Jaringan Komputer

Blog ini dibuat untuk mendokumentasikan hasil PKL 2016 di PT. Cakra Lintas Nusantara ( Channel 11 )

Senin, 01 Februari 2016

Konsep dan Prinsip firewall

20.38 Posted by Hari_Kusuma No comments
Firewall mendukung penyaringan dan keamanan fungsi yang digunakan untuk mengelola data mengalir ke router, melalui router, dan dari router. Seiring dengan Network Address Translation itu berfungsi sebagai alat keamanan untuk mencegah akses tidak sah ke jaringan.
Deskripsi

       Firewall jaringan tetap ancaman luar dari data sensitif tersedia di dalam jaringan. Setiap kali jaringan yang berbeda bergabung bersama-sama, selalu ada ancaman bahwa seseorang dari luar jaringan Anda akan masuk ke LAN Anda. Seperti pembobolan dapat mengakibatkan data yang pribadi yang dicuri dan didistribusikan, data berharga yang diubah atau dihancurkan, atau seluruh hard drive yang terhapus. Firewall digunakan sebagai sarana mencegah atau meminimalkan keamanan
Packet Flow
      MikroTik RouterOS menyederhanakan pembuatan dan penyebaran kebijakan firewall canggih. Bahkan, Anda dapat dengan mudah membuat satu sederhana untuk menyaring lalu lintas atau mengaktifkan sumber NAT tanpa perlu tahu bagaimana paket diproses di router. Tapi dalam kasus Anda ingin membuat kebijakan yang lebih rumit, perlu untuk mengetahui rincian proses yang mendasari. Aliran paket IP melalui router digambarkan dalam diagram berikut:
Gambar 1

      Seperti yang kita lihat, paket bisa masuk conveyor dalam dua cara: apakah paket telah datang dari sebuah antarmuka atau apakah telah berasal oleh router. Analogis, paket memiliki dua cara untuk meninggalkan conveyor: melalui antarmuka keluar atau, dalam kasus paket tersebut secara lokal ditakdirkan, dalam proses lokal.
 Ketika paket tiba ke antarmuka router, firewall aturan yang diterapkan dalam urutan berikut:
Aturan NAT diterapkan pertama. Aturan firewall dari rantai masukan dan routing yang diterapkan setelah paket telah lulus NAT set aturan.
Jika paket harus diteruskan melalui router, aturan firewall rantai maju diterapkan berikutnya. Ketika sebuah paket daun antarmuka, aturan firewall dari rantai produksi yang diterapkan pertama,  maka aturan NAT dan antrian.
Panah tambahan dari kotak IPsec menunjukkan pengolahan paket dienkripsi (mereka harus dienkripsi / didekripsi pertama dan kemudian diproses seperti biasa, id est dari titik paket khusus memasuki router).
Jika paket yang dijembatani satu, 'Keputusan Routing' perubahan 'Bridge Forwarding Keputusan'. Dan dalam kasus jembatan ini meneruskan paket non-IP, segala sesuatu tentang protokol IP yang tidak berlaku ('Universal Client', 'conntrack', 'Mangle', dan lain-lain).
Pengaturan firewall
Tingkat submenu: / ip firewall
Firewall dapat dikelola melalui WinBox Console juga. Pergi ke IP Firewall dan pilih rantai yang diinginkan. Tekan tombol Daftar untuk mengakses aturan rantai yang dipilih.
Deskripsi
Untuk melihat counter byte dan paket, penggunaan perintah byte cetak dan paket cetak, Sejalan. Untuk mereset counter, gunakan perintah reset-counter.
Chains firewall
Tingkat submenu: / ip firewall
Deskripsi
      Aturan penyaringan firewall dikelompokkan bersama dalam rantai. Hal ini sangat menguntungkan, jika paket dapat dicocokkan terhadap satu kriteria umum dalam satu rantai, dan kemudian melewati untuk pengolahan terhadap beberapa kriteria umum lainnya untuk rantai yang lain. Mari kita berasumsi bahwa, misalnya, paket harus dicocokkan dengan alamat IP dan port. Kemudian pencocokan terhadap alamat IP dapat dilakukan dalam satu rantai tanpa menentukan port protokol. Pencocokan terhadap port protokol dapat dilakukan dalam rantai terpisah tanpa menentukan alamat IP. Rantai input digunakan untuk memproses paket memasuki router melalui salah satu antarmuka dengan tujuan router. Paket melewati router tidak diproses terhadap aturan rantai masukan.
Rantai maju digunakan untuk memproses paket melewati router.
Output rantai digunakan untuk memproses berasal dari router dan meninggalkan melalui salah satu antarmuka. Paket melewati router tidak diproses terhadap aturan rantai output.
Ketiga rantai tidak dapat dihapus.
Saat memproses rantai, aturan yang diambil dari rantai dalam urutan mereka terdaftar di sana dari atas ke bawah. Jika cocok dengan kriteria aturan, maka tindakan yang ditetapkan dilakukan pada paket, dan tidak ada lagi aturan diproses dalam rantai itu. Jika paket tidak cocok aturan apapun dalam rantai, maka tindakan kebijakan default rantai dilakukan.
Tindakan kebijakan yang tersedia adalah:
menerima - Terima paket
menjatuhkan - Diam-diam drop paket (tanpa mengirim ICMP menolak pesan)
none - N / A
Anda dapat mengubah kebijakan rantai dengan menggunakan firewall set perintah / ip.
Biasanya paket harus cocok dengan beberapa kriteria. Lebih aturan penyaringan umum dapat dikelompokkan bersama dalam rantai terpisah. Untuk memproses aturan rantai tambahan, aksi lompat harus digunakan untuk rantai ini dari jaringan lain.
Kebijakan rantai pengguna menambahkan ada, dan tidak dapat diubah. Rantai tidak dapat dihapus, jika mereka berisi aturan (tidak kosong).
Catatan
Karena aturan NAT diterapkan pertama, penting untuk terus ini dalam pikiran saat membuat aturan firewall, karena paket asli mungkin sudah dimodifikasi oleh NAT.
Paket melewati router tidak diproses terhadap aturan tidak input, atau rantai keluaran!
Hati-hati tentang mengubah tindakan kebijakan default untuk rantai ini! Anda mungkin kehilangan koneksi ke router, jika Anda mengubah kebijakan untuk menjatuhkan, dan tidak ada aturan dalam rantai, yang memungkinkan koneksi ke router.
Contoh
Daftar rantai didefinisikan saat ini dapat dilihat dengan menggunakan perintah cetak firewall / ip:
Saat memproses rantai, aturan yang diambil dari rantai dalam urutan mereka terdaftar di sana dari atas ke bawah. Jika cocok dengan kriteria aturan, maka tindakan yang ditetapkan dilakukan pada paket, dan tidak ada lagi aturan diproses dalam rantai itu. Jika paket tidak cocok aturan apapun dalam rantai, maka tindakan kebijakan default rantai dilakukan.
Tindakan kebijakan yang tersedia adalah:
menerima - Terima paket
menjatuhkan - Diam-diam drop paket (tanpa mengirim ICMP menolak pesan)
none - N / A
Anda dapat mengubah kebijakan rantai dengan menggunakan firewall set perintah / ip.
Biasanya paket harus cocok dengan beberapa kriteria. Lebih aturan penyaringan umum dapat dikelompokkan bersama dalam rantai terpisah. Untuk memproses aturan rantai tambahan, aksi lompat harus digunakan untuk rantai ini dari jaringan lain.
Kebijakan rantai pengguna menambahkan ada, dan tidak dapat diubah. Rantai tidak dapat dihapus, jika mereka berisi aturan (tidak kosong).
Catatan
Karena aturan NAT diterapkan pertama, penting untuk terus ini dalam pikiran saat membuat aturan firewall, karena paket asli mungkin sudah dimodifikasi oleh NAT.
Paket melewati router tidak diproses terhadap aturan tidak input, atau rantai keluaran!
Hati-hati tentang mengubah tindakan kebijakan default untuk rantai ini! Anda mungkin kehilangan koneksi ke router, jika Anda mengubah kebijakan untuk menjatuhkan, dan tidak ada aturan dalam rantai, yang memungkinkan koneksi ke router.
Contoh
[admin@MikroTik] ip firewall> print
  # NAME                     POLICY
  0 input                    accept
  1 forward                  accept
  2 output                   accept
[admin@MikroTik] ip firewall>
 Daftar rantai didefinisikan saat ini dapat dilihat dengan menggunakan perintah cetak firewall / ip:
[admin@MikroTik] ip firewall> add name=router
[admin@MikroTik] ip firewall> print
  # NAME                    POLICY
  0 input                   accept
  1 forward                 accept
  2 output                  accept
  3 router                  none
[admin@MikroTik] ip firewall>

