Kelas XII,
Pada kali ini ane ingin share konfigurasi basic firewall filter rules. Dalam penerapannya, ada 2 teknik dalam penerapan firewall filter ini.
1. Teknik Drop Some, Allow Any
jadi teknik ini akan mengizinkan semua paket data yang masuk ke router, dan membuang beberapa paket data yang telah ditentukan.
2. Teknik Drop Any, Allow Some
Teknik ini akan membuang semua paket data yang masuk ke router, dan hanya akan menerima beberapa paket data yang telah ditentukan.
Dalam teknik diatas, kita tahu bahwa kita akan memblock atau mengizinkan beberapa protokol atau port yang telah ditemtukan. Maka kita akan menggunakan chan input dalam konfigurasi ini.
Pada topologi diatas, saya punya router yang terhubung ke internet dengan satu client dibawahnya dengan ip yang telah ditunjukkan.
Masuk ke IP -> Addresses kemudian buat IP seperti berikut ini
Protokol yang dilarang adalah ICMP yang merupakan protokol untuk Ping.
2. Verifikasi pada PC 1 dan PC 2.
Untuk pengetesan kita coba ping dari masing - masing PC.
1. Setelah masuk ke Winbox sekarang kita mulai konfigurasi firewall, buka menu IP > Firewall > Filter > Add. Pertama kita buat rule yang memperbolehkan IP Address PC Admin dapat meremote Router lewat winbox, webfig, telnet, dan ssh.
Kita tentukan hal yang dilakukan jika seandainya ada paket yang cocok dengan kriteria rule yang kita buat pada tab Action.
[admin@GhifarRB] > ip firewall filter add chain=input protocol=tcp action=drop
2. Verifikasi Test Login
1. Rule allow ip yang digunakan PC 1
2. Rule allow port untuk semua PC selain PC 1
3. Rule drop semua port tcp untuk semua PC selain PC 1.
Konfigurasi dasar Firewall Mikrotik
Assalamu'alaikum wr.wb
Pada kali ini ane ingin share konfigurasi basic firewall filter rules. Dalam penerapannya, ada 2 teknik dalam penerapan firewall filter ini.
1. Teknik Drop Some, Allow Any
jadi teknik ini akan mengizinkan semua paket data yang masuk ke router, dan membuang beberapa paket data yang telah ditentukan.
2. Teknik Drop Any, Allow Some
Teknik ini akan membuang semua paket data yang masuk ke router, dan hanya akan menerima beberapa paket data yang telah ditentukan.
Dalam teknik diatas, kita tahu bahwa kita akan memblock atau mengizinkan beberapa protokol atau port yang telah ditemtukan. Maka kita akan menggunakan chan input dalam konfigurasi ini.
Topologi :
Pada topologi diatas, saya punya router yang terhubung ke internet dengan satu client dibawahnya dengan ip yang telah ditunjukkan.
A. Persiapan
1. Konfigurasi IP adddress routerMasuk ke IP -> Addresses kemudian buat IP seperti berikut ini
2. Konfigurasi IP address PC 1.
Berikut ini adalah IP address pada PC 1 saya
3. Konfigurasi IP address PC 2.
Berikut ini adalah IP address pada PC 2 sayaB. Konfigurasi Drop Some, Allow Any
Disini misalnya kita akan memblock Ping hanya untuk PC 1 dan memperbolehkan PC yang lainnya.
1. Untuk konfigurasi Firewall, Buka menu IP > Firewall > Filter > Add.
Chain kita ganti ke INPUT, hal ini kita lakukan agar rule ini hanya berlaku pada packege yang mengarah/masuk ke router dari source terrentu.
Masukan IP Address PC3 sebagai Source.Address yang tidak boleh melakukan ping ke Router. Protokol yang dilarang adalah ICMP yang merupakan protokol untuk Ping.
Setelah itu pindah ke tab Action
Action/tindakan yang kita ambil terhadap rule ini adalah Reject yang artinya paket di drop dengan suatu alasan. Nah alasan ini kita atur di Reject With.
Untuk versi CLI-nya, Masuk ke terminal router anda dan ketikkan perintah berikut
[admin@GhifarRB] > ip firewall filter add chain=input src-address=13.13.13.2 action=reject protocol=tcp reject-with=icmp-net-prohibited2. Verifikasi pada PC 1 dan PC 2.
