Mikrotik - Firewall (Filter, Address List, Mangle, dll)

Firewall(Filter, Address List, Mangle, dll)

Oleh:Lintang Qumaira Elza Putri(Promaker39)

Firewall

    Menurut website wiki.mikrotik.com Firewall berfungsi sebagai alat untuk mencegah akses tidak sah ke jaringan yang terhubung langsung dan router itu sendiri serta sebagai filter untuk lalu lintas keluar. Firewall jaringan menjauhkan ancaman dari luar dari data sensitif yang tersedia di dalam jaringan.

 

    Menurut Hassan Rizky Putra Sailellah Firewall dalam jaringan komputer adalah sebuah sistem keamanan yang berfungsi untuk melindungi jaringan dan komputer dari ancaman yang datang dari luar.

 

    Menurut Triyadi Firewall adalah sebuah ancaman sistem keamanan yang berfungsi untuk melindungi jaringan komputer dari ancaman dan serangan yang berpotensi merusak data dan sumber daya yang ada di dalamnya.

 

    Menurut Ariffud Muhammad Firewall adalah sistem keamanan yang melindungi komputer dari berbagai ancaman di jaringan internet.

    Dari beberapa pendapat diatas dapat disimpulkan bahwa Firewall adalah sistem keamanan yang berfungsi untuk mencegah akses tidak sah ke jaringan yang terhubung langsung ke router serta berbagai filter untuk lalu lintas keluar.

1.Filter Rules

    Menurut Resa Risyan filter rules merupakan salah satu firewall yang digunakan untuk menentukan apakah suatu paket dapat masuk atauu tidak kedalam sistem Router Mikrotik, paket data yang akan ditangani filter ini adalah paket data yang ditunjukan pada salah satu interface router.

    Menurut Rizky Agung filter rules adalah firewall yang mengijinkan(allow) atau tidak(block)paket tertentu yang melewati jaringan.

    Menurut Ariffud Muhammad packet-filtering firewall adalah firewall yang cara kerjanya menyaring paket yang akan masuk ke sistem.

 

    Dari beberapa pendapat diatas dapat disimpulkan bahwa Firewall Filter Rules adalah sistem keamanan yang digunakan untuk menentukan apakah suatu paket dapat diterima, diblokir, atau dilalui pada jaringan.

Chain pada Firewall Filter Rules:

• input - digunakan untuk memproses paket data yang masuk ke router melalui salah satu interface dengan alamat IP tujuan yang merupakan salah satu alamat router.
• forward - digunakan untuk memproses paket yang melewati router.
• output - digunakan untuk memproses paket yang berasal dari router dan keluar melalui salah satu interface.
  

Action to take if packet is matched by the rule :

• accept - paket diterima. Paket tidak akan diteruskan ke aturan firewall berikutnya.
  
• add-dst-to-address-list - menambahkan alamat tujuan ke daftar alamat yang ditentukan oleh address-list parameter.
• add-src-to-address-list - menambahkan alamat sumber ke daftar alamat yang ditentukan oleh address-list parameter.
  
• drop - menjatuhkan paket secara diam-diam
  
• fastTrack-connection - memproses paket dari koneksi menggunakan FastPath dengan mengaktifkan FastTrack untuk koneksi tersebut.
  
• jump - lompat ke chain yang ditentukan pengguna yang ditentukan oleh nilai jump-target parameter.
  
• log - menambahkan pesan ke log sistem yang berisi data berikut: interface masuk, interface keluar, src-mac, protocol, src-ip:port->dst-ip:port dan panjang paket. Setelah paket cocok, paket diteruskan ke aturan berikutnya dalam daftar.
  
• passthrough - jika paket cocok dengan aturan, tambah penghitung dan lanjutkan ke aturan berikutnya(berguna untuk statistik).
  
• reject - jatuhkan paket dan kirim pesan penolakan icmp.
  
• return - meneruskan kontrol kembali ke chain tempat lompatan terjadi.
  
• tarpit - menangkap dan menahan koneksi TCP(membalas dengan SYN/ACK ke paket TCP SYN masuk).

Konfigurasi Firewall Filter Rules Chain Input

 

 

 

Konfigurasi Firewall Filter Rules Chain Output

Konfigurasi Firewall Filter Rules Chain Forward

 

2. Mangle

Menurut website wiki.mikrotik.com Mangle adalah sejenis 'penanda' yang menandai paket untuk diproses di masa depan dengan tanda khusus.

