Konfigurasi Firewall di MikroTik Router (Dasar)

mikrotik_logo_newKonfigurasi Firewall di MikroTik Router

Konfigurasi firewall di MikroTik Router pada chapter ini ditujukan bagi rekan IJC yang baru mulai melakukan konfigurasi Router MikroTik. Pembahasan akan meliputi konfigurasi Firewall NAT dan Firewall Filter. Konfigurasi Firewall NAT tersebut dapat diterapkan pada jaringan lokal (LAN) sederhana yang ingin terhubung ke Internet. Sedangkan konfigurasi Firewall Filter ditujukan untuk memberikan batasan akses Internet bagi komputer client yang ada di jaringan lokal tersebut.

Secara umum firewall ditempatkan diantara jaringan lokal dan jaringan publik, ditujukan untuk melindungi jaringan lokal dengan mebatasi traffik yang menuju router (input), keluar dari router (output) dan melewati router (forward). Selain itu dapat digunakan untuk menyembunyikan suatu network, sehingga tidak terlihat dari network yang lain.

 

Masquerade

Penerapan IP Address private (yang sama) pada beberapa LAN yang berbeda akan membuat server msupun router di Internet sulit mengidentifikasi client mana yang melakukan request. Ini disebabkan karena setiap administrator jaringan bebas menggunakan alokasi IP Address private. Sebagai contoh, web server di Internet akan kebingungan jika ada 2 (dua) komputer client yang melakukan request dan ternyata kedua komputer tersebut memiliki IP Address yang sama.

 

masquerade_01

Untuk menghindari kebingungan tersebut, maka IP Address private pada LAN harus disembunyikan. IP Address private umumnya tidak akan dirouting oleh ISP-ISP di Internet, sehingga mau tidak mau harus disembunyikan. Router yang menjadi Internet Gateway (R1 dan R2) harus menjalankan Network Address Translation dengan action=masquerade. Dengan action=masquerade (menyamar/bertopeng), client pada LAN akan dikenal sebagai Router dengan IP Address yang ada di interface ether1.

masquerade_02

Jika interface ether1 yang terhubung ke Internet, maka perintah yang dapat digunakan untuk menjalankan masquerade adalah sebagai berikut.

[admin@IlmuJaringan] > ip firewall nat add chain=srcnat src-address=192.168.1.0/24 out-interface=ether1 action=masquerade

 

Selain itu, bisa pula konfigurasi dilakukan dengan menggunakan parameter action=src-nat, seperti berikut ini.

[admin@R1] > ip firewall nat add chain=srcnat src-address=192.168.1.0/24 out-interface=ether1 action=src-nat to-addresses=80.1.1.2
[admin@R2] > ip firewall nat add chain=srcnat src-address=192.168.1.0/24 out-interface=ether1 action=src-nat to-addresses=90.1.1.2

Jika ingin menggunakan WinBox menu yang dapat digunakan adalah IP > Firewall > tab NAT > tombol Add.


 

Filtering

Router MikroTik dilengkapi dengan fitur Firewall Filter yang dapat mengatur lalu lintas packet data yang melintasi router (panah biru), menuju router (panah ungu) dan data yang keluar dari router (panah hijau). Selanjutnya, dengan parameter action, Router MikroTik dapat menentukan apakah packet tersebut dapat diijinkan (accept) atau ditolak/dibuang (drop). Packet yang melintasi router sering disebut dengan packet dengan packet forward, packet yang menuju router disebut dengan packet input dan packet yang keluar dari router disebut dengan packet output.firewall_dasar_01

 

Karena komunikasi dalam jaringan komputer adalah komunikasi 2 (dua) arah, maka packet yang melintasi (forward) router akan dibalas dengan paket yang juga melintasi router (forward).

firewall_dasar_02

 

 

Adapun packet yang keluar (output) dari router akan dibalas dengan packet yang menuju (input) ke router. Demikian pula sebaliknya, packet yang menuju router (input) akan dibalas dengan packet yang keluar dari router (output).firewall_dasar_03

 

Parameter action, pada Firewall akan menentukan apakah suatu packet dapat diijinkan (accept) atau ditolak/dibuang (drop). Selain itu terdapat beberapa parameter action yang dapat digunakan untuk skenario jaringan yang lebih kompleks.firewall_dasar_04

Parameter yang tidak kalah penting adalah parameter chain. Parameter chain yang akan menentukan jenis packet apa yang akan dikelola oleh konfigurasi Firewall. Secara default ada 3 (tiga) pilihan pada saat akan menggunakan parameter chain.

