Bab 4 Firewall (Filter) PDF

Summary

This document is about configuring firewalls on MikroTik routers to control internet access for users on the network. It explains fundamental firewall concepts and configuration parameters. The document discusses different actions and chains and has diagrams illustrating the principles.

Full Transcript

Bab 04
Firewall (Filter)
Konfigurasi yang sudah dibahas pada Bab 2 maupun Bab 3 sudah
bisa membuat Router MikroTik memberikan akses Internet kepada
komputer user. Dengan berbekal konfigurasi yang ada di kedua bab
tersebut, sebenarnya Anda sudah berhasil menghubungkan jaringan
lokal ke Internet. Namun akses Internet yang diberikan kepada
komputer user belum dapat dikendalikan maupun diatur dengan
lebih baik.

Bisa saja dalam satu jaringan tersebut, Anda hanya menginginkan
beberapa komputer saja yang terhubung ke Internet, sedangkan
beberapa komputer yang lainnya tidak dapat mengakses Internet.
Begitu pula dengan akses ke beberapa website, mungkin saja
diinginkan beberapa komputer user tidak bisa mengakses media
sosial. Atau bahkan Anda menginginkan akses ke beberapa website
hanya bisa diberikan pada jam-jam tertentu.

Untuk mengatur akses Internet sesuai keinginan Anda atau pun
sesuai keinginan pemilik jaringan seperti pada contoh di atas, Anda
perlu mengaktifkan Firewall pada Router MikroTik. Ada banyak
4-1
pengaturan jaringan yang bisa dilakukan oleh Firewall pada Router
MikroTik. Namun, untuk pengenalan awal, pada buku ini hanya
akan dibahas fungsi Firewall Filter yang ditujukan khusus untuk
mengatur akses Internet yang bisa didapatkan oleh komputer user.

Konsep Dasar Firewall
Firewall merupakan fungsi dari sebuah perangkat yang dapat
mengatur apakah sebuah paket data bisa keluar dan masuk ke
dalam suatu jaringan. Selain itu, Firewall juga dapat menentukan
apakah paket data bisa masuk dan keluar ke dalam sebuah router.
Berdasarkan arah dan tujuan paket data tadi, maka data dapat
dibedakan menjadi paket yang melintasi router, paket yang menuju
router maupun paket yang keluar dari dalam router. Ilustrasinya
dapat dilihat pada gambar berikut ini.

Gambar 4.1
Paket yang melintasi router, menuju router dan keluar dari router

Dari gambar 4.1, terlihat bahwa untuk akses Internet dari komputer
user ke Internet (maupun sebaliknya), maka akan dihasilkan paket
yang melintasi router. Baik itu melintas dari komputer user ke
Internet, maupun dari Internet ke komputer user. Adapun akses
komputer user ke Router, misalnya saat Anda mengakses Router
MikroTik menggunakan WinBox, maka akan dihasilkan paket yang
menuju router. Paket yang menuju router tentunya akan dibalas
dengan paket yang keluar dari router. Begitu pula sebaliknya, saat
Anda melakukan ping ke salah satu web site di Internet dari New

4-2
Terminal WinBox, maka akan dihasilkan paket yang keluar dari
router. Tentunya paket yang keluar dari router akan dibalas oleh
paket yang menuju ke router.

Karena pembahasan pada bab ini hanya akan mengatur pembatasan
akses Internet yang akan diberikan kepada user, maka pembahasan
Firewall hanya akan membahas paket yang melintasi router, baik itu
dari komputer user ke Internet, maupun sebaliknya.

Gambar 4.2
Paket yang melintasi router

Untuk membatasi akses Internet yang diberikan kepada komputer
user maka paket data yang akan dibatasi adalah paket dari
komputer user yang menuju ke Internet. Jika paket yang menuju ke
Internet sudah dibatasi, tentunya tidak akan ada data balasan dari
Internet kepada komputer user.

