9 0 2 MB
MTCNA LAB VII GNS3
FIREWALL & NAT
RInanza Zulmy Alhamri, S.Kom., M.Kom POLITEKNIK KEDIRI
LAB 1.
FIREWALL FILTER – INPUT DAN OUTPUT
1. Topologi yang akan digunakan adalah sebagai berikut
Input – Skenario 1 2. Masuk winbox menggunakan MAC Address, berikan alamat IP pada setiap interface di router, loopback adapter, dan PC1 (VPCS) sesuai topologi
3. Coba masuk MikroTik melalui SSH menggunakan aplikasi Putty menggunakan IP pada MikroTik
4. Ada 2 cara menolak akses ke router via ssh yaitu:
dengan mematikan service port ssh
atau memberikan aturan firewall pada port ssh
5. Menolak akses via ssh dengan disable service port ssh, maka bisa di-disable port ssh yang ada pada menu IP services sorot ssh klik tanda ‘x’
6. Akses lewat terminal putty, koneksi akan ditolak dengan reply berupa refused
7. Akses via ssh ataupun akses service-service lainnya juga bisa ditolak menggunakan aturan firewall. Aktikan kembali service ssh terlebih dahulu. Kemudian buka menu IP firewall pada jendela firewall tab filter rules tambahkan aturan dengan klik add ‘+’
8. Pada tab general, isikan chain dengan input protocol isikan tcp Dst. Port ikian port 22 (SSH) in. interface masukkan ether1 pada tab action pilih action drop
9. Masuk ke router MikroTik melalui Putty dengan IP router
10. Akses router via webfix
11. Tolak akses webfix menggunakan aturan firewall dengan chain input, protocol tcp, dst. Port 80, in interface ether1, action: drop
12. Lakukan akses webfix kembali
Input – Skenario 2 13. Action reject sama dengan drop namun memiliki pesan yang dikirim kembali sesuai dengan kebutuhan. Pastikan ping dari PC1 ke mikroTik bisa berjalan terlebih dahulu
14. Buat aturan untuk menolak akses ke MikroTik menggunakan protokol ping pada cmd dengan chain input, protocol icmp, in interface eher2, dan action drop
15. Lakukan ping kembali dari PC1 ke MikroTik
16. Ganti rule ping icmp dengan mengubah action dari drop menjadi reject reject with isi dengan icmp network unreachable
ping kembali dari PC1 ke MikroTik:
17. Ganti rule ping icmp dengan mengubah action menjadi reject reject with icmp host unreachable
ping kembali dari PC1 ke MikroTik:
Input – Skenario 3 18. Buat aturan untuk menutup semua akses ke router MikroTik kecuali menggunakan WinBox Hapus semua rule yang telah dibuat sebelumnya pertama, buat aturan untuk mengakses
MikroTIk menggunakan WinBox dengan konfigurasu chain input, protocol tcp, dst port 8291, dengan in interface ether1 tab action pilih action accept
19. Buat aturan kedua dengan drop semua akses ke router dengan konfigurasi chain input, in interface ether1, dan action drop
20. Uji coba akses router menggunakan ftp dengan buka windows explorer pada alamat windows ketikkan ftp://192.168.1.1
21. Buat aturan firewall yang ketiga dengan menerima akses ftp melalui port 21. Konfigurasinya chain input, protocol tcp, dst port 21, in interface ether1, dan action drop
22. Akses kembali router melalui ftp dengan cara yang sama seperti langkah 20
23. Ubah urutan aturan firewall accept ftp port 21 ke atasnya aturan firewall drop all input
24. Akses kembali router melalui ftp dengan cara yang sama seperti langkah 20
Output 25. Beri aturan output hanya untuk melakukan ping (icmp ke PC aktual maupun PC1
26. Lakukan ping dari dalam router ke pc menggunakan new terminal pada WinBox
LAB 2.
FIREWALL FILTER- FORWARD
27. Gunakan topologi seperti berikut
28. Pastikan alamat IP setiap interface router
29. Pastikan alamat IP setiap PC satu jaringan dengan router masing-masing interface
30. Pastikan loopback adapter memiliki ip sesuai topologi
31. Tes ping dari antara PC1 dan PC2
32. Buat aturan firewall agar untuk semua forward, dimana artinya semua PC tidak bisa terhubung dengan konfigurasi chain forward dan action drop
33. Lakukan ping dari semua PC
34. Ping dari PC1 ke PC2 dan sebaliknya
35. Berikan aturan firewall untuk menerima forward dari PC aktual dengan ditentukan alamat src address dari PC aktual yaitu 192.168.88.2
36. Lakukan ping dari PC aktual ke PC1
37. Ubah urutan aturan dengan accept berada di atas drop
38. Lakukan ping dari PC aktual ke PC1 kembali
39. Berikan aturan accept forward dari PC1 dengan alamat 192.168.1.2, sesuaikan urutan aturan
40. Lakukan ping dari PC aktual ke PC1 kembali
LAB 3.
