Вы находитесь на странице: 1из 20

Lab 1 Kenapa di butuhkan diagram necessary

Diagram necessary ialah diagram untuk mempermudah pembacaan paket pada saat
router bekerja.Namun tugas yang lebih rumit, seperti penentuan prioritas lalu lintas,
kebijakan perutean,Untuk itu kita memerlukan diagram necessar, agar pembacaan
paket tersebut lebih ter-strukstur.Berikut adalah gambar diagram necessary secara
sederhana.

Lab 2 Gambaran lengkap diagram

Berikut adalah gambaran lengkap berbentuk diagram yang berfungsi untuk


mempermudah pembacaan aliran paket yang bekerja pada router.Ketika router bekerja
pasti ada proses pengiriman data/ paket.Anda bisa melihat paket tersebut dalam
bentuk digram seperti dibawah ini.
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Lab 3 Berjalanya paket diagram (Routing,Bridging untuk terkoneksi ke router)


Ketika kita melakukan manajemen jaringan filtering akses dari client,NAT dan juga mengelola
bandwith (QoS) untuk setiap client.Namun ketika router dinfungsikan sebagai bridge yang mana
client yang terhubung merupakan satu segment,yang secara logika jika komunikasi masih di
dalam segment yang sama maka setiap client bisa langsung saling berkomunikasi tanpa adanya
proses routing.Pada fungsi bridge ini telah ditambahkan fitur khusus untuk management
client.Diantaranya ada fungsi NAT,Host Monitoring.Selain itu kita bisa melakukan konfigurasi
dengan memilih opsi Use IP Firewall dan Bridge filter.Dengan demikian kita bisa mengelola
trafik0trafik dari client yang terhubung pada port bridge.Tapi untuk contoh lab kali ini saya akan
mencobaBridge filter.Untuk melihat bagaimana paket tersebut berjalan sampai ke router bisa di
lihat di gambar berikut ini
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Berikut adalah contoh lab sederhana.Berikut topologi agara mempermudah pemahaman.
Secara logika apablia komunikasi masih dalam segment yang sama maka antar client dalam
segment yang sama maka antar clietn tersebut masih bisa saling berkomunikasi.Namu jika kita
ingin memblokir trafik antar client dari 1 interface yang sama, penggunaan chain apa yang
tepat.Seperti topologi diatas kita mencoba memblokir trafik dari client 1 dan 2 menggunakan
bridge filter.
Jika kita melihat skema aliran data (paket flow), router akan mengecek jenis in-interfacenya,
apakah bridge atau tidak.Jika dibridge maka proses akan dilanjutkan ke proses bridging.Pada
kasus ini,antara Client 1 dan Client 2 hanya dalam 1 interface bridge yang sama, sehingga
menggunakan chain = Foward.Hal ini terjadi karena trafik yang masuk melalui interface
bridge dan keluar dari interface yang sama.Jadi, trafik yang masuk dari ether 2 dan keluar
melalui ether 3 dalam 1 interface bride yang sama yakni Bridge 1.Jadi, penggunaan chain yang
tepat untuk trafik dalam satu interface bridge yang sama adalah chain=Foward.

Routing adalah tehnik pengiriman data yang diteruskan dari satu network ke network yang
lain.Di mikrotik ini ada terdapat 2 jenis routing yang itu static dan dynamic.Setiap protokol
routing (kecuali BGP)memiliki tabel internal sendiri.Di sinilah keputusan routing per-protokol
dibuat.BGP tidak memiliki tabel routing internal dan menyimpan informasi routing lengkap dari
semua rekan di RIB.
RIB berisi rute yang dikelompokkan dalam tabel rute terpisah berdasarkan nilai tanda-
peruteannya.
Semua rute tanpa tanda rute disimpan di tabel rute utama. Tabel ini digunakan untuk pemilihan
rute terbaik.Tabel utama juga digunakan untuk pencarian nexthop.Untuk mempermudah
membaca alur routing ini bekerja, kita bisa melihat gambar berikut ini.
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Berikut adalah contoh kasus simple routing static routing

Router A dan Router B terhubung direct connect / terhubung langsung melewati


ethernet.Maka routing yang harus ditambahkan sebagai berikut

Router A

Router B
Lab 4 Contoh Penggunaan Diagram yang sederhana
Penggunaan digram bisa dilakukan dengan mencoba membaca alur paket pada saat konfigurasi
mikrotik contoh salah satunya yaitu firewall mangle.Penandaan paket dalam mangle ini bisa
digambarkan begitu sederhananya seperti halnya kita memisahkan jalur.Berikut ini adalah
gambar dari chains mangle

Gambar diatas menunjukan beberapa paket yang ada di dalam chain mangle.Contoh lab nya saya
akan melimit bandwith menggunakan magle dan queue tree.