Chain

Secara default, Firewall Filter pada Router MikroTik memiliki 3
(tiga) parameter chain, yang masing-masing adalah sebagai berikut.
 chain=forward, chain ini digunakan untuk mengatur paket yang
melintasi router. Untuk mengatur akses Internet yang keluar
masuk ke dalam jaringan lokal, atau mengatur akses Internet
pada komputer user, maka chain ini yang harus digunakan.

4-3
 chain=input, chain ini digunakan untuk mengatur packet yang
menuju router. Penggunaan chain ini umumnya ditujukan untuk
meningkatkan level keamanan dari Router MikroTik itu sendiri.
 chain=output, chain ini digunakan untuk mengatur packet yang
keluar dari router. Penggunaan chain juga umummya digunakan
untuk meningkatkan level keamanan dari Router MikroTik itu
sendiri.
Selain ketiga chain di atas, Anda sebenarnya dapat membuat chain
sesuai kebutuhan konfigurasi. Namun, untuk pembahasan pada
buku ini chain yang digunakan hanyalah chain forward. Pembahasan
Firewall pada buku ini hanya ditujukan untuk mengatur akses
Internet yang akan diberikan kepada komputer user. Untuk
pengamanan Router MikroTik itu sendiri dan konfigurasi yang lebih
rumit belum akan dibahas pada buku ini.

Action

Pada saat akan melakukan konfigurasi Firewall Filter, terdapat
parameter action yang bisa menentukan apakah sebuah paket akan
diloloskan untuk menuju Internet, ataukah paket tersebut harus
dibuang sehingga tidak mencapai Internet. Ada banyak nilai yang
bisa digunakan pada parameter action ini, namun untuk pengenalan
awal Firewall Filter, hanya akan dibahas 3 (tiga) jenis parameter
action, masing-masing sebagai berikut.
 action=accept, action ini dapat digunakan untuk meloloskan paket
data yang akan menuju Internet.
 action=drop, action ini dapat digunakan untuk membuang paket
data yang akan menuju Internet. Action ini tidak akan
memberikan pemberitahuan (notifikasi) kepada komputer user.
 action=reject, action ini memiliki fungsi yang sama dengan
action=drop, namun action ini akan mengirimkan pesan error
kepada komputer user, sehingga user bisa mengetahui bahwa
paket datanya telah ditolak oleh firewall.

4-4
 Gambar 4.3
Penggunaan action pada Firewall Filter

Dari gambar 4.3, terlihat bahwa Firewall Filter pada Router Gateway
membuang (drop) paket dari komputer 192.168.1.2. Sedangkan paket
dari komputer 192.168.1.1 diloloskan menuju Internet. Ini
mengakibatkan komputer 192.168.1.1 bisa mengakses Internet,
sedangkan komputer 192.168.1.2 tidak akan bisa mendapatkan akses
Internet.

Ada banyak parameter action yang dapat digunakan untuk
meningkatkan level keamanan dari suatu jaringan. Penggunaan
action-action tersebut akan dibahas pada buku yang lain.

Top to Bottom

Keseluruhan konfigurasi Firewall nantinya akan tersusun dari
beberapa konfigurasi atau rule-rule. Beberapa rule tersebut akan
dijalankan oleh Router MikroTik dengan menggunakan prinsip top
to bottom (akan dijalankan dari atas ke bawah). Sehingga, bila
konfigurasi Firewall terdiri dari beberapa rule, maka susunan rule-
rule tersebut akan sangat menentukan efektif tidaknya skenario
Firewall Filter yang diinginkan.

Pentingnya susunan konfigurasi Firewall akan dibahas pada bagian
Best Practice atau bagian latihan yang ada pada sub bab selanjutnya.

4-5
Topologi
Adapun topologi yang akan digunakan pada Bab Firewall Filter ini
dapat dilihat pada gambar berikut ini.

