Tuesday, 10 November 2020

Routing Dan Blokir Situs Dengan Firewall Pada Mikrotik

Firewall merupakan sebuah mekanisme yang fungsinya untuk melindungi jaringan maupun host dari ancaman yang berasal dari luar maupun dalam. Biasanya firewall terletak di tengah-tengah antara jaringan lokal dengan jaringan publik. Namun di dalam host pun (komputer dan laptop) juga terdapat firewall.

Dengan firewall kita bisa mengatur paket atau layanan apa saja yang diperbolehkan menuju jaringan kita dan mana saja yang tidak boleh masuk. Tidak hanya paket yang menuju ke dalam jaringan (inbound), namun paket yang akan keluar dari jaringan (outbound) juga dapat kita atur (accept/drop).

Contoh penerapan firewall pada mikrotik adalah untuk memblokir akses internet user pada situs tertentu. Konsepnya adalah mengkonfigurasi firewall agar memblokir (membuang) paket yang ditujukan untuk mengakses situs web. Dengan begitu halaman web tidak akan tampil pada browser client, yang artinya client tidak bisa mengakses web tersebut.

1. Pertama kita lihat dulu sambungannya


2. Disini kami memanfaatkan wlan1 untuk mengambil jaringan internet, jadi disini kami menambahkan 
wlan virtual sebagai AP atau pembagi jaringan


3. Selanjutnya untuk dapat acces internet kita harus meminta ip dari Internetnya dengan cara masuk ke dhcp client kemudian klik ikon tambah kemudian pilih interfacenya pada interface yang kita gunakan sebagai acces internet disini saya menggunakan wlan1


4. Kita konfigurasi Ip address pada jaringan kita, disini ip dan interface yang kita gunakan:

a. Wlan1(jaringan internet) : 192.168.43.111/24
b. Ether2 (server) : 172.100.1.1/24
c. Wlan2(client) : 10.1.1.1/24


5. Setelah itu agar client bisa mendapat ip secara otomatis kita gunakan dhcp server dengan cara klik ip lalu dhcp server kemudian klik dhcp setup kemudian pilih interface client kita


6. Kemudian kita cek routingnya, ini biasanya kita dapat otomatis saat kita mengatur ip dan dhcp client


7. Selanjutnya kita juga bisa cek dns ini juga biasanya terisi otomastis saat kita mengisi dhcp client


8. Setelah semua selesai kita bisa mendapat ip otomatis pada ether2 dan wlan2. Mohon maaf untuk pengecekan pada ip ether2 lupa di prtsc. Dibawah ini ip yang di dapat 


9. Setelah itu kita cek koneksi dengan acces web server dengan cara search ip server di web browser


10. Selanjutnya kita coba blokir situs dengan cara masuk ke ip kemudian ke menu firewall, lalu masuk ke menu layer7 protocol kemudian klik ikon tambah


11. Setelah itu kita isi name dengan nama dan regexp dengan nama web yang akan kita block, untuk contoh disini saya menggunakan www.tokopedia.com


12. Kemudian kita masuk ke menu filter rule, kemudian klik ikon tambah atur general untuk chain forward

13. Advanced nya kita atur di layer 7 protocol sesuai yang telah kita buat sebelumnya



14. Dan untuk actionnya kita pilih drop



15. Terakhir kita bisa coba




Cara Lain:
1. Menggunakan Parameter "Content"
Cara pertama adalah dengan memanfaatkan matcher Content yang tersedia pada firewall filter maupun raw di mikrotik router os. Parameter content akan mencocokan string yang terdapat pada halaman web dengan nilai yang telah kita isikan. Apabila cocok dan action yang digunakan adalah drop, maka firewall akan memblokir halaman web tersebut.

Matcher ini dapat kalian temui pada menu Tab Advanced. Firewall akan mencocokan isi paket dengan nilai yang diberikan pada parameter content. Misalkan kita ingin memblokir youtube menggunakan content ini maka kita bisa mengisinya dengan content=www.youtube.com .