 

Chain of Mangle:

• Forward – Digunakan untuk menandai trafik yang keluar masuk melalui router dan dapat memilih In dan Out Interface.
• Input – Digunakan untuk menandai trafik yang masuk menuju ke router mikrotik dan hanya bisa memilih In. Interface saja.
• Output – Digunakan untuk menandai trafik yang keluar melalui router mikrotik dan hanya bisa memilih Out. Interface saja.
• Prerouting – Digunakan untuk menandai trafik yang masuk menuju dan melalui router (trafik download). Chain ini hanya bisa memilih Out. Interface saja.
• Postrouting – Digunakan untuk menandai trafik yang keluar dan melalui router (trafik upload) dan hanya bisa memilih In. Interface saja.

Properties Action of mangle:

• accept - paket diterima. Paket tidak akan dipteruskan ke aturan firewall berikutnya.
  
• add-dst-to-address-list - menambahkan alamat tujuan ke daftar alamat yang ditentukan oleh address-list parameter.
• add-src-to-address-list - menambahkan alamat sumber ke daftar alamat yang ditentukan oleh address-list parameter.
• change-dspc - mengubah nilai bidang differentiated services code point(DSCP)yang ditentukan oleh parameter dscp baru.
  
• change-mss - mengubah nilai bidang ukuran segmen maksimum paket ke nilai yang ditentukan oleh parameter mss baru.
  
• change-ttl - mengubah nilai bidang time to live dari paket ke nilai yang ditentukan oleh parameter new-ttl.
  
• clear-df - hapus 'Do Not Fragment' Flag
  
• fasttrack-connection -menampilkan penghitung fasttrack, berguna untuk statistik.
  
• jump - lompat ke chain yang ditentukan pengguna yang ditentukan oleh nilai jump-target parameter.
  
• log - menambahkan pesan ke log sistem yang berisi data berikut: interface masuk, interface keluar, src-mac, protocol, src-ip:port->dst-ip:port dan panjang paket. Setelah paket cocok, paket diteruskan ke aturan berikutnya dalam daftar.
• mark-connection - memberi tanda yang ditentukan oleh parameter new-connection-mark pada paket yang cocok dengan aturan.
  
• mark-packet - memberi tanda yang ditentukan oleh parameter new-packet-mark pada paket yang cocok dengan aturan.
• mark-routing - memberi tanda yang ditentukan oleh parameter new-routing-mark pada sebuah paket.
  
• passthrough - jika paket cocok dengan aturan, tambah penghitung dan lanjutkan ke aturan berikutnya(berguna untuk statistik).
• return - meneruskan kontrol kembali ke chain tempat lompatan terjadi.
  
• router - memaksa paket ke IP gateway tertentu dengan mengabaikan keputusan perutean normal(hanya chain pra-perutean).
  
• set-priority - menetapkan prioritas yang ditentukan oleh parameter prioritas baru pada paket yang dikirim melalui tautan yang mampu mengangkut prioritas(interface VLAN or WMM-enable wireless interface).
  
• sniff-pc - mengirim paket ke server RouterIS CALEA jarak jauh.
  
• sniff-tzsp - mengirim paket ke sistem jarak jauh yang kompatible dengan TZSP(seperti wireshark).
  
• strip-ipv4-options - menghapus bidang opsi IPv4 dari header IP, tindakan tidak benar menghapus opse header IP, tindakan tidak benar-benar menghapus opsi ipv4 melainkan mengganti semua oktet opsi dengan NOP, pencocokan lebih lanjut dengan ipv4-options=any akan tetap coock dengan paket.
  

3. Address List

Menurut website wiki.mikrotik.com daftar alamat firewall memungkinkan pengguna membuat daftar alamat IP yang dikelompokkan berdasarkan nama umum. Filter firewall, mangle, dan fasilitas NAT kemudian dapat menggunakan daftar alamat tersebut untuk mencocokan paket dengan merka.

 

Properties Address List:

• address - satu alamat IP atau rentang IP untuk ditambahkan ke daftar alamat atau nama DNS.
  
• list - nama untuk daftar alamat dari alamat IP yang ditambahkan.
  
• timeout  - waktu setelah alamat akan dihapus dari daftar alamat. Jika batas waktu tidak ditentukan, alamat akan disimpan ke dalam daftar alamat secara permanent. 
  

Konfigurasi Firewall Mangle dan Address List pada Mikrotik

 

5. NAT 

Menurut website wiki.mikrotik.com NAT adalah standar internet yang memungkinkan host di jaringan area lokal menggunakan satu set alamat IP untuk komunikasi internal dan satu set alamat IP lainnya untuk komunikasi eksternal. Agar NAT berfungsi, harus ada gateway NAT disetiap jaringan nat. Gateway NAT(router NAT) melakukan penulisan ulang alamat IP dalam perjalanan paket dari/ke LAN.

