Mtcna Lab Vii Dengan Gns3 - Firewall & Nat [PDF]

Citation preview

MTCNA LAB VII GNS3



FIREWALL & NAT



RInanza Zulmy Alhamri, S.Kom., M.Kom POLITEKNIK KEDIRI



LAB 1.



FIREWALL FILTER – INPUT DAN OUTPUT



1. Topologi yang akan digunakan adalah sebagai berikut



Input – Skenario 1 2. Masuk winbox menggunakan MAC Address, berikan alamat IP pada setiap interface di router, loopback adapter, dan PC1 (VPCS) sesuai topologi



3. Coba masuk MikroTik melalui SSH menggunakan aplikasi Putty menggunakan IP pada MikroTik



4. Ada 2 cara menolak akses ke router via ssh yaitu: 



dengan mematikan service port ssh







atau memberikan aturan firewall pada port ssh



5. Menolak akses via ssh dengan disable service port ssh, maka bisa di-disable port ssh yang ada pada menu IP  services  sorot ssh  klik tanda ‘x’



6. Akses lewat terminal putty, koneksi akan ditolak dengan reply berupa refused



7. Akses via ssh ataupun akses service-service lainnya juga bisa ditolak menggunakan aturan firewall. Aktikan kembali service ssh terlebih dahulu. Kemudian buka menu IP  firewall  pada jendela firewall tab filter rules tambahkan aturan dengan klik add ‘+’



8. Pada tab general, isikan chain dengan input  protocol isikan tcp  Dst. Port ikian port 22 (SSH)  in. interface masukkan ether1  pada tab action pilih action drop



9. Masuk ke router MikroTik melalui Putty dengan IP router



10. Akses router via webfix



11. Tolak akses webfix menggunakan aturan firewall dengan chain input, protocol tcp, dst. Port 80, in interface ether1, action: drop



12. Lakukan akses webfix kembali



Input – Skenario 2 13. Action reject sama dengan drop namun memiliki pesan yang dikirim kembali sesuai dengan kebutuhan. Pastikan ping dari PC1 ke mikroTik bisa berjalan terlebih dahulu



14. Buat aturan untuk menolak akses ke MikroTik menggunakan protokol ping pada cmd dengan chain input, protocol icmp, in interface eher2, dan action drop



15. Lakukan ping kembali dari PC1 ke MikroTik



16. Ganti rule ping icmp dengan mengubah action dari drop menjadi reject  reject with isi dengan icmp network unreachable







ping kembali dari PC1 ke MikroTik:



17. Ganti rule ping icmp dengan mengubah action menjadi reject  reject with icmp host unreachable







ping kembali dari PC1 ke MikroTik:



Input – Skenario 3 18. Buat aturan untuk menutup semua akses ke router MikroTik kecuali menggunakan WinBox  Hapus semua rule yang telah dibuat sebelumnya  pertama, buat aturan untuk mengakses



MikroTIk menggunakan WinBox dengan konfigurasu chain input, protocol tcp, dst port 8291, dengan in interface ether1  tab action pilih action accept



19. Buat aturan kedua dengan drop semua akses ke router dengan konfigurasi chain input, in interface ether1, dan action drop



20. Uji coba akses router menggunakan ftp dengan buka windows explorer  pada alamat windows ketikkan ftp://192.168.1.1



21. Buat aturan firewall yang ketiga dengan menerima akses ftp melalui port 21. Konfigurasinya chain input, protocol tcp, dst port 21, in interface ether1, dan action drop



22. Akses kembali router melalui ftp dengan cara yang sama seperti langkah 20



23. Ubah urutan aturan firewall accept ftp port 21 ke atasnya aturan firewall drop all input



24. Akses kembali router melalui ftp dengan cara yang sama seperti langkah 20



Output 25. Beri aturan output hanya untuk melakukan ping (icmp ke PC aktual maupun PC1



26. Lakukan ping dari dalam router ke pc menggunakan new terminal pada WinBox



LAB 2.



FIREWALL FILTER- FORWARD



27. Gunakan topologi seperti berikut



28. Pastikan alamat IP setiap interface router



29. Pastikan alamat IP setiap PC satu jaringan dengan router masing-masing interface



30. Pastikan loopback adapter memiliki ip sesuai topologi



31. Tes ping dari antara PC1 dan PC2



32. Buat aturan firewall agar untuk semua forward, dimana artinya semua PC tidak bisa terhubung dengan konfigurasi chain forward dan action drop



33. Lakukan ping dari semua PC



34. Ping dari PC1 ke PC2 dan sebaliknya



35. Berikan aturan firewall untuk menerima forward dari PC aktual dengan ditentukan alamat src address dari PC aktual yaitu 192.168.88.2



36. Lakukan ping dari PC aktual ke PC1



37. Ubah urutan aturan dengan accept berada di atas drop



38. Lakukan ping dari PC aktual ke PC1 kembali



39. Berikan aturan accept forward dari PC1 dengan alamat 192.168.1.2, sesuaikan urutan aturan



40. Lakukan ping dari PC aktual ke PC1 kembali



LAB 3.



