Mikrotik

Lab 6.13 Firewall Mangle

Halo, jadi ada pertemuan kali ini saya akan menjelaskan tentang bagaimana cara mengkonfigurasi firewall mangle, simak baik-baik yaa materinya!

Mangle adalah cara untuk menandai atau marking suatu paket data tertentu, penandaan atau marking ini berguna agar paket data tersebut mudah dikenali, tanda tersebut dapat diterapkan di fitur mikrotik lainnya seperti Routing, NAT dan Queue. Marking hanya bisa dilakukan di router yang sama.Untuk jenis-jenis marking sendiri terdapat 3 macam yaitu connection-mark, packet-mark dan router-mark.

Connection Mark

Marking jenis ini digunakan untuk menandai 1 koneksi baik request paket pertama yang keluar dari client maupun response paket dari web server.

Packet Mark

Packet mark adalah jenis marking yang digunakan untuk menandai setiap paket yang melewati router, marking ini juga menandai traffic request dan response

Route Mark

Route mark digunakan untuk memilih jalur routing, kita dapat memilih jalur mana yang ingin dilalui paket menggunakan marking ini.

Konfigurasi Connection Mark

# Connection Mark (Marking HTTP)

1. Langkah yang pertama lakukan konfigurasi connection-mark untuk menandakan paket yang berjalan pada web yang menggunakan HTTPS, dengan perintah berikut. Untuk konfigurasinya kalian bisa menggunakan perintah ip firewall mangle add chain=prerouting src-address=28.28.28.2 protocol=tcp dst-port=80 in-interface=ether2 action=mark-connection new-connection-mark=mark-client-http-nd

Chain prerouting digunakan untuk melakukan marking paket yang akan keluar atau melalui router

src-address adalah sumber berasalnya paket tersebut

protocol tcp dan dst-protocol 80 berfungsi untuk melakukan marking pada web yang menggunakan HTTP

in-interface yang digunakan adalah tempat masuknya paket yang berasal dari client

action mark-connection untuk menandai koneksi

new-connection-mark digunakan untuk menamai paket tersebut

2. Langkah selanjutnya lakukan pengujian dengan membuka salah satu website di browser menggunakan port 80, disini saya mengakses website http://kartolo.sby.datautama.net.id/

3. Kemudian kembali ke winbox, serta lakukan pengecekan pada GUI firewall > mangle dan dapat kita lihat bahwa terjadi perubahan pada bagian packets, yaitu semakin bertambah

# Connection Mark (Marking Content)

1. Setelah kita melakukan connection-mark untuk menandakan marking berdasarkan http, selanjutnya kita lakukan connection-mark untuk marking berdasarkan content. Untuk konfigurasinya hampir sama seperti yang pertama, namun disini kita tambahkan fitur content yang kita isi dengan sesuai dengan extensi, extensi yang digunakan disini diisi sesuai dengan kontennya, karena disini saya akan mendownload file iso maka extensinya adalah .iso. Untuk konfigurasinya kalian bisa menggunakan perintah ip firewall mangle add chain=prerouting src-address=28.28.28.2 protocol=tcp content=.iso dst-port=80 in-interface=ether2 action=mark-connection new-connection-mark=mark-client-http-nd

Chain prerouting digunakan untuk melakukan marking paket yang akan keluar atau melalui router

src-address adalah sumber berasalnya paket tersebut

protocol tcp dan dst-protocol 80 berfungsi untuk melakukan marking pada web yang menggunakan HTTP

action digunakan untuk menambahkan suatu extensi kontennya

in-interface yang digunakan adalah tempat masuknya paket yang berasal dari client

action mark-connection untuk menandai koneksi

new-connection-mark digunakan untuk menamai paket tersebut

2. Selanjutnya disini kita lakukan pengujian dengan mendownload salah satu file iso yang kalian inginkan, disini saya akan mendownload file debian yang berada di website yang sama dengan yang awal yaitu http://kartolo.sby.datautama.net.id/

3. Kemudian kita lihat pada bagian firewall > mangle dapat terlihat bahwa pada paket yang sudah kita tandai akan terus bertambah ketika kita melakukan proses pengunduhan pada file iso

4. Setelah itu disini kita aktifkan fitur passthrough yang berfungsi untuk menentukan apakah paket data akan diteruskan ke rule berikutnya atau tidak. Jika kita ceklis maka paket akan diteruskan, begitu juga sebaliknya, jika kita unceklis maka paket tidak akan diteruskan. Disini kita ceklis saja