Firewall Aturan
Tingkat submenu: / ip firewall chain_name aturan
Deskripsi
Pengelolaan aturan firewall dapat diakses dengan memilih rantai yang diinginkan. Jika Anda menggunakan konsol WinBox, pilih rantai yang diinginkan dan kemudian tekan tombol Daftar pada toolbar untuk membuka jendela dengan aturan.
Deskripsi Properti
Action (accept | drop | jump | passthrough | reject | return; default: accept) - aksi untuk melakukan jika paket sesuai aturan, salah satu:
accept - menerima paket. Tidak ada tindakan, id est, paket dilewatkan melalui tanpa melakukan tindakan apapun, kecuali untuk mangle, dan tidak ada lagi aturan diproses dalam daftar yang relevan / rantai
drop - Diam-diam drop paket (tanpa mengirim ICMP menolak pesan)
jump - Langsung ke rantai yang ditentukan oleh nilai dari argumen melompat-sasaran
passthrough - mengabaikan aturan ini, kecuali untuk mangle, pergi ke yang berikutnya Kisah dengan cara yang sama sebagai aturan cacat, kecuali kemampuan untuk menghitung dan paket mangle
reject - menolak paket dan mengirim ICMP menolak pesan
return - kembali ke rantai sebelumnya, dari mana melompat terjadi
disabled (yes | no; default: no) - adalah aturan dinonaktifkan atau tidak
in-interface (nama; default: semua) - antarmuka paket telah dimasukkan melalui router. Jika nilai default semua digunakan, itu mungkin termasuk antarmuka loopback lokal untuk paket berasal dari router
out-interface (nama, default: semua) - antarmuka paket meninggalkan router dari. Jika nilai default semua digunakan, itu mungkin termasuk antarmuka loopback lokal untuk paket dengan tujuan ke router
src-port (port) - sumber nomor port atau range (0-65535). 0 berarti semua port 1-65535
comment (teks; default: "") - komentar untuk memerintah
dst-address (IP adress; default: 0.0.0.0/0:0-65535) - alamat IP tujuan
jump-target (nama) - Nama rantai sasaran, jika aksi = jump digunakan
tcp-option (setiap | syn-satunya | non-syn-satunya; default: ada) - Pilihan TCP
connection (teks; default: "") - mark koneksi untuk mencocokkan. Hanya koneksi (termasuk terkait) ditandai Mangle akan dicocokkan
dst-netmask (alamat IP) - tujuan netmask dalam desimal bentuk xxxx
limit-burst (integer; default: 0) - memungkinkan meledak mengenai batas-count / batas waktu
protocol (ah | egp | GGP | icmp | ipencap | ospf | RSPF | udp | xtp | semua | encap | gre | idpr-cmtp | ipip | pup | st | vmtp | ddp | esp | hmp | IGMP | iso-TP4 | rdp | tcp | XNS-idp; default: ada) - pengaturan protokol. Nilai semua tidak dapat digunakan, jika Anda ingin menentukan port
connection-state (setiap | dibentuk | valid | baru | terkait; default: ada) - status koneksi.
dst-port (integer) - tujuan nomor port atau range (0-65535). 0 berarti semua port 1-65535
limit-count (integer; default: 0) - berapa kali menggunakan aturan selama periode batas-waktu
src-address (alamat IP; default: 0.0.0.0/0:0-65535) - alamat IP sumber
content (teks; default: "") - yang teks harus berisi paket agar sesuai aturan
flow - aliran mark untuk mencocokkan. Hanya paket ditandai di Mangle akan dicocokkan
limit-time (time; default 0) - interval waktu, yang digunakan dalam batas-count
src-mac-address (MAC alamat; default: 00: 00: 00: 00: 00: 00) - MAC host alamat paket telah diterima dari.
icmp-options (default: setiap: ada) - Pilihan ICMP
log (yes | no; default: no) - menentukan, untuk log tindakan atau tidak
src-netmask (alamat IP) - sumber netmask dalam desimal bentuk xxxx
Catatan:
Perlu diingat, protokol yang harus explicity ditentukan, jika Anda ingin memilih pelabuhan.
Contoh
Misalnya, kita ingin menolak paket dengan dst-port = 8080:
[admin@MikroTik] ip firewall rule input> add dst-port=8080 protocol=tcp action=reject
[admin@MikroTik] ip firewall rule input> print
Flags: X - disabled, I - invalid
  0   src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:8080 out-interface=all protocol=tcp
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      sconnection="" content="" rc-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=reject log=no

