Pada routerOS mikrotik terdapat sebuah fitur yang disebut dengan FIREWALL.Sesuai arti dari nama tersebus FIREWALL=DINDINGAPI, hehe yaa terminologi untuk menggambarkan sebuah tembok untuk melindungi sesuatu.Nah, Fitur ini biasanya banyak digunakan untuk melakukan filtering (Filter Rule) dan Forwarding (NAT), Dan juga untuk menandai koneksi maupun paket dari trafik data yang melewati router(Mangle).Supaya fungsi firewall ini dapat berjalan dengan baik, kita harus menambahkan rule yang sesuai.
Terdapat sebuah parameter utama pada rule fitur firewall ini yaitu “Chain”.Parameter ini memiliki kegunaan untuk menentukan jenis trafik yang akan di manage pada fitur firewal, dan setiap fungsi pada firewall seperti Filter Rule, NAT, Mangle memiliki opsi chain yang berbeda. Oke kawan langsung saja kita ke pembahasan yang pertama :
FIREWALL Filter Rules
Filter Rule biasanya digunakan untuk melakukan kebijakan boleh atau tidaknya sebuah trafik ada dalam sebuah jaringan.Pada Filter Rule terdapat tiga buah chain yaitu Input, Output, dan Forward.Adapun fungsi dari masing-masing chain tersebut :
Input
Digunakan untuk memproses trafik paket data yang masuk atau menuju ke router melalui interface yang ada di router.Jenis trafik paket data yang masuk bisa berasal dari jaringan publik maupun jarigan lokal dengan tujuan router.Contohnya, mengakses router menggunakan winbox, webfig, telnet, ssh baik dari lokal mapun public, Melakukan Ping ke Router.
Output
Digunakan untuk memprose trafik atau paket data yang keluar atau berasal dari router.Trafik yang berasal dari router bisa menuju jaringan publik atau lokal LAN router itu sendiri.Contohnya kita melakukan ping ke google atau new terminal di winbox.
Forward
Digunakan untuk memproses trafik atau paket data yang hanya melewati router, jadi ip source maupun destination bukanlah berasal dari router.Misalnya saat kita melakukan browsing, request berasal dari laptop yang melakukan browsing dan tujuannya adalah internet.
CONNETION TRACKING DAN CONNECTION STATE
Selain parameter chain, terdapat paramete yang juga penting untuk dimanfaatkan, yaitu connection tracking.Connection tracking merupakan fitur yang digunakan untuk melihat informasi dan status paket yang melewati router, masuk router, maupun keluar router seperti dst-address dan src-address yang sedang digunakan.Untuk membuat rule connection tracking kita menggunakan connection state, beberapa status dalam connection state :
1.New Merupakan paket pembuka sebuah koneksi pertama dari sebuah koneksi
2.Established Merupakan paket kelanjutan dari paket dengan status new.
3.Related Paket yang memulai koneksi baru namun masih berhubungan dengan paket Sebelumnya
4.Invalid Paket yang tidak memiliki koneksi apapun.
FIREWALL ACTION
Pada menu action, kita bisa memutuskan atau menentukan suatu trafik atau paket data tersebut di perbolehkan (Accept), di larang (Drop) atau kebijakan lainnya.Terdapat beberapa action yang bisa dipilih :
1. Accept Paket diterima dan tidak melanjutkan membaca baris berikutnya
2. Drop Menolak paket secara diam-diam (Tidak mengirimkan pesan penolakan ICMP)
3. Reject Menolak paket namun tetap mengirimkan pesan penolakan ICMP
4. Jump Melompat ke chain lain yang ditentukan oleh nilai parameter jump-target
5. Tarpit Menolak tapi tetap menjaga TCP Connection yang masuk (Tetap membalas namun tidak sampai pada tujuan)
6. Passtrough Mengabaikan rule ini dan menuju rule selanjutnya
7. Log Menambahkan informasi paket data ke log
Mungkin itu beberapa hal wajib kita ketahui dalam menerapkan firewall, yaa sebenarnya masih ada banyak lagi yang harus kita ketahui tapi yang kita bahas diatas merupakan hal yang harus kita pahami dengan baik.