Konfigurasi Packet Mark

# Konfigurasi Packet Mark All Traffic (IP Network)

1. Langkah yang pertama disini kita lakukan konfigurasi packet mark untuk memisahkan antara traffic upload dan download, untuk perintah konfigurasinya kalian bisa gunakan :

ip firewall mangle add chain=prerouting src-address=28.28.28.0/24 in-interface=ether2 action=mark-connection new-connection-mark=all-client-connect passthrough=yes

ip firewall mangle add chain=prerouting in-interface=ether1 connection-mark=all-client-connect action=mark-packet new-packet-mark=all-client-download passthrough=no

ip firewall mangle add chain=prerouting in-interface=ether2 connection-mark=all-client-connect action-mark-packet new-packet-mark=all-client-upload passthrough=no

2. Kemudian kalian akses sesuatu menggunakan koneksi internet dan dapat kita lihat pada GUI menu Firewall > Mangle menu packetsnya lama-lama menjadi bertambah

# Konfigurasi Packet Mark Untuk masing-masing client (IP Address)

1. Langkah awal kalian konfigurasi packet-mark untuk memisahkan traffic download dan upload untuk masing-masing client, berikut merupakan konfigurasi packet-mark untuk client-01, untuk konfigurasinya kalian bisa menggunakan perintah

ip firewall mangle add chain=prerouting src-address=28.28.28.2 in-interface=ether2 action=mark-connection new-connection-mark=all-client-connect passthrough=yes

ip firewall mangle add chain=prerouting in-interface=ether1 action=mark-packet connection-mark=all-client-connect new-packet-mark=all-client-download passthrough=no

ip firewall mangle add chain=prerouting in-interface=ether2 action-mark-packet connection-mark=all-client-connect new-packet-mark=all-client-upload passthrough=no

2. Selanjutnya kita konfigurasi packet-mark untuk client-02, untuk konfigurasinya gunakan perintah

ip firewall mangle add chain=prerouting src-address=28.28.28.3 in-interface=ether2 action=mark-connection new-connection-mark=all-client-connect passthrough=yes

ip firewall mangle add chain=prerouting in-interface=ether1 action=mark=packet connection-mark=all-client-connect new-packet-mark=all-client-download passthrough=no

ip firewall mangle add chain=prerouting in-interface=ether2 action=packet-mark connection-mark=all-client-connect new-packet-mark=all-client-upload passthrough=no

3. Kemudian kalian lakukan pengujian dengan mengakses internetnya dan kemudian lihatlah perubahan pad firewall > mangle dan dapat kita lihat bahwa menu packetsnya berubah-ubah

# Konfigurasi Packet Mark (Marking Port dengan extensi tertentu)

1. Langkah pertama kita konfigurasi mark-connection untuk menandai paket yang menggunakan port dan extensi tertentu, disini saya akan menambahkan extensi .iso untuk konfigurasinya ikuti seperti gambar berikut

ip firewall mangle add chain=prerouting src-address=28.28.28.0/24 protocol=tcp dst-port=20,21,443 in-interface=ether2 content=.iso action-makr-connection new-connection=extensifile_conn pasthrough=yes

2. Kemudian konfigurasi mark-packet untuk mark-connection yang sudah dibuat sebelumnya menggunakan perintah

ip firewall mangle add chain=prerouting in-interface=ether2 connection-mark=extensifile_conn action=mark-packet new-packet-mark=extensifile_upload

ip firewall mangle add chain=prerouting in-interface=ether1 connection-mark=extensifile_conn action=mark-packet new-packetmakr=extensifile_download

3. Selanjutnya konfigurasi mark-connection dan mark-packet untuk memisahkan traffic upload dan download dengan perintahnya adalah

ip firewall mangle add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=all-client-connect passthrough=yes

ip firewall mangle add chain=prerouting in-interface=ether2 connection-mark=all-client-connect action=mark-packet new-packet-mark=all-client-upload passthrough=no

ip firewall mangle add chain=prerouting in-interface=ether1 connection-mark=all-client-connect action=mark-packet new-packet-mark=all-client-download passthrough=no

4. Kemudian hasilnya dapat kita lihat pada table firewall mangle seperti gambar berikut ini

Konfigurasi Routing Mark

1. Langkah yang pertama sebelum kita melakukan konfigurasi Routing Mark disini kita akan membuat 2 ISP, dikarenakan saya memakai virtual, setelah kalian membuat 2 ISP kalian sambungkan pada router yang nantinya dihubungkan ke client.

