Академический Документы
Профессиональный Документы
Культура Документы
Diagram necessary ialah diagram untuk mempermudah pembacaan paket pada saat
router bekerja.Namun tugas yang lebih rumit, seperti penentuan prioritas lalu lintas,
kebijakan perutean,Untuk itu kita memerlukan diagram necessar, agar pembacaan
paket tersebut lebih ter-strukstur.Berikut adalah gambar diagram necessary secara
sederhana.
Routing adalah tehnik pengiriman data yang diteruskan dari satu network ke network yang
lain.Di mikrotik ini ada terdapat 2 jenis routing yang itu static dan dynamic.Setiap protokol
routing (kecuali BGP)memiliki tabel internal sendiri.Di sinilah keputusan routing per-protokol
dibuat.BGP tidak memiliki tabel routing internal dan menyimpan informasi routing lengkap dari
semua rekan di RIB.
RIB berisi rute yang dikelompokkan dalam tabel rute terpisah berdasarkan nilai tanda-
peruteannya.
Semua rute tanpa tanda rute disimpan di tabel rute utama. Tabel ini digunakan untuk pemilihan
rute terbaik.Tabel utama juga digunakan untuk pencarian nexthop.Untuk mempermudah
membaca alur routing ini bekerja, kita bisa melihat gambar berikut ini.
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Router A
Router B
Lab 4 Contoh Penggunaan Diagram yang sederhana
Penggunaan digram bisa dilakukan dengan mencoba membaca alur paket pada saat konfigurasi
mikrotik contoh salah satunya yaitu firewall mangle.Penandaan paket dalam mangle ini bisa
digambarkan begitu sederhananya seperti halnya kita memisahkan jalur.Berikut ini adalah
gambar dari chains mangle
Gambar diatas menunjukan beberapa paket yang ada di dalam chain mangle.Contoh lab nya saya
akan melimit bandwith menggunakan magle dan queue tree.
Pilih menu IP>Firewall >> Mangle >> klik tanda "+" (chain : Foward Dst-Address = ip network
local) action mark-packet new-packet-mark = down-user (sesuaikan) hilangkan centang pada
pastrough dan berilah comment untuk mempermudah pengecekan rule)
#Mangle Trafik Uploud
Pilih menu IP >> Firewall >> Mangle>klik tanda "+" (chain : Foward Src-Address Action
mark-packet new-packet-mark =upl-user (sesuaikan) hilangkan centang pada pastrough dan
berilah comment untuk mempermudah pengecekan rule)
#Queue Download
#QueueTree Uploud
Setelah semua dikonfigurasi, lakukan pengujian dan lihat packet pada queue berjalan
apa tidak dengan cara speedtest.
Lab 5 Connection Tracking
Sistem Pelacakan Koneksi (atau Conntrack) adalahjantung dari firewall, ia mengumpulkan dan
mengelola informasi tentang semua koneksi aktif.
- Dengan menonaktifkan sistem conntrack Anda akan kehilangan fungsi NAT dan sebagian besar
filter dan kondisi mangle.
- Setiap entri tabel conntrack mewakili pertukaran data dua arah
- Conntrack membutuhkan banyak sumber daya CPU (nonaktifkan, jika Anda tidak
menggunakan firewall)
Untuk melihat koneksi apa yang membuat mereka jalan melalui router, Pilih menu IP
>> Firewall >> Connections
status koneksi adalah status yang ditetapkan untuk setiap paket dengan sistem conntrack
untuk lab nya, buatlah 3 rule untuk memastikan bahwa hanya koneksi baru akan diprosoes
melalui input.
- Drop all connection-state invalid packets
- Accept all connection-state related packets
- Accept all connection -state establisged packets
setelah itu buat 2 rule untuk memastikan hanya nda yang bisa melakukannya untuk terhubung ke
router
-Accept all packets from your local network
- Drop evrything else
Firewall fitur ini biasanya digunakan untuk filtering akses (filter rule) , Forwading (NAT), dan
juga untukk menandai koneksi maupun paket dari trafik data yang melawati router
(mangle).Firewall beroperasi dengan aturan firewall. Setiap aturan terdiri dari dua bagian -
pencocokan yang mencocokkan aliran lalu lintas dengan kondisi yang diberikan dan tindakan
yang menentukan apa yang harus dilakukan dengan paket yang cocok.Supaya fungsi dari fitur
firewall ini dapat berfungsi dengan baik, kita harus menambahkan rule-rule yang sesuai.Terdapat
sebuah parameter utama pada rule di fitur firewall ini yaitu chain.Parameter in memiliki
kegunaan untuk menentukan jenis trafik yang akan di-manage pada fitur firewall dan setiap
fungsi pada firewall seperti filter rule,Nat, Mangle memiliki opsi chain yang berbeda.
http://www.mikrotik.co.id/artikel_lihat.php?id=146
Filter Rules
FIlter rule biasanya digunakan untuk melakukan kebijakan boleh atau tidaknya sebuah trafik ada
dalam jaringan.Pada menu firewall terdapat 3 macam chain yanng tersedia.Chain tersebut antara
lain Forward,Input,Output.Berikut fungsi dari masing-masing chain tersebut.