[admin@MikroTik] ip firewall rule input>
Logging Firewall Action
Untuk mengaktifkan logging tindakan firewall Anda harus menetapkan nilai log argumen aturan untuk ya. Juga, fasilitas logging harus diaktifkan untuk log firewall:
[admin@MikroTik] system logging facility> set Firewall-Log logging=local
[admin@MikroTik] system logging facility> print
  # FACILITY          LOGGING PREFIX           REMOTE-ADDRESS  REMOTE-PORT ECH
  0 Firewall-Log      local         no
  1 System-Info       local         no
  2 System-Error      local         no
  3 System-Warning    local         no
  4 Prism-Info        local         no
  5 Web-Proxy-Access  local         no
  6 Hotspot-Account   local         no
  7 OSPF-Info         local         no
  8 Hotspot-Error     local         no
  9 IPsec-Event       local         no
 10 IKE-Event         local         no
 11 IPsec-Warning     local         no
 12 System-Echo       local         yes

[admin@MikroTik] system logging facility>
Anda dapat mengirim pesan log UDP ke syslog remote host dengan menentukan alamat remote dan port (biasanya 514). Log lokal dapat dilihat dengan menggunakan perintah / log print:
[admin@MikroTik] > log print without-paging
...
 mar/11/2003 17:44:55 chain added by admin
 mar/11/2003 17:45:51 rule added by admin
 mar/11/2003 18:00:26 web proxy cache size is limited by memory size

[admin@MikroTik] >
Network Address Translation(NAT)
Deskripsi
Network Address Translation (NAT) memberikan cara untuk menyembunyikan jaringan lokal serta menjaga pelayanan publik pada server dari jaringan ini. Selain itu, melalui NAT aplikasi tambahan seperti layanan proxy transparan dapat dibuat.
Deskripsi Properti
Src-nat dan dst-nat memiliki beberapa sifat umum tercantum di bawah. Pada gilirannya, sifat spesifik untuk setiap jenis NAT akan terdaftar di bawah header yang sesuai.
dst-address (IP adress; default: 0.0.0.0/0:0-65535) - alamat IP tujuan
src-address (alamat IP; default: 0.0.0.0/0:0-65535) - alamat IP sumber
flow - aliran mark untuk mencocokkan. Hanya paket ditandai di Mangle akan dicocokkan
limit-time (time; default 0) - interval waktu, yang digunakan dalam batas-count
protocol (ah | egp | GGP | icmp | ipencap | ospf | RSPF | udp | xtp | semua | encap | gre | idpr-cmtp | ipip | pup | st | vmtp | ddp | esp | hmp | IGMP | iso-TP4 | rdp | tcp | XNS-idp; default: ada) - pengaturan protokol. Nilai semua tidak dapat digunakan, jika Anda ingin menentukan port
icmp-option (default: setiap: ada) - Pilihan ICMP
content (teks; default: "") - yang teks harus berisi paket agar sesuai aturan
commenta (teks; default: "") - komentar untuk memerintah
connection (teks; default: "") - mark koneksi untuk mencocokkan. Hanya koneksi (termasuk terkait) ditandai Mangle akan dicocokkan
limit-burst (integer; default: 0) - memungkinkan meledak mengenai batas-count / batas waktu
limit-count (integer; default: 0) - berapa kali menggunakan aturan selama periode batas-waktu
src-netmask (alamat IP) - sumber netmask dalam desimal bentuk xxxx
src-port (port) - sumber nomor port atau range (0-65535). 0 berarti semua port 1-65535
dst-netmask (alamat IP) - tujuan netmask dalam desimal bentuk xxxx
dst-port (integer) - tujuan nomor port atau range (0-65535). 0 berarti semua port 1-65535
Masquerading dan Sumber NAT
Tingkat submenu: / ip firewall nat src-
Deskripsi
Masquerading adalah fungsi firewall yang dapat digunakan untuk 'menyembunyikan' jaringan pribadi di belakang satu alamat IP eksternal dari router. Misalnya, menyamar berguna, jika Anda ingin mengakses jaringan ISP dan Internet muncul sebagai semua permintaan yang datang dari satu alamat IP yang diberikan oleh ISP. The masquerading akan mengubah alamat IP sumber dan port dari paket berasal dari jaringan pribadi ke alamat eksternal router, ketika paket yang diarahkan melalui itu.
Masquerading membantu untuk menjamin keamanan karena setiap permintaan keluar atau masuk harus melalui proses penerjemahan yang juga menawarkan kesempatan untuk memenuhi syarat atau mengotentikasi permintaan atau mencocokkannya dengan permintaan sebelumnya. Masquerading juga menghemat jumlah alamat IP global diperlukan dan memungkinkan seluruh jaringan menggunakan satu alamat IP dalam komunikasi dengan dunia.
Deskripsi Properti
action (accept | masquerade | nat; default: accept) - untuk melakukan tindakan jika dikemas cocok dengan src-nat aturan tertentu, salah satu:
accept - Terima paket. Tidak ada tindakan, id est, paket dilewatkan melalui tanpa melakukan tindakan apapun, kecuali untuk mangle, dan tidak ada lagi aturan diproses dalam daftar yang relevan / rantai
masquerade- menggunakan masqurade untuk paket dan menggantikan sumber alamat: port dari paket dengan yang dari router. Dalam hal ini, untuk-src-address nilai argumen tidak diperhitungkan dan tidak perlu ditentukan, karena router alamat lokal digunakan
nat - melakukan Network Address Translation. Untuk-src-address harus ditentukan (tidak wajib dengan action = masquerade)
out-interface (nama; default: semua) - antarmuka paket meninggalkan router dari. Jika nilai default semua digunakan, itu mungkin termasuk antarmuka loopback lokal untuk paket dengan tujuan ke router
to-src-address (alamat IP; default: 0.0.0.0) - alamat sumber untuk menggantikan sumber alamat asli dengan
to-src-port (integer; default: 0-65535) - port sumber untuk menggantikan port sumber asli dengan
Contoh
Untuk menggunakan masquerading, sumber NAT aturan dengan action = masquerade harus ditambahkan ke src-nat set aturan:
[admin@MikroTik] ip firewall src-nat> add src-address=10.5.91.0/24:0 \ 
\... out-interface=Public action=masquerade
[admin@MikroTik] ip firewall src-nat> print
Flags: X - disabled, I - invalid, D - dynamic
  0   src-address=10.5.91.0/24:0-65535 dst-address=0.0.0.0/0:0-65535
      out-interface=Public protocol=all icmp-options=any:any flow=""
      connection="" content="" limit-count=0 limit-burst=0 limit-time=0s
      action=masquerade to-src-address=0.0.0.0 to-src-port=0-65535