Gambar 4.4
Router Gateway melakukan filter berdasarkan IP Address user

Dari gambar 4.4, terlihat Router Gateway yang bertugas sebagai
Internet Gateway bagi jaringan 192.168.1.0/24. Pada jaringan tersebut
terdapat beberapa komputer user yang menggunakan IP Address
192.168.1.1, 192.168.1.2 dan seterusnya. Asumsi yang digunakan
adalah Router Gateway yang sudah melakukan konfigurasi IP
Address pada interface ether1 maupun ether2, sudah melakukan
konfigurasi default route, sudah melakukan konfigurasi DNS Server
dan sudah melakukan konfigurasi Firewall masquerade, sudah
melakukan konfigurasi DHCP Server, sehingga semua user pada
jaringan 192.168.1.0/24 sudah bisa mengakses Internet. Asumsi
konfigurasi ini adalah konfigurasi yang sudah dibahas pada bab-bab
sebelumnya.

Filter Berdasarkan IP Address
Pada dasarnya Firewall Filter bekerja berdasarkan IP Address, baik
itu yang digunakan oleh komputer user maupun IP Address yang
digunakan web site atau server-server di Internet. Untuk membatasi
4-6
akses Internet yang bisa didapatkan oleh user, maka Firewall Filter
harus bekerja berdasarkan IP Address yang digunakan pada
komputer user. Pada sub bab ini akan dibahas konfigurasi Firewall
yang bekerja berdasarkan IP Address komputer user dan juga
bekerja berdasarkan waktu.

Parameter src-address

Untuk membatasi akses Internet pada komputer user berdasarkan IP
Address, maka konfigurasi Firewall Filter perlu dilakukan dengan
menggunakan parameter src-address (IP Address pengirim). Sebagai
contoh, jika diinginkan user dengan IP Address 192.168.1.2 tidak
bisa mengakses Internet, maka perintah yang dapat digunakan
adalah sebagai berikut.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.2 action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop src-address=192.168.1.2

Dengan menggunakan WinBox, menu yang dapat digunakan adalah
IP  Firewall  tab Filter Rules, tombol Add, seperti terlihat pada
gambar berikut ini.

4-7
 Gambar 4.5

Konfigurasi Firewall Filter untuk komputer 192.168.1.2

Untuk parameter action=drop dapat dikonfigurasikan pada tab
Action.

Gambar 4.6
Parameter action=drop pada tab Action

Penggunaan parameter action=drop bisa saja Anda ganti dengan
menggunakan parameter action=reject. Hasil akhir yang didapatkan
adalah sama, keduanya akan membuat komputer user tidak bisa
mendapatkan akses Internet.

4-8
Jika dikemudian hari diinginkan user 192.168.1.3 juga tidak bisa
mengakses Internet, maka perintah yang sudah ada sebelumnya
dapat ditambahkan seperti terlihat pada uraian berikut ini.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.3 action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop src-address=192.168.1.2

1 chain=forward action=drop src-address=192.168.1.3

Jika diinginkan pembatasan dilakukan untuk beberapa user,
misalnya komputer dengan IP Adddress 192.168.1.11 s/d
192.168.1.20, maka perintah berikut ini dapat digunakan.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.11-192.168.1.20 action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop src-address=192.168.1.2

1 chain=forward action=drop src-address=192.168.1.3

2 chain=forward action=drop src-address=192.168.1.11-
192.168.1.20

Penggunaan prefix pada parameter src-address juga bisa diterapkan,
misalnya saja ingin melakukan pembatasan akses Internet untuk
komputer dengan IP Address 192.168.1.1 s/d 192.168.1.63, maka
penggunaan parameter src-address bisa saja menggunakan nilai
192.168.1.0/26, seperti uraian berikut ini.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.0/26 action=drop

4-9
Parameter time

Parameter time bisa dimanfaatkan untuk melakukan pembatasan
akses Internet berdasarkan waktu. Misalnya saja diinginkan
komputer dengan IP Address 192.168.1.1 s/d 192.168.1.10 tidak bisa
mengakses Internet pada jam 08.00 s.d 16.00 setiap harinya, maka
perintah berikut ini dapat digunakan.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.1-192.168.1.10 \
time=08:00:00-16:00:00,mon,tue,wed,thu,fri,sat,sun \
action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 I ;;; inactive time
chain=forward action=drop src-address=192.168.1.1-
192.168.1.10 time=8h-16h,sun,mon,tue,wed,thu,fri,sat

Bila menggunakan WinBox, parameter time dapat dikonfigurasikan
pada tab Extra, seperti terlihat pada gambar berikut ini.

