Hell Yeah Pointer 6 Lab 6.13 Firewall Mangle - Pelajar TKJ

Lab 6.13 Firewall Mangle

Mei 26, 2021

Firewall Mangle 

Mangle adalah fitur yang ada pada mikrotik yang digunakan untuk menandai (marking) pada sebuah paket data. Bertujuan agar paket data mudah dikenali.

Didalam firewall mangle terdapat 3 jenis marking yang bisa digunakan :

  • Connection Mark

Connection Mark bekerja dengan melakukan penandaan sebuah paket pertama yang keluar dari client ataupun paket hasil respons dari web server.

Langkah konfigurasi :
1. Lakukan konfigurasi connection-mark (Marking HTTP)
Perintah : ip firewall mangle add chain=prerouting src-address=192.168.10.2 protocol=tcp dst-port=80 in-interface=ether2 action=mark-connection new-connection-mark=client-http

  • chain prerouting digunakan untuk melakukan marking paket yang akan keluar atau melalui router.
  • src-address adalah sumber berasalnya paket tersebut.
  • protocolnya tcp dan dst-port 80 digunakan karena kita akan melakukan marking pada web yang menggunakan HTTP.
  • in-interface yang digunakan adalah tempat masuknya paket yang berasal dari client
  • action digunakan untuk menandai koneksi.
  • sedangkan new-connection-mark digunakan untuk penamaan paket tersebut.

2. Kemudian lakukan pengetasan dengan mengkases web  yang menggunnakan port 80, disini saya mengakses web http://kartolo.sby.datautama.net.id/

3. Kemudian lakukan pengecekan pada bagian gui firewall mangle dan lihatlah perubahan paket yang terjadi pada marking connection-mark tersebut.


Connection-mark (marking content)

4. Setelah itu kita akan coba melakukan marking berdasarkan content.
Perintah : ip firewall mangle add chain=prerouting src-address=192.168.10.2 protocol=tcp content=.iso dst-port=80 in-interface=ether2 action=mark-connection new-connection-mark=client-http-content

5. Kemudian lakukan download file dengan extention .iso pada web yang menggunakan port 80 atau pada web seperti diatas

6. Kemudian lihat pada bagian gui konfigurasi mangle, dapat terlihat perubahan pada paket yang ditandai saat kita melakukan download file dengan extention .iso

7. Aktifkan juga passthrough pada konfigurasi firewall pertama, agar paket dapat diteruskan ke rule berikutnya.

  • Packet Mark
Packet mark digunakan untuk menandai semua paket yang memiliki connection . Packet mark juga membutuhkan connection mark sebagai parameter.

Konfigurasi packet mark (all traffic)



1. Lakukan konfigurasi packet mark untuk memisahkan traficc download dan upload.
Perintah :
rule1 ip firewall add chain=prerouting src-address=192.168.1.0/24 in-interface=ether2 action=mark-connection new-connection-mark=All-client-connect passthrough=yes
rule 2 : ip firewall add chain=prerouting connection-mark=All-client-connect in-interface=ether1 action=mark-packet new-packet-mark=All-client-download passthrough=no
rule 3ip firewall add chain=prerouting connection-mark=All-client-connect in-interface=ether2 action=mark-packet new-packet-mark=All-client-upload passthrough=no

2. Kemudian akses koneksi internet dan perhatikan perubahan yang terjadi pada bagian packet yang ditandai

Konfigurasi packet mark (masing masing client dan pisah traffic upload dan download)

1. Lakukan konfigurasi packet mark untuk memisahkan traficc download dan upload pada masing masing client.
Perintah :
rule1 ip firewall add chain=prerouting src-address=192.168.1.2 in-interface=ether2 action=mark-connection new-connection-mark=All-client-connect passthrough=yes
rule 2ip firewall add chain=prerouting connection-mark=All-client-connect in-interface=ether1 action=mark-packet new-packet-mark=All-client-download passthrough=no
rule 3ip firewall add chain=prerouting connection-mark=All-client-connect in-interface=ether2 action=mark-packet new-packet-mark=All-client-upload passthrough=no

2. Konfigurasi rule packet mark untuk client kedua.
Perintah :
rule1 ip firewall add chain=prerouting src-address=192.168.1.3 in-interface=ether2 action=mark-connection new-connection-mark=All-client-connect passthrough=yes
rule 2ip firewall add chain=prerouting connection-mark=All-client-connect in-interface=ether1 action=mark-packet new-packet-mark=All-client-download passthrough=no
rule 3ip firewall add chain=prerouting connection-mark=All-client-connect in-interface=ether2 action=mark-packet new-packet-mark=All-client-upload passthrough=no

3. Kemudian lakukan akses internet dan lihat perubahan packet dan yang ditandai.

Konfigurasi packet mark (Marking port dan extensi)