[admin@MikroTik] ip firewall src-nat>

Jika paket cocok dengan aturan penyamaran, maka router membuka koneksi ke tujuan, dan mengirimkan paket dimodifikasi dengan alamat sendiri dan port yang dialokasikan untuk koneksi ini. Router melacak tentang koneksi menyamar dan melakukan "menyamar" paket, yang tiba untuk koneksi dibuka. Untuk tujuan penyaringan, Anda mungkin ingin menentukan nilai-src-port argumen, mengatakan, untuk 60.000-65.535.
Jika Anda ingin mengubah alamat sumber: port ke alamat tertentu: port, menggunakan action = nat bukan action = masquerade:
[admin@MikroTik] ip firewall src-nat> add src-address=192.168.0.1/32 action=nat \
\... out-interface=Public to-src-address=10.10.10.5
[admin@MikroTik] ip firewall src-nat> print
Flags: X - disabled, I - invalid, D - dynamic
  4   src-address=192.168.0.1/32:0-65535 dst-address=0.0.0.0/0:0-65535
      out-interface=Public protocol=all icmp-options=any:any flow=""
      connection="" content="" limit-count=0 limit-burst=0 limit-time=0s
      action=nat to-src-address=10.10.10.5 to-src-port=0-65535

[[admin@MikroTik] ip firewall src-nat>
Redirection dan Destination NAT
Tingkat submenu: / ip firewall nat dst-
Deskripsi
Redirection dan tujuan NAT harus digunakan ketika Anda harus memberikan akses ke layanan terletak di jaringan pribadi dari dunia luar.
Deskripsi Properti
action (accept | nat | redirect; default: accept) - untuk melakukan tindakan jika dikemas cocok sebuah dst-nat aturan tertentu, salah satu:
accept - Terima paket. Tidak ada tindakan, id est, paket dilewatkan melalui tanpa melakukan tindakan apapun, kecuali untuk mangle, dan tidak ada lagi aturan diproses dalam daftar yang relevan / rantai
redirect - pengalihan ke alamat lokal: port dari router. Dalam hal ini, untuk-dst-address nilai argumen tidak diperhitungkan dan tidak perlu ditentukan, karena router alamat lokal digunakan.
nat - melakukan Network Address Translation. Untuk-dst-address harus ditentukan (tidak wajib dengan action = redirect)
in-interface (nama; default: semua) - antarmuka paket telah dimasukkan melalui router. Jika nilai default semua digunakan, itu mungkin termasuk antarmuka loopback lokal untuk paket berasal dari router
to-dst-port (integer; default: 0-65535) - port tujuan untuk menggantikan asli dengan
src-mac-address (alamat MAC; default: 00: 00: 00: 00: 00: 00) - alamat MAC host paket telah diterima dari
to-dst-address (alamat IP; default: 0.0.0.0) - alamat IP tujuan untuk menggantikan asli dengan
Contoh
Untuk menambahkan tujuan NAT aturan yang memberikan akses ke 192.168.0.4 http server di jaringan lokal melalui alamat eksternal 10.0.0.217, gunakan perintah berikut:
[admin@MikroTik] ip firewall dst-nat> add action=nat protocol=tcp \
\... dst-address=10.0.0.217/32:80 to-dst-address=192.168.0.4
[admin@MikroTik] ip firewall dst-nat> print
Flags: X - disabled, I - invalid, D - dynamic
  0   src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=10.0.0.217/32:80 protocol=tcp icmp-options=any:any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00
      limit-count=0 limit-burst=0 limit-time=0s action=nat
      to-dst-address=192.168.0.4 to-dst-port=0-65535