Gambar 4.7
Parameter time pada tab Extra

Sebagai catatan, saat Anda menggunakan konfigurasi Firewall dan
menggunakan paramater time, maka pada waktu konfigurasi
tersebut belum diaktifkan, konfigurasi tersebut akan diberi
keterangan –inactive time. Ini menunjukkan bahwa konfigurasi
4 - 10
tersebut hadir dalam Firewall Filter namun belum bekerja, karena
belum diijinkan oleh parameter time.

Best Practice

Pada bagian ini akan dibahas sebuah skenario manajemen jaringan
yang dilakukan berdasarkan IP Address komputer user dan juga
berdasarkan waktu. Skenario jaringan yang digunakan adalah
sebuah jaringan dengan network address 192.168.1.0/24, seperti pada
gambar 4.4. Jaringan tersebut terdiri dari 10 (sepuluh) unit komputer
user, masing-masing dengan IP Address 192.168.1.1 s/d 192.168.1.10.

Adapun skenario manajemen pembatasan akses Internet yang
diinginkan adalah sebagai berikut.

1. Komputer dengan IP Address 192.168.1.1 s/d 192.168.1.5 akan
mendapatkan akses Internet sepanjang hari dan sepanjang
waktu.
2. Komputer dengan IP Address 192.168.1.6 s/d 192.168.1.10 hanya
mendapatkan akses Internet selama hari kerja dan jam kerja.
3. Adapun hari kerja adalah hari Senin s/d Jum’at, sedangkan jam
kerja adalah 08.00 s/d 16.30.
4. Harus dipastikan bahwa tidak ada komputer lain yang bisa
mendapatkan akses Internet. Dengan kata lain, jika terdapat
komputer dengan IP Address 192.168.1.11 s/d 192.168.1.255, maka
komputer-komputer tersebut tidak akan terhubung ke Internet.

Adapun perintah yang dapat digunakan untuk mewujudkan
skenario Best Practice ini dapat dijabarkan sebagai berikut.

Untuk memberikan akses Internet sepanjang waktu untuk user
192.168.1.1 s/d 192.168.1.5, perintah yang dapat digunakan adalah
sebagai berikut.

4 - 11
[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.1-192.168.1.5 action=accept

Untuk memberikan akses Internet selama hari kerja dan jam kerja
bagi user 192.168.1.6 s/d 192.168.1.10, perintah yang dapat
digunakan adalah sebagai berikut.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.6-192.168.1.10 \
time=08:00:00-16:30:00,mon,tue,wed,thu,fri action=accept

Sedangkan untuk mencegah user dengan IP Address 192.168.1.11 s/d
192.168.1.254 mendapatkan akses Internet, maka perintah berikut ini
dapat digunakan.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.0/24 action=drop

Setelah konfigurasi tersebut selesai, maka menu IP  Firewall  tab
Filter Rules pada WinBox, akan terlihat seperti gambar berikut ini.

Gambar 4.8
Konfigurasi Firewall untuk network 192.168.1.0/24

Sebagai catatan, karena susunan rule pada Firewall sangat penting,
maka susunan rule tersebut harus sesuai dengan gambar 4.8. Jangan
sampai Anda menempatkan rule dengan parameter src-
address=192.168.1.0/24 dengan action=drop menjadi rule yang paling
pertama seperti pada tampilan berikut ini.