#Mangle Trafik Download

Pilih menu IP>Firewall >> Mangle >> klik tanda "+" (chain : Foward Dst-Address = ip network
local) action mark-packet new-packet-mark = down-user (sesuaikan) hilangkan centang pada
pastrough dan berilah comment untuk mempermudah pengecekan rule)
#Mangle Trafik Uploud

Pilih menu IP >> Firewall >> Mangle>klik tanda "+" (chain : Foward Src-Address Action
mark-packet new-packet-mark =upl-user (sesuaikan) hilangkan centang pada pastrough dan
berilah comment untuk mempermudah pengecekan rule)
#Queue Download

Induk QueueTree Download


Pilih menu Queues >> Queue Tree >> klik tanda “+” >> Isi kolom Name : Download
(sesuaikan) >> Parent ; Interface Lokal/LAN >> Max Limit (Sesuai Bandwith yang ada atau
yang dikehendaki) >> Klik OK
Child QueueTree Download
Langkahnya sama dengan induk queue, namun untuk child queue lebih dispesifikkan sesuai
dengan rule mangle yang telah dibuat sebelumnya, berikut langkahnya

#QueueTree Uploud

Induk Queue Tree Uploud


Pilih menu Queues >> Queue Tree >> klik tanda “+” >> Name: Upload(sesuaikan) >> Parent ;
Interface Publik/WAN >> Max Limit (Sesuai Bandwith yang ada atau yang dikehendaki)
Child QueueTree Uploud
Langkahnya sama dengan induk queue, namun untuk child queue lebih dispesifikkan sesuai
dengan rule mangle dan pcq yang telah dibuat sebelumnya, berikut langkahnya sesuai urutan
nomor.

Setelah semua dikonfigurasi, lakukan pengujian dan lihat packet pada queue berjalan
apa tidak dengan cara speedtest.
Lab 5 Connection Tracking

Sistem Pelacakan Koneksi (atau Conntrack) adalahjantung dari firewall, ia mengumpulkan dan
mengelola informasi tentang semua koneksi aktif.
- Dengan menonaktifkan sistem conntrack Anda akan kehilangan fungsi NAT dan sebagian besar
filter dan kondisi mangle.
- Setiap entri tabel conntrack mewakili pertukaran data dua arah
- Conntrack membutuhkan banyak sumber daya CPU (nonaktifkan, jika Anda tidak
menggunakan firewall)
Untuk melihat koneksi apa yang membuat mereka jalan melalui router, Pilih menu IP
>> Firewall >> Connections

status koneksi adalah status yang ditetapkan untuk setiap paket dengan sistem conntrack

New : paket sedang membuka koneksi baru


Established : paket yang sedang berjalan dan dikenali
Related : paket juga membuka koneksi baru tetapi dalam beberapa jenis hubungan
dengan koneksi yang sudah dikenal
Invalid : paket bukan milik koneksi yang dikenal atau tidak ada tujuan

untuk lab nya, buatlah 3 rule untuk memastikan bahwa hanya koneksi baru akan diprosoes
melalui input.
- Drop all connection-state invalid packets
- Accept all connection-state related packets
- Accept all connection -state establisged packets
setelah itu buat 2 rule untuk memastikan hanya nda yang bisa melakukannya untuk terhubung ke
router
-Accept all packets from your local network
- Drop evrything else

dan hasilnya akan sepperti ini

Lab 6 Firewall filter

Firewall fitur ini biasanya digunakan untuk filtering akses (filter rule) , Forwading (NAT), dan
juga untukk menandai koneksi maupun paket dari trafik data yang melawati router
(mangle).Firewall beroperasi dengan aturan firewall. Setiap aturan terdiri dari dua bagian -
pencocokan yang mencocokkan aliran lalu lintas dengan kondisi yang diberikan dan tindakan
yang menentukan apa yang harus dilakukan dengan paket yang cocok.Supaya fungsi dari fitur
firewall ini dapat berfungsi dengan baik, kita harus menambahkan rule-rule yang sesuai.Terdapat
sebuah parameter utama pada rule di fitur firewall ini yaitu chain.Parameter in memiliki
kegunaan untuk menentukan jenis trafik yang akan di-manage pada fitur firewall dan setiap
fungsi pada firewall seperti filter rule,Nat, Mangle memiliki opsi chain yang berbeda.

