Mikrotik Firewall Filter Syntax Dengan Router OS 5.18

Mikrotik Firewall adalah salah paket software unruk security yang secara default sudah terinstall dalam Router Mikrotik, sama seperti firewall pada Windows, iptables pada Linux, ipf pada BSD family dan software sejenisnya, paket ini digunakan untuk keamanan akses.

Dalam Mikrotik, Firewall juga terdiri atas tabel Filter, NAT dan Mangle sama seperti jenis software firewall lainnya.

Pada tulisan ini penulis akan memberikan contoh syntax sederhana dengan menggunakan IP Firewall Filter tabel pada Mikrotik Router OS 5.18, tujuannya adalah untuk dapat memilih mana akses  yang dibiarkan lewat dan mana yang harus di blok.

[admin@Mikrotik] > /ip firewall filter

add chain=input connection-state=established action=accept comment="allow koneksi established"  
add chain=input connection-state=related action=accept comment="allow koneksi related"
add chain=input connection-state=invalid action=drop comment="blok/drop invalid koneksi" 
add chain=input protocol=icmp action=accept src-address=192.168.0.0/24 comment="allow ping ke router untuk ip src-address=192.168.0.0/24"
add chain=input protocol=icmp action=drop comment="blok ping"
add chain=input src-address=192.168.0.0/24 action=accept in-interface=ether3 (sesuaikan kondisi) 
add chain=input action=drop comment="blok semua yang kearah router" 

add chain=forward connection-state=established comment="allow koneksi established"  
add chain=forward connection-state=related comment="allow koneksi related"
add chain=forward connection-state=invalid action=drop comment="drop koneksi invalid"

add chain=forward protocol=tcp dst-port=135-139 action=drop 
add chain=MalwareVirus protocol=udp dst-port=135-139 action=drop
add chain=MalwareVirus protocol=tcp dst-port=445 action=drop  

Pada contoh syntax diatas, secara default router mikrotik membuka semua port yang melewatinya (chain forward) dan blok akses ke arah dirinya kecuali untuk akses dari network 192.168.0.0/24 yang terhubung pada ether3 (kawan harus menyesuaikan kondisi ini dengan router yang dimiliki).

[admin@Mikrotik] > /ip firewall filter

add chain=forward action=accept protocol=tcp dst-port=25 comment="allow smtp koneksi"
add chain=forward action=accept protocol=udp dst-port=53 comment="allow request dns koneksi" 
add chain=forward action=accept protocol=tcp dst-port=80 comment="allow http koneksi" 
add chain=forward action=accept protocol=tcp dst-port=443 comment="allow https koneksi" 
add chain=forward protocol=icmp comment="allow ping"
add chain=forward action=drop comment="drop semua yang melewati router" 

Pada syntax diatas, mikrotik firewal menutup semua koneksi yang melewatinya secara default dan kemudian membukanya satu persatu sesuai dengan kebutuhan, di contohkan beberap port untuk akses email/smtp, dns, web/http dan https dibuka untuk keperluan klien dibelakang router mikrotik.

Jadi tinggal mengkondisikan syntax mana yang akan digunakan pada router mikrotik milik kawan sesuai dengan keperluan ataupun kebutuhan yang ada.

Demikianlah, tinggalkan komentar jika menghadapi kendala, Terima kasih.

Read More...

Filter Malware Site dan Pornography Menggunakan Mikrotik

Secara standar Mikrotik router tidak mempunyai fasiltas untuk filter malware site dan pornography atau semacamnya, namun dengan menggunakan ip firewall dan servis atau software dari pihak ketiga (third party software or service), hal tersebut dapat diterapkan.

Banyak pihak ketiga yang menyediakan kebutuhan diatas, diantaranya adalah:

- Dansguardian Web Content Filtering.

- Squid Guard

- Open DNS Content Filter

dan sebagainya.

Pada kesempatan ini, penulis akan memperlihatkan kepada kawan semua bagaimana melakukan filter malware site dan pornography dengan menggunakan Mikrotik router dan Open DNS FamilyShiled Adult Content Filter, yaitu services yang diberikan secara gratis oleh Open DNS dengan menggunakan IP Address mereka sebagai DNS komputer atau router kita.

Bagaimana cara mengkonfigurasinya?

Cukup sederhana, untuk komputer di rumah, kawan tinggal arahkan DNS ke IP Open DNS berikut:

208.67.222.123
208.67.220.123

Begitu juga jika kawan menggunakan router seperti Linksys atau TP-Link dan semacamnya, login ke dalam router dan ubah DNS dengan IP Address diatas.

Untuk menggunakannya pada Mikrotik router konsepnya sama, isikan pada IP DNS, alamat ip diatas kemudian redirect semua request dns dari arah klien ke IP Address Open DNS tersebut diatas, perhatikan gambar dibawah:

Setelah itu ketikkan perintah redirect untuk memaksa semua request dns yang melewati Mikrotik menggunakan IP Address Open DNS, perintahnya sebagai berikut:

[admin@Mikrotik] > /ip firewall nat    

add chain=dstnat action=dst-nat to-addresses=208.67.222.123 to-ports=53 \
protocol=udp src-address=xx.xx.xx.xx/xx in-interface=LAN dst-port=53 

add chain=dstnat action=dst-nat to-addresses=208.67.220.123 to-ports=53 \
protocol=udp src-address=xx.xx.xx.xx/xx in-interface=LAN dst-port=53

Dimana:
xx.xx.xx.xx/xx = IP Address LAN kawan.
LAN  = Ethernet Devices kawan (misal ether2)

Setelah semua konfigurasi selesai, silahkan coba akses kesalah satu malware site dan pornography yang kawan tahu, akses akan diarahklan ke halaman OPEN DNS seperti gambar diatas.

