Skip to main content

Internetworking Firewall

Internetworking Firewall

Firewall
Firewall merupakan perangkat yang berfungsi untuk memeriksa dan menentukan paket data yang dapat keluar atau masuk dari sebuah jaringan. Dengan fungsi tersebut maka firewall berperan untuk melindungi jaringan dari serangan yang berasal dari jaringan luar.

Network Address Translation (NAT)
Network Address Translation (NAT)  adalah fungsi firewall yang sebenarnya bertugas melakukan perubahan IP Address pengirim dari sebuah paket data. Secara teknis NAT ini akan mengubah paket data yang berasal dari komputer user seolah-olah berasal dari router.

[admin@mikroTik] > ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Masquerade akan menyembunyikan komputer user yang ada dijaringan lokal sekaligus membuat komputer tersebut bertopeng (ber-mask) ke IP Address di ether1. Masquerade ini wajib dijalankan oleh router-router gateway untuk menyembunyikan IP Address Private yang digunakan pada jaringan lokal, sehingga tidak terlihat di internet. Jika kita tidak melakukan masquerade maka komputer user tidak akan dapat mengakses internet.

Ilustrasi
[admin@mikroTik] > ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Perintah pada firewall mikrotik tersebut yang memerintahkan “jika ada komputer user yang akan mengakses internet, bertopenglah pada ether1”.  Sedangkan chain=srcnat berfungsi memerintahkan “gantilah IP Address pengirim (source address) menjadi ip address di ether1 jika ingin menuju internet”

Masquerade untuk IP Address Tertentu
[admin@mikroTik] > ip firewall nat add chain=srcnat src-address=192.168.20.0/24 out-interface=ether1 action=masquerade
[admin@mikroTik] > ip firewall print

Dengan menambahkan src-address=192.168.20.0/24, berarti anda mengizinkan semua komputer user di jaringan lokal baik yang memiliki ip address 192.168.20.2 – 192.168.20.254.

Jika ternyata anda hanya menginginkan 4 komputer user yang dapat mengakses internet (misal: 192.168.20.2 – 192.168.20.5 ) maka ganti opsi src-address = 192.168.20.0/24 dengan opsi src-address=192.168.20.2-192.168.20.5

Winbox IP Firewall Tab NAT
Selalu cek konfigurasi NAT untuk menghidari konfigurasi yang tertumpuk sehingga tidak ada konfigurasi yang sia-sia

Contoh kasus :
Sang Administrator jaringan menginginkan hanya komputer 192.168.20.2 sampai 192.168.20.5 yang dapat mengakses internet, namun sang administrator lupa untuk menghapus konfigurasi NAT dengan src-address=192.168.20.0/24.Seperti terlihat berikut ini : 

Internetworking Firewall

Apa yang terjadi jika ternyata ada komputer dengan IP Address 192.168.20.6 ingin mengakses internet

Maquerade untuk aplikasi tertentu 
Untuk menggunakan fasilitas ini kita harus mengetahui nomor-nomor port tujuan di server internet untuk berbagai layanan (aplikasi). Misalnya destination port 80 untuk layanan browsing (HTTP), port 20 dan 21 untuk aplikasi FTP, port 23 untuk layanan telnet, port 22 untuk layanan remote SSH.

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml  
Misal :
Anda menginginkan komputer 192.168.20.2 – 192.168.20.5 hanya mendapatkan layanan browsing (HTTP), maka knfigurasinya :
>ip firewall nat add chain=srcnat src-address=192.168.20.2-192.168.20.5 protocol=tcp dst-port=80 out-interface=ether1 action=masquerade

Internetworking Firewall

Untuk website yang memiliki login username dan password, seperti gmail,yahoo mail, facebook biasanya juga menerapkan HTTPS, anda harus menambahkan lagi opsi destination port 443. Untuk beberapa layanan yang menggunakan protokol yang sama (misalnya menggunakan prtokol TCP),maka untuk mempersingkat konfigurasi, anda dapat membuat opsi dst-port=80,443

>ip firewall nat add chain=srcnat src-address=192.168.20.2-192.168.20.5 protocol=tcp dst-port=80,443 out-interface=ether1 action=masquerade

Internetworking Firewall

Masquerade dengan fungsi waktu
Router Mikrotik juga dapat membatasi akses layanan internet berdasarkan hari dan jam. Misalnya, kita ingin memberikan layanan HTTP/HTTPS pada komputer user hanya pada jam 08.00 – 16.00 untuk hari senin, selasa, rabu, kami dan jum’at maka konfigurasi yang dapat digunakan adalah sebagai berikut :