http://www.mikrotik.co.id/artikel_lihat.php?id=146
Filter Rules
FIlter rule biasanya digunakan untuk melakukan kebijakan boleh atau tidaknya sebuah trafik ada
dalam jaringan.Pada menu firewall terdapat 3 macam chain yanng tersedia.Chain tersebut antara
lain Forward,Input,Output.Berikut fungsi dari masing-masing chain tersebut.
- Forward
Digunakan untuk memproses trafik paket data yang hanya melawati router.Misalnya
trafik dari jaringan public ke jaringan lokal atau sebaliknya,contoh saat kita
melakukan browsing.Trafik browsing ke internet dapat di manage oleh firewall
dengan chain foward.
- Input
Digunakan untuk memproses paket yang dikirim ke router.Jenis trafik seperti ini bisa
berasal dari jaringan public maupun jaringan local dengan tujuan router itu
sendiri.Contoh saat kita mengakses router mikrotik menggunakan winbox,putty,dan
webfig melewati jaringan lokal maupun public.
- Output
Digunakan untuk memproses paket yang dikirim oleh router.Kebalikan dari input,
contoh output mengirimkan kan trafik ke jaringan public atau pun lok

All Action

- Accept >> paket diterima dan paket tidak diteruskan ke rule berikutnya
- Add-dst-to-address-list >> menambahkan alamat tujuan ke daftar alamat yang
ditentukan oleh parameter address list
- Add-src-to-address-list >> menambahkan alamat sumber ke dafrar alamt yang
ditentukan oleh parameter address list
- drop >> menolak paket secara diam diam (tidak mengirimkan pesan penolakkan
ICMP)
- Fastrak connection >> memproses paket dari koneksi menggunakan fastpath dengan
mengaktifkan fastrack untuk koneksi
- Jump >> melompat ke chain lain yang ditentukan oleh nilai parameter jump target
- log >> menambahkan informasi paket ke data log
- passthrough >> jika paket cocok sesuai rule, maka mengabaikan rule ini dan lanjut ke rule
sekanjutnya (berguna untuk statiskt)
- Reject >> menolak paket tetap mengirimkan pesan penolakan ICMP
- Return >> melewati kendali akan membuat rule kembali ke tempat lompatan terjadi
- Tarpit >> menangkap dan memegang koneksi TCP (balasan dengan SYN / ACK ke paket TCP
SYN inbound)

Lab 7 Firewal NAT (Network Address Translation)

Network Address Translation adalah standar internet yang memungkinkan penghuni


di jaringan area lokal untuk menggunakan satu set alamat ip untuk komunikasi
internal dan satu set alamat IP untuk komunikasi eksternal.Lan yang menggunakan
NAT disebut jaringan nated .Agar NAT berfungsi,harus ada gateway NAT di setiap
jaringan yang terhubung.Gateway NAT (router NAT) melakukan penulisan ulang
alamat IP dalam perjalan paket dari ke LAN.Pada menu firewak NAT terdapat 2
macam opsi chain yang tersedia, yaitu dst-nat dan src-nat.Funsi NAT sendiri untuk
melakukan pengubahan Source Address maupun Destination Address.Kemudian
fungsi dari masing-masing chain tersebut adalah sebagai berikut :

- dst-nat
Memiliki fungsi untuk mengubah destination address pada sebuah paket data.Biasa
digunakan untuk membuat host dalam jaringan lokal dapat diakses dari luar jaringan
(internet) dengan cara NAT akan mengganti alamat IP tujuan paket dengan alamat IP
lokal.Jadi fungsi utamanya adalah mengubah/mengganti IP address tujuan pada
sebuah paket data.

- src-nat
Memiliki fungsi untuk menggubah source address dari sebuah paket data.Sebagai
contoh fungsi dari chain ini banyak digunakan ketika kita melakukan akses website
dari jaringan LAN.Secara aturan untuk IP address local tidak diperbolehkan untuk
masuk ke jaringan WAN, maka diperlukan konfigurasi 'srcnat' ini.Sehingga IP
Address lokal akan disembunyikan dan diganti dengan IP Address public yang
terpasang pada router.

berikut adalah diagram Firewall

All action

- Accept >>Ketika paket sudah di terima, paket tersebut tidak diteruskan ke rule
berikutnya
- Add-dst-address-to-address-list >> Menambahkan alamat tujuan ke daftar alamat
yang ditentukan oleh parameter daftar alamat
- Add-src-address-to-address-list >> Menambahkan alamat sumber ke daftar alamat
yang ditentukan oleh parameter daftar alamat
- dst-nat >> Mengganti alamat tujuan dan port dari paket IP ke nilai yang ditentukan
oleh parameter to address dan to ports
- Jump >> Melompati rule yang ditentukan oleh pengguna yang ditentukan oleh nilai
parameter target lompat
- Log >> Menambahkan pesan ke log sistem yang berisi data berikut: in-interface,
out-interface, src-mac, protokol, src-ip: port-> dst-ip: port dan panjang paket. Setelah
paket dicocokkan itu dilewatkan ke aturan berikutnya dalam daftar, mirip dengan
passthrough
- Masquarade >> Mendistribusikan IP public ke IP private/lokal, metode ini sering
digunakan untuk koneksi internet.
- Netmap >> Membuat pemetaan 1: 1 statis dari satu set alamat IP ke yang lain.
Sering digunakan untuk mendistribusikan alamat IP publik ke host di jaringan pribadi
- Passthrough >>Jjika paket cocok dengan aturan, tambah penghitung dan lanjut ke
aturan berikutnya (berguna untuk statistik).
- Redirect >> Mengganti port tujuan dari paket IP ke satu yang ditentukan oleh
parameter to-port dan alamat tujuan ke salah satu alamat lokal router
- Return >> melewati kendali kembali ke chain tempat lompatan terjadi
- Same >> memberikan klien tertentu sumber / alamat IP tujuan yang sama dari
rentang yang
disediakan untuk setiap koneksi. Ini paling sering digunakan untuk layanan yang
mengharapkan alamat klien yang sama untuk beberapa koneksi dari klien yang sama
- Src-nat >> mengganti alamat sumber paket IP ke nilai yang ditentukan oleh
parameter to-address dan to-ports

