Scanning keamanan jaringan kali Linux dengan NMAP

pada tanggal
0

FIREWALL MANGLE PACKET-MARK

pada tanggal
FIREWALL MANGLE PACKET-MARK


    Hai, Actioners. Kembali lagi di temenkomputer. Pada tutorial kali ini saya akan menjelaskan tentang firewall mangle packet-mark dan cara penggunaanya.


~~~Enjoy the read~~~
Jenis marking 
3 Jenis marking pada router mikrotik :
  • Connection-Mark
  • Packet-Mark
  • Route-Mark


Packet-Mark
Packet-Mark adalah menandai kedua koneksi yang sama. Seperti koneksi dari jaringan lokal ke jaringan publik dan sebaliknya dari jaringan publik ke jaringan lokal.


Perbedaan Connection-Mark dan Packet-Mark
  • Connection-Mark
-Hanya satu koneksi dari jaringan lokal ke publik atau dari jaringan publik ke lokal.
-Seperti upload atau download.

  • Packet-Mark
-Kedua koneksi dari jaringan lokal ke publik dan dari jaringan publik ke lokal.
-Seperti upload dan download.


Topologi


Bahan dan alat
  1. Laptop/Komputer.
  2. Internet.
  3. Oracle VM VirtualBox. Download disini.
  4. CHR. Lihat disini.
  5. File ISO Windows. Download disini.
  6. File ISO Debian. Download disini.
  7. Winbox. Download disini.


Syarat
  1. Mengetahui cara remote RouterBoard via Winbox. Lihat disini.
  2. Mengetahui cara instalasi MikroTik di VirtualBox. Lihat disini.
  3. Mengetahui cara menginstall windows di virtualbox.
  4. Mengetahui cara mengubah IP static pada laptop windows. Lihat disini.
  5. Mengetahui cara mematikan firewall pada laptop windows. Lihat disini.
  6. Mengetahui cara instalasi debian. Lihat disini.
  7. Mengetahui cara konfigurasi firewall nat masquerade. Lihat disni.


Daftar isi
  1. Sesuai topologi.
  2. Packet IP Network.
  3. Packet IP Address.
  4. Packet File Server.


Langkah-langkah
A. Sesuai topologi
1. Pertama-tama, Pastikan CHR, Windows, dan Debian sudah terinstall di VirtualBox. Lalu, Ubah Adapter 1 pada CHR menjadi Bridge Adapter dengan memilih Name yang memiliki internet seperti Perangkat Wi-Fi saya yaitu Intel(R) Dual Band Wireless -AC 8265.


2. Kemudian, Ubah Adapter 2 menjadi Internal Network dengan nama misal R-to-Client-Ether2 pada CHR. 


3. Kemudian, Ubah Adapter 1 pada Client Ether2 menjadi Internal Network dengan nama yang sama seperti Adapter 2 di CHR. Agar dapat saling terhubung.


4. Kemudian, Ubah Adapter 1 pada Client Ether3 menjadi Internal Network dengan nama yang sama seperti Adapter 2 di CHR juga. Agar dapat saling terhubung.


5. Kemudian, Lihat informasi interfacenya.
Perintah : interface print

Keterangan :
-Terlihat bahwa terdapat ether1 dan ether2.
-Ether1 yaitu Bridge Adapter.
-Ether2 yaitu Internal Network.


7. Kemudian, Tambahkan dhcp-client untuk ether1 dan mengaktifkannya.
Perintah :
1 : ip dhcp-client add interface=ether1 disabled=no
2 : ip dhcp-client print

Keterangan :
-Terlihat bahwa ether1 mendapatkan ip address yaitu 192.168.43.85/24.


8. Kemudian, Tes koneksi ke internet misal google.com.
Perintah : ping google.com
Keterangan :
-Terlihat bahwa hasilnya statusnya kosong artinya tidak ada masalah koneksi.
-Itu artinya ether1 berhasil terkoneksi ke internet sehingga router pun terkoneksi ke internet.


9. Kemudian, Tambahkan ip address untuk ether2. Lalu, Lihat informasinya.
Perintah :
1 : ip  address  add  address=172.16.255.1/24  interface=ether2
2 : ip  address  print

Keterangan :
-Terlihat bahwa hasilnya yaitu ether2 dan ether3 sudah berhasil ditambahkan ip address yaitu 172.16.255.1./24 dan 172.17.255.1/24.


8. Kemudian, Pastikan router sudah terkonfigurasi Firewall NAT Masquerade. Lalu, Ubah ip address pada client 1 yaitu Windows Virtual menjadi 172.16.255.2/24, gateway 172.16.255.1, dns server 172.16.255.1.


9. Kemudian, Tes koneksi ke internet misal google.com.
Perintah : ping  google.com

Keterangan :
-Terlihat bahwa hasilnya Reply seperti gambar berikut artinya sudah berhasil terkoneksi.


10. Kemudian, Ubah IP Static pada enp0s3 (Adapter 1) menjadi address 172.17.255.2/34, gateway 172.17.255.1, dan dns server 172.16.255.1. Lalu, Simpan dengan restart networking. Lalu, Lihat informasi ip addressnya.
Perintah :
1 : nano  /etc/network/interfaces
2 : /etc/init.d/networking  restart
3 : ip  address


11. Kemudian, Tes koneksi ke internet misal ke dns google.com.
Perintah : ping  8.8.8.8


B. Packet IP Network
12. Selanjutnya, Tambahkan konfigurasi mangle packet-mark untuk memisahkan paket upload dan download pada network tersebut. Lalu, Lihat informasinya.
Perintah :
rule 1 : ip  firewall  mangle  add  chain=prerouting  in-interface=ether2  src-address=172.16.255.0/24  new-connection-mark=network-connect  action=mark-connection  passthrough=yes
rule 2 : ip  firewall  mangle  add  chain=prerouting  connection-mark=network-connect   in-interface=ether1    new-packet-mark=network-connect-download  action=mark-packet  passthrough=no