Demikianlah, jika menghadapi kendala tinggalkan komentar, Terima kasih.

Read More...

Solusi Untuk Remote Mikrotik Router Yang Menggunakan 2 Gateway

Penggunaan dua (2) gateway pada Mikrotik sebetulnya berhubungan dengan router load balancing juga, dan lebih tepatnya adalah untuk remote administrasi Mikrotik dari public internet, bisa juga diterapkan pada intranet dengan simulasi menggunakan ip private seperti yang akan penulis bahas pada tulisan ini.

Jadi jika kawan menggunakan 2 gateway dan memisahkan traffic dari lokal intranet dengan network ISP yang berbeda, tentunya akan dihadapkan dengan masalah remote untuk login ke mikrotik, begitu mungkin kata lainnya.

Diasumsikan disini router Mikrotik sudah berjalan baik dengan memakai dua ISP yang berbeda, namun terkendala dengan remote login untuk administrasi router dari rumah ataupun tempat di mana akses internet mudah didapat. Topologi terlihat seperti pada gambar diatas, dengan kondisi sebagai berikut:

ether1 ---> ip address 10.22.16.2
                  netmask 255.255.255.240
                  gateway 10.22.16.1

ether2 ---> ip address 172.16.29.2
                  netmask 255.255.255.240
                  gateway 172.16.29.1

Pada Mikrotik Router terpasang dua gateway, yaitu 10.22.16.1 pada ehter1 dan 172.16.29.1 pada ether2, untuk akses dari LAN menuju internet lancar dan tidak bermasalah, namun saya mendapatkan problem ketika ingin me-remote router dari luar, IP Address pada device tidak dapat terkoneksi (unreachable), dengan kata lain saya tidak bisa melakukan remote login dari public internet, kendala ini memang wajar karena router menjadi accessible di kedua interfacesnya (bingung mau masuk lewat interfaces yang mana).

Begitu juga jika saya ping dari Mikrotik router ke salah satu gateway, pesan request time out muncul yang menandakan seolah-olah tidak terjadi koneksi antara router dan gateway ISP.

Untuk mengatasi  masalah tersebut buatlah ip rule sebagai berikut:

/ip route rule

add dst-address=10.22.16.0/28 action=lookup table=main
add dst-address=172.16.29.0/28 action=lookup table=main
add dst-address=xx.xx.xx.xx/xx (IP LAN) action=lookup table=main
add src-address=10.22.16.1/28 action=lookup table=ISP-1
add src-address=172.16.29.0/28 action=lookup table=ISP-2
add routing-mark=ISP-1 action=lookup table=ISP-1
add routing-mark=ISP-2 action=lookup table=ISP-2

Setelah menambahkan rule diatas, saya mencoba kembali untuk melakukan pengecekan koneksi melalui perintah ping ke arah dua gateway tersebut dan hasilnya terlihat sebagai berikut:

[admin@mikrotik] > ping 10.22.16.1

HOST                               SIZE TTL TIME  STATUS                 
10.22.16.1                              56  64 1ms  
10.22.16.1                              56  64 2ms  
10.22.16.1                              56  64 0ms  
10.22.16.1                              56  64 0ms  
10.22.16.1                              56  64 0ms  

sent=5 received=5 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=2ms 

[admin@mikrotik] > ping 172.16.29.1

HOST                                SIZE TTL TIME  STATUS                 
172.16.29.1                              56  64 1ms  
172.16.29.1                              56  64 2ms  
172.16.29.1                              56  64 0ms  
172.16.29.1                              56  64 0ms  
172.16.29.1                              56  64 0ms  

sent=5 received=5 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=2ms 

Yah, akhirnya semua berhasil terkoneksi dan remote router dari sisi internet juga dapat berjalan, dengan kata lain problem yang saya hadapi telah terpecahkan, kawan bisa melihat hasil akhir dari ip route konfigurasi pada router tersebut :

[admin@mikrotik] > ip route print detail

Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 

 0 A S  dst-address=0.0.0.0/0 gateway=10.22.16.1 
        gateway-status=10.22.16.1 reachable via ether1 check-gateway=arp 
        distance=1 scope=30 target-scope=10 routing-mark=ISP-1 

 1 A S  dst-address=0.0.0.0/0 gateway=172.16.29.1 
        gateway-status=172.16.29.1 reachable via ether2 check-gateway=arp 
        distance=1 scope=30 target-scope=10 routing-mark=ISP-2 

 2 A S  dst-address=0.0.0.0/0 gateway=10.22.16.1 
        gateway-status=10.22.16.1 reachable via ether1 check-gateway=arp
        distance=1 scope=30 target-scope=10 

 3   S  dst-address=0.0.0.0/0 gateway=172.16.29.1 
        gateway-status=172.16.29.1 reachable via ether2 check-gateway=arp 
        distance=1 scope=30 target-scope=10 

 4 ADC  dst-address=10.22.16.0/28 pref-src=10.22.16.2 gateway=ether1 
        gateway-status=ether1 reachable distance=0 scope=10 

 5 ADC  dst-address=172.16.29.0/28 pref-src=172.16.29.2 gateway=ether2
        gateway-status=ether2 reachable distance=0 scope=10

Demikianlah solusi untuk masalah remote login ke router mikrotik dengan menggunakan dua gateway ISP yang berbeda, mudah-mudahan dapat berguna bagi kawan yang membutuhkannya.

Tinggalkan komentar jika menghadapi kendala, Terima kasih.

Read More...