Bagi yang sering bergelut dalam dunia jaringan komputer, tentu sudah mengenal yang namanya Mikrotik. Mikrotik adalah solusi cerdas dan handal dalam urusan routing, alternatif murah daripada menggunakan router cisco atau huawei. Saya sendiri berkenalan dengan mikrotik baru sekitar tahun 2007, saat masih aktif kuliah. Nah, kali ini saya mau sedikit sharing pengalaman saya dalam mengkonfigurasi basic firewall under mikrotik.
Dalam artikel saya terdahulu, saya pernah membahas bagaimana membangun router PC dan firewall dengan linux debian. Nah, kosep firewall yang sama akan saya terapkan di mikrotik, yaitu menutup (drop) semua service port dan membuka (open/allow) beberapa port saja yang kita anggap perlu. Sampai sekarang saya selalu menggunakan cara ini untuk mengkonfigurasi router mikrotik, dan terbukti cukup handal bagi saya.
Kenapa saya bilang cukup ampuh bagi saya, karena secara default konsep firewall seperti ini akan menolak dan membuang semua layanan yang tidak saya indenfitikasikan (diperbolehkan) dari luar ke dalam jaringan komputer.
Konsep seperti ini dalam mikrotik dapat kita terapkan di Chain INPUT (mengatur akses ke router mikrotik) dan Chain FORWARD (mengatur aliran data yang melewati router mikrotik tersebut). Berikut ini contoh sederhana dari konsep basic firewall under mikrotik yang biasa saya terapkan, selebihnya dapat dimodifikasi sesuai keutuhan jaringan Anda.
Catatan : LAN Address = 192.168.232.0/24
Basic Firewall Chain INPUT
add chain=input connection-state=established comment="Accept established connections" add chain=input connection-state=related comment="Accept related connections" add chain=input connection-state=invalid action=drop comment="Drop invalid connections" add chain=input protocol=icmp limit=50/sec,2 comment="Allow limited pings to RB" add chain=input protocol=icmp action=drop comment="Drop excess pings to RB" add chain=input protocol=tcp dst-port=22 src-address=192.168.232.0/24 comment="Allow SSH Access" add chain=input protocol=udp dst-port=5678 src-address=192.168.232.0/24 comment="Allow Discover Winbox" add chain=input protocol=tcp dst-port=8291 src-address=192.168.232.0/24 comment="Allow Winbox Access" add chain=input action=drop comment="Drop everything else"
Basic Firewall Chain FORWARD
add chain=forward connection-state=established comment="Accept established connections" add chain=forward connection-state=related comment="Accept related connections" add chain=forward connection-state=invalid action=drop comment="Drop invalid connections" add chain=forward protocol=udp dst-port=53 src-address=192.168.232.0/24 action=accept comment="Allow DNS" add chain=forward protocol=tcp dst-port=53 src-address=192.168.232.0/24 action=accept comment="Allow DNS" add chain=forward protocol=tcp dst-port=80 src-address=192.168.232.0/24 action=accept comment="Allow HTTP" add chain=forward protocol=tcp dst-port=443 src-address=192.168.232.0/24 action=accept comment="Allow HTTPS" add chain=forward action=drop comment="Drop everything else"
Ini hanya sekedar contoh sederhana saja, selebihnya dapat Anda kembangkan lagi sesuai dengan kebutuhan firewall jaringan ditempat Anda. Semoga bermanfaat…
