Akhirnya sempat juga nulis lagi di blog setelah sekian lama karena sibuk kerjaan :p
Saya ingin berbagi mengenai konfigurasi mikrotik untuk pembatasan Akses internet Berdasarkan IP dan Port yang digunakan. Konfigurasi ini saya gunakan karena banyaknya koneksi dari user yang tidak sewajarnya keluar dari interface-gateway seperti port2 yang digunakan virus / trojan / worm untuk berkomunikasi antara komputer clinet yang terinfeksi dengan server virus / trojan / worm itu sendiri. Sebelumnya saya sempat mengimplementasikan dengan menggunakan metode Blacklist artinya mendrop port2 yang sering digunakan untuk virus / trojan / worm. Setapi setelah dicoba dan di analisa ternyata metode ini saya rasa kurang cocok karena bisa saja varian virus / trojan / worm baru menggunakan port yang baru dan juga chain rule di mikrotik menjadi semakin banyak. Alhasil jadi meningkatkan resource mikrotik itu sendiri. Terakhir saya implementasi menggunakan Blacklist Port ada sekitar 500 rules yang dibuat. Akhirnya munculah ide untuk menggunakan metode Whitelist. Jadi saya hanya melewatkan Port2 yang saya daftarkan dan mendrop sisanya. Oke langsung aja ke TKP.
Dicontohkan Ip Lokal adalah 192.168.88.0/24 dan ip mikrotik dari arah client adalah 192.168.88.1.
/ip firewall address-list add address=192.168.88.2 disabled=no list=boleh-internet add address=192.168.88.3 disabled=no list=boleh-internet Script diatas adalah untuk mendaftarkan IP user siapa saja yang bisa akses internet. /ip firewall filter add action=accept chain=input comment="Accept Input Established" connection-state=established disabled=no add action=accept chain=input comment="Accept Input Related" connection-state=related disabled=no add action=drop chain=input comment="Drop Input Invalid" connection-state=invalid disabled=no
Script diatas adalah default config bawaan mikrotik yang berfungsi untuk Menerima koneksi Established dan Related, dan Men-drop invalid connection yang menuju ke Mikrotik itu sendiri. Fungsi utamanya sih agar beban kinerja mikrotik bisa lebih ringan karena tidak perlu mengulang permintaan yang sebelumnya sudah terbentuk.
Script diatas adalah untuk melimit ping yang menuju mikrotik dan mendrop yang melebihi batas ping. Menurut saya lebih ke arah Flood Ping yang berlebihan kepada Mikrotik.
Penjelasan Script diatas mungkin sama seperti sebelumnya hanya perbedaannya berlaku untuk koneksi yang melewati mikrotik.
add action=jump chain=forward comment="Accept User Internet and Jump to Port-Filter" disabled=no jump-target=port-filter src-address-list=boleh-internet
Script diatas adalah untuk memforward IP yang didaftarkan pada Address list boleh-internet (whitelist IP) dan di jump ke chain baru yaitu port-filter yang nantinya akan digunakan pada whitelist port yang bisa dilewati.
Script diatas adalah untuk meneruskan port - port yang boleh melewati mikrotik yang berasal dari jump chain sebelumnya yaitu forward whitelist IP Address.
Script diatas adalah untuk mendrop paket yang melewati mikrotik apabila tidak ada yang sesuai dengan chain yang sudah dijelaskan diatasnya (chain port-filter).
add action=drop chain=forward comment="Drop Forward Anything Else" disabled=no Script diatas adalah untuk mendrop semua paket yang melewati mikrotik.
Silahkan ditambahkan port - port yang diperlukan dan disesuaikan dengan keadaan di mikrotik anda. Untuk IP yang tidak didaftarkan pada address list maka tidak akan bisa terkoneksi ke internet.
Terima kasih kepada Mas Naufal Assegaf dan forummmikrotik.com atas masukan dan sarannya. Semoga sedikit tulisan ini bisa bermanfaat bagi kita semua. Amin.
