Firewall Mikrotik: Penjelasan Konfigurasi dan NAT

Firewall merupakan suatu cara yang di terapkan baik terhadap hardware, software ataupun sistem itu sendiri dengan tujuan untuk melindungi baik dengan menyaring, membatas atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah workstation, server, router, atau local area network (LAN).


Didalam router mikrotik juga terdapat fitur firewall yang berfungsi untuk melindungi dengan cara mendrop atau mengaccept sebuah paket yang akan masuk, melewati, atau keluar router. Dalam fitur firewall terdapat beberapa direktori yaitu:

  •      Mangle 
  •      Address-list
  •      Filter
  •      NAT 
  •      Export 
  •      Connection
  •      Service-port

Cara kerja Firewall adalah:

  • Ketika ada paket data yang masuk ke jaringan atau komputer maka Firewall akan mengecek header dari paket data tersebut. Kemudian menggunakan aturan jaringan maka firewall bisa menentukan apakah data paket ini bisa diteruskan atau tidak. Jika tidak maka akan ada pemblokiran, jika diijinkan maka paket data ini akan diteruskan sesuai mekanisme jaringan tersebut sehingga sampai ke komputer yang dimaksud.
  • Dan sebaliknya ketika ada paket data keluar maka Firewall pun bisa mengecek berdasarkan IP dan content. Disini biasanya jaringan bisa memblok akses sebuah divisi ke sebuah sumber daya jaringan. Atau mungkin pemblokiran content yang mengandung pornografi. Disini firewall memiliki aturan untuk memfilter permintaan seperti ini.
kamu dapat mengakses Firewall Mikrotik via Winbox dengan cara:

 melalui menu IP –> Firewall


Chain pada Firewall Mikrotik

Firewall beroperasi dengan menggunakan aturan firewall. Setiap aturan terdiri dari dua bagian – matcher yang sesuai arus lalu lintas terhadap kondisi yang diberikan dan tindakan yang mendefinisikan apa yang harus dilakukan dengan paket yang cocok. Aturan firewall filtering dikelompokkan bersama dalam chain. Hal ini memungkinkan paket yang akan dicocokkan terhadap satu kriteria umum dalam satu chain, dan kemudian melewati untuk pengolahan terhadap beberapa kriteria umum lainnya untuk chain yang lain.

Misalnya paket harus cocok dengan alamat IP:port. Tentu saja, itu bisa dicapai dengan menambahkan beberapa rules dengan alamat IP:port yang sesuai menggunakan chain forward, tetapi cara yang lebih baik bisa menambahkan satu rule yang cocok dengan lalu lintas dari alamat IP tertentu, misalnya: filter firewall / ip add src-address = 1.1.1.2/32 jump-target = “mychain”.

Ada tiga chain yang telah ditetapkan pada RouterOS Mikrotik :
  • Input – digunakan untuk memproses paket memasuki router melalui salah satu interface dengan alamat IP tujuan yang merupakan salah satu alamat router. Chain input berguna untuk membatasi akses konfigurasi terhadap Router Mikrotik.
  • Forward – digunakan untuk proses paket data yang melewati router.
  • Output – digunakan untuk proses paket data yang berasal dari router dan meninggalkan melalui salah satu interface.
Ketika memproses chain, rule yang diambil dari chain dalam daftar urutan akan dieksekusi dari atas ke bawah. Jika paket cocok dengan kriteria aturan tersebut, maka tindakan tertentu dilakukan di atasnya, dan tidak ada lagi aturan yang diproses dalam chain. Jika paket tidak cocok dengan salah satu rule dalam chain, maka paket itu akan diterima.

Connection State (Status paket data yang melalui router):

1. Invalid : paket tidak dimiliki oleh koneksi apapun, tidak berguna.
2. New : paket yang merupakan pembuka sebuah koneksi/paket pertama dari sebuah koneksi.
3. Established : merupakan paket kelanjutan dari paket dengan status new.
4. Related : paket pembuka sebuah koneksi baru, tetapi masih berhubungan denga koneksi sebelumnya.

Action Filter Firewall RouterOS Mikrotik
Pada konfigurasi firewall mikrotik ada beberapa pilihan Action, diantaranya :

1. Accept : paket diterima dan tidak melanjutkan membaca baris berikutnya
2. Drop : menolak paket secara diam-diam (tidak mengirimkan pesan penolakan ICMP)
3. Reject : menolak paket dan mengirimkan pesan penolakan ICMP
4. Jump : melompat ke chain lain yang ditentukan oleh nilai parameter jump-target
5. Tarpit : menolak, tetapi tetap menjaga TCP connection yang masuk (membalas dengan SYN/ACK untuk paket TCP SYN yang masuk)
6. Passthrough : mengabaikan rule ini dan menuju ke rule selanjutnya
7. log : menambahkan informasi paket data ke log


Contoh Pengunaan Firewall pada Router Mikrotik
Katakanlah jaringan pribadi kita adalah 192.168.10.1/24 dan publik (WAN) interface ether1. Kita akan mengatur firewall untuk memungkinkan koneksi ke router itu sendiri hanya dari jaringan lokal kita dan drop sisanya. Juga kita akan memungkinkan protokol ICMP pada interface apapun sehingga siapa pun dapat ping router kita dari internet. Berikut command nya :