[admin@MikroTik] ip firewall dst-nat>
Di sini, jika Anda ingin mengarahkan ke router alamat lokal, menggunakan action = redirect dan tidak menentukan untuk-dst-address.
Understanding REDIRECT and MASQUERADE
REDIRECT mirip dengan tujuan reguler NAT dengan cara yang sama seperti yang menyamar mirip dengan sumber NAT - menyamar adalah sumber NAT, kecuali Anda tidak harus menentukan ke-src-address - alamat outgoing interface digunakan secara otomatis. Sama dengan REDIRECT - itu adalah tujuan NAT mana-dst-address tidak digunakan - alamat antarmuka yang masuk digunakan sebagai gantinya. Jadi tidak ada penggunaan menentukan ke-src-address untuk aturan src-nat dengan action = masquerade, dan tidak ada penggunaan menentukan ke-dst-address untuk aturan dst-nat dengan action = redirect. Perhatikan bahwa to-dst-port berarti bagi aturan REDIRECT - ini adalah port yang layanan pada router yang akan menangani permintaan ini duduk (misalnya web proxy).
Ketika paket dst-natted (tidak peduli - action = nat atau action = redirect), dst alamat berubah. Informasi tentang terjemahan alamat (termasuk alamat asli dst) disimpan dalam tabel internal yang router. Web proxy transparan bekerja pada router (ketika permintaan web bisa diarahkan ke port proxy pada router) dapat mengakses informasi ini dari tabel internal dan mendapatkan alamat dari web server dari mereka. Jika Anda dst-natting beberapa server proxy yang berbeda, ia tidak memiliki cara untuk menemukan alamat web server dari header IP (karena alamat dst paket IP yang sebelumnya adalah alamat web server telah berubah ke alamat server proxy). Mulai dari HTTP / 1.1 ada header khusus dalam permintaan HTTP yang menceritakan alamat web, server sehingga proxy dapat menggunakannya, bukan alamat dst paket IP. Jika tidak ada sundulan tersebut (versi HTTP tua pada klien), proxy server tidak dapat menentukan alamat web server dan karena itu tidak dapat bekerja.
Menandai Paket (Mangle) dan Mengubah CSS
Tingkat submenu: / ip firewall mangle
Deskripsi
Paket memasuki router dapat ditandai untuk pengolahan lebih lanjut mereka terhadap aturan rantai firewall, sumber atau aturan tujuan NAT, serta untuk menerapkan antrian untuk mereka.
Hal ini juga memungkinkan untuk menandai paket terkait (termasuk terkait) dengan koneksi yang sama dengan paket ditandai (dengan kata lain, untuk menandai hubungan dengan semua koneksi yang terkait, Anda perlu untuk menandai hanya satu paket milik koneksi itu).
Anda juga mungkin ingin mengubah TCP maksimum Ukuran Segmen (MSS), untuk nilai yang merupakan nilai yang Anda inginkan MTU kurang 40. MSS dapat diatur hanya untuk paket TCP SYN.
Deskripsi Properti
action (accept | passthrough; default: accept)  - asi untuk melakukan jika paket sesuai aturan, salah satu:
accept- menerima paket menerapkan atribut yang sesuai (tanda, MSS), dan tidak ada lagi aturan diproses dalam daftar
passthrough - menerapkan atribut yang sesuai (tanda, MSS), dan pergi ke aturan berikutnya
cacat (yes | no; default: no) - adalah aturan dinonaktifkan atau tidak
in-interface (nama; default: semua) - antarmuka paket telah dimasukkan melalui router. Jika nilai default semua digunakan, itu mungkin termasuk antarmuka loopback lokal untuk paket berasal dari router
src-address (alamat IP; default: 0.0.0.0/0:0-65535) - alamat IP sumber
src-netmask (alamat IP) - sumber netmask dalam desimal bentuk xxxx
src-port (port) - sumber nomor port atau range (0-65535). 0 berarti semua port 1-65535
comment (teks; default: "") - komentar untuk memerintah
dst-address (IP adress; default: 0.0.0.0/0:0-65535) - alamat IP tujuan
dst-netmask (alamat IP) - tujuan netmask dalam desimal bentuk xxxx
dst-port (integer) - tujuan nomor port atau range (0-65535). 0 berarti semua port 1-65535
tcp-option (setiap | syn-satunya | non-syn-satunya; default: ada) - Pilihan TCP
icmp-option (default: setiap: ada) - Pilihan ICMP
protocol (ah | egp | GGP | icmp | ipencap | ospf | RSPF | udp | xtp | semua | encap | gre | idpr-cmtp | ipip | pup | st | vmtp | ddp | esp | hmp | IGMP | iso-TP4 | rdp | tcp | XNS-idp; default: ada) - pengaturan protokol. Nilai semua tidak dapat digunakan, jika Anda ingin menentukan port
content (teks; default: "") - yang teks harus berisi paket agar sesuai aturan
mengalir (teks; default: "") - tanda aliran untuk mencocokkan. Hanya paket ditandai di Mangle akan dicocokkan
connection (teks; default: "") - mark koneksi untuk mencocokkan. Hanya koneksi (termasuk terkait) ditandai Mangle akan dicocokkan
limit-burst (integer; default: 0) - memungkinkan meledak mengenai batas-count / batas waktu
limit-count (integer; default: 0) - berapa kali menggunakan aturan selama periode batas-waktu
limit -time (time; default 0) - interval waktu, yang digunakan dalam batas-count
src-mac-address (MAC alamat; default: 00: 00: 00: 00: 00: 00) - MAC host alamat paket telah diterima dari.
log (yes | no; default: no) - menentukan, untuk log tindakan atau tidak
mark-flow (teks; default: "") - perubahan aliran-tanda dari paket untuk nilai ini
mark-connection (teks; default: "") - perubahan koneksi-tanda paket ke nilai ini
tcp-mss (intereg | tidak-perubahan; default: dont-perubahan - perubahan MSS dari paket atau:
dont-change - meninggalkan MSS paket seperti
Contoh
Menentukan nilai untuk argumen mark-aliran dan penggunaan action = passthrough, misalnya:
[admin@MikroTik] ip firewall mangle> add action=passthrough mark-flow=abc-all
[admin@MikroTik] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
  0   src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 protocol=all tcp-options=any
      icmp-options=any:any flow="" connection="" content=""
      src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0
      limit-time=0s action=passthrough mark-flow=abc-all tcp-mss=dont-change
      mark-connection=""

[admin@MikroTik] ip firewall mangle>
Untuk mengubah MSS, menyesuaikan argumen tcp-mss. Misalnya, jika link PPPoE Anda jika Anda telah dienkripsi dengan MTU = 1492, Anda dapat mengatur aturan mangle sebagai berikut:
[admin@MikroTik] ip firewall mangle> add protocol=tcp tcp-options=syn-only\
\.. action=passthrough tcp-mss=1448
[admin@MikroTik] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
  0   src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 protocol=tcp tcp-options=syn-only
      icmp-options=any:any flow="" connection="" content=""
      src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0
      limit-time=0s action=passthrough mark-flow="" tcp-mss=1448
      mark-connection=""