Untuk pengetesan kita coba ping dari masing - masing PC.
Pertama coba dari PC 1
Lalu dari PC 2
Dari gambar di atas bisa dilihat bahwa hanya PC 1 saja yang tidak ping ke router, yang artinya rule yang kita buat berhasil.
3. Lalu kita lakukan pengecekan pada Router kita untuk dapat melihat perhitungan sudah berapa kali paket yang tertangkap oleh rule firewall tersebut.
C. Konfigurasi Drop Any, Allow Some
Oke pada lab kali ini, Router hanya dapat diremote oleh IP Address dari PC admin, selain dari PC admin PC tersebut tidak dapat meremote Router tersebut.
Chain diatur ke INPUT karena rule ini untuk melakukan penyaringan lalu lintas yang masuk ke Router. Kemudian masukan IP Address PC 1 sebagai Source Address untuk rule. Protocol winbox adalah TCP. Kemudian masukan nomor port layanan Webfig, winbox, telnet, ssh.
Pindah ke tab Action.Kita tentukan hal yang dilakukan jika seandainya ada paket yang cocok dengan kriteria rule yang kita buat pada tab Action.
Karena kita berencana untuk memblok selain PC 1, maka action yang kita set adalah accept yang artinya menerima.
Lalu kita buat rule untuk memblokir semua koneksi winbox, webfig, telnet, dan ssh.
Untuk versi cliterminal dan masukkan perintah seperti ini
[admin@GhifarRB] > ip firewall filter add chain=input action=accept protocol=tcp dst-port=8291,22,23,80[admin@GhifarRB] > ip firewall filter add chain=input protocol=tcp action=drop
Perlu diingat, yang pertama diatur rulenya adalah rule yang diizinkan dulu baru yg di drop. Karena router membaca konfigurasi firewall itu dari atas. Jadi router akan mencocokkan paket data yang masuk dengan rule yang pertama, kalau tidak ada yang cocok dengan rule pertama maka akan dicocokkan dengan rule kedua dan seterusnya.
Untuk verifikasi yang kita lakukan adalah melakukan test login lewat aplikasi yang menggunakan port yang telah kita accept pada firewall rule pada masing - masing PC.
Verifikasi PC 1
Verifikasi PC 2
Bisa dilihat tidak ada yang bisa mengakses router selain PC 1. berarti rule yang kita buat berhasil.
Kita juga dapat melihat perhitungan seberapa banyak paket yang cocok dengan rule yang telah dibuat.D. LAB Basic Firewall
Dalam lab ini, kita akan memblock semua port protokol tcp kecuali port 53 dan 8291 untuk semua client. Namun kita akan mengizinkan semua port untuk seorang admin jaringan.
Nah dalam kasus ini, kita akan membuat 3 rule firewall, urutan yang dibuat adalah:1. Rule allow ip yang digunakan PC 1
2. Rule allow port untuk semua PC selain PC 1
3. Rule drop semua port tcp untuk semua PC selain PC 1.
[admin@GhifarRB] > ip firewall filter add chain=input action=accept protocol=tcp src-address=13.13.13.12
[admin@GhifarRB] > ip firewall filter add chain=input action=accept protocol=tcp dst-port=53,8291
[admin@GhifarRB] > ip firewall filter add chain=input action=drop protocol=tcp
Verifikasi Firewall Rule
Pengujian dengan nmap pada PC 2
Nah terlihat port yang diizinkan hanya port 53 dan port 8291
Pengujian dengan nmap pada PC2
Nah terlihat semua port terbuka untuk ip PC 1. Berarti rule yang kita buat telah berhasil.
[admin@GhifarRB] > ip firewall filter add chain=input action=accept protocol=tcp dst-port=53,8291
[admin@GhifarRB] > ip firewall filter add chain=input action=drop protocol=tcp
Verifikasi Firewall Rule
Pengujian dengan nmap pada PC 2
Nah terlihat port yang diizinkan hanya port 53 dan port 8291
Pengujian dengan nmap pada PC2
Nah kita juga bisa melihat hasil data paket yang telah ditangkap oleh router di firewall
0 komentar: