Rangkuman Praktikum Jaringan Komputer
Dasar Firewall (Filter, NAT, Mangle)
Filter
Sub-menu: /ip firewall penyaring
Firewall mengimplementasikan packet filtering dan dengan demikian menyediakan fungsi keamanan yang digunakan untuk mengatur arus data, dari dan melaui router. Seiring dengan Network Address Translation itu berfungsi sebagai alat untuk mencegah akses tidak sah ke jaringan langsung terpasang dan router itu sendiri serta sebagai filter untuk lalu lintas keluar.
Jaringan firewall tetap ancaman luar dari data sensitive tersedia di dalam jaringan. Setiap kali jaringan yang berada bergabung bersama-sama, selalu ada ancaman bahwa seseorang dari luar jaringan anda akan masuk ke LAN anda. Seperti pembobolan dapat mengakibatkan data yang pribadi yang dicuri dan didistribusikan, data berharga yang diubah atau dihancurkan, atau seluruh hard drive yang terhaspus. Firewall digunakan sebagai sarana untuk mencegah atau meminimalkan risiko keamanan yang melekat dalam menghubungkan ke jaringan lain. Firewall dikonfigurasi memainkan peran kunci dalam jaringan yang efisien dan aman penyebaran insfrastur.
NAT
Network Address Translation adalah standart Internet yang memungkinkan host pada jaringan area local untuk menggunakan satu set alamat IP untuk komunikasi internal dan satu set alamat IP untuk komunikasi eksternal. Sebuah LAN yang menggunakan NAT disebut sebagai natted jaringan.Untuk NAT berfungsi, harus ada geteway NAT disetiap natted jaringan.NAT Gateway (NAT route) melakukan penulisan ulang alamat IP dalam perjalanan perjalanan paket dari / ke LAN.
Ada dua jenis NAT :
Sumber NAT atau srcnat.Jenis NAT dilakukan pada paket yang berasal dari jaringan natted. Sebuah router NAT akan mengganti sumber alamat pribadi IP dari sebuah paket dengan alamat IP baru public karena perjalanan melalui router. Setiap operasi diterapkan ke paket balasan dalam arah lainnya.
Tujuan NAT atau dstnat.Jenis NAT dilakukan pada paket yang ditujukan ke jaringan natted. Hal ini umumnya digunakan untuk membuat host di jaringan pribadi untuk dapat diakses dari Internet. Sebuah router NAT melakukan dstnat menggantikan alamat IP tujuan dari sebuah paket IP karena perjalanan melalui router terhadap jaringan pribadi.
Host di belakang router NAT enable tidak memiliki konektivitas end-to-end yang benar. Oleh karena itu beberapa protocol internet mungkin tidak bekerja dengan scenario NAT. Peayanan yang membutuhkan inisiasi koneksi TCP dari luar jaringan pribadi atau status protocol seperti UDP, dapat terganggu. Selain itu, beberapa protocol yang inheren bertentangan dengan NAT, contoh tebal adalah AH protocol IPsec suite.
Untuk mengatasi keterbatasan ini RouterOS mencakup sejumlah disebut NAT pembantu, yang memungkinkan NAT traversal untuk berbagi protocol.
Mangle
Mangle adalah semacam ‘penanda’ yang menandai paket untuk proses selanjutnya dengan tanda khusus. Banyak fasilitas lain di RouterOS menggunakan tanda ini, misalnya pohon antrian, NAT, routing. Mereka mengidentifikasi paket berdasarkan tanda dan memprosesnya sesuai. Tanda mangle hanya ada dalam router, mereka tidak ditransmisikan melalui jaringan.
Selain itu, fasilitas mangle digunakan untuk memodifikasi beberapa bidang dalam header IP, seperti TOS (DSCP) dan bidang TTL.
LEMBAR KERJA DAN TUGAS
1. Sambungkan komputer ke Mikrotik (Router Board)
2. Masuk ke mikrotik menggunakan Winbox
1. Lakukan konfigurasi alamat IP seperti gambar berikut
1. Setting DNS Router
1. Untuk melalui konfigurasi Firewall, pilih menu : IP à FIREWALL. /ip firewall filter Apabila melalui terminal
MEMBUAT FIREWALL UNTUK MEMBLOCK AKSES INTERNET DARI 1 IP ADDRESS CLIENT.
