Skip to content Skip to sidebar Skip to footer

Firewall Filter Mikrotik

Router Mikrotik

    Salah satu fitur firwall yang sangat bermanfaat dan berfungsi untuk mengamankan router mikrotik adalah fitur filter. Fitur ini berfungsi untuk menentukan apakah suatu paket data dapat masuk atau tidak kedalam sistem mikrotik itu sendiri melalui setiap interface yang ada pada sebuah router mikrotik. Selain mengamankan jaringan lokal (LAN), router juga harus mampu mengamankan dirinya sendiri baik dari serangan jaringan lokal (LAN) ataupun serangan dari jaringan luar (internet). Selain menangani paket data yang ditujukan kedalam sistem nya sendiri, fitur filter juga dapat digunakan untuk menangani paket data yang akan melewati router seperti halnya NAT. Namun, berbeda dengan NAT yang merubah alamat pengirim dari paket data, filter tidak melakukan perubahan alamat pengirim paket data. Anda dapat membaca sekilas tentang NAT pada artikel di link ini.
    Berikut ini beberapa contoh penerapan firewall filter pada router mikrotik yang dapat anda coba.

Membatasi Akses Konfigurasi Router Mikrotik

    Ada banyak cara yang dapat dilakukan untuk melakukan konfigurasi router mikrotik, seperti menggunakan Winbox dengan port 8291, telnet dengan port 23, ssh dengan port 22, ftp dengan port 20 dan 21, web dengan port 80. Setiap interface pada router mikrotik dapat digunakan mengkonfigurasi router mikrotik dengan semua cara tersebut jika semua interface pada router semuanya terhubung ke jaringan. Dengan banyaknya cara dan 'pintu masuk/interface' yang dapat dilalui untuk mengkonfigurasi router mikrotik, tentunya hal ini menyebabkan seorang administrator jaringan harus membatasi akses setiap pintu masuk dan port pada router mikrotik kecuali interface dan port yang memang dihususkan selalu terbuka bagi administrator jaringan untuk mengkonfigurasi router mikrotik.
    Untuk membatasi hak akses konfigurasi ini, dapat digunakan chain input pada firewall filter dan diterapkan pada setiap interface router sehingga tidak ada celah bagi orang lain yang tidak memiliki otoritas untuk melakukan konfigurasi pada router mikrotik anda. Misalkan router mikrotik kita memiliki 2 buah interface, 1 interface dengan IP Address 192.168.255.1 terhubung kejaringan LAN dan 1 interface dengan IP 10.10.10.2 terhubung kejaringan internet. Maka penerapan chain input harus kita lakukan pada kedua interface tersebut supaya router kita aman dari serangan jaringan LAN maupun jaringan internet.
Firewall Filter Mirkotik
Gambar1. Penerapan Firewall Filter
Sesuai dengan ilustrasi gambar diatas, maka apabila Anda ingin memblok semua akses konfigurasi router mikrotik yang berasal dari internet maka chain input harus dikonfigurasi pada interface yang terhubung dengan jaringan internet dalam contoh ini adalah interface ether1. Maka konfigurasi yang dapat dilakukan adalah sebagai berikut.
[Jarkom@MikroTik] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=20,21,22,23,80,8291 action=drop

Sekarang router mikrotik anda tidak akan bisa dikonfigurasi melalui internet, namun apabila anda ingin memberikan akses konfigurasi untuk IP tertentu melalui internet misalkan dari IP 10.10.10.1, maka perintah yang harus dilakukan adalah sebagai berikut.
[Jarkom@MikroTik] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=20,21,22,23,80,8291 src-address=10.10.10.1 action=accept 
Gunakan perintah ip firewall nat print untuk melihat hasil konfigurasi yang sudah dibuat.
[Jarkom@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
  0    chain=input action=drop protocol=tcp in-interface=ether1
      dst-port=20,21,22,23,80,8291 log=no log-prefix=""
1    chain=input action=accept protocol=tcp src-address=10.10.10.1
      in-interface=ether1 dst-port=20,21,22,23,80,8291 log=no log-prefix=""
 [Jarkom@MikroTik] >