Langkah konfigurasi :
Masuk menu IP > Firewall > Filter > Add (+).


Pada parameter chain, pilih forward (karena kita akan memblokir paket yang melewati router). Kemudian isi Src. Address dengan ip network yang digunakan oleh jaringan kalian (jaringan lokal).


Selanjutnya masuk ke tab Advanced, kemudian masukkan situs yang ingin diblokir pada bagian Content.


Pada tab menu Action, pilih action drop.


Untuk pengujiannya, silahkan akses youtube melalui browser. Seharusnya situs tidak bisa diakses. Dan pada tabel firewall akan terlihat jumlah bytes dan paket yang didrop oleh firewall.


Langkah-langkah di atas dapat juga dipakai pada firewall raw. Karena langkahnya sama maka saya tidak akan menuliskannya. Kalian dapat mencobanya sendiri. 

2. Menggunakan Layer 7 Protocol
Cara yang kedua adalah dengan memanfaatkan fitur layer 7 protocol yang ada pada mikrotik. Cara ini sedikit lebih rumit. Berbeda dengan content yang hanya menggunakan string biasa, layer 7 protocol menggunakan regular expression untuk mencocokan paket-paket. Kelebihannya, layer 7 protocol memungkinkan firewall untuk melakukan pemeriksaan secara mendetail. Namun kekurangannya, firewall akan menggunakan lebih banyak resource router.

Setidaknya ada 2 langkah yang perlu dilakukan jika ingin memblokir situs web menggunakan L7 protocol. Pertama buat regexp terlebih dahulu pada menu IP > Firewall > Layer7 Protocols > +.


Saya sendiri tidak hafal penulisan regexp-nya, namun untuk kepentingan memblokir situs kita bisa menggunakan pola seperti ini
^.+(web1.com|web2.com|web3.com|webn.com).*$

Tanda “|” digunakan untuk memisahkan nama-nama situs apabila kita ingin memblokir lebih dari satu situs. Tinggal ubah tulisan web1, web2, web3, dan webn pada pola di atas dan sesuaikan dengan situs yang ingin kalian blok.

Misalkan situs yang ingin diblokir adalah facebook dan youtube, maka regexp-nya kurang lebih seperti berikut :


Setelah membuat regexp, langkah selanjutnya adalah membuat rule firewallnya.


Pada bagian Advanced, yakni parameter Layer 7 Protocol, pilih regexp yang telah dibuat.


Kemudian pilih action drop.


Silahkan akses situs yang diblokir tersebut kemudian amati juga statistik pada tabel firewall.

3. Menggunakan Parameter "TLS Host"
Cara yang ketiga ini bisa dibilang cara yang baru. Pada router os versi 6.41.1 terdapat parameter baru pada firewall yakni TLS host. Matcher tersebut dapat kita gunakan untuk memblokir situs web.

Langkah-langkahnya tidak berbeda jauh dengan dua cara di atas.

Pilih chain forward dan tentukan Src Address-nya. Kemudian pada matcher Protocol pilih tcp. Untuk bisa menggunakan matcher TLS Host, kita perlu menentukan protokol yang akan difilter.


Kenapa tcp ? Karena kita disini memblokir situs web, dimana untuk mengakses website diperlukan sebuah protokol yakni http atau https, dan http maupun https termasuk ke dalam protokol tcp.

Selanjutnya, masuk ke tab Advanced. Pada parameter TLS Host silahkan diisi dengan nama situs yang ingin diblokir, misal situs youtube.


Jangan lupa tentukan action-nya yakni drop.


Hasil pengujian :


Referensi tentang TLS Host masih sedikit sehingga saya sendiri belum tahu pasti kegunaan dari matcher ini. Namun dari diskusi grup mikrotik yang saya ikuti, dengan menggunakan TLS Host, kita dapat memblokir situs youtube tanpa mengganggu situs atau layanan google yang lain.

Sumber: