Firewall Mikrotik Basic


Firewall Basic
  • Firewall bertujuan untuk melindungi Router dan Client dari akses yang tidak diinginkan, misalnya difungsikan untuk melindungi jaringan Lokal (LAN) dari kemungkinan serangan yang berasal dari Internet. Firewall dapat di implementasikan dalam Mikrotik melalui firul filter dan NAT


Firewall Filter - RULE
  • Firewall dalam RouterOS berisi satu atau lebih rule/perintah yang bekerja dengan prinsip IF-THEN ( JIKA … MAKA … ). Rule/perintah ini disusun dalah chain (semacam area kerja), ada chain (area kerja) yang akan secara otomatis akan dikunjungi da nada chain yang dibuat secara manual (custom-chain)

Firewall Filter - CHAIN
Terdapat 2 chain yang akan dilewati secara default oleh traffic, yaitu :
  • INPUT chain : dilewati traffic yang menuju Router
  • OUTPUT chain : dilewati oleh traffic yang keluar dari router dan berasal dari router itu sendiri
  • FORWARD chain : dilewati oleh traffic yang dari luar router dan tidak menuju ke router (tapi menuju ke IP lain di luar router).

Firewall Filter CHAIN – INPUT
Traffic yang dari luar dan menuju ke salah satu IP dai Router



Firewall Filter CHAIN – OUTPUT
Traffic yang berasal dari luar dan berasal dari router


Firewall Filter CHAIN – FORWARD
Traffic yang bukan berasal dari router dan bukan menuju ke Router, melaikan hanya melewati router


Setiap aturan chain yang dibuat akan dibaca oleh router dari atas ke bawah, paket dicocokan dengan kriteria umum dalam satu chain, jika cocok paket akan melalui kriteria umum chain berikutnya / dibawah (kecuali dipasssthrought)




Firewall Strategy
Banyak traffic yang harus difilter dan dipilih mana yang harus di perbolehkan (accept) dan mana yang harus dibuang (drop), ada 2 medote untuk menyederhanakan rule firewall yang kita buat.
  • Drop beberapa, lainnya diterima (drop few, accept any)
  • Terima beberpa, lainya dibuang (accept few, drop any)


Filter Rule, Protecting the Router + LAB
Buatlah firewall filter yang memperbolehkan hanya IP laptop anda sendiri yang hanya bisa akses router
  • Kita akan membuat rule ini dengan strategy Accept Few & Drop Any
  • Chain yang digunakan adalah “input” karena kita akan melakukan filtering traffic yang menuju arah router
  • Buat IF condition di menu IP > Firewall > Filter Rules > General IF (jika) ada traffic yang menuju kea rah router (chain=input) berasal dai IP Laptop (Src. Address = 192.168.xx.2)
  • Buat THEN condition di menu Action, paket akan di “Accept” , kemudian klik Apply
  • Kita sudah melakukan Accept hanya IP laptop saja (accept few), sedangkan IP selain laptop dibuatkan rule untuk di drop (drop any) dan buatlah lagi rule IF condition di menu IP > Firewall > Filter > Rule > General, IF any traffic

Then action “Drop”
  • Akan ada 2 Rule, perhatikan jumlah bytes pada setiap chain ketika kita melakukan akses ke router, tetap atau bertambah ?

Cobalah Ping dari laptop yang memiliki IP Address 192.168.10.2 seharusnya akan mendapatkan reply, setelah itu ubahlah IP laptop tersebut dan coba ping kembali, seharusnya akan mendapat balasan request time out

  • Remove semua konfigurasi filter firewall yang barusan di buat, kita akan membuat firewall dengan rule Drop Any Accept Few metodenya adalah drop any packet kecuali dari IP laptop anda (192.168.xx.2) pada IF condition src address adalah selain IP laptop (tanda ! berarti “selain”) 

Sehingga hanya ada 1 rule dalam Firewall dengan fungsi yang sama



Firewall Logging + LAB
Firewall Logging adalah fitur untuk mencatat segala aktifitas jaringan yang kita inginkan.
  • Buat filter rule pada menu IP > Firewall > Filter Rules, untuk logging semua client yang mengakses website melewati router, kita buat rulenya bisa menggunakan script ini di terminal mikrotik Chain=forward protocol=tcp dst-port=80 in-interface=ether1 action=log log-prefix=”akses website”
  • Lakukan uji coba dengan browsing menggunakan laptop dan amatilah log pada router BLOCK


Block Situs + LAB
Disini kita akan melakukan blok situs dari jaringan lokal, yang memiliki akses ke luar sebagai contoh kita akan memblok situs www.kaskus.co.id

Kita mulai untuk membatasi semua clinet tidak bisa mengkases website www.kaskus.co.id
  • Sebelumnya kita harus mengetahui IP server dari youtube caranya adalah menggunakan nslookup di cmd


  • Disini terlihat kaskus.co.id menggunakan IP 103.6.117.3 dan 103.6.117.4 atau bisa menggunakn penrintah ping kaskus.co.id, setelah kita mengetahui IP Servernya, kita akan mencoba memblok semua IP servernya
  • Buatlah filter Rule, Chain=forward, Dst.Address=103.6.117.3, Action=drop dan ulangi lagi untuk semua IP kaskus.co.id