Selanjutnya kita akan membahas tentang fitur yang ada pada firewall juga yaiut Network Addressing Translation (NAT).
FIREWALL NAT (Network Addressing Translation)
Selain Filter Rule, pada menu firewall opsi yang wajib kita gunakan adalah NAT.Firewall NAT berfungsi untuk mengubah atau memodifikasi Source Address ataupun Destination Address.Contohnya pada saat kita ingin komputer klien pada LAN kita ingin dapat mengakses internet maka kita buat rule source address yang berasal dari LAN kita buat dengan konfigurasi Src-nat, agar dapat mengakses internet.Karena pada prinsipnya IP Private tidak bisa berkomunikasi langsung dijaringan global jadi harus menggunakan IP Publik.Maka dari itu untuk melakukan browsing komputer client mengirimkan request ke router lalu oleh router request dari client yang menggunakan IP Private akan dimodifikasi seoala-olah yang melakukan request adalah router yang punya IP Public agar bisa berhubungan dengan jaringan luar lalu reply dari internet akan diteruskan kembali ke client sesuai requestnya, biasanya ditambahkan port number pada setiap reply untuk menandai jika banyak client yang melakukan request.
Ada dua chain pada NAT masing-masing fungsinya adalah :
1.Dst-nat :
Memiliki fungsi untuk mengubah destination address pada sebuah paket data. Biasa digunakan untuk membuat host dalam jaringan lokal dapat diakses dari luar jaringan (internet) dengan cara NAT akan mengganti alamat IP tujuan paket dengan alamat IP lokal. Jadi kesimpulan fungsi dari chain ini adalah untuk mengubah/mengganti IP Address tujuan pada sebuah paket data.
2.Src-nat :
Memiliki fungsi untuk mengubah source address dari sebuah paket data. Sebagai contoh kasus fungsi dari chain ini banyak digunakan ketika kita melakukan akses website dari jaringan LAN.
Sedangkan untuk opsi Action ada beberapa pilihan fungsi sesuai yang kita butuhkan :
- Masquerade Berfungsi untuk modifikasi IP Private ke IP Public dalam jumlah banyak
- Dst-nat Menggantikan alamat tujuan dari sebuah paket ke IP yang ditentukan pada nilai-nilai To-- Address dan parameter To-Port.
- Jump Digunakan untuk lompat ke rule yang sudah ditentukan pada Jump-target
- Netmap Digunakan untuk melakukan pemetaan 1:1 statis dari satu set alamat IP satu sama l Lain.Sering digunakan untuk mendistribusikan alamat IP Publik untuk host di jaringan pribadi.
- Passtrough Untuk mengabaikan rule dan lanjut pada rule selanjutnya
- Redirect Digunakan untuk menggantikan alamat IP tujuan ke alamat lainnya sesuai yang ditentukan.
- Return Digunakan untuk kembali memproses rule pertama dari aturan yang kita buat
- Src-nat Menggantikan alamat sumber dari sebuah paket ke IP yang ditentukan pada nilai-nilai To- Address dan parameter To-Port.
Untuk penerapan menggunakan chain src-nat sebenarnya sudah kita terapkan di pembahasan awal saat melakukan Konfigurasi Dasar.Nah, sekarang kita akan menerapkan menggunakan chain dst-nat yang fungsinya untuk membuat transparent proxy, forwarding, CCTV dll. Tentunya pada artikel selanjutnya.
Mungkin sampai disini dulu pembahasan kita mengenai Firewall Filter Rules dan NAT, masih banyak yang harus kita pelajari dan banyak materi yang harus kita perdalam lagi agar benar-benar mengerti.Oke kawan sampai bertemu pada artikel selanjutnya, follow dan share agar terus update tentang artikel menarik lainnya.
1 comments:
Write commentsPerbedaan antara firewall nat dengan firewal filter rules
Reply