4 - 12
 Gambar 4.9
Rule dengan src-address=192.168.1.0/24 berada paling atas

Jika ternyata Anda menempatkan rule-rule Firewall Filter seperti
pada gambar 4.9, maka bisa dipastikan tidak ada satu pun komputer
pada jaringan tersebut yang bisa mengakses Internet. Ini karena
baris pertama sudah menyatakan bahwa semua komputer pada
jaringan 192.168.1.0/24 tidak bisa mendapatkan akses Internet.
Penempatan rule dengan src-address=192.168.1.0/24 action=drop akan
membuat rule dengan src-address=192.168.1.1-192.168.1.5 tidak akan
dijalankan lagi oleh Firewall FIlter. Begitu pula dengan rule yang
menggunakan src-address=192.168.1.6-192.168.1.11, rule ini tidak
akan dijalankan lagi karena sudah didahului oleh rule dengan src-
address=192.168.1.0/24. Bukankah rentang IP Address 192.168.1.1-
192.168.1.5 dan 192.168.1.6-192.168.1.10 merupakan bagian dari
192.168.1.0/24. Dan saat Anda menyatakan 192.168.1.0/24 itu berarti
Anda turut menyatakan IP Address 192.168.1.1 s/d 192.168.1.254.

Untuk memindahkan urutan rule pada firewall, Anda dapat
menggunakan cara drag n drop terhadap rule konfigurasi firewall
pada WinBox.

Sebagai catatan, konfigurasi Firewall adalah konfigurasi logika.
Sehingga untuk mencapai suatu tujuan skenario pembatasan akses
bagi komputer user, Anda bisa saja membuat konfigurasi yang
berbeda dengan apa yang ada pada pembahasan bab ini.

4 - 13
Filter Services
Internet saat ini menyediakan berbagai layanan (services), mulai dari
layanan yang dikenal luas sampai dengan berbagai layanan khusus
yang hanya digunakan sebagian user. Mulai dari layanan browsing
(HTTP dan HTTP), layanan DNS, layanan Proxy sampai dengan
layanan Virtual Private Network (VPN) yang sering digunakan
untuk mengakses konten-konten terlarang .

Pada sub bab ini akan dibahas konfigurasi-konfigurasi yang
ditujukan untuk membatasi akses Internet berdasarkan layanan
yang akan diberikan. Untuk membatasi berbagai layanan Internet
sangat dibutuhkan pengetahuan tentang nomor port (port number)
beserta protocol yang digunakan layanan tersebut. Untuk
mendalami pengetahuan tentang port number dan protocol, sangat
disarankan untuk membaca buku-buku tentang TCP/IP. Namun,
bagi Anda yang belum mahir ilmu TCP/IP, beberapa konfigurasi
sederhana pada sub bab ini bisa menjadi acuan untuk memecahkan
berbagai skenario firewall yang mungkin Anda temui.

Adapun asumsi topologi yang digunakan pada sub bab ini, adalah
topologi jaringan yang sama dengan sub bab sebelumnya, seperti
terlihat pada gambar 4.4.

Filter HTTP dan HTTPS

Untuk membatasi akses browsing HTTP, rule firewall harus
menggunakan parameter protocol=tcp dan dst-port=80. Adapun untuk
akses HTTPS, parameter yang digunakan adalah protocol=tcp dan dst-
port=443.

Sebagai contoh, jika akses browsing (HTTP dan HTTPS) tidak akan
diberikan kepada komputer 192.168.1.2, maka perintah yang dapat
digunakan adalah sebagai berikut
4 - 14
[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.2 protocol=tcp dst-port=80 action=drop

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.2 protocol=tcp dst-port=443 action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop protocol=tcp src-
address=192.168.1.2 dst-port=80

1 chain=forward action=drop protocol=tcp src-
address=192.168.1.2 dst-port=443

Dengan menggunakan WinBox, parameter protocol dan dst-port
dapat dikonfigurasikan pada menu IP  Firewall  tab Filter Rules
 tombol Add  tab General, seperti pada gambar berikut ini.

Gambar 4.10
Parameter protocol dan dst-port

Sebenarnya, kedua rule firewall yang masing-masing menggunakan
parameter dst-port=80 dan dst-port=443 dapat digabung menjadi satu
konfigurasi saja dengan perintah seperti berikut ini.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.2 protocol=tcp dst-port=80,443 \
action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop protocol=tcp src-
address=192.168.1.2 dst-port=80,443
4 - 15
Filter Domain Name System (DNS)

Terkadang beberapa user sering menggunakan DNS Server terbuka
untuk mengakses konten-konten terlarang. Untuk kondisi ini, Anda
harus melakukan konfigurasi Firewall Filter sehingga komputer user
harus dipaksa menggunakan DNS Server yang sudah dijalankan
pada Router MikroTik. Tentunya untuk menggunakan DNS Server
(DNS Caching) ini, parameter allow-remote-request=yes pada
konfigurasi DNS harus digunakan.

