Mengenal Firewall(Filter rules, NAT, Mangle, address List, Address List, layer 7 protocols)

 Firewall adalah perangkat yang digunakan untuk mengontrol akses terhadap siapapun yang memiliki akses terhadap jaringan privat dari pihak luar. 

Mengenal Firewall 

• Filter Rule Pada Mikrotik – Firewall filter merupakan salah satu firewall pada mikrotik yang digunakan untuk menentukan apakah suatu paket data dapat masuk atau tidak kedalam sistem router mikrotik paket data yang akan ditangani fitur filter ini adalah paket data yang ditunjukan pada salah satu interface router.

Fitur filter pada mikrotik pada router mikrotik memiliki 3 (tiga) chain yaitu : Input, Output dan Forward

Trafic Flow (Alir Data Pada Mikrotik)Setiap paket data memiliki asal (source) dan tujuan (destination), Trafic flow dibedakan menjadi 3 (tiga) bagian jika dilihat dari sudut pandang router
1) Dari luar router menuju router lagi (contoh : client menuju ke luar router lagi)
2) Dari luar router menuju kedalam router itu sendiri (contoh : trafic winbox ke router)
3) Dari dalam router (local proses) menuju ke luar router (contoh : trafik ping dari new terminal winbox)

Chain InputChain input pada firewall mirkotik berfungsi menangani paket data yang masuk kedalam sistem router tersebut. paket data ini biasanya adalah paket data ketika anda akan melakukan konfigurasi. chain input biasa digunakan untuk membatasi akses konfigurasi pada router anda.

 

pada gambar diatas merupakan contoh penerapan chain input pada firewall filter rule yang berfungsi untuk melakukan pembatasan akses mikrotik hanya boleh dilakukan oleh komputer yang mempunyai IP 192.168.2.2 melalui interface ether2
ip firewall filter add chain=input in-interface=ether2 src-address=192.168.2.2 protocol=tcp action=accept
ip firewall filter add chain=input in-interface ether2 src-address=192.168.2.0/24 protocol=tcp action=drop

 

• NAT (Network Address Translation) 

sebuah metode untuk menghubungkan lebih dari satu komputer ke jaringan internet menggunakan satu IP Public.

 NAT berufungsi untuk alamat IP publik translasi ke alamat IP pribadi atau sebaliknya sehingga dengan NAT setiap komputer di LAN dapat mengakses internet dengan mudah.  

jenis NAT (Network Address Translation) dalam jaringan komputer, ada 2 jenis NAT, termasuk: 

•  DNAT atau destiantion jaringan Address Translation adalah NAT yang berfungsi untuk meneruskan paket-paket dari IP publik melalui firewall untuk host dalam jaringan. DNAT hanya bekerja pada tabel nat dan pada tabel NAT berisi tiga bagian, disebut RANTAI, tiga CHAIN ​​termasuk prerouting, postrouting dan output.
•  SNAT atau Sumber Network Address Translation adalah NAT yang bertugas untuk mengubah alamat sumber dari paket data. SNAT berlaku hanya pada postrouting. 

• Mangle 

Mangle pada mikrotik merupakan suatu cara untuk menandai paket data dan koneksi tertentu yang dapat diterapkan pada fitur mikrotik lainnya, sepeti pada routes, pemisahan bandwidth pada queues, NAT dan filter rules. Tanda mangle yang ada pada router mikrotik hanya bisa digunakan pada router itu sendiri. Dan yang perlu diingat bahwa proses pembacaan rule mangle ini dilakukan dari urutan pertama ke bawah.

Ada beberapa jenis penandaan (Mark) yang ada pada Mangle yaitu Packet Mark (Penandaan Paket), Connection Mark (Penandaan Koneksi), dan Routing Mark (Penandaan Routing). Secara default parameter mangle terbagi menjadi beberapa chain, yaitu :

1. Chain Input digunakan untuk menandai trafik yang masuk menuju ke router mikrotik dan hanya bisa memilih In. Interface saja.

