Post on 08-Mar-2019
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
KONFIGURASI MIKROTIK UNTUK SEBUAH
FIREWALL
Cecep Cediarto
Cecep.cediarto,@raharja,.,info
Abstrak
Di era sekarang ini banyak sekali orang-orang yang tidak bertanggung jawab(Hacker)
yang kerjaannya menyusup dan merusak sebuah jaringan, selaik merusak, mereka ambil
pula data-data yang bersipat rahasia dari sebuah perusahaan untuk kepentingan pribadi.
Oleh karena itu sebuah perusahaan/intansi lebih memilih menambah program keamanan
data (Firewall) dimana program ini bekerja sesuai dengan yang diharapkan, program ini
dinamakan Firewall.
Firewall merupakan suatu cara/sistem/mekanisme yang di terapkan baik terhadap
hardware, software ataupun sistem itu sendiri dengan tujuang untuk melindungi baik
dengan menyaring, membatas atau bahkan menolak suatu atau semua
hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan
merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah workstation,
server, router, atau local area network (LAN), beberapa perusahaan/intansi saat ini
jaringannya menggunakan firewall dengan alas an untuk keamanan.
Kata Kunci: Konfigurasi, Mikrotik, Firewall
Pendahuluan
Secara umum, firewall filtering biasanya dilakukan dengan cara mendefinisikan IP
addres, baik itu src-address maupun dst-address. Misalnya Anda ingin blok komputer
client yang memiliki ip tertentu atau ketika melakukan blok terhadap web tertentu
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
berdasarkan ip web tersebut. Firewall tidak hanya digunakan untuk melakukan blok
client agar tidak dapat mengakses resource tertentu, namun juga digunakan untuk
melindungi jaringan local dari ancaman luar, misalnya virus atau serangan hacker.
Biasanya serangan dari internet ini dilakukan dari banyak IP sehingga akan sulit bagi
kita untuk melakukan perlindungan hanya dengan berdasarkan IP. Nah, sebenarnya ada
banyak cara filtering selain berdasar IP Addres, misalnya berdasar protocol dan port.
Berikut contoh implementasi dengan memanfaatkan beberapa parameter di fitur firewall
filter.
Pembahasan
1. Protokol dan Port
Penggunaan port dan protocol ini biasa di kombinasikan dengan IP address. Misalkan
Anda ingin client tidak bisa browsing, namun masih bisa FTP, maka Anda bisa buat
rule firewall yang melakukan blok di protocol TCP port 80. Ketika Anda klik tanda
drop down pada bagian protocol, maka akan muncul opsi protocol apa saja yang akan
kita filter. Parameter ini akan kita butuhkan ketika kita ingin melakukan blok terhadap
aplikasi dimana aplikasi tersebut menggunakan protocol dan port yang spesifik.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
2. Interface
Interface secara garis besar ada 2, input interface dan output interface. Cara
menentukannya adalah dengan memperhatikan dari interface mana trafick tersebut
masuk ke router, dan dari interface mana traffick tersebut keluar meninggalkan router.
Misalkan Anda terkoneksi ke internet melalui router mikrotik, kemudian Anda ping ke
www.mikrotik.co.id dari laptop Anda, maka input interface adalah interface yang
terkoneksi ke laptop Anda, dan output interface adalah interface yang terkoneksi ke
internet. Contoh penerapannya adalah ketika Anda ingin menjaga keamanan router,
Anda tidak ingin router bisa diakses dari internet. Dari kasus tersebut Anda bisa lakukan
filter terhadap koneksi yang masuk ke router dengan mengarahkan opsi in-interface
pada interface yang terkoneksi ke internet .
3. Parameter P2P
Sebenarnya ada cara yang cukup mudah dan simple untuk melakukan filtering terhadap
traffick P2P seperti torrent atau edonkey. Jika sebelumnya Anda menggunakan banyak
rule, Anda bisa sederhanakan dengan menentukan parameter P2P pada rule firewall
filter. Jika Anda klik bagian drop down, akan muncul informasi program p2p yang
dapat di filter oleh firewall.