Perhatikan no index pada firewall filter diatas, yang mana filter dengan no index 0 action nya adalah drop dan filter dengan index no 1 action nya adalah accept. Jika klien dengan IP address 10.10.10.1 mencoba melakukan konfigurasi router dari internet yang terjadi adalah klien tersebut tetap belum bisa melakukan konfigurasi, kenapa ? Hal ini karena router mikrotik akan menjalankan setiap rule pada firewall filter berdasarkan no index nya. Pada rule index 1 tidak dicantumkan alamat src address nya hal ini akan mengakibatnya semua IP yang mencoba untuk masuk ke interface ether1 akan ditolak ! Jadi, hal yang harus dilakukan adalah mengganti posisi dari rule index no 1 menjadi rule index no 2, seperti contoh dibawah ini.
[Jarkom@MikroTik] > ip firewall filter move 1 0
Perintah diatas maksudnya adalah pindahkan rule index pada firewall filter dari no 1 ke no 0 sehingga hasilnya adalah seperti berikut ini.
[Jarkom@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
 0    chain=input action=accept protocol=tcp src-address=10.10.10.1
      in-interface=ether1 dst-port=20,21,22,23,80,8291 log=no log-prefix=""
 1    chain=input action=drop protocol=tcp in-interface=ether1
      dst-port=20,21,22,23,80,8291 log=no log-prefix=""
[Jarkom@MikroTik] >         
Anda dapat melakukan hal yang sama pada interface ether2 router yang terhubung kejaringan LAN. Langkah yang harus anda lakukan adalah buatlah terlebih dahulu firewall filter yang memberikan akses konfigurasi untuk IP address tertentu melalui interface ether2 kemudian baru anda buat firewall filter yang memblok akses konfigurasi dari semua IP address melalui interface ether2 di jaringan LAN anda. Sehingga hasil akhir konfigurasi yang anda dapatkan adalah seperti dibawah ini.
[Jarkom@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
 0    chain=input action=accept protocol=tcp src-address=10.10.10.1
      in-interface=ether1 dst-port=20,21,22,23,80,8291 log=no log-prefix=""
 1    chain=input action=drop protocol=tcp in-interface=ether1
      dst-port=20,21,22,23,80,8291 log=no log-prefix=""
 2    chain=input action=accept protocol=tcp src-address=192.168.255.150
      in-interface=ether2 dst-port=20,21,22,23,80,8291 log=no log-prefix=""
 3    chain=input action=drop protocol=tcp in-interface=ether2
      dst-port=20,21,22,23,80,8291 log=no log-prefix=""
[Jarkom@MikroTik] > 
Apabila menggunakan winbox, maka konfigurasi ini dapat dilakukan melalui menu IP > Firewall > Tab Menu Filter > klik tanda + kemudian isi parameter - parameter seperti dibawah ini.
Winbox firewall filter
Gambar 2. Konfigurasi Firwall Filter dengan winbox

Blok Situs dan Blok Download File Tertentu

    Seperti yang diulaskan sebelumnya, firewall filter paka mikrotik juga dapat menangani paket data yang akan melewati router sama seperti NAT. Bedanya adalah, kalau NAT akan merubah alamat pengirim dari suatu paket data sedangkan Filter tidak melakukan perubahan alamat pengirimnya. Apabila pada filter melakukan action=block maka hal ini akan menyebabkan komputer klien tidak akan bisa melakukan koneksi internet walaupun pada NAT dilakukan konfigurasi masquerade. Jadi, dengan fitur ini dapat digunakan oleh seorang administrator jaringan untuk melakukan blok terhadap situs-situs tertentu dan melarang klien untuk melakukan download file-file tertentu.
    Untuk melakukan blok situs terntentu dan blok file ini, pada firewall filter harus dilakukan penambahan konfigurasi pada bagian content. Misalkan, anda ingin agar komputer klien  tidak bisa membuka situs facebook.com maka pada bagian content anda harus menambahkan www.facebook.com.  Dibawah ini merupakan contoh konfigurasi firewall filter yang melakukan blok akses ke situs www.facebook.com.
[Jarkom@MikroTik] > ip firewall filter add chain=forward in-interface=ether2 src-a
ddress=192.168.255.0/24 content=www.facebook.com action=drop
Hasilnya adalah, jika ada komputer klien yang mencoba mengakses situs www.facebook.com maka hasilnya akan tampak seperti gambar dibawah ini.
Blok akses ke situs tertentu
Gambar 3. Blok akses www.facebook.com
Hal berikutnya yang bisa anda coba adalah membatasi supaya klien tidak bisa melakukan download file-file tertentu dari internet. Misalkan kita ingin supaya klien tidak bisa mendownload file yang berupa file ISO, karena file ISO biasanya filenya berukuran sangat besar dan jika ada komputer klien yang melakukan download file ini tentunya bandwidth internet kita bisa kesedot semua dama klien tersebut. Untuk melakukan hal ini, cara yang dilakukan sama seperti cara diatas, namun pada content diisi dengan .ISO dan action nya block.
[Jarkom@MikroTik] > ip firewall filter add chain=forward in-interface=ether2 src-a
ddress=192.168.255.0/24 content=.iso action=drop
Semoga apa yang penulis sampaikan pada artikel ini dapat bermanfaat bagi kita semua. Terima kasih sudah berkunjung.


2 comments for "Firewall Filter Mikrotik"

  1. masyallah terimaksih ilmunya semoga bermanfaat, izin save untuk tugas ya

    ReplyDelete