2. Chain Output digunakan untuk menandai trafik yang keluar melalui router mikrotik dan hanya bisa memilih Out. Interface saja.

3. Chain Forward digunakan untuk menandai trafik yang keluar masuk melalui router dan dapat memilih In dan Out Interface.

4. Chain Prerouting digunakan untuk menandai trafik yang masuk menuju dan melalui router (trafik download). Chain ini hanya bisa memilih Out. Interface saja.

5. Chain Postrouting digunakan untuk menandai trafik yang keluar dan melalui router (trafik upload) dan hanya bisa memilih In. Interface saja.

Dengan beberapa chain diatas, anda bisa menandai trafik baik itu game online, browsing, download dan upload dengan menandai paket data serta koneksinya berdasarkan protocol dan destination portnya yang sudah tersedia didalam fitur Mangle mikrotik. Sedangkan jika ingin menandai trafik situs misal facebook dan youtube, anda bisa menambahkan nama situsnya ke kolom Content.

Agar lebih mudah dipahami berikut contoh setingan implementasinya. Topologi Jaringan

 

Konfigurasi firewall filter dengan mangle agar semua PC tidak dapat melakukan koneksi ke router untuk semua protocol.
Login ke router mikrotik dengan menggunakan winbox. Masuk ke menu IP => Firewall => Address List. Tambahkan blok ip address LAN dalam hal ini 192.168.1.0/24.

 

Tambahkan New Mangle Rule pada tab Mangle, pada tab General, pilih input pada kolom Chain.

 

Pindah ke tab Advanced, pilih LAN Office pada Src. Address List.

 

Pindah ke tab Action, pilih mark connection pada kolom Action, dan isikan "lanoffice_con" pada kolom New Connection Mark.

Agar LAN Office tidak dapat melakukan koneksi ke router, masuk kembali ke menu IP => Firewall. Pada tab Filter Rules tambahkan New Firewall Rule. Pada tab General, pilih input pada kolom Chain.

Pindah ke tab Action, pilih drop pada kolom Action.
  

• Address List 

Address list, adalah salah satu fitur mikroTik yang fungsinya untuk memudahkan kita dalam menandai suatu konfigurasi address. Sehingga dengan address list, kita bisa membuat list address yang ingin di tandai tanpa harus menggangu konfigurasi penting di fitur lainnya. 

 Fungsi lain address list adalah sebagai action pada firewall agar admin bisa menetukan address apa saja yang ingin ditandai dan dimasukan kedalam address list. Jika pada lab sebelumnya, kita mengunakan fitur log untuk membuat catatan aktifitas si Router. Bisa dibilang sama, address list juga memiliki fungsi membuat catatan seperti penanda address paket agar dimasukan kedalam address list.

• Layer 7 protocols 

Layer7-Protocol adalah metode pencarian pola terhadap paket data yang melewati jalur ICMP,TCP dan UDP.

L7 matcher mengumpulkan 10 paket pertama dari koneksi atau 2KB koneksi pertama dan mencari pola data yang dikumpulkan. Jika pola ini tidak ditemukan dalam data yang dikumpulkan, matcher berhenti memeriksa lebih lanjut. memori yang dialokasikan dibebaskan dan protokol dianggap sebagai tidak dikenal . Anda harus mempertimbangkan bahwa banyak koneksi secara signifikan akan meningkatkan penggunaan resource CPU dan memory . Untuk menghindari hal ini, tambahkan matchers firewall yang teratur untuk mengurangi jumlah data yang dikirimkan ke filter Layer-7 secara berulang-ulang.Persyaratan tambahan adalah bahwa Layer7 matcher harus melihat kedua arah lalu lintas (incoming dan outgoing). Untuk memenuhi persyaratan ini aturan L7 harus disetting pada chain Forward. Jika rule di set pada Chain input/output maka rule yang sama juga harus diset padaChain output/postrouting, apabila data yang dikumpulkan mungkin tidak lengkap maka pola pencocokan akan salah.