CUSTOM CHAIN, FIREWALL LOG, DAN CONNECTION STATE
CUSTOM CHAIN 41. Aturan seperti pada lab 2 dimana semua forward di-drop kecuali PC aktual dengan PC1 bisa dilakukan dengan cara lain menggunakan chain custom hapus aturan accept yang telah dibuat sebelumnya Custom chain dilakukan dengan memilih chain forward pilih action jump isikan src address dari PC Aktual yaitu 192.168.88.2 tuliskan jump target misalkan PCAktual OK
Sesuaikan urutan
42. Buata aturan jump
43. Lakukan ping PC aktual ke PC1
44. Berikan aturan yang sama seperti lab 2
45. Lakukan ping PC aktual ke PC1 kembali
46. Lakukan ping dari PC Aktual ke PC2
47. Alamat ip bisa di list untuk memudahkan penggunaan alamat IP yang lebih dari 1 alamat. Misalkan memberikan aturan terhadap alamat IP PC1 yang bisa digunakan untuk ping adalah 192.168.1.2192.168.1.5, maka buka tab address lists klik add beri nama list dengan PC1 isikan alamat IP (192.168.1.2-192.168.1.5) OK
48. Ubah aturan firewall accept PCAktual dengan klik 2x pada tab general kosongi dst. Address pada tab advanced isi dst. Address dengan address list PC1 OK
49. Ubah aturan firewall accept forward 192.168.1.2 dengan klik 2x pada tab general kosongi src. Address pada tab advanced isi src. Address dengan address list PC1 OK
50. Ganti alamat IP PC1 dengan misal 192.168.1.4
51. Lakukan ping dari PC aktual menuju PC1
FIREWALL LOG 52. Untuk mengetahui IP siapa saja yang melakukan akses ke dalam router bisa disimpan di dalam firewall log. Misalkan ingin mencatat lalu lintas forward maka tambahkan aturan chain forward action log Ok urutkan paling pertama
53. Lakukan ping dari PC aktual ke PC1
54. Bisa dilihat pada menu log
55. Misal khusus ping maka protocol yang dipilih adalah icmp dan prefix log bisa ditandai misal ‘ini yang icmp’
56. Lakukan ping PC Aktual ke PC1, pada log akan terlihat log prefix.
CONNECTION STATE 57. Jika ingin hanya PC aktual yang bisa ping ke PC1 namun tidak sebaliknya bisa memfilter connection state dengan cara klik 2x accept forward PC1 pilih connection state berupa established
58. Ping PC aktual ke PC1
Ping dari PC1 ke PC Aktual
59. Untuk tracking connection yang dilakukan client bisa membuka tab connections tracking
LAB 4.
NAT
60. Buat topologi
Cloud 1 sebagai sumber internet dengan NIO Loopback adapter yang telah tersharing internet masuk ke ether1 MikroTik
Cloud 2 sebagai client dengan NIO VirtualBox Host-Only masuk ke ether2 MikroTik
SHARING INTERNET PADA MIKROTIK 61. Pastikan PC Aktual terkoneksi internet
62. Masuk WinBox melalui MAC Address
63. Aktifkan DHCP Client melalui interface ether1
64. Pastikan mendapatkan alamat IP Dinamis
65. Aktifkan DNS Allow Remote Request
66. Ping google.com melalui New Terminal
SHARING INTERNET CLIENT 67. Berikan alamat IP pada interface ether2 sesuai topologi
68. Aktifkan aturan NAT dengan Chain src-nat out-interface ether1 action masquerade
69. Buka VirtualBox Windows XP dengan network VirtualBox Host Only Adapter
70. Start image XP, Berikan alamat IP client sesuai dengan topologi
71. Buka browser, buka google,com
MENGAKTIFKAN WEB PROXY 72. Pada WinBox buka IP Web Proxy 73. Pada jendela Web Proxy, tab General centang kotak Enabled isi port dengan nilai 8080 kemudian OK
74. Pada PC client (XP) buka browser masuk ke pengaturan proxy, karena pada modul ini menggunakan Internet Explorer maka buka Tools Internet Options buka tab Connections klik men LAN Settings pada proxy server centang kotak isi address dengan alamat IP Gateway (192.168.10.1) port dengan nilai 8080 OK
75. Refresh google, kemudian buka WinBox pada jendela Web Proxy tab General buka menu Connections. Bila pada jendela Web Proxy Connections terdapat source address dari google dan terisi maka dipastikan web proxy telah aktif
*PERHATIAN: Aktifnya Web Proxy dimungkinkan lama
MENGAKTIFKAN EDIRECT HALAMAN 76. Buat aturan NAT dengan cara klik menu IP Firewall pada jendela Firewall buka tab NAT Klik simbol ‘+’ pada jendela new NAT rule, pada chain isikan dst-nat Protocol isikan tcp Dst. Port isikan 8080
77. Masih pada jendela new NAT rule tab action pada form action pilih dst-nat to-address isikan alamat IP interface router ke client yaitu 192.168.10.1 to-ports isikan 8080 OK
78. Hasilnya
79. Kemudian buka menu IP Web Proxy pada tab General pilih menu Access kemudian pada Web Proxy Access tambahkan aturan dengan klik ‘+’ pada Dst. Host isikan URL yang akan diblokir misal “detik.com” pada form action pilih deny pada form Redirect To masukkan alamat URL redirect misal google.com OK
80. Buka kembali browser, ketikkan URL detik.com, amati yang terjadi. Biar efek redirect ekerja bersihkan coockies dan cache