by: CITRAWEB SOLUSI TEKNOLOGI, PT
Aturan | Tentang Kami | Kontak Kami

Artikel

Implementasi Connection State di Firewall

Kamis, 5 Januari 2023, 09:55:06 WIB
Kategori: Fitur & Penggunaan

Setiap trafik yang ada di jaringan dan melalui router MikroTik maka akan mendapat sebuah 'pelabelan' pada paket datanya. Proses pelabelan ini terjadi di fitur firewall -> connection tracking.

Connection tracking ini sendiri merupakan fitur yang melakukan management trafik yang mana nantinya untuk mendukung kebutuhan di jaringan, khususnya proses NAT. Pada connection tracking akan dilakukan listing berupa beberapa informasi seperti Src.Address, Dst.Address, Src.Port, Dst.Port, Protocol, dan juga termasuk Connection-State.

Saat ini ada beberapa jenis connection state yang akan dilabelkan pada paket data yang di antaranya:

  • New - merupakan paket data yang mengawali sebuah koneksi.
  • Established - merupakan paket kelanjutan dari paket dengan status new.
  • Related - paket pembuka sebuah koneksi baru, tetapi masih berhubungan dengan koneksi sebelumnya. Sebagai contoh untuk koneksi FTP yang mana terdapat 2 koneksi yang terbentuk yaitu untuk control-connection menggunakan TCP/21 dan proses transfer data mengggunakan TCP/20
  • Invalid - merupakan paket yang tidak dimiliki oleh koneksi apapaun.
  • Untracked - paket yang di bypass dan efek dari konfigurasi di Firewall Raw dengan action=no track.

Dengan adanya connection state tersebut, kita bisa memanfaatkan untuk membuat filtering trafik fi firewall filter. Sebagai contoh kasus adalah kita bisa menerapkan kebijakan di jaringan yaitu ada dua jaringan yang berbeda segment dan kita ingin satu network tidak bisa komunikasi ke network yang lain, sedangkan network yang lain bisa akses ke network tersebut.

Jika kita setting tanpa ada tambahan parameter connection-state pada rule firewall maka komunikasi di kedua network tidak bisa dilakukan.

Konfigurasi

Untuk konfigurasi rule firewall yang bisa ditambahkan cukup mudah. Kita hanya membutuhkan satu rule firewall filter untuk kebutuhan di atas. Rule yang bisa ditambahkan seperti berikut:

chain=forward action=drop connection-state=new src-address=172.16.1.0/24 dst-address=192.168.30.0/24

 

Pada rule di atas kita tambahkan parameter connection-state = NEW untuk koneksi yang berasal dari network 172.16.1.0/24 ke 192.168.30.0/24. Dengan connection-state = new ini dipilih supaya ketika ada trafik respon (Established, Related) yang berasal dari 172.16.1.0/24 dan awalnya merupakan trafik request dari 192.168.30.0/24 tidak ikut terfilter. Sehingga komunikasi dari network 192.168.30.0/24 tetap bisa berjalan.

Selain itu juga direkomendasikan untuk melakukan 'DROP' paket data dengan connection-state = INVALID. Paket ini umumnya merupakan paket-paket rusak, paket yang mempunnyai sequence number ACK yang salah, atau bisa juga paket yang terkena 'drop' dari proses queue. Dalam jaringan paket ini tidak akan masuk dalam proses NAT namun masih memiliki informasi alamat asal (Src.Address).

Untuk itu perlu dilakukan drop paket tersebut dengan firewall filter pada chain = forward dan chain = input. Contoh rule-nya:

 0    chain=forward action=drop connection-state=invalid log=no log-prefix=""

 1    chain=input action=drop connection-state=invalid log=no log-prefix=""



Sulih Tiyo Adi (TSO)

Kembali ke :
Halaman Artikel | Kategori Fitur & Penggunaan