Kali ini kita akan melakukan LABING Firewall dengan metode Chain Forward. Sebelumnya kita telah melakukan labing firewall dengan chain input. Kali ini kita juga akan mengkombinasikan materi-materi lab yang telah kita lab kan sebelumnya, seperti Static Routing, DHCP Server, DHCP Make static dengan Firewall Forward. Karena repetition is mother of skill.
Kita masih menggunakan topologi seperti pada lab 14 : firewall sebelumnya namun dengan tambahan Router 2.
Seperti biasa, pertama kita set dulu identitas untuk Router 1, dan berikan ip address untuk interface yang mengarah ke Router 2 dan ke PC Client dari Router 1.
[admin@MikroTik] > system identity set name=IDN_R1
[admin@IDN_R1] > ip address add address=12.12.12.1/24 interface=ether2
[admin@IDN_R1] > ip address add address=192.168.1.1/24 interface=ether1
Aktifkan DHCP Server untuk memudahkan dalam pengaturan IP Address
[admin@IDN_R1] > ip dhcp-server setup
Select interface to run DHCP server on
dhcp server interface: ether1
Select network for DHCP addresses
dhcp address space: 192.168.1.0/24
Select gateway for given network
gateway for dhcp network: 192.168.1.1
Select pool of ip addresses given out by DHCP server
addresses to give out: 192.168.1.2-192.168.1.5
Select DNS servers
dns servers: 8.8.8.8
Select lease time
lease time: 10m
Selanjutnya, kita aktifkan DHCP Client pada PC Client, sehingga PC Client tersebut memperoleh IP yang di pinjam dari DHCP Server.
PC1> ip dhcp
DORA IP 192.168.1.5/24 GW 192.168.1.1
PC2> ip dhcp
DORA IP 192.168.1.4/24 GW 192.168.1.1
PC2>
PC3> ip dhcp
DORA IP 192.168.1.3/24 GW 192.168.1.1
PC3>
Selanjutnya, kita juga bisa mengecek ip address yang dipinjam oleh client pada Router menggunakan perintah ip dhcp-server lease print.
[admin@IDN_R1] > ip dhcp-server lease print
Flags: X - disabled, R - radius, D - dynamic, B - blocked
# ADDRESS MAC-ADDRESS HO.. SERVER RA.. STATUS
0 D 192.168.1.5 00:50:79:66:68:00 PC11 dhcp1 bound
1 D 192.168.1.4 00:50:79:66:68:01 PC21 dhcp1 bound
2 D 192.168.1.3 00:50:79:66:68:02 PC31 dhcp1 bound
Selanjutnya, setelah kita mengetahui PC-PC yang meminjam IP Address pada router, dan berapa IP Address yang diperoleh oleh PC-PC Client tersebut. Dengan demikian, barulah kita bisa melakukan konfigurasi dhcp make static
[admin@IDN_R1] > ip dhcp-server lease make-static 0,1,2
Kemudian, kembali cek dhcp lease nya.
[admin@IDN_R1] > ip dhcp-server lease print
Flags: X - disabled, R - radius, D - dynamic, B - blocked
# ADDRESS MAC-ADDRESS HO.. SERVER RA.. STATUS
0 192.168.1.5 00:50:79:66:68:00 PC11 dhcp1 bound
1 192.168.1.4 00:50:79:66:68:01 PC21 dhcp1 bound
2 192.168.1.3 00:50:79:66:68:02 PC31 dhcp1 bound
[admin@IDN_R1] >
Pada pengecekan diatas, terlihat bahwa status D (Dynamic) dari IP-IP tersebut sudah tidak ada.
Sekarang kita beralih ke Router 2. Agar router 2 bisa berkomunikasi dengan client dari R1 maka kita lakukan static routing. Bagi belum membaca artikel LAB static routing yang telah saya POS sebelumnya, bisa di baca-baca dulu.
[admin@MikroTik] > system identity set name=IDN_R2
[admin@IDN_R2] > ip address add address=12.12.12.2/24 interface=ether1
[admin@IDN_R2] > ip route add dst-address=192.168.1.0/24 gateway=12.12.12.1
Setelah kita melakukan konfigurasi tersebut, maka Test PING pun akan sukses seperti yang diibawah ini.
PC1> ping 12.12.12.2
84 bytes from 12.12.12.2 icmp_seq=1 ttl=63 time=3.624 ms
84 bytes from 12.12.12.2 icmp_seq=2 ttl=63 time=1.808 ms
^C
PC2> ping 12.12.12.2
84 bytes from 12.12.12.2 icmp_seq=1 ttl=63 time=6.059 ms
84 bytes from 12.12.12.2 icmp_seq=2 ttl=63 time=1.492 ms
84 bytes from 12.12.12.2 icmp_seq=3 ttl=63 time=1.697 ms
84 bytes from 12.12.12.2 icmp_seq=4 ttl=63 time=1.719 ms
84 bytes from 12.12.12.2 icmp_seq=5 ttl=63 time=2.022 ms
PC2>
PC3> ping 12.12.12.2
84 bytes from 12.12.12.2 icmp_seq=1 ttl=63 time=2.003 ms
84 bytes from 12.12.12.2 icmp_seq=2 ttl=63 time=1.563 ms
84 bytes from 12.12.12.2 icmp_seq=3 ttl=63 time=1.587 ms
84 bytes from 12.12.12.2 icmp_seq=4 ttl=63 time=1.543 ms
84 bytes from 12.12.12.2 icmp_seq=5 ttl=63 time=3.323 ms
PC3>
INI DIA INTI PEMBAHASAN KITA KALI INI. FIREWALL Dengan metode CHAIN FORWARD.