[admin@MikroTik] ip firewall mangle>
koneksi Tracking
Tingkat submenu: / ip koneksi firewall
Deskripsi
Fitur ini menyediakan fasilitas untuk koneksi dilakukan melalui router dan negara-negara mereka pemantauan.
Deskripsi Properti
src-address (read-only: alamat IP: port) - sumber alamat dan port sambungan dibuat dari
dst-address (read-only: alamat IP: port) - alamat tujuan dan port sambungan dibuat ke
protocol (read-only: text) - IP nama protokol atau nomor
tcp-state (read-only: text) - keadaan koneksi TCP
timeout (read-only: waktu) - jumlah waktu sampai koneksi akan habis
reply-src-address (read-only: alamat IP: port) - sumber alamat dan port koneksi balasan didirikan dari
reply-dst-address (read-only: alamat IP: port) - alamat tujuan dan port koneksi balasan dibentuk untuk
assured (read-only: true | false) - menunjukkan apakah sambungan terjamin
icmp-id (read-only: integer) - berisi ID ICMP. Setiap paket ICMP mendapat ID mengatur untuk itu ketika dikirim, dan ketika penerima mendapat pesan ICMP, ia menetapkan ID yang sama dalam pesan ICMP baru sehingga pengirim akan mengenali jawabannya dan akan dapat menghubungkannya dengan permintaan ICMP yang sesuai
icmp-option (read-only: integer: integer) - jenis ICMP dan bidang kode
reply-icmp-id (read-only: integer) - berisi ICMP ID dari paket yang diterima
reply-icmp-option (read-only: integer: integer) - jenis dan kode ICMP bidang paket yang diterima
unreplied (read-only: true | false) - menunjukkan apakah permintaan itu unreplied
timeout koneksi
Ini dia daftar timeout koneksi:
TCP SYN dikirim (tahap pertama dalam membangun koneksi) = 2 menit.
TCP SYN recvd (tahap kedua dalam membangun koneksi) = 60sec.
Koneksi didirikan TCP (tahap ketiga) = 5 hari.
TCP FIN menunggu (pemutusan hubungan) = 2 menit.
TCP WAKTU menunggu (pemutusan hubungan) = 2 menit.
TCP DEKAT (pihak remote mengirimkan RTS) = 10 detik.
TCP TUTUP menunggu (mengirim RTS) = 60 detik.
TCP HILANG ACK (menerima ACK) = 30 detik.
TCP Dengar (server ftp menunggu klien untuk membuat sambungan data) = 2 menit.
UDP timeout = 30 detik.
UDP dengan balasan timeout (pihak remote telah merespon) = 180sec.
ICMP timeout = 30 detik.
Semua lainnya = 10 menit.
Example
[admin@MikroTik] ip firewall connection> print
Flags: U - unreplied, A - assured
  #    SRC-ADDRESS           DST-ADDRESS           PR.. TCP-STATE   TIMEOUT
  0  A 10.5.91.205:1361      10.5.0.23:22          tcp  established 4d23h59m55s
  1  A 10.5.91.205:1389      10.5.5.2:22           tcp  established 4d23h59m21s
  2  A 10.5.91.205:1373      10.5.91.254:3986      tcp  established 4d23h59m56s
  3  A 10.5.91.205:1377      159.148.172.3:23      tcp  established 4d23h35m14s
  4  A 80.232.241.3:1514     159.148.172.204:1723  tcp  established 4d23h59m53s
  5    159.148.172.204       80.232.241.3          47               9m21s
[admin@MikroTik] ip firewall connection>

Ports layanan

Tingkat submenu: / ip firewall service-port
Deskripsi
Submenu ini memungkinkan untuk mengkonfigurasi Connection Tracking 'pembantu' untuk berbagai protokol. Mereka digunakan untuk memberikan yang benar NAT traversal untuk lalu lintas dari protokol ini.
Deskripsi Properti
Nama (read-only: nama) - nama protokol
port (integer) - jangkauan port yang digunakan oleh protokol
Contoh
Untuk menonaktifkan h 323 port layanan:
[admin@MikroTik] ip firewall service-port> set h323 disabled=yes
[admin@MikroTik] ip firewall service-port> print
Flags: X - disabled
  #   NAME                PORTS
  0   ftp                 21
  1   pptp
  2   gre
  3 X h323
  4   mms
  5   irc                  6667
  6   quake3

[admin@MikroTik] ip firewall service-port>
Penyelesaian masalah
Saya menetapkan kebijakan untuk rantai masukan untuk menjatuhkan, dan saya kehilangan koneksi ke router
Anda harus menambahkan aturan untuk rantai yang memungkinkan komunikasi yang diperlukan, dan hanya kemudian mengubah kebijakan default dari rantai!
Saya memasang aturan penyaringan, tetapi mereka tampaknya tidak bekerja
Gunakan logging Firewall untuk melihat, apakah Anda cocok dengan paket dengan aturan atau tidak! Kesalahan paling umum adalah salah alamat / netmask, misalnya, 10.0.0.217/24 (salah), 10.0.0.217/32 (kanan), atau 10.0.0.0/24 (kanan).
Saya mencoba untuk menggunakan kebijakan routing berdasarkan alamat sumber dan menyamar, tapi tidak bekerja.
Paket menyamar memiliki alamat sumber 0.0.0.0 pada saat ketika mereka diproses sesuai dengan tabel routing. Oleh karena itu tidak mungkin untuk memiliki menyamar dengan alamat sumber yang berbeda. Lihat Rute Manual untuk informasi lebih lanjut.

