Cara buat Mikrotik sebagai Firewall - Sebelum membahas artikel ini mungkin kalian juga harus baca artikel mengenai "sejarah dan kegunaan mikrotik pada jaringan komputer ". Firewall berfungsi untuk menjaga keamanan jaringan dari ancaman pihak yang tidak berwenang. Firewall beroperasi menggunakan aturan tertentu, Aturan ini yang menentukan kondisi ekspresi yang memberitahu router tentang apa yang harus dilakukan router terhadap paket IP yang akan melewatinya, Tetapi Ketika ada paket IP lewat, firewall akan mencocokannya dengan kondisi yang telah dibuat, kemudian menentukan aksi apa yang akan dilakukan oleh router sesuai dengan kondisi tersebut.
Berikut adalah 6 direktori mikrotik Firewall :
- Mangle, untuk menandai paket data dengan suatu tanda khusus sebagai identitas paket tersebut
- Nat, untuk memetakan suatu IP address ke IP address yang lain
- Connection, untuk mengetahui informasi dari suatu koneksi yang aktif, seperti IP address asal dan tujuan koneksi beserta port yang digunakan dan jenis protokol yang dipakai
- Address-list, untuk mendefinisikan IP address ke dalam group tertentu
- Service-port, untuk mengaktifkan dan mengubah nomor port aplikasi
- Filter, untuk memfilter paket yang masuk atau melewati router. Router alan meneruskannya jika paket diizinkan lewat dan sebaliknya
- Export, untuk menyimpan atau membackup semua konfigurasi didalam direktori firewall
Conection - Digunakan untuk mengetahui koneksi yang terjadi secara realtime pada router
> Ip firewall connection print
Address-List - Dengan address list sederetan angka-angka IP bisa disimpan dengan suatu kata yang lebih mudah untuk diingat.
Tujuannya untuk memudahkan seorang admin melakukan administrasi IP
Ip firewall address-list add address=192.168.0.xxx list=client1 dst.
Filtering - Penggunaan filter tidak lepas dari propertis yang disebut dengan chain
Pada mikrotik chain dibagi 3 macam :
chain input, chain forward, dan chain output
paket dari jaringan menuju ke router disebut chain input, paket yang melewati antarmuka router dari dan ke jaringan disebut chain forward dan paket yang keluar dari antarmuka router disebut chain output.
Contoh chain input - Client1 tidak diizinkan melakukan telnet (port 23) ke router 192.168.0.1
Ip firewall filter add src-address-list=client1 chain=input dst-port=23 action=drop Client1 pada konfigurasi diatas adalah nama dari IP address yang dibuat dengan “address list”
Contoh Chain Forward - Paket icmp(ping) yang lewat router akan di drop
> Ip firewall filter add chain=forward protocol=icmp action=drop
Contoh Chain Output - Paket icmp yang keluar dari router akan di drop
> Ip firewall filter add chain=output protocol=icmp action=drop
Contoh Service port - Digunakan untuk menentukan service port suatu aplikasi, mana port yang ditutup dan dibuka Ip service set ftp disabled=yes Ip service set telnet disabled=yes
Ip service set www disabled=yes Ip service set www-ssl disabled=yes
Perintah mengganti port
Ip service set ssh port=6111 address=192.168.0.0/24 Artinya port ssh yang semula 22 menjadi 6111
dan yang diizinkan mengakses hanya dari IP 192.168.0.0/24
Mengamankan router dengan filter
Mencegah FTP brute force konfigurasi ini memberikan kesalahan login FTP sebanyak 10 kali
berturut-turut
Ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop
Ip firewall filter add chain=output protocol=tcp content=“530 login incorrect” dst-limit=1/1m,9, dst-
address/1m action=accept
Ip firewall filter add chain=output protocol=tcp content=“530 login incorrect” address-list=ftp_blacklist
address-list-timeout=3h action=add-dst-to-address-list
Mencegah SSH brute Force
Menandai dan menolak selama 5 menit setelah usaha login berkali-kali, lama waktu bisa diubah.
ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action drop
comment=“drop ssh brute forcers” disabled=no
Ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address
list=ssh_stage action=add-src-address-list address-list=ssh_blacklist address-list-timeout=5m
comment=“” disabled=no
Di sini Kami juga Menyediakan tutorial Cara konfigurasi Dasar Mikrotik secara lengkap berbentuk
video yang dapat sobat saksikan dibawah ini.
video yang dapat sobat saksikan dibawah ini.