Mikrotik Router OS memiliki implementasi firewall yang dengan fitur-fitur sebagai berikut :
- Layer-7 protocol detection
- Peer-to-peer protocols filtering
- Stateful packet inspection
- Traffic classification by:
- DSCP byte
- IP address (network or list) and address types (broadcast, local, multicast, unicast)
- IP protocols
- Interface the packet arrived from or left through
- Internal flow and connection marks
- Port or port range
- Protocol options
- Packet size
- Packet arrival time
- Rate at which packets arrive and sequence numbers
- Source MAC address
Chain Pada Firewall Mikrotik
Firewall beroperasi dengan menggunakan aturan firewall yang disebut firewall filter. Firewall filter adalah salah satu fitur firewall pada mikrotik yang digunakan untuk menentukan apakah suatu paket data dapat masuk atau tidak ke dalam sistem router mikrotik, paket data yang ditangani fitur filewall ini adalah paket data yang ditunjukkan pada salahs satu interface router.
Aturen firewall filtering dikelompokkan bersama dalam chain. Hal ini memungkinkan paket yang dicocokkan terhadap satu kriteria umum dalam satu chain, kemudian akan melewati proses pengolah terhadap berbagai kriteria umum lainnya untuk chain yang lain.
Fitur filter pada mikrotik pada router mikrotik memiliki 3 (tiga) chain, antara lain :
Chain Input digunakan untuk memproses paket memasuki router melalui salah satu interface dengan alamat ip tujuan yang merupakan salah satu alamat router. Chain input berguna untuk membatasi akses konfigurasi terhadap mikrotik.
Gambar di atas merupakan contoh penerapan chain input pada firewall rule yang berfungsi untuk membatasi akses mikrotik hanya dapat diakses oleh komputer yang mempunyai IP : 192.168.2.2 atau melalui interface Ether2
2. Chain Output
2. Chain Output
Chain Output digunakan untuk proses paket data yang berasal dari router dan keluar melalui salah satu interface.
Gambar di atas merupakan contoh penerapan chain output pada firewall rule yang berfungsi untuk menetapkan jalur keluar data ( akses ke internet ) hanya dapat melalui IP 124.12.13.4 atau interface Ether2
3. Chain Forward
Chain Forward digunakan untuk proses paket data yang melalui router.
Gambar di atas merupakan contoh penerapan chain forward pada firewall rule yang berfungsi untuk melalukan block akses pada konten omahjaringan.com yang diakases oleh komputer dengan IP: 192.168.2.2
Connection State Firewall Mikrotik ( Status paket data yang melalui router )
Dalam firewall mikrotik, terdapat beberapa status untuk data-data yang melalui router saat diproses. Status itu antara lain :
- Invalid : paket tidak sedang terkoneksi apapun, jadi paket ini tidak berfungsi apa-apa
- New : paket pertama yang dikirim dari sebuah koneksi
- Established : merupakan paket kelanjutan dari paket dengan status new.
- Related : paket pembuka sebuah koneksi baru, tetapi masih berhubungan denga koneksi sebelumnya.
Action Filter Pada Firewall Mikrotik
Pada konfigurasi firewall mikrotik terdapat satu bagian yang disebut action filter. Action Filter ini digunakan untuk menindaklanjuti paket data yang dikirimkan oleh pengguna (client) dalam jaringan. Action Filter ini terdiri dari:
- Accept : paket diterima tetapi tidak dilanjutkan membaca baris berikutnya
- Drop : menolak paket secara diam-diam (tanpa mengirim pesan penolakan ICMP)
- Reject : menolak paket dan mengirimkan pesan penolakan ICMP
- Jump : melompat ke chain lain yang ditentukan oleh nilai parameter jump-target
- Tarpit : menolak, tetapi tetap menjaga TCP connection yang masuk (membalas dengan SYN/ACK untuk paket TCP SYN yang masuk)
- Passthrough : mengabaikan rule ini dan menuju ke rule selanjutnya
- Log : menambahkan informasi paket data ke log
Contoh Penggunaan Firewall Pada Router Mikrotik
Misalkan sebuah jaringan local dengan network 192.168.0.0/24 dengan jaringan publik (WAN) melalui interface ether1. Firewall akan diatur untuk membangun koneksi ke router itu sendiri hanya dari jaringan lokal dan sisanya di drop. Protokol ICMP juga akan dimungkinkan pada interface apapun sehingga siapa pun dapat ping ke router mikrotik dari internet.
Berikut adalah cara penyelesaiannya:
/ip firewall filter add chain=input connection-state=invalid action=drop \ comment="Drop Invalid connections" add chain=input connection-state=established action=accept \ comment="Allow Established connections" add chain=input protocol=icmp action=accept \ comment="Allow ICMP" add chain=input src-address=192.168.0.0/24 action=accept \ in-interface=!ether1 add chain=input action=drop comment="Drop All"
Nah menarik bukan fitur-fitur firewall yang ada pada mikrotik? Mikrotik mempunyai banyak kemampuan lainnya selain firewallnya yang sangat membantu dalam mengamankan jaringan. Terimakasih atas kesediaan pembaca yang telah membuka halaman blog ini. Sampai jumpa di artikel berikutnya.
Sumber :