Saran Jaringan Umum

Mengimplementasikan sebuah lingkungan di mana pengguna diminta untuk log on ke komputer menggunakan sumber daya. Ini memberikan dasar dari mana aktivitas yang mencurigakan dapat ditelusuri.
Memanfaatkan teknologi HotSpot. Melakukan hal menyediakan aman, akses sumber daya jaringan belum fleksibel untuk pengguna akhir.
Memberikan pelatihan yang cukup untuk pengguna akhir. Terutama pastikan bahwa pengguna menyadari bahaya tidak log off komputer mereka. Bahaya tersebut meliputi kemampuan dari pihak ketiga untuk duduk di "terbuka" komputer dan menganggap identitas pengguna. Orang yang tidak sah memiliki semua hak dan hak istimewa dari login user. Kegiatan yang mencurigakan akan ditelusuri kembali ke pengguna login, tidak kepada orang yang tidak sah.
Memanfaatkan aktivitas pengguna dan aktivitas sistem analisis log. Melakukan hal ini memungkinkan organisasi untuk mendeteksi aktivitas yang mencurigakan sebelum istirahat-in-besaran terjadi.
Beberapa struktur umum seperti perpustakaan, universitas, bandara dan beberapa sekolah memiliki "publik" komputer orang dapat menggunakan. Dalam rangka meminimalkan ancaman akses tidak sah ke sumber daya jaringan, instal komputer ini pada "publik" segmen jaringan, sehingga sumber daya jaringan internal tidak dapat dicapai tanpa otorisasi.
Aplikasi IP Firewall
Dalam bagian ini beberapa IP firewall aplikasi umum dan contoh dari mereka yang dibahas.
Dasar Firewall Prinsip Bangunan
Anggaplah kita memiliki router yang menghubungkan jaringan pelanggan ke Internet. Prinsip-prinsip bangunan firewall dasar dapat dikelompokkan sebagai berikut:
Perlindungan router dari akses yang tidak sah
Koneksi ke alamat yang ditugaskan ke router itu sendiri harus dipantau. Hanya akses dari host tertentu untuk port TCP tertentu router harus diizinkan.
Hal ini dapat dilakukan dengan menempatkan aturan dalam rantai masukan untuk mencocokkan paket dengan alamat tujuan dari router memasuki router melalui semua interface.
Perlindungan host pelanggan
Koneksi ke alamat yang ditugaskan ke jaringan pelanggan harus dipantau. Hanya akses ke host dan jasa tertentu harus diizinkan.
Hal ini dapat dilakukan dengan menempatkan aturan dalam rantai depan untuk mencocokkan paket melewati router dengan alamat tujuan jaringan pelanggan.
Menggunakan sumber NAT (menyamar) untuk 'Sembunyikan' Jaringan pribadi di belakang salah satu Alamat Eksternal
Semua koneksi membentuk alamat pribadi yang menyamar, dan muncul sebagai berasal dari satu alamat eksternal - yang dari router.
Hal ini dapat dilakukan dengan mengaktifkan tindakan yang menyamar untuk aturan sumber NAT.
Menegakkan Kebijakan Penggunaan Internet dari Jaringan Nasabah
Koneksi dari jaringan pelanggan harus dipantau.
Hal ini dapat dilakukan dengan menempatkan aturan dalam rantai depan, atau / dan dengan menyamar (sumber NAT) hanya mereka koneksi, yang diperbolehkan.
Penyaringan memiliki beberapa dampak pada kinerja router. Untuk menguranginya, aturan penyaringan yang sesuai paket untuk koneksi didirikan harus ditempatkan di atas rantai. Ini adalah paket TCP dengan pilihan non-syn-satunya.
Contoh pengaturan firewall dibahas di bawah.
Contoh Filter Firewall
Asumsikan kita ingin membuat firewall, bahwa:
melindungi router MikroTik dari akses yang tidak sah dari mana saja. Hanya akses dari 'terpercaya' jaringan 10.5.8.0/24 diperbolehkan.
melindungi host pelanggan dalam jaringan 192.168.0.0/24 dari akses yang tidak sah dari mana saja.
memberikan akses dari Internet ke http dan smtp layanan pada 192.168.0.17
Memungkinkan hanya ICMP ping dari host dan pasukan menggunakan semua pelanggan dari server proxy pada 192.168.0.17
Setup jaringan dasar dalam diagram berikut:
Alamat IP dan rute dari router MikroTik adalah sebagai berikut:
[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
  #   ADDRESS            NETWORK         BROADCAST       INTERFACE
  0   10.0.0.217/24      10.0.0.0        10.0.0.255      Public
  1   192.168.0.254/24   192.168.0.0     192.168.0.255   Local
[admin@MikroTik] > ip route print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, R - rip, O - ospf, B - bgp
    #    DST-ADDRESS        G GATEWAY         DISTANCE INTERFACE
    0  S 0.0.0.0/0          r 10.0.0.254      1        Public
    1 DC 192.168.0.0/24     r 0.0.0.0         0        Local
    2 DC 10.0.0.0/24        r 0.0.0.0         0        Public
[admin@MikroTik] >
Melindungi Router
Untuk melindungi router dari akses yang tidak sah, kita harus menyaring semua paket dengan alamat tujuan router, dan menerima hanya mereka yang diperbolehkan. Karena semua paket dengan tujuan ke alamat router diproses terhadap rantai masukan, kita dapat menambahkan aturan berikut untuk itu:
[admin@MikroTik] > ip firewall rule input
[admin@MikroTik] ip firewall rule input> add protocol=tcp tcp-option=non-syn-only \
\... connection-state=established comment="Allow established TCP connections"
[admin@MikroTik] ip firewall rule input> add protocol=udp comment="Allow UDP connections"
[admin@MikroTik] ip firewall rule input> add protocol=icmp comment="Allow ICMP messages"
[admin@MikroTik] ip firewall rule input> add src-addr=10.5.8.0/24 \
\... comment="Allow access from 'trusted' network 10.5.8.0/24"
[admin@MikroTik] ip firewall rule input> add action=reject log=yes \
\... comment="Reject and log everything else"
[admin@MikroTik] ip firewall rule input> print
Flags: X - disabled, I - invalid, D - dynamic
  0   ;;; Allow established TCP connections
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=tcp
      icmp-options=any:any tcp-options=non-syn-only
      connection-state=established flow="" connection="" content=""
      src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0
      limit-time=0s action=accept log=no
  1   ;;; Allow UDP connections
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=udp
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=accept log=no
  2   ;;; Allow ICMP messages
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=icmp
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=accept log=no
  3   ;;; Allow access from 'trusted' network 10.5.8.0/24 of ours
      src-address=10.5.8.0/24:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=all
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=accept log=no
  4   ;;; Reject and log everything else
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=all
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=reject log=yes
[admin@MikroTik] ip firewall rule input>
Dengan demikian, rantai masukan akan menerima hanya diperbolehkan koneksi dan menolak dan log segala sesuatu yang lain.
Melindungi Jaringan Nasabah
Untuk melindungi jaringan pelanggan, kita harus cocok dengan semua paket dengan alamat tujuan 192.168.0.0/24 yang melewati router. Hal ini dapat dilakukan dalam rantai depan. Kami dapat mencocokkan paket terhadap alamat IP dalam rantai depan, dan kemudian melompat ke yang lain rantai, katakanlah, pelanggan. Kami menciptakan rantai baru dan menambahkan aturan untuk itu:
[admin@MikroTik] ip firewall> add name=customer
[admin@MikroTik] ip firewall> print
  # NAME                      POLICY
  0 input                     accept
  1 forward                   accept
  2 output                    accept
  3 router                    none
  4 customer                  none
[admin@MikroTik] ip firewall> rule customer
[admin@MikroTik] ip firewall rule customer> add protocol tcp tcp-option non-syn-only \
\... connection-state=established comment="Allow established TCP connections"
[admin@MikroTik] ip firewall rule customer> add protocol udp \
\... comment="Allow UDP connections"
[admin@MikroTik] ip firewall rule customer> add protocol icmp \
\... comment="Allow ICMP messages"
[admin@MikroTik] ip firewall rule customer> add protocol tcp tcp-option syn-only \
\... dst-address 192.168.0.17/32:80 \
\... comment="Allow http connections to the server at 192.168.0.17"
[admin@MikroTik] ip firewall rule customer> add protocol tcp tcp-option syn \
\... dst-address 192.168.0.17/32:25 \
\... comment="Allow smtp connections to the server at 192.168.0.17"
[admin@MikroTik] ip firewall rule customer> add protocol tcp tcp-option syn \
\... src-port 20 dst-port 1024-65535 \
\... comment="Allow ftp data connections from servers on the Internet"
[admin@MikroTik] ip firewall rule customer> add action reject log yes \
\... comment="Reject and log everything else"
[admin@MikroTik] ip firewall rule customer> print
Flags: X - disabled, I - invalid
  0   ;;; Allow established TCP connections
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=tcp
      icmp-options=any:any tcp-options=non-syn-only
      connection-state=established flow="" connection="" content=""
      src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0
      limit-time=0s action=accept log=no
 