Layanan DNS menggunakan protocol UDP dengan port number 53,
sehingga saat membuat rule untuk membatasi akses DNS, parameter
yang digunakan adalah protocol=udp dan dst-port=53.

Sebagai contoh, jika diinginkan semua komputer dalam jaringan
lokal 192.168.1.0/24 tidak bisa menggunakan akses DNS selain DNS
Server pada Router MikroTik, maka perintah berikut ini dapat
digunakan.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.0/24 protocol=udp dst-port=53 \
action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop protocol=udp src-
address=192.168.1.0/24 dst-port=53

Best Practice

Asumsi topologi yang digunakan pada bagian ini adalah topologi
pada gambar 4.4. Jaringan tersebut terdiri dari 10 (sepuluh) unit
komputer user, masing-masing dengan IP Address 192.168.1.1 s/d
192.168.1.10.

4 - 16
Adapun skenario manajemen pembatasan akses yang diinginkan
adalah sebagai berikut.

1. User yang bisa mendapatkan layanan Internet adalah komputer
dengan IP Address 192.168.1.1 s/d 192.168.1.10. Komputer selain
dengan IP Address tersebut tidak bisa mendapatkan akses
Internet.
2. Jika ingin menggunakan DNS, maka akses DNS hanya
diperkenankan menggunakan layanan DNS dari Router
MikroTik. Tidak diperkenankan menggunakan layanan DNS
terbuka yang berada di Internet.
3. Layanan Internet yang diberikan hanyalah layanan HTTP dan
HTTPS. Selain kedua layanan itu, harus dipastikan tidak ada
layanan lain yang diberikan, sehingga komputer dengan IP
Address 192.168.1.1 s/d 192.168.1.10 tidak bisa menggunakan
layanan Proxy maupun VPN yang berada di Internet.

Untuk mewujudkan skenario di atas, maka contoh perintah yang
dapat digunakan adalah sebagai berikut.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.1-192.168.1.10 protocol=tcp \
dst-port=80,443 action=accept

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.0/24 action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept protocol=tcp src-
address=192.168.1.1-192.168.1.10 dst-port=80,443

1 chain=forward action=drop src-address=192.168.1.0/24

Setelah konfigurasi selesai dilakukan, maka harus dipastikan bahwa
susunan rule pada Firewall akan terlihat seperti gambar berikut ini.

4 - 17
 Gambar 4.11
Susunan rule firewall untuk browsing dan DNS

Dari uraian dan gambar 4.11, rule yang pertama adalah konfigurasi
yang mengijinkan komputer 192.168.1.1 s/d 192.168.1.10 untuk
mengakses Internet. Akses Internet yang diberikan hanyalah akses
browsing HTTP dan HTTPS. Adapun akses DNS, Proxy, VPN dan
lain-lain tidak akan diijinkan. Adapun rule kedua bertugas untuk
memastikan tidak ada komputer lain (selain 192.168.1.1-192.168.1.10)
yang bisa mengakses Internet. Rule kedua ini pula bertugas untuk
menjamin tidak ada layanan Internet lain yang akan diberikan,
selain tentunya akses HTTP/HTTPS yang sudah diberikan oleh rule
pertama.

Sebagai tambahan latihan, jika suatu hari diinginkan komputer
192.168.1.1 diberikan pengecualian, misalnya saja komputer ini bisa
saja mengakses apa saja, baik itu HTTP, HTTPS, DNS, Proxy
maupun akses VPN yang berada di Internet, maka perintah berikut
ini dapat ditambahkan.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.1 action=accept

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept protocol=tcp src-
address=192.168.1.1-192.168.1.10 dst-port=80,443

1 chain=forward action=drop src-address=192.168.1.0/24
log=no log-prefix=""

2 chain=forward action=accept src-address=192.168.1.1

4 - 18
Rule yang baru ditambahkan tadi, harus dipastikan berada pada
susunan paling atas, sehingga akses Internet kepada komputer
192.168.1.1 tersebut dapat diberikan terlebih dahulu. Untuk
memindahkan rule tersebut, perintah berikut ini dapat digunakan.

