Assalamualaikum, kali ada kesempatan kali ini saya akan menjelaskan mengenai beberapa tehnik yang dapat digunakan untuk melakukan blocking menggunakan firewall Mikrotik.
Tehnik blocking menggunakan firewall Mikrotik sederhananya dapat dibagi menjadi 2 tehnik, yaitu:
- Tehnik 1 (drop some and accept all)
Pada tehnik yang pertama ini router akan membuang (drop) beberapa paket yang tidak diinginkan kemudian menerima (accept) semua paket yang diinginkannya.
- Tehnik 2 (accept some and drop all)
Pada tehnik yang kedua ini router akan menerima (accept) beberapa paket yang diinginkan kemudian membuang (drop) semua paket yang tidak diinginkan.
Dalam melakukan tehnik blocking ini kita akan menggunakan chain input yang dimana chain input pada router Mikrotik mempunyai kegunaan sebagai berikut :
- Untuk melakukan filter terhadap paket-paket yang ditujukan ke (interface) router.
- Untuk membatasi akses terhadap router.
- Untuk membatasi akses terhadap port yang ada disetiap interface router untuk keamanan router tersebut.
Topologi
 |
| Admin - Router - Internet |
- Block semua port kecuali port DNS dan Winbox
- Setting agar admin dapat mengakses semua port
- Cek menggunakan NMAP (aplikasi scanning port)
Konfigurasi > Tehnik 2 (accept some and drop all)
> Setting IP Address
 |
| IP > Address > add(+) > Address : 136.10.10.1/24 > Interface : ether2 |
> Setting DHCP Client
Untuk interface yang terhubung dengan internet(ether5) saya setting DHCP client, karena dalam kasus saya ini, sumber internetnya terdapat DHCP servernya. Dan juga untuk mempermudah konfigurasi, karena dengan kita menyetting DHCP client, itu sama saja dengan kita mengkonfigurasi IP Address, Default Route(gateway), dan DNS, sehingga router kita sudah terkoneksi dengan internet. |
| IP > DHCP Client > add(+) > Interface : ether5 |
> Setting NAT
Selanjutnya kita setting NAT agar client dapat terhubung ke internet juga
 |
| IP > Firewall > NAT > add(+) > Out. Interface : ether5 > action : masquerade |
> Setting DHCP Server
Kemudian untuk mempermudah client, saya akan mengkonfigurasi DHCP server pada interface yang terhubung ke admin (ether2)
 |
| IP > DHCP Server > DHCP Setup |
> Setting Firewall Rules
Sekaranglah saatnya kita setting firewall sesuai dengan teknik 2
Pertama kita buat agar admin dapat mengakses semua port. Cek terlebih dahulu PC admin mendapat ip address berapa
Setelah itu barulah kita buat rulenya
#Ket :
Kedua, kita buat rule untuk membolehkan paket data yang masuk ke router dengan tujuan port DNS(53) dan Winbox(8291)
#Ket :
Ketiga, kita buat rule untuk memblok semua paket data yang tertuju atau yang masuk ke router dengan tujuan semua port
#Ket :
Hasilnya...
#Ket :
Pertama kita buat agar admin dapat mengakses semua port. Cek terlebih dahulu PC admin mendapat ip address berapa
Setelah itu barulah kita buat rulenya
 |
| IP > Firewall > add(+) > Src. Address : 136.10.10.254 |
- Secara default, action untuk sebuah firewall rule baru adalah accept
- Chain : input maksudnya adalah rule ini dibuat untuk paket data yang masuk atau yang tertuju ke router
Kedua, kita buat rule untuk membolehkan paket data yang masuk ke router dengan tujuan port DNS(53) dan Winbox(8291)
#Ket :
accepting port ini di tujukan untuk client, sehingga dengan adanya rule ini client hanya dapat mengakses Winbox dan DNS
Ketiga, kita buat rule untuk memblok semua paket data yang tertuju atau yang masuk ke router dengan tujuan semua port
#Ket :
jika anda bingung kenapa kita membuat rule untuk memblok semua paket data yang masuk ke router dengan tujuan semua port setelah sebelumnya kita membuat rule untuk membolehkan paket data dengan beberapa tujuan port.
Tenang saja, saya akan menjelaskannya nanti
Hasilnya...
Setelah kita membuat semua rule diatas, router MikroTik akan membaca rule-rule tersebut secara urut dari atas ke bawah.
|
Jadi, saat ada paket data yang masuk ke router, router akan mencocokannya dengan rule-rule tersebut,
|apakah paket data tersebut berasal dari address(Src. Address) 136.10.10.254? jika benar maka diperbolehkan, jika bukan router akan mencocokannya dengan rule dibawahnya,
|apakah paket data tersebut bertujuan port 53(DNS) atau 8291(Winbox)? jika benar maka diperbolehkan, jika bukan router akan mencocokannya dengan rule dibawahnya lagi.
|apakah paket data tersebut bertujuan (masuk) ke router(input)? jika benar maka akan dibuang, jika bukan maka akan diperbolehkan karena tidak ada rule lagi dibawahnya
Verify
Untuk verifikasinya saya hanya akan melakukan scnning port menggunakan NMAP dari client (selain address admin). Untuk melakukannya anda harus mengganti ip address pada pc admin terlebih dahulu, ganti saja yang penting berbeda dengan yang berada pada firewall rule
Tehnik 1 (drop some and accept all)
Pertama kita buat rule untuk drop somenya, yaitu untuk paket data yang bertujuan selain port 53(DNS), dan 8291(winbox) yang masuk(input) ke router akan dibuang(drop)
#Ket :
Kedua, kita buat rule untuk accept allnya, yaitu semua paket data yang berasal dari 136.10.10.254(admin) akan diterima
Hasilnya...
#Ket :
! (tanda seru) pada rule diatas maksudnya adalah kecuali|
Jadi, jika dibaca oleh router akan menjadi seperti tujuan kita diatas, yaitu paket data yang bertujuan selain port 53(DNS), dan 8291(winbox) yang masuk(input) ke router akan dibuang(drop)
Kedua, kita buat rule untuk accept allnya, yaitu semua paket data yang berasal dari 136.10.10.254(admin) akan diterima
Verify
Untuk verifikasinya sama saja seperti verifikasi pada tehnik 1. Anda hanya perlu melakukan scanning port menggunakan aplikasi NMAP dari client, maka disana akan terlihat port yang terbuka.
Sekian dari saya, mohon kritik dan sarannya
Wassalamu'alaikum
Wassalamu'alaikum
Tidak ada komentar:
Posting Komentar
Silahkan Komentarnya ^^