- Forward
Digunakan untuk memproses trafik paket data yang hanya melawati router.Misalnya
trafik dari jaringan public ke jaringan lokal atau sebaliknya,contoh saat kita
melakukan browsing.Trafik browsing ke internet dapat di manage oleh firewall
dengan chain foward.
- Input
Digunakan untuk memproses paket yang dikirim ke router.Jenis trafik seperti ini bisa
berasal dari jaringan public maupun jaringan local dengan tujuan router itu
sendiri.Contoh saat kita mengakses router mikrotik menggunakan winbox,putty,dan
webfig melewati jaringan lokal maupun public.
- Output
Digunakan untuk memproses paket yang dikirim oleh router.Kebalikan dari input,
contoh output mengirimkan kan trafik ke jaringan public atau pun lok
All Action
- Accept >> paket diterima dan paket tidak diteruskan ke rule berikutnya
- Add-dst-to-address-list >> menambahkan alamat tujuan ke daftar alamat yang
ditentukan oleh parameter address list
- Add-src-to-address-list >> menambahkan alamat sumber ke dafrar alamt yang
ditentukan oleh parameter address list
- drop >> menolak paket secara diam diam (tidak mengirimkan pesan penolakkan
ICMP)
- Fastrak connection >> memproses paket dari koneksi menggunakan fastpath dengan
mengaktifkan fastrack untuk koneksi
- Jump >> melompat ke chain lain yang ditentukan oleh nilai parameter jump target
- log >> menambahkan informasi paket ke data log
- passthrough >> jika paket cocok sesuai rule, maka mengabaikan rule ini dan lanjut ke rule
sekanjutnya (berguna untuk statiskt)
- Reject >> menolak paket tetap mengirimkan pesan penolakan ICMP
- Return >> melewati kendali akan membuat rule kembali ke tempat lompatan terjadi
- Tarpit >> menangkap dan memegang koneksi TCP (balasan dengan SYN / ACK ke paket TCP
SYN inbound)
- dst-nat
Memiliki fungsi untuk mengubah destination address pada sebuah paket data.Biasa
digunakan untuk membuat host dalam jaringan lokal dapat diakses dari luar jaringan
(internet) dengan cara NAT akan mengganti alamat IP tujuan paket dengan alamat IP
lokal.Jadi fungsi utamanya adalah mengubah/mengganti IP address tujuan pada
sebuah paket data.
- src-nat
Memiliki fungsi untuk menggubah source address dari sebuah paket data.Sebagai
contoh fungsi dari chain ini banyak digunakan ketika kita melakukan akses website
dari jaringan LAN.Secara aturan untuk IP address local tidak diperbolehkan untuk
masuk ke jaringan WAN, maka diperlukan konfigurasi 'srcnat' ini.Sehingga IP
Address lokal akan disembunyikan dan diganti dengan IP Address public yang
terpasang pada router.
All action
- Accept >>Ketika paket sudah di terima, paket tersebut tidak diteruskan ke rule
berikutnya
- Add-dst-address-to-address-list >> Menambahkan alamat tujuan ke daftar alamat
yang ditentukan oleh parameter daftar alamat
- Add-src-address-to-address-list >> Menambahkan alamat sumber ke daftar alamat
yang ditentukan oleh parameter daftar alamat
- dst-nat >> Mengganti alamat tujuan dan port dari paket IP ke nilai yang ditentukan
oleh parameter to address dan to ports
- Jump >> Melompati rule yang ditentukan oleh pengguna yang ditentukan oleh nilai
parameter target lompat
- Log >> Menambahkan pesan ke log sistem yang berisi data berikut: in-interface,
out-interface, src-mac, protokol, src-ip: port-> dst-ip: port dan panjang paket. Setelah
paket dicocokkan itu dilewatkan ke aturan berikutnya dalam daftar, mirip dengan
passthrough
- Masquarade >> Mendistribusikan IP public ke IP private/lokal, metode ini sering
digunakan untuk koneksi internet.
- Netmap >> Membuat pemetaan 1: 1 statis dari satu set alamat IP ke yang lain.
