Tutorial Menggunakan Firewall di Mikrotik 

Pengertian Firewall

Firewall adalah sistem keamanan yang melindungi komputer kita dari berbagai ancaman di  jaringan internet. Firewall digunakan sebagai pelindung jaringan, baik yang berasal dari WAN  (Internet) maupun dari LAN (Local). Dengan kata lain, Firewall bekerja sebagai sekat atau  tembok yang membatasi komputer dari jaringan internet. 

Melalui “tembok api” inilah kita bisa mengatur data, informasi, dan kegiatan apa yang boleh  lalu lalang dari jaringan internet ke komputer dan begitu pula sebaliknya. 

Fungsi Firewall 

• Firewall digunakan sebagai pelindung jaringan, baik yang berasal dari WAN (Internet) maupun dari  LAN (Local). 

• Melindungi dari network lain yang melewati router. 

• Fitur firewall pada RouterOS ada pada menu IP > Firewall. 

• Basic Firewall ada di IP > Firewall > Filter Rules 

Firewall – Filter Rules 

• Firewall filter rule merupakan basic firewall di RouterOS. 

• Setiap firewall filter rule di organisir dalam chain (rantai) yang berurutan. 

• Setiap chain yang dibuat akan dibaca oleh router dari atas ke bawah. 

• Paket dicocokan dengan kriteria/persyaratan dalam suatu chain, apabila cocok paket akan  dieksekusi. Namun apabila paket yang masuk ke firewall tidak cocok makan akan dilarikan ke  rule dibawahnya sampai dia match. 

• Terdapat 3 default chain (input, output, forward). 

• Dimungkinkan juga kita dapat membuat custom chain sesuai dengan yang diinginkan. • By default jika di Filter Rules tidak ada settingan sama sekali, artinya semua traffic yang masuk  atau melewati router akan diijinkan baik itu yang aman atau yang tidak aman. Firewall – Simple Packet Flow 

Tiga aturan dasar packet flow: 

• Input – ke router 

• Output – dari router 

• Forward – melewati router

Firewall – IF (Condition) 

• Prinsip IF …. Then …. 

• IF (Jika) paket memenuhi syarat kriteria yang kita buat. 

• Then (maka) action apa yang akan kita berikan ke paket tersebut. 

• Di firewall Filter Rule IF condition ada dimenu (General, Advanced dan Extra) sedangkan Then  condition ada dimenu action 

Firewall Filter – IF (General) 

• IP > Firewall Filter > General 

Source address (alamat sumber), Destination 

address (alamat tujuan) format bisa spesifik IP, 

spesifik network atau semua network (any). 

Protocol (TCP/UDP/ICMP, dll) 

Source Port (port sumber/ dari client). 

Destination port (port tujuan) 

Interface (traffic masuk atau keluar).

Firewall Filter – Then (Action) 

• IP > Firewall Filter > Action 

• accept – paket akan di terima (di ijinkan) 

• add-dst-to address-list – alamat tujuan akan di tambahkan ke dalam address list (grup  ip address) 

• add-src-to address-list – alamat source akan di tambahkan ke dalam address list • drop – paket akan di tolak (tidak di ijinkan) 

• fasttrack connection – fitur alternative untuk speedboost traffic data. 

• jump – paket akan di lempar ke spesifik custom chain yang kita buat 

• log – paket akan dibuatkan sebuah catatan atau log khusus. Passtrough – paket akan  di biarkan (di eksekusi) dan di ijinkan membaca rule selanjutnya 

• reject – sama kayak drop, cuman nanti keluar pesan ICMP reject. return – paket akan  dikembalikan dimana lokasi action jump di buat. tarpit – membuka port bayangan yang  ada di router, seolah-olah semua port di router aktif, tetapi tidak akan pernah bisa di  akses 

Frequently Used Ports 

• Beberapa port yang biasanya sering digunakan pada Firewall

Port/Protocol Service
80/tcp HTTP
443/tcp HTTPS
22/tcp SSH
23/tcp Telnet
20,21/tcp FTP
8291/tcp Winbox
5678/udp MNDP
20561/udp Mac Winbox

Firewall – Protecting our Router (1) 

• Buatlah firewall untuk mengijinkan hanya IP laptop saja yang bisa akses router Firewall – Protecting our Router (2) 

• IF ada traffic input yang berasal dari IP laptop (192.168.100.2) 

• THEN tentukan action > accept 

Firewall – Protecting our Router (3) 

• IF ada traffic input yang berasal dari <kosong> atau “any address/network” • THEN tentukan action > drop

Firewall – Protecting our Router (4) 

• Akan ada 2 chain rules 

• Perhatikan jumlah bytes di setiap chain rule, tetap ataukah bertambah Ketika kita melakukan akses ke router 

• Coba masing-masing peserta untuk melakukan ping, akses web, dan remote winbox ke router  peserta lain 

Firewall – Log 

• Log merupakan fitur yang digunakan untuk menampilkan beberapa informasi / aktivitas yang ada pada router. 