Blok Menggunakan Address List + LAB

Kita bisa mendefinisikan IP Address terlebih dahulu pada address-list, sebelum dibuatkan rule utk address-list tersebut

  • Buatlah address list untuk IP kaskus.co.id, misalkan berinama IP-kaskus

  • Buatlah filter rule untuk drop IP-kaksus, pada tad Advances, Dst. Addrress List = IP-kakskus (nama address list yang telah dibuat)

  • kita juga bisa mengatur client mana saja yang boleh mengkases kaskus.co.id dengan mengatur Src. Address pada filter rule, atau definisikan terlebih dahulu IP kelompok client pada Address List, dan kemudian lakukan action pada kelompok clinet tersebut

Connection Tracking & Connection State + LAB
Dalam sebuah Router, semu traffic yang lewat akan dicatat (agar dapat dikembalikan dengan benar ke Client yang melakukan request), di MikroTik, hal ini disebut Connection Tracking. Dapat dilihat di menu IP > Firewall > Connection



Connection Tracking mempunyai kemampuan untuk melihat informasi koneksi yang melewat router seperti source dan destination IP dan port yang sedang digunakan, status koneksi, tipe protocol, dll.

Setiap paket data memiliki status (connection-state) yang dapat dilihat pada connetion tracking, status koneksi tersebut adalah :

  • Invalid = Traffic yang tiba- tiba tanpa adanya request dari internal, bisanya virus atau traffic yang keluar/masuk melaui jalur yang berbeda
  • New = Paket baru untuk satu koneksi
  • Establish = Paket yang mengikuti new paket, yaitu yang merupakan paket sambungan dari paket pertama
  • Related = Paket yang muncul secara tiba-tiba namun masih memiliki korelasi dari paket yang sudah ada (establish) atau baru (new)

Untuk kemampuan menghemat resource, biasanya setiap Firewall diawali dengan filtering connection state. Buatlah rule untuk connection state invalid
  • Connection state invalid – Drop

  • Dengan cara yang sama buatlah Filter Rule untuk Connection state :
  1. Connection state Established – Accept
  2. Connection state related – Accept
  3. Connection state new – Passtrough
  4. Network



Network Address Translation (NAT)
NAT adalah suatu metode untuk menghubungkan lebih dari satu komputer jaringan internet dengan menggunakan satu alamat IP. NAT digunakan karena ketersediaan alamat IP public. NAT merupakan salah satu bagian dair Firewall (mengamkan Router).
NAT digunakan untuk :
  • Mengamankan jaringan internal (sehingga orang dari luar tidak bisa langsung mengakses PC anda)
  • Memungkinkan IP Lokal diganti menjadi IP Publik sehingga dapat dikenali di internet
  • Mengatur penggunaan alokasi IP lokal

Ada dua Type dalam NAT Firewall MikroTik
  • Source NAT atau scr nat = diberlakukan untuk paket yang berasal dai Network yang di NAT (privat/local network), action dari srcnat yang umum digunakan adalah masquerade, perintahnya adalah : /ip firewall nat add chain-srcnat action=masquerade out-interfcae=Publiv Dapat diartikan bahwa paket dari interface manapun yang keluar melalui interface public akan dibungkus (masquerade) dan ditranslasikan mejadi IP Public.
  • Destination NAT atau dstnat = diberlakukan untuk paket yang menuju jaringan yang di NAT, biasanya digunakan untuk mengakses dari luar beberapa service pada jaringan. Dstnat juga dipake untuk membelokkan akses port dari natted network ke port tertentu pada router atau IP dan Port lain diluar router

Membuat Rule untuk DMZ + LAB
DMZ adalah singkatan dari Dimilitarized Zone, isitilah ini berasal dari penggunaan militer, yang beraarti dareah penyangga antara dua musuh. Bila diterapkan di dalam network artinya komputer atau subnetwork kecil yang berasa di antara jaringan internal yang terpecaya, di MikroTIk DMZ adalah suatu service tertentu salam zona privat (LAN) yang dapat di akses dari luar (internet) dengan metode port forwading.
  • Fungsikan salah satu clinet pada LAN 1 sebagai web server yang bisa diakses dari IP luar (WAN), seperti topologi berikut

  • Jalankan web server di Laptop anda dengan Program XAMPP
  • Agar web sever dalam jaringan LAN1 bisa diakses dari luar, maka harus dibuatkan rule dstnat pada menu IP > Firewall > NAT

  • Ini dapat di artikan jika ada request ke 10.1.1.10 (IP PUBLIK LAN 1 ) dengan port 80 (web) maka akan di teruskan ke computer dengan IP Address 192.168.10.2 dengan port 80 yang memiliki service wen server sebenarnya.
  • Lakukan percobaan hasil dari dstnat coba akses IP wlan 1 di Router LAN 1 via web browser dari LAN 2. Coba non aktifkan rule dan coba kembali.