  1   ;;; Allow UDP connections
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=udp
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=accept log=no
 
  2   ;;; Allow ICMP messages
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=icmp
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=accept log=no
 
  3   ;;; Allow http connections to the server at 192.168.0.17
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=192.168.0.17/32:80 out-interface=all protocol=tcp
      icmp-options=any:any tcp-options=syn-only connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=accept log=no
 
  4   ;;; Allow smtp connections to the server at 192.168.0.17
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=192.168.0.17/32:25 out-interface=all protocol=tcp
      icmp-options=any:any tcp-options=syn-only connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=accept log=no
 
  5   ;;; Allow ftp data connections from servers on the Internet
      src-address=0.0.0.0/0:20 in-interface=all
      dst-address=0.0.0.0/0:1024-65535 out-interface=all protocol=tcp
      icmp-options=any:any tcp-options=syn-only connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=accept log=no
 
  6   ;;; Reject and log everything else
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=all protocol=all
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=reject log=yes
 
[admin@MikroTik] ip firewall rule customer>
Catatan tentang aturan # 5: sambungan data ftp aktif terbuat dari port server 20 ke port tcp klien atas 1024.
Yang harus kita lakukan sekarang adalah untuk menempatkan aturan dalam rantai maju, yang sesuai dengan alamat IP dari host pelanggan pada interface lokal dan melompat ke rantai pelanggan:
[admin@MikroTik] ip firewall rule forward> add out-interface=Local action=jump \
\... jump-target=customer
[admin@MikroTik] ip firewall rule forward> print
Flags: X - disabled, I - invalid
  0   src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=Local protocol=all
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=jump jump-target=customer log=no
 
[admin@MikroTik] ip firewall rule forward>
Dengan demikian, segala sesuatu yang melewati router dan meninggalkan antarmuka lokal (tujuan jaringan pelanggan) akan diproses terhadap aturan firewall dari rantai pelanggan.
Menegakkan "Kebijakan Internet"
Untuk memaksa tuan rumah pelanggan untuk mengakses internet hanya melalui proxy server di 192.168.0.17, kita harus menempatkan aturan dalam rantai maju berikut:
[admin@MikroTik] ip firewall rule forward> add protocol icmp out-interface Public \
\... comment="Allow ICMP ping packets"
[admin@MikroTik] ip firewall rule forward> add src-address 192.168.0.17/32 out-interface \
\... Public comment="Allow outgoing connections form the server at 192.168.0.17"
[admin@MikroTik] ip firewall rule forward> add action reject out-interface Public log yes \
\... comment="Reject and log everything else"
[admin@MikroTik] ip firewall rule forward> print
Flags: X - disabled, I - invalid
  0   src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=Local protocol=all
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=jump jump-target=customer log=no
 
  1   ;;; Allow ICMP ping packets
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=Public protocol=icmp
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=accept log=no
 
  2   ;;; Allow outgoing connections form the server at 192.168.0.17
      src-address=192.168.0.17/32:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=Public protocol=all
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=accept log=no
 
  3   ;;; Reject and log everything else
      src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=0.0.0.0/0:0-65535 out-interface=Public protocol=all
      icmp-options=any:any tcp-options=any connection-state=any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=reject log=yes
 
[admin@MikroTik] ip firewall rule forward>
Contoh Sumber NAT (Masquerading)
Jika Anda ingin "menyembunyikan" LAN pribadi 192.168.0.0/24 "di belakang" satu alamat 10.0.0.217 yang diberikan oleh ISP (lihat diagram jaringan di Contoh Aplikasi di atas), Anda harus menggunakan terjemahan alamat jaringan sumber (menyamar) fitur dari router MikroTik. The masquerading akan mengubah alamat IP sumber dan port dari paket berasal dari jaringan 192.168.0.0/24 ke alamat 10.0.0.217 router ketika paket yang diarahkan melalui itu.
Untuk menggunakan masquerading, aturan source NAT dengan action 'masquerade' harus ditambahkan pada konfigurasi firewall: n:
[admin@MikroTik] ip firewall src-nat> add action=masquerade out-interface=Public
[admin@MikroTik] ip firewall src-nat> print
Flags: X - disabled, I - invalid
  0   src-address=0.0.0.0/0:0-65535 dst-address=0.0.0.0/0:0-65535
      out-interface=Public protocol=all icmp-options=any:any flow=""
      connection="" content="" limit-count=0 limit-burst=0 limit-time=0s
      action=masquerade to-src-address=0.0.0.0 to-src-port=0-65535
 
[admin@MikroTik] ip firewall src-nat>
Semua koneksi keluar dari jaringan 192.168.0.0/24 akan memiliki alamat sumber 10.0.0.217 dari router dan sumber pelabuhan di atas 1024. Tidak ada akses dari internet akan dibuat ke alamat lokal. Jika Anda ingin mengizinkan koneksi ke server di jaringan lokal, Anda harus menggunakan tujuan Network Address Translation (NAT).
Contoh tujuan NAT
Asumsikan Anda perlu mengkonfigurasi router MikroTik untuk konfigurasi jaringan berikut, di mana server berada di area jaringan pribadi:
Gambar 15
Server memiliki alamat 192.168.0.4, dan kami menjalankan server web di atasnya yang mendengarkan port TCP 80. Kami ingin membuatnya dapat diakses dari Internet di alamat: port 10.0.0.217:80. Hal ini dapat dilakukan dengan cara tujuan Network Address Translation (NAT) di MikroTik Router. Alamat Umum: port 10.0.0.217:80 akan diterjemahkan ke alamat lokal: port 192.168.0.4:80. Salah satu tujuan NAT aturan diperlukan untuk menerjemahkan alamat tujuan dan port:
[admin@MikroTik] ip firewall dst-nat> add action=nat protocol=tcp \
\... dst-address=10.0.0.217/32:80 to-dst-address=192.168.0.4
[admin@MikroTik] ip firewall dst-nat> print
Flags: X - disabled, I - invalid
  0   src-address=0.0.0.0/0:0-65535 in-interface=all
      dst-address=10.0.0.217/32:80 protocol=tcp icmp-options=any:any flow=""
      connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0
      limit-burst=0 limit-time=0s action=nat to-dst-address=192.168.0.4
      to-dst-port=0-65535
 
[admin@MikroTik] ip firewall dst-nat>

0 komentar:

Posting Komentar