Belajar Mikrotik: Implementasi Routing Table Matcher pada Firewall

Implementasi Routing Table Matcher pada Firewall


Jika berbicara tentang koneksi internet, saat ini telah berkembang jenis koneksi lokal dan international. Koneksi lokal tersebut biasanya berkembang di suatu daerah / negara guna mendukung percepatan dan menekan cost pertukaran informasi  antar host di dalamnya. Implementasi yang dilakukan biasanya dengan menghubungkan (routing) antar ISP, sehingga semua saling terkoneksi. Di Indonesia sendiri saat ini terdapat IIX (Indonesia Internet eXchange) dan OpenIXP (open Internet eXchange Point) guna mempercepat pertukaran informasi untuk server/host yang berada di Indonesia. 

Dengan adanya pembagian koneksi tersebut telah banyak ISP yang menerapkan kapasitas bandwidth yang berbeda antara lokal (IIX) dengan kapasitas untuk international. Biasanya bandwidth yang menuju ke IIX / OpenIXP lebih besar dibanding bandwidth international. Pada sisi pelanggan kerap kali masih menemui kendala untuk dapat melakukan manajemen kedua traffic tersebut, dimana harus dipisahkan antara IIX dan international baik untuk bandwidth ataupun hak akses PC LAN. 

Pada Router Mikrotik sendiri telah memiliki fitur untuk dapat menghandle kondisi tersebut. Salah satu fitur yang telah banyak digunakan adalah dengan melakukan pendataan semua alamat IP yang tergabung pada exchange tersebut. Jika di Indonesia telah terdapat sebuah file Nice.rsc yang berisi semua alamat IP Public yang tergabung dalam IIX. Dengan menggunakan Address-List=Nice tersebut kita bisa secara fleksible membuat Queue atau Firewall. Contoh penerapannya bisa dilihat pada artikel kami Simple Queue, memisahkan bandwidth Lokal dan International

Sebagai alternatif lain, pada firewall saat ini terdapat sebuah matcher untuk membantu menentukan traffic IIX berdasarkan routing table tanpa menggunakan Address-List Nice.rsc . Mathcer tersebut adalah "Routing-table"

 

Parameter ini akan tepat digunakan ketika ISP memberikan langsung informasi full route ke arah IIX, misalnya menggunakan BGP. Parameter Routing Table ini akan membantu kita dalam menangkap traffic berdasarkan Dst-Address yang masuk dalam sebuah routing table. 

Contoh Kasus

Sebagai contoh kasus terdapat sebuah topologi sebagai berikut;

 

Router Client  memiliki 2 gateway, satu untuk ke arah IX (international) dan satu lagi untuk ke arah IIX (local). Client mendapatkan informasi routing ke arah IIX melalui BGP Peer ke arah ISP. Sedangkan untuk routing ke arah international bisa diwakili langsung dengan dst-address=0.0.0.0/0. Pada saat BGP Peer sudah terbentuk maka Router Client akan mendapatkan informasi Routing dengan flag DAb seperti gambar berikut ;

 

Secara default, semua routing tersebut masuk ke dalam routing table Main. Selanjutnya informasi Routing ini bisa dimasukkan ke dalam routing table baru untuk kebutuhan firewall nantinya. Cara untuk memasukkan routing BGP ke dalam table routing baru bisa menggunakan Routing Filter dengan memanfaatkan parameter set-routing-mark , sebagai contoh dimasukkan ke dalam table routing= IIX seperti berikut : 

Gambar Pengaturah Routing Filter 

Kemudian set Routing Filter tersebut pada BGP Peer yang digunakan ; 

[admin@R-Client] > /routing bgp peer set peer1 in-filter=bgp1 

Dengan begitu semua DAb pada Route List akan memiliki routing-mark=IIX

 

Agar traffik dari PC LAN yang menuju ke IIX dapat menggunakan gateway yang sesuai, maka perlu ditambahkan Route Rule dengan src-address=IP LAN seperti berikut 

 


Firewall Matcher Routing Table

Setelah langkah tersebut selesai, kita bisa menggunakan parameter firewall routing-table=IIX untuk menangkap traffic yang tujuannya masuk dalam routing table=IIX. Sebagai contoh misalnya terdapat sebuah PC yang tidak boleh mengakses website international, hanya boleh mengakses website lokal (IIX). Maka bisa ditambah sebuah rule firewall berikut 

 

Apa bedanya dengan Route-Mark ?

Pada firewall sebelumnya kita telah mengenal matcher routing-mark yang juga kita bisa isi dengan nama sebuah routing table, misal Routing Mark=IIX . Fungsi ini juga sudah sering digunakan untuk melakukan penentuan sebuah traffic akan dilewatkan ke routing table mana, yakni dengan parameter action=mark-routing new-routing-mark=(nama routing table).

Namun ternyata sistem firewall dan routing itu terpisah, sehingga jika pengaturan dilakukan seperti pada artikel ini, pengelompokan tabel Routing terjadi pada sistem Routing, traffic tersebut tidak akan tertangkap ketika kita menggunakan matcher Routing-Mark. 

 

Traffic tersebut hanya akan tertangkap jika kita menggunakan matcher Routing-Table

 

Dengan kata lain sebenarnya matcher Routing Table pada Firewall ini menjembatani pembacaan traffic antara sistem routing dengan firewall pada Mikrotik, sehingga firewall bisa menginspeksi paket yang terjadi di proses routing. 

Share this

Related Posts

Previous
Next Post »