Skip to content Skip to sidebar Skip to footer

Firewall NAT Mikrotik Router

NAT

    Jika berbicara mengenai jaringan, maka tidak lepas dari paket data yang dapat keluar masuk dijaringan tersebut, yang mana paket data ini dapat berupa sebuah ancaman bagi jaringan anda dan bisa juga bukan berupa ancaman. Oleh karena itu dibutuhkan suatu perangkat yang dapat memilih dan memeriksa data-data mana yang boleh keluar masuk dalam suatu jaringan dan data-data mana yang tidak dizinkan untuk keluar masuk jaringan, dan perangkat ini adalah firewall. Karena peran dari firewall ini yang dapat menentukan suatu data dapat keluar masuk dalam jaringan, maka firewall dapat kita manfaatkan untuk mengamankan jaringan lokal (LAN) kita dari serangan jaringan luar (internet).
    Router pada sebuah jaringan berada diantara jaringan lokal (LAN) dan jaringan luar (internet), seperti tampak pada gambar dibawah ini.
Firewall Mikrotik
    Berdasarkan pada gambar diatas, router mikrotik memiliki peran sebagai firewall untuk menentukan suatu paket data dapat diteruskan atau ditolak sehingga jaringan LAN kita akan terlindungi dari serangan jaringan luar. Pada artikel kali ini, penulis ingin berbagi sedikit pengetahuan mengenai fitur yang ada pada firewall router mikrotik yaitu Filter dan Network Address Translation (NAT). Namun, pada artikel ini penulis hanya akan membahas mengenai Network Address Translation sedangkan untuk Filter nya akan penulis bahas pada artikel selanjutnya. انشاءالله

Network Address Translation (NAT)

    Sebuah router yang berada diantara jaringan LAN dengan jaringan luar (internet) menerapkan Network Address Translation (NAT). Dengan NAT ini, jika ada suatu komputer klien yang mengirimkan paket data ke jaringan luar (internet) maka router akan meneruskan  data tersebut ke alamat tujuan penerima paket data. Namun sebelumnya, router akan merubah paket data tersebut seolah-olah paket data berasal dari router dan bukan dari komputer klien yang mengirimkan data. Jadi, NAT merupakan suatu fungsi firewall yang bertugas melakukan perubahan IP Address pengirim dari sebuah paket data.
    NAT yang dijalankan pada router mikrotik menggunakan action masquerade. Dengan masquerade ini router mikrotik akan menyembunyikan semua komputer klien yang berada dijaringan LAN sekaligus membuat seakan-akan setiap ada paket data yang dikirimkan dari komputer klien ke internet semuanya berasal dari router. Untuk ilustrasi penerapan NAT ini dapat anda perhatikan pada gambar dibawah ini.
NAT Mikrotik Router