1. Buat New Firewall Rules, pada Option “GENERAL”, pilih Chain : “FORWARD”
2. Lalu kita pilih / isi Source Address dengan IP Address dari Client yang akan kita Block. Misalnya Client dengan IP : 192.168.1.10
3. Out Interface kita isi dengan interface : Ether2
1. Selanjutnya pada Option “ACTION”, kita pilih : “DROP”
1. Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.10 yang akan mengakses internet dengan OUTGOING melalui Interface Ether2, maka koneksi ini akan di DROP oleh Mikrotik
MEMBUAT FIREWALL UNTUK MEMBLOCK AKSES INTERNET DARI SEKELOMPOK IP ADDRESS CLIENT
1. Pertama kita buat lebih dulu sejumlah IP Address pada menu Firewall à Address List. Misalnya kita berikan nama “CLIENT NO INTERNET”
2. Buatlah sejumlah daftar IP Address Client dari LAN kita yang akan di block akses internetnya
1. Selanjutnya kita buat sebuah New Firewall Rules, pada Option “GENERAL”, pilih Chain : “FORWARD”
2. Out Interface kita isikan dengan interface : Ether2
1. Selanjutnya pada menu “ADVANCED”, isikan pada menu “ Source Address List” dari pada Daftar Address List yang telah kita buat untuk memblokir akses internetnya. Kita pilih nama : “CLIENT NO INTERNET”
1. Selanjutnya pada Option “ACTION”, kita pilih : “DROP”
1. Jadi Firewall ini berarti : “jika ada Client dengan IP Address yang terdaftar pada “CLIENT NO INTERNET” yang akan mengakses ineternet dengan OUTGOING melalui Interface Ether2, maka koneksi ini akan di DROP oleh Mikrotik
1. Untuk menggunakan masquerading, rule source NAT dengan action ‘masquerade’ harus ditambahkan pada konfigurasi firewall bisa menggunakan terminal dengan perintah
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
1. Setting mikrotik supaya seimbang antara browsing dan game
Jalankan Winbox dan buka “New Terminal” ketik perintah berikut :
Ping Untuk Game :
ip firewall mangle add chain=game action=mark-connection new-connection-mark=Game passthrough=yes protocol=tcp dst-address=203.89.146.0/23 dst-port=39190 comment=”Point Blank”
ip firewall mangle add chain=game action=mark-connection new-connection-mark=Game passthrough=yes protocol=udp dst-address=203.89.146.0/23 dst-port=40000-40010
ip firewall mangle add chain=game action=mark-packet new-packet-mark=Game_pkt passthrough=no connection-mark=Game
ip firewall mangle add chain=prerouting action=jump jump-target=game
queue type add name=”Game” kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-address,dst-address,src-port,dst-port pcq-total-limit=2000
queue tree add name=”Game” parent=global-total packet-mark=Game_pkt limit-at=0 queue=Game priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
Ping Untuk Browsing :
ip firewall mangle add chain=forward action=mark-connection new-connection-mark=http passthrough=yes protocol=tcp in-interface=public out-interface=local packet-mark=!Game_pkt connection-bytes=0-262146 comment=”BROWSE”
ip firewall mangle add chain=forward action=mark-packet new-packet-mark=http_pkt passthrough=no protocol=tcp connection-mark=http
queue type add name=”Http” kind=pcq pcq-rate=1700k pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=2000
queue tree add name=”Main_Browse” parent=local limit-at=0 priority=8 max-limit=512k burst-threshold=0 burst-time=0s
queue tree add name=”Browse” parent=Main_Browse packet-mark=http_pkt limit-at=0
queue=Http priority=8 max-limit=1700k burst-limit=0 burst-threshold=0 burst-time=0s
Tugas
1. Membuat firewall untuk memblock akses internet dari 1 mac address client 2. Buat mangle ping untuk Game Poker |
2.
ip firewall mangle add chain=game action=mark-connection new-connection-mark=Game passthrough=yes protocol=tcp dst-address=203.89.146.0/23 dst-port=39190 comment=”Poker”
ip firewall mangle add chain=game action=mark-connection new-connection-mark=Game passthrough=yes protocol=udp dst-address=203.89.146.0/23 dst-port=40000-40010
ip firewall mangle add chain=game action=mark-packet new-packet-mark=Game_pkt passthrough=no connection-mark=Game
ip firewall mangle add chain=prerouting action=jump jump-target=game
queue type add name=”Game(poker)” kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-address,dst-address,src-port,dst-port pcq-total-limit=2000
queue tree add name=”Game” parent=global-total packet-mark=Game_pkt limit-at=0 queue=Game(poker) priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
No comments:
Post a Comment