4. Mangle
Kita biasanya membuat mangle untuk menandai paket/koneksi, kemudian kita gunakan
untuk bandwidth management. Akan tetapi kita juga bisa membuat mangle untuk
melakukan filtering. Firewall filter tidak dapat melakukan penandaan pada paket atau
koneksi, akan tetapi kita bisa kombinasikan mangle dan firewall filter. Pertama, kita
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
tandai terlebih dahulu paket atau koneksi dengan mangle, kemudian kita definisikan di
firewall filter.
5. Connection State
Jika Anda tidak ingin ada paket - paket invalid lalu lalang di jaringan Anda, Anda juga
bisa melakukan filtering dengan mendefinisikan parameter connection state. Paket
invalid merupakan paket yang tidak memiliki koneksi dan tidak berguna sehingga hanya
akan membebani resource jaringan. Kita bisa melakukan drop terhadap paket - paket ini
dengan mendefinisikan parameter connection state.
6. Address List
Ada saat dimana kita ingin melakukan filtering terhadap beberapa ip yang tidak
berurutan atau acak. Apabila kita buat rule satu per satu, tentu akan menjadi hal yang
melelahkan. Dengan kondisi seperti ini, kita bisa menerapkan grouping IP membuat
"address list". Pertama, buat daftar ip di address list, kemudian terapkan di filter rule
Anda. Opsi untuk menambahkan parameter "Address List" di firewall ada di tab
Advanced. Ada 2 tipe address list, "Src. Address List" dan "Dst. Address List. Src
Address List adalah daftar sumber ip yang melakukan koneksi, Dst Address List adalah
ip tujuan yang hendak diakses.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
7. Layer 7 Protocol
Jika Anda familiar dengan regexp, Anda juga bisa menerapkan filtering pada layer7
menggunakan firewall filter. Di mikrotik, penambahan regexp bisa dilakukan di menu
Layer 7 Protocol. Setelah Anda menambahkan regexp, Anda bisa melakukan filtering
dengan mendefinisikan Layer 7 Protocol pada rule filter yang Anda buat. Perlu
diketahui bahwa penggunaan regexp, akan membutuhkan recource CPU yang lebih
tinggi dari rule biasa.
8. Content
Saat kita hendak melakukan blok terhadap website, salah satu langkah yang cukup
mudah untuk melakukan hal tersebut adalah dengan melakukan filter berdasarkan
content. Content merupakan string yang tertampil di halaman website. Dengan begitu,
website yang memiliki string yang kida isikan di content akan terfilter oleh firewall.
Misalkan kita ingin block www.facebook.com maka cukup isi parameter content dengan
string �facebook� dan action drop, maka website facebook baik HTTP maupun
HTTPS tidak dapat diakses.
9. Mac address
Ketika kita melakukan filter by ip address, terkadang ada user yang nakal dengan
mengganti ip address. Untuk mengatasi kenakalan ini, kita bisa menerapkan filtering by
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
mac-address. Kita catat informasi mac address yang digunakan user tersebut, kemudian
kita tambahkan parameter Src. Mac Address di rule firewall kita. Dengan begitu selama
user tersebut masih menggunakan device yang sama, dia tetap ter-filter walaupun
berganti ip.
10. Time
Salah satu solusi alternatif selain kita harus repot membuat scheduler dan script,
kita bisa memanfaatkan fitur time di firewall filter. Fitur ini akan menentukan
kapan rule firewall tersebut dijalankan. Bukan hanya untuk menentukan jam saja,
fitur ini juga bisa digunakan untuk menentukan hari apa saja rule tersebut berjalan.
Misalkan kita ingin melakukan block facebook di jam kerja, maka kita bisa buat
rule firewall yang melakukan block facebook yang dijalankan dari jam 08:00
sampai jam 16:00 selain hari Sabtu dan Minggu. Sebelum anda membuat rule
firewall dengan parameter �time�, pastikan Anda sudah set NTP di router Anda
agar waktu router sesuai dengan waktu real.
