Kamis, 05 Oktober 2017

Membatasi Akses Service yang ada di Internet pada Mikrotik


Assalamualaikum Warahmatullahi Wabarakatuh...

Menyambung materi kemarin, materi kali ini kita akan membahas mengenai Membatasi Akses Service yang ada di Internet pada Mikrotik. Dalam router Mikrotik terdapat fitur penyaringan jaringan yang disebut dengan Firewall Filter, selain itu fitur ini dapat membuat aturan-aturan sendiri pada Mikrotik untuk membatasi dan memperbolehkan sejumlah akses pada jaringan/layanan tertentu.

Pada kali ini kita akan mencoba membatasi akses service/layanan yang boleh diakses oleh si client di internet, dan jika si client berusaha mengakses service selain yang dibolehkan maka router akan menolaknya. 


Berikut topologi yang kita gunakan dalam konfigurasi kali ini :


Skema :
  1. Chain yang akan kita gunakan adalah chain Forward (lalu lintas yang disaring dari client ke internet melalui router)
  2. Akses layanan web HTTP (port 80) dan HTTPS (port 443) akan di terima oleh router
  3. Akses DNS (port 53) akan diterima oleh router
  4. Selain yang diizinkan akan ditolak oleh router
Konfigurasi :

1. Hal yang pertama kita lakukan adalah menghubungkan antar router ke internet, dengan menggunakan DHCP Client. Dimana interface yang terhubung dengan internet adalah ether2, dan caranya dengan klik IP > DHCP Client > tab DHCP Client > klik icon plus (+) untuk menambahkan > klik tab DHCP > isi kolom interface dengan interface yang terhubung dengan internet yaitu ether2 > apply > ok > tunggu sebentar dan nantinya akan muncul ip yang kita dapat dari internet.


2. Dan bisa dilihat disini kita mendapatkan ip 172.16.0.48/16 dari internet. 


3. Selanjutnya kita akan membuat ip address untuk interface yang mengarah ke client. caranya dengan klik ip > address > icon plus (+) > isikan kolom address dengan ip yang kita mau contohnya disini kita akan gunakan ip 172.27.27.27/24 > kolam network akan terisi saat kita klik apply jadi kita isi saja dulu kolom interface dengan interface yang mengarah ke client yaitu ether1 > klik apply > klik ok.


4. Dan dapat kita lihat address listnya disini.


5. Selanjutnya kita akan mengkonfigurasi firewall NAT nya supaya client mendapatkan internet dari router. caranya dengan klik ip > firewall > tab NAT > klik icon plus (+) > tab general > isikan kolom chain dengan srcnat > isikan kolom out. interfacenya dengan interface yang terhubung dengan internet.


6. Selanjutnya kita akan mengatur actionnya dengan masquerade, setelah itu klik apply dan ok.


7. Dan terlihat disini sudah terdaftar firewall NAT yang telah kita konfigurasi sebelumnya.


8. Selanjutnya kita akan mengatur firewall filternya dengan menambahkan rule yang menerima tujuan 80(HTTP), dan 443 (HTTPS) yang keluar melalui interface ether2. caranya dengan klik ip > firewall > firewall rules > icon plus (+) > tab general > isikan chainnya dengan forward > isikan protocolnya dengan tcp > dstportnya isi dengan port yang menjadi tujuan yaitu port 80 dan 443 > isikan out. interface dengan ether2.


9. Atur actionnya dengan accept setelah itu klik apply lalu ok.


10. Selanjutnya kita akan mengatur firewall filternya dengan menambahkan rule kebalikannya yaitu menerima port asal 80(HTTP), dan 443 (HTTPS) yang keluar melalui interface ether1 (client) dan rule ini menerima trafik dari server yang menuju client. caranya dengan klik ip > firewall > firewall rules > icon plus (+) > tab general > isikan chainnya dengan forward > isikan protocolnya dengan tcp > srcportnya isi dengan port yang menjadi port asal yaitu port 80 dan 443 > isikan out. interface dengan ether1.


11. Atur actionnya dengan accept setelah itu klik apply lalu ok.


12.  Setelah itu kita akan menambahkan rule yang menerima protokol UDP dengan port tujuan 53(DNS) yang keluar melalui interface ether2. caranya dengan klik ip > firewall > firewall rules > icon plus (+) > tab general > isikan chainnya dengan forward > isikan protocolnya dengan udp > dstportnya isi dengan port yang menjadi port tujuan yaitu port 53 > isikan out. interface dengan ether2.


13. Atur actionnya dengan accept setelah itu klik apply lalu ok.


14. Selanjutnya kita akan menambahkan rule kebalikannya yaitu menerima protokol UDP dengan port asal 53 (DNS) yang keluar melalui interface ether1 (client). caranya dengan klik ip > firewall > firewall rules > icon plus (+) > tab general > isikan chainnya dengan forward > isikan protocolnya dengan udp > srcportnya isi dengan port yang menjadi port asal yaitu port 53 > isikan out. interface dengan ether1.


15. Atur actionnya dengan accept setelah itu klik apply lalu ok.


16. Dan terakhir kita akan membuat rule yang menolak semua service kecuali yang telah kita perbolehkan diatas. caranya dengan klik ip > firewall > firewall rules > icon plus (+) > tab general > isikan chainnya dengan forward.


17. Atur actionnya dengan drop setelah itu klik apply lalu ok.


18. Dapat dilihat disini list rule yang telah kita konfigurasi sebelumnya.


19. Selanjutnya kita akan membuat DHCP servernya untuk client. caranya dengan klik ip > DHCP Server > tab DHCP > klik DHCP Setup untuk mempermudah, tetapi bisa juga klik icon plus untuk menambahkan secara manual > isikan DHCP server interface dengan interface yang mengarah ke client > klik next.


isikan DHCP Address Space dengan ip network yang kita gunakan lalu klik next. tetapi biasanya sudah terisi maka langsung kita klik next saja.


Sama seperti sebelumnya, dalam tahap ini secara default sudah muncul jadi langsung klik next saja. pada bagian ini memuat gatewaynya atau ip address interface yang terhubung dengan client.


Bagian ini memuat ip range yang dapat digunakan client nantinya, secara default sudah muncul jadi langsung klik next saja.


Bagian ini memuat DNS, secara default sudah muncul jadi klik next saja. 


Dan bagian ini kita klik next saja.


DHCP server sudah berhasil kita buat, maka kita klik ok. 


20. Sebelumnya kita atur ip client dengan menggunakan DHCP saja, nanti akan mendapatkan ipnya. setelah itu kita akan melakukan verifikasi dengan membuka browser untuk mengakses sebuah situs dan disini kita akan mengakses blog saya sendiri.


21. Setelah itu kita coba testing layanan yang tidak diperbolehkan seperti ICMP ping dan disini kita akan coba melakukan ping ke gateway dari internet.

Sekian yang dapat saya sampaikan, kurang lebihnya mohon maaf
Semoga bermanfaat. Wassalamualaikum Warahmatullahi Wabarakatuh...

0 komentar:

Posting Komentar

sedikit informasi

klik tanda plus di pojok kanan atas untuk keperluan lainnya. Terimakasih..