Firewall merupakan perangkat yang berfungsi untuk memeriksa dan menentukan paket data yang dapat keluar atau masuk dari sebuah jaringan. Dengan kemampuan menentukan apakah sebuah paket data bisa masuk dan keluar dari suatu jaringan maka firewall berperan untuk melindungi jaringan dari serangan yang berasal dari jaringan luar (outside network). Misalnya difungsikan untuk melindungi jaringan lokal (LAN) dari kemungkinan serangan yang berasal dari internet. Selain ditujukan untuk melindungi jaringan, firewall juga dapat difungsikan untuk melindungi sebuah komputer user atau host (single host), firewall jenis ini disebut host firewall.
Network Address Translation(NAT) adalah suatu fungsi firewall yang sebenarnya bertugas melakukan perubahan IP Addres pengirim dari sebuah paket data NAT ini umumnya dijalankan pada router-router yang menjadi batas antara jaringan lokal dan jaringan internet. Scenario nya dengan action Masquerade membuat IP Lokal pada jaringan kita menjadi IP Publik yang sehingga IP Lokal dapat mendapatkan Internet.
Berikut adalah jenis - jenis Action yang terdapat di Firewall NAT Mikrotik :
- masquerade: Action ini membuat router akan mentranslasikan IP Private pada jaringan lokal kita menjadi IP Public melalui interface yang terhubung ke Internet.
- src-nat: Action ini berfungsi untuk mengubah alamat IP sumber (source) dari sebuah paket data. Biasanya digunakan untuk menghubungkan host pada jaringan privat ke internet dengan menggunakan alamat IP publik yang terdapat pada router
- netmap: Action ini akan melakukan pengubahan IP Address dengan metode mapping 1:1 yang dapat diterapkan pada SRCNAT maupun DSTNAT. Syarat utamanya kedua subnet harus memiliki prefix atau jumlah host yang sama.
- same: Action ini digunakan apabila LAN memiliki prefix yang berbeda dengan prefik pada IP Public.
Dan saat menulis To Addresses harus dengan penulisan range.
Penjelasan dan percobaan :
- masquerade
Disini kita akan membuat skenario agar sisi Client mendapatkan internet dari Router Mikrotiknya. Pertama2 kita akan dapatkan dahulu internet pada sisi Routernya.
Kemudian kita akan salurkan internet nya ke sisi Clientnya. Dengan membuka IP > Firewall > NAT.
Untuk chain nya kita menggunakan srcnat, yang artinya sumber address client nya yang akan kita translasikan menjadi IP Public. Out interface adalah interface yang mengarah ke internet nya yaitu ether1. Dengan action masquerade. Jangan lupa juga kita untuk mendistribusikan IP Address ke Client kita, disini saya menggunakan DHCP Server untuk mendistribusikannya. Dengan cara ke IP > DHCP Server > DHCP Setup. Piilih interfacenya yang mengarah ke Client dan hasilnya akan seperti ini.
Maka Hasilnya ketika kita berada di sisi Client, sudah mendapatkan akses internet.
- src nat
Disini kita akan membuat skenario agar para Client bisa mendapatkan internet tetapi dengan IP Address bukan dengan interface yang sudah dilakukan sebelumnya. Langsung saja buka Firewall NAT nya, dan kita config seperti gambar berikut.
Untuk chain nya kita menggunakan srcnat, yang artinya sumber address client nya yang akan kita translasikan menjadi IP Public. Dan pada tab Action pilih menjadi src-nat lalu akan otomatis muncul kolom To Addresses, yang dimana itu kita harus isi dengan IP Internet yang kita dapat pada Router. Hasilnya kedua Client bisa mendapatkan internet. *digambar hanya menampilkan hasil daripada salah satu client saja
Maka hasilnya adalah Client pertama mendapatkan internet dan Client kedua tidak mendapatkan akses internetnya.
- netmap
Disini kita akan membuat skenario para client mendapatkan akses internet dengan menggunakan action netmap, yang dimana netmap ini mentranslasikan dengan melakukan mapping berdasarkan IP Subnet yang ada didalam jaringan privat menjadi IP subnet yang ada dijaringan public, dan subnet yang digunakan harus sama antara IP Privat dan IP Public. Disini saya akan menggunakan IP Subnet /29 untuk percobaannya. Kita dapatkan terlebih dahulu internet pada Router Mikrotiknya.
Berikutnya kita akan tambahkan DHCP Server untuk nanti para Client bisa mendapatkan/request IP dari Routernya.
Lalu kita tambahkan IP Address pada ether1 nya sebanyak 5 IP, yang dimana itu akan menjangkau seluruh Client nantinya.
Maka hasilnya seluruh Client yang berjumlah 5 akan mendapatkan Internet. Langsung saja kita lihat pada tool Torch saat para Client ping ke Internet. Dan digambar bisa dilihat, seluruh Client berhasil terhubung ke Internet.
Kita coba lakukan pengetesan jika IP Public nya yang tadinya menggunakan prefix /29 sekarang kita gantikan menjadi /30. Dan nanti hasilnya akan hanya ada 2 Client saja yang bisa terhubung, sisanya timeout.
Disini kita akan membuat skenario para client mendapatkan akses internet dengan menggunakan action same, yang dimana same ini beda dengan netmap, dengan same kita tidak ada ketentuan untuk menggunakan subnet yang sama, berarti bisa berbeda diantara IP Public dan IP Privat nya. Langsung saja kita buat IP Address pada ether1 atau yang dari internet sebanyak 5 IP karena kita menggunakan /29.
Lanjut kita tambahkan rule firewallnya. Untuk chain nya kita menggunakan srcnat, yang artinya sumber address client nya yang akan kita translasikan menjadi IP Public. Src. Address kita isi dengan IP Client nya. Ke tab Action lalu pilih same, dan isi To Addresses nya dengan IP Internet pada Router yang penulisannya harus menggunakan range dan tidak bisa menggunakan subnet.
Terakhir kita coba untuk seluruh Client ping ke google dan hasilnya akan seperti berikut saat kita coba analisa di tool Torch.
Digambar terlihat bahwa jumlah item nya itu ialah 5 tetapi paket yang ditanggung oleh satu IP Public bisa 2 kali paket. Karena IP Public yang tersedia ialah 5 IP, sedangkan IP Privatnya/Client itu sebanyak 13 IP. Jadi IP Public bisa mendouble kan paket yang dikirim kan.
0 comments:
Posting Komentar