>ip firewall nat add chain=srcnat src-address=192.168.20.2-192.168.20.5 protocol=tcp dst-port=80,443 time=08:00:00-16:00:00,mon,tue,wed,thu,fri out-interface=ether1 action=masquerade

Masquerade dengan fungsi waktu

Masquerade dengan fungsi waktu
Winbox
IP - Firewall - NAT - Tab Extra

Filter
Fitur Filter pada firewall digunakan untuk menentukan apakah suatu paket data dapat masuk atau tidak kedalam router itu sendiri. Paket data yang akan ditangani fitur Filter ini adalah paket data yang ditunjukan pada salah satu interface router. Anda harus membedakan dengan fungsi NAT yang menangani paket yang akan melintasi router, sekaligus merubah IP address pengirim dari paket data tersebut. Meskipun demikian ,fitur filter ini juga dapat menangani paket data yang melintasi router dari jaringan lokal ke internet, sehingga fitur filter ini nantinya dapat dikolaborasikan dengan NAT.

Fitur Filter pada Router Mikrotik memiliki 3 chain yaitu:
  • Input
  • Output
  • Forward
Chain Input
Chain input pada firewall akan menangani paket data yang ditunjukan pada interface Router Mikrotik.


Ilustrasi
Ada sebuah paket data yang ditunjukan kepada interface ether2,karena filter melakukan perlindungan pada interface-interface router, maka chain input ini dapat diterapkan pada dua interface Router Mikrotik (pada ether1 dan ether2).
Penerapan chain input pada ether1 berfungsi memberikan perlindungan terhadap akses yang mungkin terjadi dari internet. Sedangkan penerapan di ether2 memberikan perlindungan terhadap kemungkinan akses dari dalam jaringan anda sendiri (lokal)

Penerapan Filter menggunakan chain input pada ether1, ditunjukan untuk membatasi akses terhadap port-port yang terbuka. Ini akan membatasi percobaan konfigurasi yang mungkin dilakukan dari internet oleh orang-orang yang tidak bertanggung jawab.

Port-port yang terbuka secara default untuk keperluan konfigurasi pada router mikrotik adalah 22 (SSH), 23 (Telnet), 20 dan 21 (ftp), 80 (Webfig), 8291(Winbox).
Misalkan kita ingin membatasi akses Mikrotik terhadap port-port yang terbuka dengan menerapkan filter pada ether1 :

  • Ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=20,21,22,23,80,8291 action=drop
Penerapan filter diatas pada ether1 akan menimbulkan polemik. Anda ingin membatasi orang lain untuk membatasi Router Mikrotik dari internet. Namun bagaimana jika nantinya tiba-tiba anda ingin mengakses Router Mikrotik untuk melakukan konfigurasi dan maintenance dari internet ??

Jika hal seperti diatas terjadi, maka anda harus mengizinkan paket data tertentu untuk masuk ke interface ether1. Misalnya jika ingin mengizinkan komputer dengan ip address public 64.110.100.2 untuk melakukan konfigurasi dengan menggunakan winbox, maka konfigurasi yang harus ditambahkan adalah :

  • Ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=8291 src-address=64.110.100.2 action=accept


Internetworking Firewall

Ingat Mikrotik akan mengeksekusi baris-baris tersebut dengan menggunakan prinsip “top to bottom”

Kita dapat melakukan perubahan susunan baris-baris filter tersebut dengan perintah :

  • Ip firewall filter move 1 0
Sedangkan untuk sisi interface ether2 yang dihubungkan dengan jaringan lokal. Contoh: 
Berikut adalah konfigurasi yang membatasi akses konfigurasi yang ada dalam jaringan 192.168.1.0/24, namun memberikan akses konfigurasi (baik SSH, telnet, ftp, winbox maupun ping) dari komputer 192.168.1.5 yang merupakan komputer administrator jaringan.

Internetworking Firewall

Chain forward
Chain forward pada filter Router Mikrotik digunakan untuk menangani paket data yang akan melintasi router. Sepintas akan terlihat sama dengan fungsi NAT. Chain forward  akan menangani paket data yang melintasi router, baik paket data dari jaringan lokal yang ingin ke internet maupun sebaliknya, sama dengan yang dilakukan oleh NAT.
Perbedaannya adalah jika chain srcnat pada NAT menangani paket data dengan melakukan perubahan IP Address pengirim, sedangkan chain forward pada Filter akan menangani paket data tanpa melakukan perubahan apapun pada IP Address pengirim.