[admin@GATEWAY] > ip firewall filter move 2 0

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept src-address=192.168.1.1

1 chain=forward action=accept protocol=tcp src-
address=192.168.1.1-192.168.1.10 dst-port=80,443

2 chain=forward action=drop src-address=192.168.1.0/24
log=no log-prefix=""

Setelah dilakukan pemindahan rule, maka susunan konfigurasi
Firewall Filter untuk pengecualian komputer 192.168.1.1 seharusnya
terlihat seperti pada gambar berikut ini.

Gambar 4.12
Susunan Firewall Filter untuk komputer 192.168.1.1

4 - 19
Filter Website
Firewall Router MikroTik memiliki parameter Content dan L7
Protocol yang dapat digunakan membatasi akses Internet untuk
website-website tertentu saja. Kedua parameter tersebut juga dapat
digunakan untuk membatasi ekstensi file yang bisa di-download
oleh komputer user.

Asumsi yang digunakan pada sub bab ini adalah topologi yang ada
pada gambar 4.4.

Filter dengan Content

Sebagai contoh penggunaan parameter content, jika diinginkan
komputer 192.168.1.1 tidak bisa mengakses media sosial seperti
Facebook, maka perintah berikut ini dapat digunakan, perhatikanlah
parameter content=.facebook.com

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.1 protocol=tcp dst-port=80,443 \
content=.facebook.com action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop protocol=tcp src-
address=192.168.1.1 dst-port=80,443 content=.facebook.com

Dengan menggunakan WinBox, parameter content dapat
dikonfigurasikan pada tab Advanced, seperti terlihat pada gambar
berikut ini.

4 - 20
 Gambar 4.13
Parameter content

Sebagai contoh tambahan, jika ingin melakukan pembatasan jenis
ekstensi file yang tidak bisa di-download dari Internet, maka contoh
berikut ini memperlihatkan bahwa komputer 192.168.1.1 tidak bisa
melakukan download file dengan ekstensi.mp4 dari Internet.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.1 protocol=tcp dst-port=80,443 \
content=.mp4 action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop protocol=tcp src-
address=192.168.1.1 dst-port=80,443 content=.facebook.com

1 chain=forward action=drop protocol=tcp src-
address=192.168.1.1 dst-port=80,443 content=.mp4

Sebagai catatan penting, terkadang konfigurasi pembatasan akses
terhadap beberapa website tidak langsung dijalankan oleh Router
MikroTik. Terkadang harus dilakukan prosedur restart router agar
status koneksi yang mungkin sempat terjalin (established) ke
website tersebut bisa hilang dan pembatasan akses akan bekerja.

Filter dengan L7 Protocol

Untuk menggunakan parameter L7 Protocol pada Firewall Filter,
maka terlebih dahulu harus dibuat Regular Expression pada bagian
L7 Protocol. Sebagai contoh untuk membatasi akses Youtube maka
4 - 21
Anda dapat mencoba Regular Expression yang diambil dari alamat
https://dokter-squid.com berikut ini.
r[0-9]+---[a-z]+-+[a-z0-9-]+\.googlevideo\.com

Regular Expression tersebut dapat ditambahkan pada menu IP 
Firewall  tab L7 Protocols, tombol Add, seperti pada gambar
berikut ini.

Gambar 4.14
Layer 7 Protocols pada Firewall

Selanjutnya, jika pembatasan web site dengan L7 Protocols akan
diterapkan pada user 192.168.1.1, maka perintah berikut ini dapat
digunakan. Perhatikanlah penggunaan parameter
l7-protocols=youtube.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.1 layer7-protocol=youtube \
action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop layer7-protocol=youtube src-
address=192.168.1.1

4 - 22
Dengan menggunakan WinBox, parameter l7-protocols dapat
dikonfigurasikan pada tab Advanced, seperti terlihat pada gambar
berikut ini.