rule 3 : ip  firewall  mangle  add  chain=prerouting  connection-mark=network-connect   in-interface=ether2    new-packet-mark=network-connect-upload  action=mark-packet  passthrough=no

Keterangan :
-Konfigurasi hampir sama seperti mangle connection-mark sebelumnya.
-Passthrough digunakan agar rule dapat digunakan ke rule berikutnya.
-Connection-mark=network-connect. Untuk menggunakan rule mangle connection-mark tersebut ke mangle packet-mark ini.
-Terlihat bahwa rule telah ditambahkan sesuai konfigurasi.


13. Kemudian, Amati perubahan packet pada mangle dengan tampilan GUI.


C. Packet IP address
14. Kemudian, Tambahkan konfigurasi mangle packet-mark untuk memisahkan paket upload dan download pada masing-masing ip tersebut. misal: 172.16.255.2 dan 172.16.255.3. Lalu, Lihat informasinya.
Perintah :
rule 1 : ip  firewall  mangle  add  chain=prerouting  in-interface=ether2  src-address=172.16.255.2  new-connection-mark=ip.2-connect  action=mark-connection  passthrough=yes
rule 2 : ip  firewall  mangle  add  chain=prerouting  connection-mark=ip.2-connect   in-interface=ether1    new-packet-mark=ip.2-connect-download  action=mark-packet  passthrough=no
rule 3 : ip  firewall  mangle  add  chain=prerouting  connection-mark=ip.2-connect   in-interface=ether2    new-packet-mark=ip.2-connect-upload  action=mark-packet  passthrough=no

Keterangan :
-Konfigurasinya sama seperti sebelumnya. yang membedakan hanyalah ipnya saja.
-Dan anda dapat menamai packet-mark atau connection-mark tersebut dengan nama yang sama seperti sebelumnya atau dapat juga diubah.
-Terlihat juga bahwa hasilnya sesuai dengan yang dikonfigurasi.



15. Kemudian, Tambahkan konfigurasi mangle packet-mark juga untuk ip 172.16.255.3. Lalu, Lihat informasinya.
Perintah :
rule 1 : ip  firewall  mangle  add  chain=prerouting  in-interface=ether2  src-address=172.16.255.3  new-connection-mark=ip.3-connect  action=mark-connection  passthrough=yes
rule 2 : ip  firewall  mangle  add  chain=prerouting  connection-mark=ip.3-connect   in-interface=ether1    new-connection-mark=ip.3-connect-download  action=mark-packet  passthrough=no
rule 3 : ip  firewall  mangle  add  chain=prerouting  connection-mark=ip.3-connect   in-interface=ether2    new-connection-mark=ip.3-connect-upload  action=mark-packet  passthrough=no


16. Kemudian, Amati pengubahan packet pada mangle tampilan GUI.


D. Packet File Server
17. Selanjutnya, Hapus semua konfigurasi mangle yang ada.
Perintah : ip firewall mangle remove numbers=0,1,2,3,4,5,6,7,8


18. Kemudian, Tambahkan mangle connection-mark dengan port dan ekstensi tertentu. misal: .iso, .pdf, .exe.
Perintah :  
1 : ip  firewall  mangle  add  chain=prerouting  in-interface=ether2  src-address=172.16.255.0/24  protocol=tcp dst-port=20,21,443  content=.iso  new-connection-mark=https-.iso-.pdf.exe-connect  action=mark-connection passthrough=yes
2 : ip  firewall  mangle  add  chain=prerouting  in-interface=ether2  src-address=172.16.255.0/24  protocol=tcp dst-port=20,21,443  content=.pdf  new-connection-mark=https-.iso-.pdf-.exe-connect  action=mark-connection passthrough=yes
3 : ip  firewall  mangle  add  chain=prerouting  in-interface=ether2  src-address=172.16.255.0/24  protocol=tcp dst-port=20,21,443  content=.exe  new-connection-mark=https-.iso-.pdf-.exe-connect  action=mark-connection passthrough=yes
4 : ip  firewall  mangle  print

Keterangan :
-connection-mark tersebeut merupakan connection-mark yang sama.


19. Kemudian, Tambahkan mangle packet-mark dengan menggunakan connection-mark sebelumnya.
Perintah :
1 : ip  firewall  mangle  add  chain=prerouting  connection-mark=https-.iso-.pdf-.exe-connect  in-interface=ether1  new-packet-mark=https-.iso-.pdf-.exe-connect-download  action=mark-packet
2 : ip  firewall  mangle  add  chain=prerouting  connection-mark=https-.iso-.pdf-.exe-connect  in-interface=ether2  new-packet-mark=https-.iso-.pdf-.exe-connect-upload  action=mark-packet


20. Kemudian, Tambahkan konfigurasi mangle packet-mark dengan connection-mark semua ip yang ada di ether2.


21. Kemudian, Amati pengubahan packet pada tampilan firewall mangle GUI.

Keterangan :
-Passthrough=yes semua. Karena passthrough tidak disetting. Passthrough secara default yaitu yes.
-Pada firewall mangle packet mark dengan port dan eksetensi yang dibuat tidak mengalami pengubahan packet. Karena belum ada akses dari client ke https dengan ekstensi tersebut.
-Dibuatnya connection-mark all-ip-connect tersebut yaitu agar kita mengetahui client tidak mengakses ekstensi tersebut apakah karena tidak terkoneksi ke jaringan kita atau karena tidak mengakses meskipun sedang menggunakan jaringan kita.


~~~Sekian dan terima kasih~~~

Komentar

Posting Komentar