALL DI MIKROTIK

Pengertian Firewall 

Firewall merupakan suatu cara/sistem/mekanisme yang diterapkan baik terhadap hardware , software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah workstation, server, router, atau local area network (LAN) anda.



Didalam router mikrotik juga terdapat fitur firewall yang berfungsi untuk melindungi dengan cara mendrop atau mengaccept sebuah paket yang akan masuk, melewati, atau keluar router. Dalam fitur firewall terdapat beberapa direktori, yaitu :

1. Mangle
2. Address-list
3. Filter
4. NAT
5. Export
6. Connection 
7. Service-port

Pada lab ini saya hanya akan membahas tentang NAT, filter, dan address-list. Karena 3 direktori tsb yang paling sering digunakan, Bagaimana cara konfigurasi firewall tsb, yuk simak penjelasan berikut :)

Konfigurasi Firewall NAT

Pada lab sebelumnya kita sudah melakukan konfigurasi firewall untuk nat yang berfungsi untuk merubah ip address local seolah-olah menjadi ip address dari router dengan action masquerade. Namun didalam konfig sebelumnya terdapat kelemahan yaitu tidak dicantumkannya source address yang menggunakan nat tsb. Apabila hal itu tidak rubah maka ip address berapapun bisa menggunakan fitur nat tsb. Untuk merubahnya bisa menggunakan perintah berikut :



Dari perintah diatas terlihat bahwa source address hanya dari 192.168.1.11 s.d 192.168.1.15. Untuk melihat hasil dari konfigurasi bisa menggunakan perintah :



Terlihat diatas terdapat konfig firewall nat sebelumnya dan konfig nat untuk proxy server. Agar perintah yang barusan kita buat bisa dieksekusi, kita harus menghapus konfig nat sebelumnya. Setelah dihapus kita harus memindahkan konfig nat yg baru keposisi paling atas. Untuk melakukannya gunakan perintah berikut : 







Perlu diingat dalam konfigurasi sebuah perintah mikrotik akan mengeksekusinya secara “TOP TO BOTTOM” yang berarti perintah paling atas yang akan dieksekusi pertama. Maka dari itu jangan pernah menumpuk perintah terlalu banyak, apabila perintah yang dibutuhkan banyak coba prioritaskan mana perintah yang utama dan yang tidak. 

Konfigurasi Firewall Filter 

Didalam direktori filter terdapat perintah chain, yang akan digunakan dalam lab ini adalah chain input dan forward. 

1. Chain Input 

Chain input pada firewall akan menangani paket data yang akan masuk kedalam sebuah router. Kita akan menerapkan chain input di kedua Ethernet router ether1/public dan ether2/local. Konfigurasi chain di ether1 berfungsi untuk membatasi port-port yang terbuka, ini akan membatasi percobaan konfigurasi yang mungkin dilakukan dari internet. Berikut perintahnya :



Perinta diatas akan membatasi akses terhadap ssh(22), telnet(23), 20 dan 21(ftp), 80(webfig), 8921(winbox)

Apabila kita ingin ether1 tidak dapat di ping dari internet, bisa menggunakan perintah berikut :



Perintah diatas akan mendrop paket icmp(ping) yang berasal dari internet, namun router mikrotik tetap bisa melakukan ping menuju internet. 

Untuk melihat hasil konfigurasi bisa menggunakan perintah :



Setelah melakukan konfigurasi di ether1 sekarang kita akan melakukan hal yang sama pada ether2. Namun pada PC dengan ip address 192.168.1.15 tetap bisa melakukan akses terhadap port yang terbuka, karena merupakan pc admin. Berikut perintahnya :



Sekarang melakukan pembatasan akses terhadap ip address selain ip address milik pc admin, berikut perintahnya :



Kita juga akan melakukan drop paket icmp yang akan masuk ke router yang berakibat client tidak bisa melakukan ping kepada router. Berikut perintahnya :





Untuk melihat hasil konfigurasi bisa menggunakan perintah :


2. Chain Forward

Setelah kita melakukan konfigurasi chain input, sekarang kita akan melakukan konfigurasi untuk chain forward. Chain forward pada mikrotik digunakan untuk menangani paket data yang akan melintasi router. Sebegai contoh saya akan mengizinkan ip address 192.168.1.11 s.d 192.168.1.15 untuk bisa melewati router sedangkan ip address 192.168.1.0/24 dan 0.0.0.0/0 akan didrop sehingga tidak bisa melewati router. Berikut konfigurasinya :







Untuk melihat hasil konfigurasi bisa menggunakan perintah berikut :



Konfigurasi Address-list

Address-list digunakan untuk memberikan sebuah nama pada sebuah ip address atau sekelompok ip address yang fungsin untuk mempermudah admin dalam memanage firewall yang digunakan. Terlihat dalam konfigurasi diatas setiap ada sources address yang dimasukan, selalu menuliskan ip address. Dengan adanya fitur address-list admin hanya perlu menuliskan address-list dari ip address yang sudah ada. Berikut perintah untuk membuat address-list. 


Untuk melihat hasil konfigurasi bisa menggunakan perintah berikut :


Demikian penjelasan beberapa fitur firewall yang terdapat dirouter mikrotik. Terima kasih sudah membaca, semoga bermanfaat :) see you in the another thread :D

Sumber :

Moch. Linto Herlambang & Azis Catur L. 2008. Panduan lengkap Mikrotik RouterOS. Yogyakarta. ANDI

Rendra Towidjojo. 2013. Mikrotik Kungfu Kitab 1. Jakarta. Jasakom

Comments

Popular posts from this blog

Pengertian Shell Prompt

[Lab 29] : Konfigurasi Basic NAT Overload (PAT)

Pengertian File dan Direktori pada Linux