  1. chain=forward, digunakan jika konfigurasi Firewall ditujukan untuk mengendalikan packet yang melintasi router.
  2. chain=input, digunakan jika konfigurasi Firewall ditujukan untuk mengendalikan packet yang menuju router.
  3. chain=output, digunakan jika konfigurasi Firewall ditujukan untuk mengendalikan packet yang menuju router.

Traffic dari komputer client yang menuju Internet (maupun sebaliknya) adalah packet dengan kategori forward, karena melintasi router untuk menuju Internet, maupun sebaliknya, melintasi router untuk kembali ke komputer client. Untuk mengatur packet yang melintasi router, maka harus digunakan konfigurasi Firewall Filter dengan parameter chain=forward.

Penggunaan Firewall Filter dengan menggunakan chain=input dan chain=output akan dibahas pada artikel Intermediate MikroTik

Sebagai contoh, jika tidak ingin mengijinkan client 192.168.1.2 mengakses Internet, maka perintah berikut dapat digunakan.

/ip firewall filter add chain=forward src-address=192.168.1.2 action=drop

Bila ingin menggunakan WinBox, maka menu yang dapat digunakan adalah IP –> Firewall –> tab Filter –> tombol Add.

 

Sebagai contoh, jika tidak ingin mengijinkan client 192.168.1.2 mengakses Internet (Facebook), maka perintah berikut dapat digunakan.

/ip firewall filter add chain=forward src-address=192.168.1.2 protocol=tcp dst-port=80,443 content=.facebook.com action=drop

 

Bila dalam Firewall terdapat banyak rule, maka baris-baris tersebut akan dijalankan dari atas ke bawah. Contoh yang memperlihatkan konfigurasi Firewall Filter yang hanya mengijinkan client 192.168.1.2, 192.168.1.3 dan 192.168.1.4 untuk mengakses Internet.

firewall_dasar_05

 

 

 Best Practice

  1. Anda bekerja pada suatu kantor, dan kantor tersebut memiliki komputer client dengan jumlah 10 unit (192.168.1.2 s/d 192.168.1.11).
  2. Client dengan IP Address 192.168.1.2 dan 192.168.1.3 adalah komputer pimpinan.
  3. Client dengan IP Address 192.168.1.4 dan 192.168.1.11 adalah komputer karyawan.
  4. Berilah akses Internet kepada 10 unit client tersebut sepanjang waktu dan sepanjang hari.
  5. Namun, untuk komputer karyawan tidak diperkenankan untuk membuka situs Facebook selama hari kerja dan jam kerja (08.00 – 16.00).
  6. Pastikan bahwa tidak ada komputer client lain (selain 10 unit tadi) yang dapat menggunakan akses Internet.

Adapun konfigurasi yang dapat digunakan adalah sebagai berikut.

 

[admin@IlmuJaringan] > ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=forward action=accept connection-state=established log=no 
      log-prefix="" 

 1    chain=forward action=drop protocol=tcp 
      src-address=192.168.1.4-192.168.1.11 dst-port=80,443 
      content=.facebook.com time=8h-16h,mon,tue,wed,thu,fri log=no 
      log-prefix="" 

 2    chain=forward action=accept src-address=192.168.1.2-192.168.1.11 log=no 
      log-prefix="" 

 3    chain=forward action=drop src-address=192.168.1.0/24 log=no log-prefix="" 

 

Note :

  • Konfigurasi Firewall adalah permainan logika, sehingga konfigurasi Firewall akan berbeda antara satu Administrator jaringan dengan Administrator lainnya. Logika berpikir setiap Administrator jaringan tentu akan berbeda.
  • Konfigurasi dengan parameter connection-state=established akan dijelaskan pada artikel Intermediate MikroTik.

 

Update :

– 16 Juni 2015

 

Referensi :

book-Mikrotik-KungFu1

MikroTik Kung Fu Kitab 1, Rendra Towidjojo, Jasakom, Jakarta 2012
Online order :

book-Mikrotik-KungFu2

MikroTik Kung Fu Kitab 2, Rendra Towidjojo, Jasakom, Jakarta 2012
Online order :

 

— End of Chapter —

One thought on “Konfigurasi Firewall di MikroTik Router (Dasar)

  1. tanya ya, kalo 1 ethernet di buat 3 class IP yg berbeda untuk local apakah harus dibuat NAT Masquerade-nya untuk masing-masing calss IP tersebut agar bisa koneksi ke publik?

Leave a Reply

Your email address will not be published. Required fields are marked *