Router Mikrotik akan menggunakan Filter dengan chain forward terlebih dahulu untuk memeriksa paket data. Kemudian paket data tersebut diserahkan ke NAT yang akan mengubah IP Address pengirim dari paket tersebut. Sehingga chain forward pada filter akan memegang kendali terlebih dahulu sebelum chain srcnat pada NAT. 

Contoh :
Konfigurasi berikut memperlihatkan bahwa NAT dengan chain=srcnat telah memberikan akses internet yang penuh pada semua komputer di jaringan 192.168.1.0/24. Namun konfigurasi pada Filter dengan chain=forward hanya mengizinkan akses internet pada komputer 192.168.1.2-192.168.1.5.

Internetworking Firewall
Kemudian dilakukan penambahan konfigurasi filter dengan chain forward yang hanya mengizinkan komputer 192.168.1.2 sampai 192.168.1.5 untuk mengakses internet, seperti berikut :

Internetworking Firewall

Chain forward dan Content
Chain forward juga bisa digunakan untuk memblokir akses internet terhadap situs tertentu maupun aktifitas user yang ingin mendownload jenis-jenis file tertentu dengan menggunakan option content yang ada pada fitur firewall Filter.
Contoh :
Anda ingin memblokir akses internet ke situs www.yahoo.com dan aktifitas download file .mp3

Internetworking Firewall 

Untuk menggunakan opsi content menggunakan winbox melalui menu :
IP - Firewall - Filter - Tab Advanced

Action=drop vs action=reject

Pada konfigurasi sebelumnya action yang digunakan untuk memblokir adalah drop. Anda dapat saja mengganti action=drop menjadi action=reject.
Perbedaanya adalah jika action drop yang dipilih maka paket data yang berasal dari komputer tersebut akan dibuang oleh router (drop), sedangkan jika memilih reject maka paket data akan dibuang oleh router namun router akan memberikan pemberitahuan kepada komputer user.

Internetworking Firewall

Address List
Router Mikrotik menyediakan fitur Address List untuk merujuk IP Address tertentu dengan sebutan nama. Fitur ini digunakan untuk keperluan deklarasi IP Address maupun untuk kepentingan logging (pencatatan aktifitas jaringan). 
Penggunaan deklarasi IP Address menjadi sebuah nama akan membuat anda tidak terlalu repot mengelola jarinagan jika suatu saat terjadi perubahan IP Address.

Contoh kasus :
Anda ingin memberikan akses seluas-luasnya bagi komputer administrator dengan IP 192.168.1.4 , namun tiba-tiba sang administrator tidak ingin lagi menggunkan IP Address tersebut dan ingin menggunakan komputer dengan IP Address 192.168.1.5. Ini akan mengakibatkan anda harus merubah seluruh konfigurasi yang sudah dibuat pada Filter maupun NAT.

Penggunaan Address List
Contoh penggunaan Addresss List untuk mendeklarasikan IP Address dalam jaringan,termasuk komputer milik Administrator.

  • Ip firewall address-list add-address=192.168.1.0/24 list=“jaringan lokal”
  • Ip firewall address-list add-address=192.168.1.5 list=“pc admin”
  • Ip firewall address-list print
Contoh penggunaan address list pada konfigurasi NAT

  • Ip firewall nat add chain=srcnat out-interface=ether1 src-address=“pc admin” action=masquerade
  • Ip firewall nat add chain-srcnat out-interface=ether1 src-address=“jaringan lokal” dst-port=80,443 action=masquerade
Konfigurasi Address List menggunakan Winbox 
IP - Firewall - Tab Address List

Contoh Kasus :
Kita dapat menggunakan Address List untuk melihat IP Address dari komputer yang melakukan percobaan ping maupun akses konfigurasi (Ftp,SSH, Telnet) terhadap router.Perintah yang dapat digunakan adalah :

  • ip firewall filter add chain=input in-interface=ether2 protocol=icmp action=add-src-address-list address-list=“ping ilegal”
  • ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=21,22,23 action=add-src-address-list address-list=“akses ilegal”
  • ip firewall filter print
Untuk melihat log IP address yang masuk ke address list

  • Ip firewall address-list print
Kita dapat mengelola IP Address yang sudah tersimpan di Address List dengan menggunakan konfigurasi Firewall lainnya. Misalnya kita ingin memblokir akses dari komputer-komputer yang sudah tercatat di address list tadi.