Lab 8 Firewall Mangle

Mangle adalah semacam penanda yang menandai paket dan koneksi tertentu.Tujuan
nya sendiri adalah agar paket data lebih mudah dikenali.Dengan menggunakan
firewall mangle (marking) pada router mikrotik ini akan memudahkan dalam
mengelola sebuah paket data.Misalnya, menerapkan marking pada firewakk
filter,Nat,routing.Fitur mangle hanya bisa digunakan pada router mikrotik itu sendiri
dan tidak dapat digunakan pada router mikrotik itu sendiri dan tidak dapat digunakan
oleh router lain.Karena marking tersebut akan dilepas pada saat paket data akan keluar
meninggalkan router.Pada menu firewall mangel terdapat 5 chain, adapun fungsi dari
masing - masing chain yang ada pada mangle adalah sebagai berikut:
- Foward, Input, Output :
Untuk penjelasan mengenai Foward, Input, dan Output sebenarnya tidak jauh berbeda
dengan apa yang telah diuraikan pada firewall filter rule.Namun pada mangle, semua
jenis trafik paket data forward, input, dan output bisa ditandai berdasarkan koneksi
atau paket atau paket data.

- Prerouting :
Merupakan sebuah koneksi yang akan masuk kedalam router dan melewati
router.Berbeda dengan input yang mana hanya akan menangkap trafik yang masuk ke
router.Trafik yang melwat router dan trafik yang masuk kedalam router dapat
ditangkap di chain prerouting.

- Postrouting :
Kebalikan dari preroutingm postruting merupakan koneksi yang kaan keluar dari
router, baik untuk trafik yang melewati router ataupun yang keluar dari router.

All Action

- Accept >> ketika paket diterima, paket tersebut tidak diteruskan ke rule berikutnya.
- Add-dst-address-to-address-list >> Menambahkan alamat tujuan ke daftar alamat
yang ditentukan oleh parameter daftar alamat
- Add-src-address-to-address-list >> Menambahkan alamat sumber ke daftar alamat
yang ditentukan oleh parameter daftar alamat
- Change-dscp >> mengganti nilai bidang Kode Layanan Diferensial (DSCP) yang
ditentukan oleh parameter-dscp baru
- Change-mss >> mengubah Ukuran Segmen Maksimum dari paket ke nilai yang
ditentukan oleh parameter new-mss
- Change-ttl >> mengubah nilai Time to Live dari paket ke nilai yang ditentukan oleh
parameter new-ttl
- Jump >> melompat ke chain lain yang ditentukan oleh nilai parameter jump target
- log >> menambahkan informasi paket ke data log
- mark-connection >> menandai sebuah koneksi baru
- mark-paket >> menandai paket baru
- mark-routing >> menandai routing
- pastrough >> jika pastrough =yes, maka setelah mangle pertama berjalan, trafik akan
di teruskan ke mangle dibawahnya, sebaliknya jika no, trafik tidak akan diteruskan
kepada mangle dibawahnya
- return >> melewati kendali akan membuat rule kembali ke tempat lompatan terjadi
- route >> meengarahkan paket ke IP gateway tertentu dengan mengabaikan
keputusan perutean normal (hanya rantai prerouting)
- set-priority >> mengatur prioritas yang ditentukan oleh parameter prioritas baru pada
paket yang dikirim melalui tautan yang mampu mengangkut prioritas
- sniff-pc >> mengirim paket ke router server dengan jarak yang jauh
- sniff-tzsp >> mengirim paket ke sistem yang kompatibel dengan TZSP jarak jauh
(seperti Wireshark).Tetapkan target jarak jauh dengan parameter port target dan sniff
target target (Wireshark merekomendasikan port 37008)
- strip-ipv4-options >> menghapus ipv4 dari header IP.

Вам также может понравиться