Router 1 ISP

- Konfigurasi ip address sesuai dengan topologi yang ada diatas, untuk ether1 terhubung dengan internet dan untuk ether2 terhubung langsung dengan router-client. Untuk konfigurasinya kalian gunakan perintah

ip address add address=192.168.43.28/24 interface=ether1

ip address add address=28.28.28.1/24 interface=ether2

Kemudian kita cek menggunakan perintah ip address print dan dapat dilihat bahwa kita berhasil melakukan konfigurasi ip address pada kedua interface

- Selanjutnya kita lakukan konfigurasi ip dns, untuk ip dns disini kita pakai ip gateway dari internet yaitu 192.168.43.1 kemudian jangan lupa untuk mengaktifkan allow remote requests. Untuk konfigurasinya gunakan perintah ip dns set servers=192.168.43.1 allow-remote-requests=yes selanjutnya kalian bisa cek menggunakan perintah ip dns print

- Setelah itu kalian konfigurasi ip route untuk menambahkan gateway sebagai jembatan untuk menuju ke internet, untuk konfigurasinya gunakan perintah ip route add gateway=192.168.43.1. Kemudian jika kalian mau mengeceknya bisa menggunakan perintah ip route print

- Kemudian supaya isp 1 mendapatkan ip address jangan lupa untuk melakukan konfigurasi ip firewall nat, dengan menggunakan perintah ip firewall nat add chain=scrnat out-interface=ether1 action=masquerade, untuk out-interface pastikan bahwa interface tersebut menggunakan interface yang mengarah ke internet

- Selanjutnya kalian lakukan pengecekan apakah router telah terhubung dengan internet atau belum, untuk melakukan pengecekannya kalian gunakan perintah ping google.com jika hasilnya reply seperti gambar dibawah ini maka artinya router sudah terhubung ke internet

Router 2 ISP

ip address add address=192.168.43.20/24 interface=ether1

ip address add address=20.20.20.1/24 interface=ether2

Kemudian kita cek menggunakan perintah ip address print dan dapat dilihat bahwa kita berhasil melakukan konfigurasi ip address pada kedua interface

Router Client

- Konfigurasi ip address untuk ether1 terhubung dengan ISP 1, ether2 terhubung dengan ISP 2 dan untuk ether3 terhubung langsung dengan router-client. Untuk konfigurasinya kalian gunakan perintah

ip address add address=28.28.28.2/24 interface=ether1

ip address add address=20.20.20.2/24 interface=ether2

ip address add address=192.168.1.1/24 interface=ether3

Kemudian kita cek menggunakan perintah ip address print dan dapat dilihat bahwa kita berhasil melakukan konfigurasi ip address pada ketiga interface

- Selanjutnya kita lakukan konfigurasi ip dns, untuk ip dns disini kita pakai ip gateway dari isp 1 dan isp 2 kemudian jangan lupa untuk mengaktifkan allow remote requests. Untuk konfigurasinya gunakan perintah ip dns set servers=28.28.28.1,20.20.20.1 allow-remote-requests=yes selanjutnya kalian bisa cek menggunakan perintah ip dns print

- Setelahnya kita konfigurasi ip route disini saya akan memakai ip isp 1 yaitu 28.28.28.1 untuk perintahnya gunakan ip route add gateway=28.28.28.1 distance=1 kemudian gunakan perintah ip route print untuk melakukan pengecekan

- Kemudian supaya router-client terhubung dengan internet kita lakukan konfigurasi ip firewall nat dengan menggunakan 2 interface yang terhubung ke isp 1 dan isp 2

ip firewall nat add chain=scrnat out-interface=ether1 action=masquerade

ip firewall nat add chain=scrnat out-interface=ether2 action=masquerade,

2. Langkah selanjutnya jika router-client sudah dapat terhubung dengan internet lakukan download dan import file yang berisi daftar ip local supaya router dapat mengetahui ip mana saja yang berupa ip local untuk mendownload filenya kalian bisa menggunakan perintah :