Chain forward digunakan untuk mengatur atau membatasi hak akses untuk traffic yang akan MELEWATI router. Misalnya, pada topologi diatas kita akan mengatur hak akses/izin bagi PC Client yang hendak melewati Router R1. Adapun action-actionya masih sama seperti lab firewall chain input sebelumnya.
[admin@IDN_R1] > ip firewall filter add chain=forward src-address=192.168.1.5 action=drop
[admin@IDN_R1] > ip firewall filter add chain=forward src-address=192.168.1.4 action=reject
[admin@IDN_R1] > ip firewall filter add chain=forward src-address=192.168.1.3 action=accept
[admin@IDN_R1] >
Selanjutny, kita lakukan PING Dari PC Client melewati Router R1, dalam kasus ini adalah PING ke arah R2.
Untuk action drop, hasilnya seperti dibawah ini
PC1> ping 12.12.12.2
12.12.12.2 icmp_seq=1 timeout
12.12.12.2 icmp_seq=2 timeout
12.12.12.2 icmp_seq=3 timeout
12.12.12.2 icmp_seq=4 timeout
12.12.12.2 icmp_seq=5 timeout
PC1>
Untuk action reject, hasilnya seperti dibawah ini
PC2> ping 12.12.12.2
*192.168.1.1 icmp_seq=1 ttl=64 time=2.243 ms (ICMP type:3, code:0, Destination network unreachable)
*192.168.1.1 icmp_seq=2 ttl=64 time=1.320 ms (ICMP type:3, code:0, Destination network unreachable)
*192.168.1.1 icmp_seq=3 ttl=64 time=8.939 ms (ICMP type:3, code:0, Destination network unreachable)
*192.168.1.1 icmp_seq=4 ttl=64 time=0.876 ms (ICMP type:3, code:0, Destination network unreachable)
*192.168.1.1 icmp_seq=5 ttl=64 time=1.160 ms (ICMP type:3, code:0, Destination network unreachable)
PC2>
Untuk action accept, hasilnya seperti dibawah ini
PC3> ping 12.12.12.2
84 bytes from 12.12.12.2 icmp_seq=1 ttl=63 time=3.337 ms
84 bytes from 12.12.12.2 icmp_seq=2 ttl=63 time=1.696 ms
84 bytes from 12.12.12.2 icmp_seq=3 ttl=63 time=2.949 ms
84 bytes from 12.12.12.2 icmp_seq=4 ttl=63 time=1.685 ms
84 bytes from 12.12.12.2 icmp_seq=5 ttl=63 time=1.693 ms
PC3>
Sementara itu, untuk PING menuju ke R1, maka akan di terima dari semua PC. Hal itu dikarenakan, yang kita konfigurasi kali ini adalah chain forward, sedangkan Ping dari PC Client MENUJU R1 bersifat input, seperti lab sebelumnya, yakni kita konfigurasikan chain input jika hendak membatasi koneksi atau akses dari PC Client MENUJU R1
PC1> ping 12.12.12.1
84 bytes from 12.12.12.1 icmp_seq=1 ttl=64 time=2.238 ms
84 bytes from 12.12.12.1 icmp_seq=2 ttl=64 time=3.207 ms
84 bytes from 12.12.12.1 icmp_seq=3 ttl=64 time=0.869 ms
84 bytes from 12.12.12.1 icmp_seq=4 ttl=64 time=0.819 ms
84 bytes from 12.12.12.1 icmp_seq=5 ttl=64 time=0.989 ms
PC1>
PC2> ping 12.12.12.1
84 bytes from 12.12.12.1 icmp_seq=1 ttl=64 time=1.519 ms
84 bytes from 12.12.12.1 icmp_seq=2 ttl=64 time=0.802 ms
84 bytes from 12.12.12.1 icmp_seq=3 ttl=64 time=0.784 ms
84 bytes from 12.12.12.1 icmp_seq=4 ttl=64 time=1.057 ms
84 bytes from 12.12.12.1 icmp_seq=5 ttl=64 time=0.815 ms
PC3> ping 12.12.12.1
84 bytes from 12.12.12.1 icmp_seq=1 ttl=64 time=1.118 ms
84 bytes from 12.12.12.1 icmp_seq=2 ttl=64 time=0.715 ms
84 bytes from 12.12.12.1 icmp_seq=3 ttl=64 time=1.086 ms
84 bytes from 12.12.12.1 icmp_seq=4 ttl=64 time=0.917 ms
84 bytes from 12.12.12.1 icmp_seq=5 ttl=64 time=1.045 ms
PC3>
Begitupun halnya ketika kita lakukan test PING dari R1 menuju R2, PING tersebut suksess.. Seperti terlihat dibawah ini.
[admin@IDN_R1] > ping 12.12.12.2
SEQ HOST SIZE TTL TIME STATUS
0 12.12.12.2 56 64 2ms
1 12.12.12.2 56 64 3ms
2 12.12.12.2 56 64 2ms
3 12.12.12.2 56 64 1ms
4 12.12.12.2 56 64 1ms
5 12.12.12.2 56 64 2ms
sent=6 received=6 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=3ms
[admin@IDN_R1] >
Untuk mengatur hak akes dari R1 menuju R2, bisa kita lakukan dengan mengkonfigurasi Firewall Filter dengan Chain Output pada R1. Chain output akan kita lakukan pada lab selanjutnya.
0 comments:
Post a Comment