1. Konfigurasi rule firewall mangle untuk menandai paket yang menggunakan port dan extention tertentu.
Perintah : 
Rule 1:ip firewall mangle add chain=prerouting scr-address=192.168.1.0/24 protocol=tcp dst-port=20,21,443 in-interface=ether2 content=.iso action=mark-connection new-connection-mark=extentionfile_conn passthrough=yes

2. Konfigurasi packet mark untuk mark-connection yang sudah dibuat sebelumnya.
Perintah :
rule 1: ip firewall mangle add chain=prerouting in-interface=ether2 connection-mark=extentionfile_conn action=mark-packet new-packet-mark=file-upload

rule 2 : ip firewall mangle add chain=prerouting in-interface=ether1 connection-mark=extentionfile_conn action=mark-packet new-packet-mark=file-download

3. Konfigurasi mark-connection dan packet mark untuk  memisahkan traffic upload dan download.
Perintah : 
rule 1 :ip  firewall mangle add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=All-client-connect passthrough=yes

rule 2 : ip firewall mangle add chain=prerouting in-interface=ether1 connection-mark=All-client-connect action=mark-packet new-packet-mark=All-client-download passthrough=no

rule 3 : ip firewall mangle add chain=prerouting in-interface=ether2 connection-mark=All-client-connect action=mark-packet new-packet-mark=All-client-upload passthrough=no

4. Kemudian akses web yang menggunakan port tersebut dan lihatlah perubahan pada paket mangle. Karena saya tidak melakukan akses web dengan port tersebut maka tidak terjadi perubahan paket, hanya terjadi perubahan paket pada connection-mark All client saja.

  • Routing mark

Routing mark berfungsi untuk menentukan jalur yang akan dilalui paket.

Konfigurasi routing mark ( Pemisahan jalur internasional dan jalur local )


1. Lakukan konfigurasi IP address untuk terkoneksi dengan ISP baik ISP A maupun ISP B.

2. Konfigurasi dns untuk ISP A dan ISP B.

3. Konfigurasi gateway menggunakan IP Internasional

4. Kemudian konfigurasi firewall nat agar client dapat terkoneksi dengan internet.

5. Lakukan download dan import file yang berisi daftar ip local supaya router dapat mengetahui mana saja yang merupakan IP local.

6. Kemudian cek pada tabel address-list, akan terlihat daftar IP local yang ada diindonesia

7. Konfigurasi mark-routing untuk menandai paket yang melalui jalur internasional maupun local.
Perintah : 
rule 1 :ip  firewall mangle add chain=prerouting scr-address=10.10.10.0/24 in-interface=ether3 dst-address-list=nice action=mark-routing new-routing-mark=paket-local
rule 2 :ip  firewall mangle add chain=prerouting scr-address=10.10.10.0/24 in-interface=ether3 dst-address-list=!nice action=mark-routing new-routing-mark=paket-Int

8. Kemudian lakukan pemisahan gateway untuk kedua paket tersebut.
Perintah : ip route add gateway=192.168.43.1 distance=1 routing-mark=paket-int
ip route add gateway=192.168.100.1 distance=1 routing-mark=paket-local


Konfigurasi routing mark ( Pemisahan jalur untuk website tertentu )

1. Konfigurasi firewall mangle.
Perintah : ip firewall mangle add chain=prerouting scr-address=10.10.10.0/24 in-interface=ether2 content=facebook action=mark-routing
Kemudian arahkan routing mark yang sudah dibuat ke IP route intenasional.
Perintah : ip route set number=1 routing-mark=FB

Konfigurasi routing mark ( Pemisahan jalur ISP )
1. Konfigurasi firewall mangle dan arahkan scr-addressnya ke IP client yang diinginkan.
Perintah : ip firewall mangle add chain=prerouting scr-address=10.10.10.2 action=mark-routing new-routing-mark="ISP A" passthrough=no

2. Konfigurasi IP route dan arahkan routing-mark dengan yang sudah dibuat dan tentukan gateway ISP tersebut.
Perintah : ip route add routing-mark="ISP A" gateway=192.168.43.1

3. Kemudian lakukan pengujian pada client yang menggunakan IP 10.10.10.2

4. Lakukan pengujian ping terhadap 2 gateway ISP tersebut dan dapat dilihat client tersebut hanya dapat terhubung dengan gateway dari ISP A.

5. Jika kita lakukan pengujian pada client yang menggunakan IP 10.10.10.3

6. Lalu kita ping terhadap 2 gateway maka hasilnya client tersebut hanya terhubung dengan gateway yang ada pada ISP B.


Post a Comment

Tidak ada komentar

Langganan: Posting Komentar ( Atom )
Diberdayakan oleh Blogger.