Firewall filter atau dinding
api yang berguna untuk mengamankan router dan client-client yang terhubung dari
serangan-serangan dari dunia bebas (internet) ataupun dari jaringan local itu
sendiri. Firewall dapat menyeleksi paket-paket yang masuk melaluinya dengan
aturan yang sudah di setting admin sebelumnya.
Mikrotik merupakan
salah satu router yang menerapkan konsep firewall untuk mengamankan dirinya
dari serangan-serangan baik itu dari luar jaringan(internet) ataupun pada
jaringan local (LAN). Teknis pengamanan router menggunakan firewall sangat
dipengaruhi oleh rule-rule yang di buat oleh admin berdasarkan logika yang di
buatnya.
Firewall Filter dalam
mikrotik dapat membatasi lalu lintas keluar masuknya suatu paket data
berdasarkan IP, Port, content, dll. Tujuanya untuk mengamabkan router tersebut.
Ada 3 chain yang dimiliki firewall filter salah satunya adalah input, yang
digunakan untuk menyeleksi paket data yang datang ke router.
Contoh kita akan
membatasi user yang dapat mengakses router kita berdasarkan alamat ip yang client
gunakan. Kita bisa menggunakan konsep Terima beberapa, Tolak sisanya.
Karena router akan
membaca rule mulai dari atas ke bawah maka kita harus mengijinkan ip kita
dahulu masuk sebelum kita block semua ip yang lain untuk mengakses router.
1. Masuk
router seperti biasa menggunakan aplikasi WinBox.
2. Kita
cek ip address dari komputer client yang akan kita ijinkan untuk mengakses router.
3. Kemudian,
masuk menu “ Ip – Firewall – Filter – add “ kemudian masukan aturan
·
Chain = input
·
Src. Address= 192.168.3.50 (ip pc kita
yang di ijinkan masuk)
Kemudian masuk tab action
·
Action =
accept (ijinkan)
Kemudian kita buat
rule yang membatasi (block) ip address yang berada di network 192.168.3.0/24
agar tidak dapat mengakses router kita.
1. Masih
di menu “ IP – Firewall – Filter “ kemudian tambahkan(add) rule
·
Chain = input
·
Src. Address = 192.168.3.0/24 (semua
ip yang berada satu segmen dengan network tersebut)
Kemudian masuk tab action
·
Action = drop
Dengan langkah seperti
itu komputer/perangkat yang bisa mengakes router mikrtotik di network
192.168.3.0/24 hanya yang ber-IP 192.168.3.50 atau IP yang pertama mendapatkan
rule “accept”. Ketika kalian merubah atau memakai lain selain 192.168.3.50 maka
hasilnya :
Jika kalin ingin
meng-Block Semua Network Ip pada mikrotik, kalian tinggal mengosongkan “src.address”
pada rule-drop. Hasilnya tidak hanya network 192.168.3.50 saja melainkan network dari
setiap interface ethernet ataupun wlan tidak akan bisa mengakses router
mikrotik kecuali ip yang kalian ijinkan (accept) sebelumnya.
Ada cara lain yang
lebih simple dan hanya menggunakan satu rule
(aturan) saja dengan menggunakan konsep “selain dia” caranya :
1. Masuk
menu “ IP – Firewall – Filter “ kemudian tambahkan Rule seperti ini
·
Chain = input
·
Src.address = [!] 192.168.3.50 (tanda
seru disini di artikan sebagai “selain”. Jadi artinya “ Selain Ip 192.168.3.50)
Kemudian masuk tab action
·
Action = drop
Maka hasilnya akan
sama seperti langkah firewall sebelumnya yang menggunakan dua rule(aturan)
dalam mem-Block akses ip client kepada router mikrotik.
Perlu dingat kembali
bahwa mikrotik membaca rule dari atas ke bawah, kita sebagai admin harus bisa
memposisikan rule tersebut dengan tepat.
Seperti rule firewall diatas jika kita
menempatkan rule-Drop diatas kemudian di bawahnya rule-Accept maka rule-Accept
tidak akan berguna sama sekali karena seluruh IP yang ada pada 192.168.3.0/24
sudah di-Drop terlebih dahulu di rule yang paling atas.