Sering digunakan untuk mendistribusikan alamat IP publik ke host di jaringan pribadi
- Passthrough >>Jjika paket cocok dengan aturan, tambah penghitung dan lanjut ke
aturan berikutnya (berguna untuk statistik).
- Redirect >> Mengganti port tujuan dari paket IP ke satu yang ditentukan oleh
parameter to-port dan alamat tujuan ke salah satu alamat lokal router
- Return >> melewati kendali kembali ke chain tempat lompatan terjadi
- Same >> memberikan klien tertentu sumber / alamat IP tujuan yang sama dari
rentang yang
disediakan untuk setiap koneksi. Ini paling sering digunakan untuk layanan yang
mengharapkan alamat klien yang sama untuk beberapa koneksi dari klien yang sama
- Src-nat >> mengganti alamat sumber paket IP ke nilai yang ditentukan oleh
parameter to-address dan to-ports
Mangle adalah semacam penanda yang menandai paket dan koneksi tertentu.Tujuan
nya sendiri adalah agar paket data lebih mudah dikenali.Dengan menggunakan
firewall mangle (marking) pada router mikrotik ini akan memudahkan dalam
mengelola sebuah paket data.Misalnya, menerapkan marking pada firewakk
filter,Nat,routing.Fitur mangle hanya bisa digunakan pada router mikrotik itu sendiri
dan tidak dapat digunakan pada router mikrotik itu sendiri dan tidak dapat digunakan
oleh router lain.Karena marking tersebut akan dilepas pada saat paket data akan keluar
meninggalkan router.Pada menu firewall mangel terdapat 5 chain, adapun fungsi dari
masing - masing chain yang ada pada mangle adalah sebagai berikut:
- Foward, Input, Output :
Untuk penjelasan mengenai Foward, Input, dan Output sebenarnya tidak jauh berbeda
dengan apa yang telah diuraikan pada firewall filter rule.Namun pada mangle, semua
jenis trafik paket data forward, input, dan output bisa ditandai berdasarkan koneksi
atau paket atau paket data.
- Prerouting :
Merupakan sebuah koneksi yang akan masuk kedalam router dan melewati
router.Berbeda dengan input yang mana hanya akan menangkap trafik yang masuk ke
router.Trafik yang melwat router dan trafik yang masuk kedalam router dapat
ditangkap di chain prerouting.
- Postrouting :
Kebalikan dari preroutingm postruting merupakan koneksi yang kaan keluar dari
router, baik untuk trafik yang melewati router ataupun yang keluar dari router.
All Action
- Accept >> ketika paket diterima, paket tersebut tidak diteruskan ke rule berikutnya.
- Add-dst-address-to-address-list >> Menambahkan alamat tujuan ke daftar alamat
yang ditentukan oleh parameter daftar alamat
- Add-src-address-to-address-list >> Menambahkan alamat sumber ke daftar alamat
yang ditentukan oleh parameter daftar alamat
- Change-dscp >> mengganti nilai bidang Kode Layanan Diferensial (DSCP) yang
ditentukan oleh parameter-dscp baru
- Change-mss >> mengubah Ukuran Segmen Maksimum dari paket ke nilai yang
ditentukan oleh parameter new-mss
- Change-ttl >> mengubah nilai Time to Live dari paket ke nilai yang ditentukan oleh
parameter new-ttl
- Jump >> melompat ke chain lain yang ditentukan oleh nilai parameter jump target
- log >> menambahkan informasi paket ke data log
- mark-connection >> menandai sebuah koneksi baru
- mark-paket >> menandai paket baru
- mark-routing >> menandai routing
- pastrough >> jika pastrough =yes, maka setelah mangle pertama berjalan, trafik akan
di teruskan ke mangle dibawahnya, sebaliknya jika no, trafik tidak akan diteruskan
kepada mangle dibawahnya
- return >> melewati kendali akan membuat rule kembali ke tempat lompatan terjadi
- route >> meengarahkan paket ke IP gateway tertentu dengan mengabaikan
keputusan perutean normal (hanya rantai prerouting)
- set-priority >> mengatur prioritas yang ditentukan oleh parameter prioritas baru pada
paket yang dikirim melalui tautan yang mampu mengangkut prioritas
- sniff-pc >> mengirim paket ke router server dengan jarak yang jauh
- sniff-tzsp >> mengirim paket ke sistem yang kompatibel dengan TZSP jarak jauh
(seperti Wireshark).Tetapkan target jarak jauh dengan parameter port target dan sniff
target target (Wireshark merekomendasikan port 37008)
- strip-ipv4-options >> menghapus ipv4 dari header IP.