  • ip firewall filter add chain=input connection-state=invalid action=drop comment=”Drop Invalid connections”
  • Ip firewall filter add chain=input connection-state=established action=accept comment=”Allow Established connections”
  • ip firewall filter add chain=input protocol=icmp action=accept comment=”Allow ICMP”
  • Ip firewall filter add chain=input src-address=192.168.10.1/24 action=accept in-interface=ether1
  • Ip firewall filter add chain=input action=drop comment=”Drop semuanya”

Efek dari skrip diatas adalah:

1. Router mikrotik hanya dapat diakses FTP, SSH, Web dan Winbox dari IP yang didefinisikan dalam address-list “ournetwork” sehingga tidak bisa diakses dari sembarang tempat.
2. Port-port yang sering dimanfaatkan virus di blok sehingga traffic virus tidak dapat dilewatkan, tetapi perlu diperhatikan jika ada user yang kesulitan mengakses service tertentu harus dicek pada chain=”virus” apakah port yang dibutuhkan user tersebut terblok oleh firewall.
3. Packet ping dibatasi untuk menghindari excess ping.
Selain itu yang perlu diperhatikan adalah: sebaiknya buat user baru dan password dengan group full kemudian disable user admin, hal ini untuk meminimasi resiko mikrotik Anda di hack orang.

Sekarang pembahasan tentang Network Address Translation(NAT). Karena fitur NAT tersebut yang paling sering di gunakan, bagaimana cara konfigutasi firewall tersebut, simak penjelasan berikut ini:

NAT (Network Address Translation) adalah adalah sebuah proses pemetaan alamat IP dimana perangkat jaringan komputer akan memberikan alamat IP public ke perangkat jaringan local sehingga banyak IP private yang dapat mengakses IP public.

Dengan kata lain NAT akan mentranslasikan alamat IP sehingga IP address pada jaringan local dapat mengakses IP public pada jaringan WAN. NAT mentranslasikan alamat IP private untuk dapat mengakses alamat host diinternat dengan menggunakan alamat IP public pada jaringan tersebut. Tanpa hal tersebut(NAT) tidaka mungkin IP private pada jaringan local bisa mengakses internet.

Fungsi dari NAT (Network Address Translation):

NAT (Network Address Translation) pada jaringan komputer berfungsi sebagai translasi alamat IP public ke alamat IP private atau sebaliknya sehingga dengan adanya NAT ini setiap komputer pada jaringan LAN dapat mengakses internet dengan mudah.

Kita tahu bahwa alamat IP Public didunia ini sudah semakin menipis sehingga penggunaan dati NAT ini dirasa sangatlah efisien dan efektif terutama dalam alokasi alamat IP.

Jenis - jenis dari NAT (Network Address Translation)

Pada jaringan komputer terdapat 2 jenis NAT, diantaranya:


1. Static NAT
Tugasnya menerjemahkan satu IP address menjadi satu IP address lainnya. Static NAT hanya bisa mewakili satu IP address dengan satu IP address. Biasanya di gunakan untuk menerjemahkan satu IP private menjadi IP public, dengan demikian komputer atas perangkat yang berada di jaringan local dengan IP private bisa terkoneksi dengan internet tanpa harus mengganti IP addressnya .
Contohnya, jika kamu memiliki sebuah web server dan ingin di ekspor agar bisa diakses melalui internet tanpa merubah IP address dari server web tersebut, maka menggunakan static NAT ini sangat tepat.

2. Dinamyc NAT
Dinamyc NAT akan menerjemahkan secara dinamis IP private menjadi IP public. Pada NAT jenis ini haruslah tersedia beberapa atau sekumpulan IP public. Jadi, ketika ada sebuah host  dari jaringan local ingin mengirim atau menerima paket router akan memilih salah satu IP yang tersedia dan tidak sedang digunakan, kemudian meneruskannya sesuai paket. Tapi kelemahan dari dinamyic NAT ini adalah harus tersedianya beberapa IP public.

Konfigurasi NAT melalui GUI / Winbox:


1. buka winbox anda connect menggunakan mac/ ip address mikrotik
2. Isi login dengan admin dan password kosongkan seperti gambar jika mikrotik baru di konfigurasi 


3.        Klik ip ==> firewall kemudian pilih NAT pada bagian nat pilih tanda + untuk membuat konfigurasi nat , Kemudian pada bagian general pilih chain srcnat dan out-interface =public (bisa juga ether1) seperti yang terlihat pada gambar berikut ini 




4.        Kemudian di tab action pilih masquerade yang terlihat pada gambar di bawah ini 


5.        kemudian kita pilih Apply dan pilih Ok untuk menyimpan konfigurasi. Selesai deh 

Catatan:
Penjelasan perintah konfigurasi NAT:
  • action - adalah aksi yang akan di lakukan pada paket.
  • masquerade - adalah alamat asal (ip local ) yang akan di translasikan ke ip publik agar ip local tersebut dapat terhubung ke jaringan publik atau jaringan internet.
  • chain - adalah proses yang akan di alami oleh paket.
  • out-interface - adalah interface pada router sebagai jalan keluarnya paket.




Comments

Popular posts from this blog

Sumber Backlinks Berkualitas untuk Blogger

Novel Laskar Pelangi Karya Andrea Hirata Lengkap

Kelebihan Dan Kekurangan Antara Windows Dengan Linux