CUSTOM CHAIN, FIREWALL LOG, DAN CONNECTION STATE



CUSTOM CHAIN 41. Aturan seperti pada lab 2 dimana semua forward di-drop kecuali PC aktual dengan PC1 bisa dilakukan dengan cara lain menggunakan chain custom  hapus aturan accept yang telah dibuat sebelumnya  Custom chain dilakukan dengan memilih chain forward  pilih action jump  isikan src address dari PC Aktual yaitu 192.168.88.2  tuliskan jump target misalkan PCAktual  OK







Sesuaikan urutan



42. Buata aturan jump



43. Lakukan ping PC aktual ke PC1



44. Berikan aturan yang sama seperti lab 2



45. Lakukan ping PC aktual ke PC1 kembali



46. Lakukan ping dari PC Aktual ke PC2



47. Alamat ip bisa di list untuk memudahkan penggunaan alamat IP yang lebih dari 1 alamat. Misalkan memberikan aturan terhadap alamat IP PC1 yang bisa digunakan untuk ping adalah 192.168.1.2192.168.1.5, maka buka tab address lists  klik add  beri nama list dengan PC1  isikan alamat IP (192.168.1.2-192.168.1.5)  OK



48. Ubah aturan firewall accept PCAktual dengan klik 2x  pada tab general kosongi dst. Address  pada tab advanced isi dst. Address dengan address list PC1  OK



49. Ubah aturan firewall accept forward 192.168.1.2 dengan klik 2x  pada tab general kosongi src. Address  pada tab advanced isi src. Address dengan address list PC1  OK



50. Ganti alamat IP PC1 dengan misal 192.168.1.4



51. Lakukan ping dari PC aktual menuju PC1



FIREWALL LOG 52. Untuk mengetahui IP siapa saja yang melakukan akses ke dalam router bisa disimpan di dalam firewall log. Misalkan ingin mencatat lalu lintas forward maka tambahkan aturan  chain forward  action log  Ok  urutkan paling pertama



53. Lakukan ping dari PC aktual ke PC1



54. Bisa dilihat pada menu log



55. Misal khusus ping maka protocol yang dipilih adalah icmp dan prefix log bisa ditandai misal ‘ini yang icmp’



56. Lakukan ping PC Aktual ke PC1, pada log akan terlihat log prefix.



CONNECTION STATE 57. Jika ingin hanya PC aktual yang bisa ping ke PC1 namun tidak sebaliknya bisa memfilter connection state dengan cara klik 2x accept forward PC1  pilih connection state berupa established



58. Ping PC aktual ke PC1







Ping dari PC1 ke PC Aktual



59. Untuk tracking connection yang dilakukan client bisa membuka tab connections  tracking



LAB 4.



NAT



60. Buat topologi







Cloud 1 sebagai sumber internet dengan NIO Loopback adapter yang telah tersharing internet masuk ke ether1 MikroTik







Cloud 2 sebagai client dengan NIO VirtualBox Host-Only masuk ke ether2 MikroTik



SHARING INTERNET PADA MIKROTIK 61. Pastikan PC Aktual terkoneksi internet



62. Masuk WinBox melalui MAC Address



63. Aktifkan DHCP Client melalui interface ether1



64. Pastikan mendapatkan alamat IP Dinamis



65. Aktifkan DNS Allow Remote Request



66. Ping google.com melalui New Terminal



SHARING INTERNET CLIENT 67. Berikan alamat IP pada interface ether2 sesuai topologi



68. Aktifkan aturan NAT dengan Chain src-nat  out-interface ether1  action masquerade



69. Buka VirtualBox Windows XP dengan network VirtualBox Host Only Adapter



70. Start image XP, Berikan alamat IP client sesuai dengan topologi



71. Buka browser, buka google,com



MENGAKTIFKAN WEB PROXY 72. Pada WinBox buka IP  Web Proxy 73. Pada jendela Web Proxy, tab General centang kotak Enabled  isi port dengan nilai 8080  kemudian OK



74. Pada PC client (XP) buka browser masuk ke pengaturan proxy, karena pada modul ini menggunakan Internet Explorer maka buka Tools  Internet Options  buka tab Connections  klik men LAN Settings  pada proxy server centang kotak  isi address dengan alamat IP Gateway (192.168.10.1)  port dengan nilai 8080  OK



75. Refresh google, kemudian buka WinBox pada jendela Web Proxy tab General buka menu Connections. Bila pada jendela Web Proxy Connections terdapat source address dari google dan terisi maka dipastikan web proxy telah aktif



*PERHATIAN: Aktifnya Web Proxy dimungkinkan lama



MENGAKTIFKAN EDIRECT HALAMAN 76. Buat aturan NAT dengan cara klik menu IP  Firewall  pada jendela Firewall buka tab NAT  Klik simbol ‘+’  pada jendela new NAT rule, pada chain isikan dst-nat  Protocol isikan tcp  Dst. Port isikan 8080



77. Masih pada jendela new NAT rule tab action  pada form action pilih dst-nat  to-address isikan alamat IP interface router ke client yaitu 192.168.10.1  to-ports isikan 8080  OK



78. Hasilnya



79. Kemudian buka menu IP  Web Proxy  pada tab General pilih menu Access  kemudian pada Web Proxy Access tambahkan aturan dengan klik ‘+’  pada Dst. Host isikan URL yang akan diblokir misal “detik.com”  pada form action pilih deny  pada form Redirect To masukkan alamat URL redirect misal google.com  OK



80. Buka kembali browser, ketikkan URL detik.com, amati yang terjadi. Biar efek redirect ekerja bersihkan coockies dan cache