Saat Anda membuat rule firewall, usahakan untuk membuat rule yang spesifik.
Semakin spesifik rule yang kita buat, maka semakin optimal pula rule tersebut akan
berjalan.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
KONFIGURASI MIKROTIK
Berikut ini adalah Step by Step Konfigurasi Mikrotik Firewall dalam bahasa yang
simple dan mudah di pahami secara awam. Misalnya pada Mikrotik ini dengan Interface
bernama LAN dan WAN. IP Address WAN adalah 192.168.42.75 dan IP Address LAN
adalah 192.168.1.1. Lebih detailnya dapat kita lihat pada gambar dibawah ini :
Untuk memulai konfigurasi Firewall, kita pilih menu : IP –> FIREWALL.
Selanjutnya kita dapat menambahkan pengaturan Firewall secara Logika.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
MEMBUAT FIREWALL UNTUK MEMBLOCK AKSES INTERNET
DARI 1 IP ADDRESS CLIENT.
Buat New Firewall Rules, pada Option “GENERAL“, pilih Chain
: “FORWARD”.
Lalu kita pilih / isi Source Address dengan IP Address dari Client yang akan kita
Block. Misalnya Client dengan IP : 192.168.1.10.
Out Interface kita isi dengan interface : WAN.
Selanjutnya pada Option “ACTION”, kita pilih : “DROP”.
Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.10 yang akan
mengakses internet dengan OUTGOING melalui Interface WAN, maka koneksi
ini akan di DROP oleh Mikrotik.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Dibawah ini tampilan Firewall Rule yang barusan kita buat.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
MEMBUAT FIREWALL UNTUK MEMBLOCK AKSES INTERNET
DARI 1 MAC ADDRESS CLIENT.
Buat New Firewall Rules, pada Option “GENERAL“, pilih Chain
: “FORWARD”.
Out Interface kita isi dengan interface : WAN.
Selanjutnya pada menu “ADVANCED”, isikan pada menu “Source Mac
Address” daripada Mac Address yang dimiliki oleh Client yang akan kita Blokir
akses internetnya.
Selanjutnya pada Option “ACTION”, kita pilih : “DROP”.
Jadi Firewall ini berarti : “Jika ada Client dengan Mac Address sesuai Mac target
yang akan mengakses internet dengan OUTGOING melalui Interface WAN, maka
koneksi ini akan di DROP oleh Mikrotik.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
MEMBUAT FIREWALL UNTUK MEMBLOCK AKSES INTERNET
DARI SEKELOMPOK IP ADDRESS CLIENT.
Pertama kita buat lebih dulu sejumlah IP Address pada menu Firewall –> Address
List. Misalnya kita berikan nama “CLIENT NO INTERNET”.
Buatlah sejumlah daftar IP Address Client dari LAN kita yang akan di block akses
internet-nya.
Selanjutnya kita buat sebuah New Firewall Rules, pada Option “GENERAL“,
pilih Chain : “FORWARD”.
Out Interface kita isi dengan interface : WAN.
Selanjutnya pada menu “ADVANCED”, isikan pada menu “Source Address
List” daripada Daftar Address List yang telah kita buat untuk memblokir akses
internetnya. Kita pilih nama : “CLIENT NO INTERNET”.
Selanjutnya pada Option “ACTION”, kita pilih : “DROP”.
Jadi Firewall ini berarti : “Jika ada Client dengan IP Address yang terdaftar
pada “CLIENT NO INTERNET” yang akan mengakses internet
dengan OUTGOING melalui Interface WAN, maka koneksi ini akan
di DROP oleh Mikrotik.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
MEMBUAT FIREWALL UNTUK MEMBLOCK AKSES INTERNET
DARI SEKELOMPOK IP ADDRESS ATTACKER.
Pertama kita buat lebih dulu sejumlah IP Address pada menu Firewall –> Address
List. Misalnya kita berikan nama “ATTACKER”.