/tool fetch url="http://ixp.mikrotik.co.id/download/nice.rsc" mode=http

sementara untuk mengimport filenya kalian gunakan perintah :

import file-name=nice.rsc

3. Setelah itu kalian cek pada table address-list yang mana akan menampilkan beberapa daftar ip local yang ada di indonesia

# Konfigurasi Routing Mark (Memisahkan jalur internasional dan jalur local)

1. Selanjutnya kita akan masuk kedalam konfigurasi routing-mark, untuk routing-mark yang pertama disini saya akan melakukan konfigurasi untuk memisahkan antara jalur internasional (isp 1) dan jalur lokal (isp 2). Yang pertama disini saya akan konfigurasi firewall manglenya terlebih dahulu, dengan cara

ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 in-interface=ether3 dst-address-list=!nice action=mark-routing new-routing-mark=packet-internasional

ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 in-interface=ether3 dst-address-list=!nice action=mark-routing new-routing-mark=packet-local

2. Kemudian kita lakukan konfigurasi route untuk memisahkan gateway untuk paket internasional dan paket lokal seperti gambar dibawah ini :

ip route add distance=1 gateway=28.28.28.1 routing-mark=packet-internasional

ip route add distance=1 gateway=20.20.20.1 routing-mark=packet-local

3, Pastikan bahwa client sudah kita konfigurasi ip secara manual, disesuaikan dengan topologinya, disini saya memakai ip 192.168.1.2/24

4. Kemudian kalian coba akses suatu website dengan menggunakan akses internet, dan dapat kita lihat pada tabel firewall mangle bahwa packetsnya lama-lama akan terus bertambah

# Konfigurasi Routing Mark (Memisahkan jalur untuk website)

1. Disini saya akan memisahkan jalur untuk mengakses website twitter yang akan dilewatkan melalui router-isp 1 , lakukan konfigurasi mangle dengan cara ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 in-interface=ether3 content=twitter action=mark-routing new-routing-mark=TW selanjurtnya tambahkan routing-mark=TW pada ip route numbers=0 menggunakan perintah ip route set numbers=0 routing-mark=TW

2. Selanjutnya kalian akses website twitternya di browser kalian seperti gambar dibawah ini

3. Maka paket akan terus bertambah selagi kita mengakses website twitter

4. Lakukan hal yang sama pada jalur isp 2, memisahkan jalur untuk mengakses website youtube yang akan dilewatkan melalui router-isp 2 , lakukan konfigurasi mangle dengan cara ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 in-interface=ether3 content=twitter action=mark-routing new-routing-mark=YT selanjurtnya tambahkan routing-mark=YT pada ip route numbers=1 menggunakan perintah ip route set numbers=1 routing-mark=YT

5. Selanjutnya kita akses youtube menggunakan browser pada client seperti gambar berikut ini

6. Maka pada tampilan firewall mangle table kedua packetsnya akan terus bertambah

# Konfigurasi Routing Mark (Pemisahan jalur ISP)

1. Langkah awal kita langsung saja konfigurasi firewall mangle dan arahkan src-addressnya pada kedua ip client berikut ini, untuk konfigurasinya kalian gunakan perintah

ip firewall mangle add chain=prerouting src-address=192.168.1.2 action=mark-routing new-routing-mark="ISP A" passthrough=no

ip firewall mangle add chain=prerouting src-address=192.168.1.3 action=mark-routing new-routing-mark="ISP B" passthrough=no

2. Kemudian konfigurasi ip route dan arahkan routing-mark dengan yang sudah kita tentukan sebelumnya dengan menggunakan gatewa masing-masing

ip route add routing-mark="ISP A" gateway=28.28.28.1

ip route add routing-mark+"ISP B" gateway=20.20.20.1

3. Selanjutnya kita konfigurasi ip secara manual pada client, disini saya memakai ip 192.168.1.2/24 untuk client yang pertama

4. Kemudian lakukan pengujian ping terhadap 2 gateway isp tersebut untuk gateway isp yang pertama yaitu 28.28.28.1 dapat terhubung namun pada gateway 20.20.20.1 tidak dapat terhubung

5. Selanjutnya lakukan konfigurasi ip secara manual lai ke client kedua. disini saya memakai ip 192.168.1.3/24

6. Kemudian lakukan pengujian ping terhadap 2 gateway isp tersebut untuk gateway isp yang pertama yaitu 28.28.28.1 tidak dapat terhubung namun pada gateway 20.20.20.1 dapat terhubung