Gambar 4.15
Parameter l7-protocols pada Firewall Filter

Best Practice

Asumsi topologi yang digunakan pada bagian ini adalah topologi
pada gambar 4.4. Jaringan tersebut terdiri dari 10 (sepuluh) unit
komputer user, masing-masing dengan IP Address 192.168.1.1 s/d
192.168.1.10.

Adapun skenario pembatasan akses Internet yang diinginkan adalah
sebagai berikut.

1. Komputer yang bisa mendapatkan layanan Internet adalah
komputer dengan IP Address 192.168.1.1 s/d 192.168.1.10,
sepanjang hari dan sepanjang waktu.
2. Namun, komputer dengan IP Address 192.168.1.1 s/d 192.168.1.7
tidak dapat mengakses media sosial Facebook selama hari kerja
dan jam kerja. Hari kerja adalah hari Senin s/d Jumat sedangkan
jam kerja adalah 08.00 s/d 16.30.

4 - 23
3. Selain komputer 192.168.1.1 s/d 192.168.1.10, tidak akan bisa
mengakses Internet. Dengan kata lain, komputer 192.168.1.11 s/d
192.168.1.254 tidak bisa mengakses Internet.

Untuk mewujudkan skenario di atas, maka langkah konfigurasi
yang dapat dilakukan adalah membatasi terlebih dahulu akses
Facebook terhadap komputer 192.168.1.1 s/d 192.168.1.7, perintah
berikut ini dapat digunakan.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.1-192.168.1.7 protocol=tcp \
dst-port=80,443 content=.facebook.com \
time=08:00:00-16:30:00,mon,tue,wed,thu,fri action=drop

Selanjutnya, untuk memberikan semua layanan Internet kepada 10
unit komputer (192.168.1.1 s/d 192.168.1.10), maka perintah berikut
ini dapat digunakan.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.1-192.168.1.10 action=accept

Sedangkan untuk memastikan tidak ada komputer lain (selain 10
unit komputer tersebut) yang dapat menggunakan akses Internet,
maka perintah berikut ini dapat ditambahkan.

[admin@GATEWAY] > ip firewall filter add chain=forward \
src-address=192.168.1.0/24 action=drop

[admin@GATEWAY] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop protocol=tcp src-
address=192.168.1.1-192.168.1.7 dst-port=80,443
content=.facebook.com time=8h-16h30m,mon,tue,wed,thu,fri

1 chain=forward action=accept src-address=192.168.1.1-
192.168.1.10

2 chain=forward action=drop src-address=192.168.1.0/24

Setelah konfigurasi selesai dilakukan, maka susunan rule pada
Firewall Filter seharusnya terlihat seperti gambar berikut ini.
4 - 24
 Gambar 4.16
Konfigurasi Firewall Filter untuk menutup Facebook

Yang harus diperhatikan dari konfigurasi tadi adalah susunan rule-
rule dari Firewall Filter. Harus dipastikan bahwa rule yang menutup
akses Facebook berada pada susunan teratas. Jika rule tersebut
berada sesudah rule yang memberikan akses Internet kepada
komputer 192.168.1.1 s/d 192.168.1.10, maka rule pembatasan
Facebook tersebut tidak akan bekerja. Ini karena sepuluh unit
komputer tersebut (termasuk komputer 192.168.1.1 s/d 192.168.1.7)
sudah mendapatkan akses Internet tanpa batas terlebih dahulu.
Dengan kata lain, pembatasan Facebook tidak akan berhasil, ini
karena Firewall Filter ternyata sudah membebaskan akses Internet
terlebih dahulu, dan Anda baru menginginkan akses ke Facebook
ditutup, sesuatu yang sulit dilakukan oleh Firewall karena Firewall
Filter akan membaca rule-rule tersebut dari atas ke bawah (top to
bottom).

End of Chapter
4 - 25