Firewall

Secara umum firewall ditempatkan diantara jaringan lokal dan jaringan publik, ditujukan untuk melindungi jaringan lokal dengan mebatasi traffik yang menuju router (input), keluar dari router (output) dan melewati router (forward)

Masquerade

Router MikroTik yang akan digunakan sebagai Internet Gateway harus menjalankan NAT (Network Address Translation), yaitu sebuah fungsi yang merubah field Source IP Private dari sebuah packet data menjadi IP Address Publik.

Berdasarkan skenario, untuk menjalankan fungsi NAT bagi keseluruhan host dari jaringan 10.10.10.0/24 untuk semua jenis layanan Internet, maka dapat digunakan perintah sebagai berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24 action=masquerade

[admin@MikroTik] > ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

0 chain=srcnat action=masquerade src-address=10.10.10.0/24

Dapat juga menggunakan perintah masquerade dengan memilih outgoing interface (dalam hal ini adalah ether1 yang akan digunakan untuk menuju Internet), seperti berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Bila menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu IP > Firewall > NAT > Add

Jika diinginkan jaringan 10.10.10.0/24 hanya dapat mengakses layanan HTTP, maka konfigurasi yang harus digunakan adalah sebagai berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24 protocol=tcp dst-port=80 action=masqurade

[admin@MikroTik] > ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

0 chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24 dst-port=80

HTTP merupakan aplikasi yang menggunakan protocol TCP dengan destination port pada server adalah 80

Untuk layanan mail atau Secure HTTP (https), maka konfigurasi tambahan yang harus dilakukan adalah sebagai berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24 protocol=tcp dst-port=443 action=masquerade

[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24 protocol=icmp action=masquerade

[admin@MikroTik] > ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

0 chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24 dst-port=80

1 chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24 dst-port=443

2 chain=srcnat action=masquerade protocol=icmp src-address=10.10.10.0/24

Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi rule-rule tersebut dengan prinsip “top to bottom”. Sehingga urutan dari rule sangat berpengaruh terhadap efektifitas rule yang diinginkan.

MikroTik dapat membatasi akses jaringan (routing maupun NAT) berdasarkan waktu (hari dan jam). Misalnya jika ingin memberikan akses HTTP (web) pada jaringan 10.10.10.0/24 hanya pada jam 08.00 – 14.30 untuk hari senin, selasa, rabu, kamis, jumat, sabtu, maka konfigurasi yang dapat digunakan

[admin@Ijc-router] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24 protocol=tcp dst-port=80 action=masquerade time=08:00:00-14:30:00,mon,tue,wed,thu,fri,sat

[admin@Ijc-router] > ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

0 chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24 dst-port=80 time=8h-14h30m,mon,tue,wed,thu,fri,sat

Untuk konfigurasi dengan menggunakan WinBox dapat melalui menu IP > Firewall > NAT > Add > Extra

Filtering

Filter ditujukan untuk menentukan apakah sebuah paket yang ditujukan pada sebuah interface router dapat diizinkan atau tidak. Umumnya ditujukan untuk meningkatkan level keamanan dari Router. Filter tidak digunakan untuk memeriksa paket data yang melewati router. Fungsi firewall untuk memeriksa data yang melewati router dilakukan oleh NAT.

Berikut contoh penerapan filtering pada sisi Interface ether1 yang berhubungan ke Internet. Filtering ini ditujukan untuk menutup port-port yang tidak dibutuhkan, sehingga tingkat keamanan dapat ditingkatkan. Contoh port yang terbuka secara default pada router MikroTik adalah 22 (ssh), 23 (telnet), 20 dan 21 (ftp), 80 (web), 8291 (WinBox).

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=22 action=drop

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=23 action=drop

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=8291 action=drop

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1 protocol=icmp action=drop

[admin@Ijc-router] > ip firewall filter print

Flags: X – disabled, I – invalid, D – dynamic

0 chain=input action=drop protocol=tcp in-interface=ether1 dst-port=22

1 chain=input action=drop protocol=tcp in-interface=ether1 dst-port=23

2 chain=input action=drop protocol=tcp in-interface=ether1 dst-port=8291

3 chain=input action=drop protocol=icmp in-interface=ether1

Jika ada sebuah paket yang akan diizinkan masuk ke interface ether1 (misalnya mengizinkan host dengan IP Address 222.124.222.171), maka perintah yang diberikan adalah perintah dengan action=accept seperti berikut :

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=22 src-address=222.124.222.171 action=accept

Sedangkan untuk sisi Interface ether2 yang dihubungkan dengan jaringan lokal, berikut contoh rule filtering yang dapat digunakan :

[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=80 in-interface=ether2 action=accept

[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=22 in-interface=ether2 src-address=10.10.10.2 action=accept

[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=23 in-interface=ether2 src-address=10.10.10.2 action=accept

[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface=ether2 src=address=10.10.10.2 action=accept

[admin@Ijc-router] > ip firewall filter add chain=input protocol=icmp in-interface=ether2 src=address=10.10.10.1 action=accept

[admin@Ijc-router] > ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=ether2 action=accept

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether2 action=drop

Address List

Fitur Address List pada Firewall MikroTik dapat digunakan untuk mengelompokkan IP Address tertentu. Kelompok IP Address ini nantinya dapat digunakan oleh filter, NAT maupun mangle dari firewall. Address List dapat dibuat secara manual (static) maupun secara otomatis oleh MikroTik.

Contoh perintah untuk mendapatkan hasil Address List (dynamic) dari host yang pernah mengakses MikroTik dengan menggunakan protokol SSH pada interfecae ether2 :

[admin@ijc-router] > ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=22 action=add-src-to-address-list address-list=”akses ssh”

[admin@ijc-router] > ip firewall address-list print

Flags: X – disabled, D – dynamic

# LIST ADDRESS

0 D akses ssh 10.10.10.2

Jika ingin menggunakan IP Address pada Address list untuk tidak memberikan akses SSH, maka dapat digunakan filter dengan perintah sebagai berikut :

[admin@ijc-router] > ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=22 action=drop src-address-list=”akses ssh”

[admin@ijc-router] > ip firewall filter print

Flags: X – disabled, I – invalid, D – dynamic

0 chain=input action=add-src-to-address-list protocol=tcp address-list=akses ssh address-list-timeout=0s in-interface=ether2 dst-port=22

1 chain=input action=drop protocol=tcp src-address-list=akses ssh in-interface=ether2 dst-port=22

Jika ingin membuat Address List secara manual (static), maka dapat digunakan perintah sebagai berikut :

[admin@ijc-router] > ip firewall address-list add address=10.10.10.0/24 list=”akses ssh terlarang”

[admin@ijc-router] > ip firewall address-list print

Flags: X – disabled, D – dynamic

# LIST ADDRESS

1 akses ssh terlarang 10.10.10.0/24

the memory

Soal Misteri

Senin, 19 November 2012

Firewall

Masquerade

Filtering

Address List

Tidak ada komentar:

Posting Komentar