  • ip firewall filter add chain=input src-address-list=“ping ilegal” action=drop
  • ip firewall filter add chain=input src-address-list=“akses ilegal” action=drop
Labels:

Comments

Post a Comment

Popular posts from this blog

How To Play Attack On Titan Wings of Freedom With Gamepad Or Joystick

How To Play Attack On Titan Wings of Freedom With Gamepad Or Joystick   Video youtube gamepad settings https://www.youtube.com/watch?v=C4u6OEdXqKw Cara Memainkan Attack On Titan Wings of Freedom Dengan Stick PS Joystick Gamepad   Just Copy  To Installation Folder Copy di installasi folder game Example : F:\Games\ Attack On Titan Wings of Freedom Contoh  : F:\Games\ Attack On Titan Wings of Freedom Use the first way in advance because the average mostly work in the first way, if it does not work both ways alternative wear. Gunakan Cara pertama terlebih dahlu karena rata rata kebanyakan work di cara pertama, jika tidak work alternatif pakai cara kedua. Tutorial Te xt and Video Second Way/Cara Kedua https://grizenzio.blogspot.com/2017/03/cara-kedua-cara-memainkan-semua-game-pc.html Many video tutorial gamepad settings for all games https://www.youtube.com/c/GrizenzioOrchivillando Serangan di Titan (Jepang: 進 撃 の 巨人 Hepburn:...
Post a Comment
Read more

How To Play LEGO Worlds With Gamepad Or Joystick

  How To Play LEGO Worlds With Gamepad Or Joystick Cara Memainkan LEGO Worlds Dengan Stick PS Joystick Gamepad Just Copy To Installation Folder Copy di installasi folder game Example : F:\Games\LEGO Worlds Contoh  : F:\Games\LEGO Worlds Use the first way in advance because the average mostly work in the first way, if it does not work both ways alternative wear. Gunakan Cara pertama terlebih dahlu karena rata rata kebanyakan work di cara pertama, jika tidak work alternatif pakai cara kedua. Tutorial Text and Video First Way/Cara Pertama https://grizenzio.blogspot.com/2017/03/cara-pertama-cara-memainkan-semua-game.html Second Way/Cara Kedua https://grizenzio.blogspot.com/2017/03/cara-kedua-cara-memainkan-semua-game-pc.html Many video tutorial gamepad settings for all games https://www.youtube.com/c/GrizenzioOrchivillando   EXPLORE . MENEMUKAN. MEMBUAT. BERSAMA. Worlds LEGO ® adalah sebuah lingkungan terbuka Worlds prosedural yang dihasilkan seluruh...
Post a Comment
Read more

Cara Kedua Memainkan Semua Game PC Dengan Gamepad atau Joystick

For English Language click here Cara bermain semua game menggunakan gamepad atau stick atau joystick. Ini merupakan cara kedua dan paling berhasil untuk bermain game dengan stick atau gamepad atau joystick. Perbedaan dari cara pertama yaitu pada settingan terdapat tambahan yang harus dilakukan. Cara kedua ini harus dilakukan ketika cara pertama gagal. Gamepad : Semua jenis stick bisa asalkan bisa dicolokin ke laptop berarti bisa digunakan. Unduh Setelan Gamepad : Durazno v0.6-29 https://mega.nz/#!xgYBnIya!A6XafQKneIQ4mhCgwsvn6SuuY6sBxEixtvpTyBvOMPA Xbox360_64.exe https://mega.nz/#!885R2KDJ!z1yJyH03PStOQ4xJtNuyJDUZvbdstOskOEcsbPFd9rk Pangeran Versi 1 https://mega.nz/#!sxI1gbAY!nSyJMNzwTjk_diJ87byZScfpPAFfdtJRi1s9WJ7I1eE Pangeran Versi 2 https://mega.nz/#!Np4mzRyA!NHgvlQUL7Z6gMEzoyqjRbmpz0Zv1E5UDbZ7PcOVpkBs XOutput.v0.11.zip https://mega.nz/#!gtREDTSA!wIHO1JO4-bcWXUwAhGt69SWP-eR57z7NHRzgh8O3rxA Gambar 1 Penjelasan Gambar 1 Install Xbox360_64.exe...
Post a Comment
Read more