    Seperti tampak pada gambar diatas, terdapat komputer klien dengan IP Private 192.168.255.2 ingin melakukan koneksi ke www.facebook.com dengan IP Public 157.240.13.35. Maka router akan meneruskan permintaan klien ini dengan merubah alamat IP Pengirim dari 192.168.255.2 menjadi IP Public router yaitu 10.10.10.2 seolah-olah yang melakukan permintaan koneksi ke www.facebook.com adalah router bukannya klien. Jadi, masquerade ini wajib dijalankan pada router-router gateway untuk menyembunyikan IP Address private komputer klien sehingga tidak terdeteksi dari internet. Jika masquerade ini tidak dijalankan dirouter gateway, maka komputer klien tidak bisa terkoneksi ke internet. Berikut ini merupakan contoh penerapan NAT dengan action masquerade
ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
    Maksud dari perintah diatas adalah apabila ada komputer klien yang ingin mengakses internet maka gunakan ether1 yang mana ether1 ini adalah interface pada router mikrotik yang terhubung keinternet. Adapun perintah chain=srcnat, ini merupakan perintah untuk mengganti IP Address pengirim (source address) menjadi IP Address ether1 untuk menuju internet. Perintah NAT dengan masquerade diatas mengakibatkan semua komputer klien bisa mendapatkan akses internet. Kita bisa melakukan konfigurasi NAT supaya hanya komputer dengan IP tertentu saja yang bisa akses internet, atau hanya layanan internet tertentu saja yang bisa diakses oleh komputer klien, bahkan kita bisa melakukan konfigurasi NAT supaya klien hanya bisa mengakses internet dihari dan jam tertentu. 
    Misalkan kita ingin supaya komputer dengan IP address 192.168.255.10 sampai 192.168.255.20 saja yang bisa mengakses internet maka pada perintah NAT bisa ditambahkan perintah src-address=192.168.255.10-192.168.255.20 seperti dibawah ini.
ip firewall nat add chain=srcnat src-address=192.168.255.10-192.168.255.20 out-interface=ether1 action=masquerade
Sekarang apabila kita ingin komputer klien hanya bisa mengakses layanan internet tertentu, maka pada konfigurasi NAT nya harus ditambahkan konfigurasi protokol dan port tujuan (dst-port) . Sebagai contoh, kita hanya ingin supaya komputer klien hanya bisa melakukan browsing internet maka untuk port tujuannya harus ditambahkan port 80 (HTTP) dan port 443 (HTTPS) sedangkan untuk protocol yang digunakan adalah TCP.
ip firewall nat add chain=srcnat src-address=192.168.255.10-192.168.255.20 protocol=tcp dst-port=80,443 out-interface=ether1 action=masquerade
Jika ingin agar komputer klien hanya bisa mengakses internet dihari dan jam tertentu, misalkan hari senin sampai sabtu dari jam 9 pagi sampai jam 5 sore maka pada konfigurasi NAT ditambahkan konfigurasi time nya, seperti perintah dibawah ini.
ip firewall nat add chain=srcnat src-address=192.168.255.10-192.168.255.20 protocol=tcp dst-port=80,443 out-interface=ether1 time=09:00:00-17:00:00,mon,tue,wed,thu,fri,sat action=masquerade
    Namun perlu diperhatikan, jika anda membuat lebih dari satu konfigurasi NAT maka harus anda perhatikan posisi dari setiap konfigurasi NAT yang sudah dibuat. Setiap rule NAT yang dibuat akan dieksekusi dari posisi paling atas ke paling bawah. Perhatikan hasil konfigurasi NAT dibawah ini yang dibuka menggunakan winbox.
Firewall NAT Print

    Berdasarkan hasil konfigurasi diatas, seorang administrator jaringan ingin supaya komputer dengan IP Address 192.168.255.10 sampai 192.168.255.20 saja yang bisa melakukan koneksi internet. Namun perhatikan konfigurasi diatas, jika ada komputer dengan IP 192.168.255.2 mencoba melakukan koneksi internet apa yang terjadi ?? Komputer tersebut akan bisa mengakses internet, kok bisa ?? Karena berdasarakan urutan konfigurasi NAT diatas, perintah rule pertama yang akan dijalankan oleh router adalah rule dengan index 0 yang menyatakan bahwa semua IP dengan alamat 192.168.255.0/24 (192.168.255.1 sampai 192.168.255.254) boleh melakukan koneksi internet. Bukankah komputer dengan IP 192.168.255.2 juga termasuk didalamnya ? Inilah yang menyebabkan komputer tersebut bisa terkoneksi keinternet. Jadi, hal yang harus dilakukan adalah memindah posisi nomor index dari konfigurasi tersebut dengan menggunakan perintah berikut.
ip firewall nat move 1 0
Maksud dari perintah diatas adalah menukar posisi dari rule NAT no index 1 ke NAT no index 0. Semoga apa yang tertulis diartikel ini bermanfaat ya. Terima kasih sudah berkunjung.

Post a Comment for "Firewall NAT Mikrotik Router"