Buatlah sejumlah daftar IP Address dari IP yang kita identifikasikan sebagai Black
List IP Address dan kita akan di block akses internet-nya. IP Address ini biasanya
terdeteksi sebagai LOG MERAH atau Ilegal Access pada Mikrotik kita.
Selanjutnya kita buat sebuah New Firewall Rules, pada Option “GENERAL“,
pilih Chain : “FORWARD”.
In Interface kita isi dengan interface : WAN.
Selanjutnya pada menu “ADVANCED”, isikan pada menu “Source Address
List” daripada Daftar Address List yang telah kita buat untuk memblokir akses
internetnya. Kita pilih nama : “ATTACKER“.
Selanjutnya pada Option “ACTION”, kita pilih : “DROP”.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Jadi Firewall ini berarti : “Jika ada orang atau system dengan IP Address yang
terdaftar pada “ATTACKER” yang akan mengakses IP Publick / IP WAN kita
yang masuk melalui Interface WAN, maka koneksi ini akan di DROP oleh
Mikrotik.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
MEMBUAT FIREWALL UNTUK MEMBLOCK AKSES INTERNET
DARI CLIENT KE SUATU WEBSITES TERLARANG.
Buat New Firewall Rules, pada Option “GENERAL“, pilih Chain
: “FORWARD”.
Lalu kita pilih / isi Destination Address dengan IP Address dari websites yang
akan kita Block. Misalnya Websites http://www.porno.com dengan IP Public
: 208.87.35.103.
Out Interface kita isi dengan interface : WAN.
Selanjutnya pada Option “ACTION”, kita pilih : “DROP”.
Jadi Firewall ini berarti : “Jika ada Client dari jaringan LAN kita yang akan
mengakses Websites http://www.porno.com dengan IP Public
: 208.87.35.103 dengan OUTGOING melalui Interface WAN, maka koneksi ini
akan di DROP oleh Mikrotik.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Demikian beberapa jenis konfigurasi firewall ini, mudah-mudahan bermanfaat bagi
semuanya.
Penutup
Demikianlah artikel tentang konfigurasi mikrotok firewall yang dapat saya posting,
pada dasarnya firewall ada beberapa macam jenis dan penggunaannya tergantung
kepada kebutuhan kita, diata telah dijelaskan beberapa langkan konfigurasi firewall
untuk beberapa jenis kebutuhan kita dalam sebuah jaringan computer, mudah-mudahan
artikel ini dapat membantu rekan-rekan pembaca semuanya, saya buat artikel ini dari
beberapa referensi di bawah yang saya pakai.
Lisensi Dokumen:
Copyright © 2008-2017 ilmuti.org
Seluruh dokumen di ilmuti.org dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial
(nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap
dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari ilmuti.org
Referensi
1. thinkxfree.wordpress.com/2012/02/08/step-by-step-konfigurasi-mikrotik-firewall-
filter-block-client-block-mac-addres-block-attacker/
2. mikrotik.co.id/artikel_lihat.php?id=57
3. wahyu-sjy.blogspot.com/2016/10/cara-setting-firewall-pada-mikrotik.html
4. fadhillahcom.wordpress.com/2015/11/13/konfigurasi-firewall-filtering-
menggunakan-mikrotik/
5. faruqdy.blogspot.co.id/2015/01/konfigurasi-mikrotik-firewall-filter.html
Biografi
Mahasiswa Perguruan Tinggi Raharja Informatika, Wirausaha, juga sebagai
Guru SMPN 4 Cikupa dan SMK IT Nur Antika Tiga Raksa sebagai guru mapel
TIK dan TKJ, lahir di kuningan, 17 Oktober 1988, menyelesaikan pendidikan
dasar di SDN Mandapa Jaya II dan MTsN 1 Subang – Kuningan, menamatkan
SMA di SMAN 1 Subang kuningan – JABAR, D3 Tehnik Informatika tahun
2012 AMIK Raharja Informatika. Saat ini meneruskan pendidikan di STIMIK
Raharja jenjang Strata 1 untuk memperdalam skil di bidang ilmu IT.