• Kita dapat membuat atau menambahkan catatan aktivitas apa saja sesuai yang diinginkan melalui firewall filter dengan menggunakan action log 

• Buatlah log untuk mencatat aktivitas ping yang masuk ke router. 

• Caranya buat rule baru pada IP > Firewall > Filter Rules. 

• Ping IP router dari laptop atau dari peserta lain, amati log pada router.

Firewall – Address List 

• Address list digunakan untuk memfilter berdasarkan group IP. 

• Satu line address-list dapat berupa subnet, range IP atau spesifik IP. 

Beberapa address dengan nama grup yang sama. 

• Address list dapat dibuat juga secara otomatis dengan memanfaatkan action “add-to-address list”. • Kita juga dapat mengatur apakah address-list yang dibua secara permanen atau sementara dengan mengatur timeout 

Firewall – Address List Implementation 

• Address list dapat dibuat juga secara otomatis dengan memanfaatkan action “add-to-address  list”. 

• Siapa dari local ping ke router, dia tidak bias akses ke Internet selama 30 detik. • Buat Firewall rule untuk memasukan setiap IP yang melakukan PING secara otomatis ke dalam address-list dan beri nama address-list “PINGER”. (1)

• Buat Firewall rule baru untuk memblock setiap address yang berasal dari address-list “PINGER”  (2) 

Firewall – Address List (1) 

• Buat Firewall rule untuk memasukan setiap IP yang melakukan PING secara otomatis ke dalam address-list dan beri nama address-list “PINGER”. (1) 

Firewall – Address List (2) 

• Buat Firewall rule baru untuk memblock setiap address yang berasal dari address-list “PINGER”  (2).

Firewall – Address List (3) 

• Pastikan terdapat 2 rule yang tadi kita buat 

• Ping IP router dari laptop, perhatikan di menu Firewall Address-list. 

• Check koneksi Internet. 

Firewall – Blok Situs 

• Untuk Blok situs didalam mikrotik, kita dapat menggunakanan parameter Content dan TLS Host. • Content 

• Menggunakan kata dalam web yang ingin di blokir 

• TLS Host 

• Menggunakan nama domain, penulisan diawali dengan tanda *, ex (*youtube.com)

Firewall – NAT 

• NAT (Network Address Translation) merupakan metode yang digunakan untuk menghubungkan banyak computer ke jaringan Internet dengan menggunakan satu / lebih alamat IP. • NAT digunakan untuk ketersediaan alamat IP Public 

• Prinsip NAT sama seperti Filter Rule, bekerja dengan “IF-THEN”.

Di Mikrotik terdapat 2 type NAT : 

Srcnat, digunakan Ketika client yang ada di dalam router ingin keluar (Internet) 

• Masquarde : digunakan untuk menghubungkan jaringan local ke internet menggunakan IP  public dynamic. 

• Src-nat : digunakan untuk menghubungka jaringan local ke internet menggunakan IP public  static. 

Dstnat, digunakan Ketika client di intenrnet ingin mengakses jaringan local dari internet 

• Dst-nat : digunakan Ketika akan mengakses jaringan local melalui internet (port forwarding).  – melempar traffic ke luar router. 

• Redirect : digunakan Ketika akan membelokan traffic ke router itu sendiri, contoh : hotspot,  webproxy, dns server router dll. 

Firewall – DSTNAT 

• DSTNAT digunakan untuk mengakses host/service yang ada di Lokal melalui Public Internet • Buat rule pada IP > Firewall > NAT untuk redirect port 81 router ke IP laptop dan port 80

• Akses IP Public router http://<ip wlan1 router>:81 dari laptop peserta lain.

Firewall – Redirect 

• Merupakan action yang digunakan untuk mengarahkan suatu paket kedalam spesifik servis / port  yang ada pada router. (DNS, Web Proxy). 

• Redirect hanya bisa digunakan apabila kita menggunakan chain dstnat 

• Buat rule redirect, Ketika ada paket TCP/80 ke tujuan public maka akan dibelokan ke router port 80.

Firewall – Connection Tracking 

• Connection Tracking berisi informasi koneksi (source, destination IP, port,protocol yang sedang digunakan) 

• Harus diaktifkan bila kita akan menggunakan beberapa service Firewall. 

• IP > Firewall > Connections > Tracking

• Bila connection tracking mati, beberapa fitur firewall tidak akan berfungsi sebagai berikut : • NAT 

• Firewall : 

• connection-bytes 

• connection-mark 

• connection-type 

• connection-state 

• connection-limit 

• connection-rate 

• layer7-protocol 

• new-connection-mark 

• tarpit 

• Status koneksi pada connection tracking : 

• New : membuka koneksi baru 

• Established : memiliki koneksi yang sudah dikenal 

• Related : paket membuka koneksi baru tetapi memiliki hubungan dengan koneksi yang sudah diketahui 

• Invalid : paket tidak termasuk koneksi yang diketahui.

Tertarik mengikuti training di IDN.ID ? Kami menyedikan berbagai pilihan training cek disini.