Chain Firewall NAT:

• Source NAT atau srcnat - jenis NAT ini dilakukan pada paket yang berasal dari jaringan NAT. Router NAT menggantikan  private source address dari paket IP dengan alamat IP publik baru saat melewati router. Operasi sebaliknya diterapkan pada paket balasan yang bergerak ke arah lain.
  
• Destination NAT atau dstnat - jenis NAT ini dilakukan pada paket yang ditunjukkan ke jaringan NAT. Hal ini paling umum digunakan untuk membuat host di jaringan pribadi agar dapat diakses dari internet. Router NAT yang menjalankan dstnat menggantikan alamat IP tujuan paket IP saat paket tersebut berjalan melalui router menuju jaringan pribadi.
  

property action NAT:

• accept - paket diterima. Paket tidak akan diteruskan ke aturan firewall berikutnya.
  
• add-dst-to-address-list - menambahkan alamat tujuan ke daftar alamat yang ditentukan oleh address-list parameter.
• add-src-to-address-list - menambahkan alamat sumber ke
• dst-nat - mengganti alamat tujuan dan/port paket IP ke nilai yang ditentukan oleh to-addresses dan to-ports parameter.
  
• jump - lompat ke chain yang ditentukan pengguna yang ditentukan oleh nilai jump-target parameter.
  
• log - menambahkan pesan ke log sistem yang berisi data berikut: interface masuk, interface keluar, src-mac, protocol, src-ip:port->dst-ip:port dan panjang paket. Setelah paket cocok, paket diteruskan ke aturan berikutnya dalam daftar.
• masquerade - mengganti port sumber paket IP ke port yang ditentukan oleh to-ports parameter dan mengganti alamat sumber paket IP ke IP yang ditentukan oleh fasilitas routing.
  
• netmap - membuat pemetaan statis 1:1 dari satu kumpulan alamat IP ke kumpulan alamat IP lainnya. Sering digunakan untuk mendistribusikan alamat IP publik ke host di jaringan pribadi.
  
• passthrough - jika paket cocok dengan aturan, tambah penghitung dan lanjutkan ke aturan berikutnya(berguna untuk statistik).
  
• redirect - mengganti port tujuan paket IP ke port yang ditentukan berdasarkan to-ports parameter dan alamat tujuan ke salah satu alamat lokal router.
  
• return - meneruskan control kembali ke chain tempat lompatan tadi.
  
• same - memberi klien tertentu alamat IP sumber/tujuan yang sama dari rentang yang disediakan untuk setiap koneksi.
  
• src-nat - mengganti alamat sumber paket IP dengan nilai yang ditentukan oleh to-addresses dan to-ports parameter.
  

Konfigurasi Firewall Source NAT pada Mikrotik

 

Daftar Pustaka:

Mikrotik. ____. Manual:IP/Firewall/Filter.

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter diakses pada 29 Juli 2024 pukul 08.16

 

Mikrotik. ____. Manual:IP/Firewall/Mangle.  

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle diakses pada 29 Juli 2024 pukul 08.18

 

Mikrotik. ____. Manual:IP/Firewall/Address list.

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list diakses pada 29 Juli 2024 pukul 08.44

 

Mikrotik. ____. Manual:IP/Firewall/NAT.

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT diakses pada 29 Juli 2024 pukul 09.15 

Sailellah, Hassan Rizky Putra. 2024. Pengertian Firewall dalam Jaringan Komputer dan Jenis-Jenisnya.

https://it.telkomuniversity.ac.id/pengertian-firewall-dalam-jaringan-komputer-dan-jenis-jenisnya/ diakses pada 1 Agustus 2024 pukul 10.00

 

Triyadi. 2023. Apa itu Firewall?Pengertian, Fungsi dan Cara Kerjanya. 

https://www.rumahweb.com/journal/firewall-adalah/ diakses pada 1 Agustus 2024 pukul 10.10

 

Muhammad, Ariffud. 2022. Firewall:Pengertian, Fungsi, Manfaat, Jenis, Cara Kerjanya.

https://www.niagahoster.co.id/blog/firewall-adalah/ diakses pada 1 Agutus 2024 pukul 10.30

Agung, Rizky. 2023. Tutorial Konfigurasi Firewall Pada Mikrotik Lengkap dengan Penjelasan dan Contohnya.

https://tutorialmikrotik.com/konfigurasi-firewall-pada-mikrotik/ diakses pada 1 Agustus 2024 pukul 10.44

Risyan, Resa. 2019. Fungsi dari Fitur-Fitur pada Firewall Mikrotik. 

https://www.monitorteknologi.com/fungsi-fitur-fitur-firewall-mikrotik/ diakses pada 1 agustus pukul 11.18

 

#Atswa #Firewall #Addresslist #mangle #NAT #firewallfilter #Mikrotik #Promaker39