Ketika melakukan setting / edit firewall di mikrotik via remote, tidak jarang kita sering melupakan keamanan diri sendiri agar tetap bisa terhubung ke mikrotik router tersebut. Terkunci nya mikrotik disebabkan karena adanya rule firewall yang memblock akses ke service yang dituju ke mikrotik tersebut, yang dalam hal ini kita maksudkan adalah hubungan (koneksi) dari luar router ke dalam router (ex: winbox, telnet, ssh, web, proxy, dsb).
Rule yang dimaksud diatas (yang memblock) terjadi karena letak input total yang di drop berada di atas service input lainnya (tcp, udp, dan icmp).
perhatikan rule berikut ini:
[berret@Router_GreenNet] > ip firewall filter print
0 chain=input action=drop
1 chain=input protocol=tcp action=accept
2 chain=input protocol=udp action=accept
Rule tersebut diatas akan mengakibatkan semua jalur yang menghubungi service pada mikrotik akan diblockir (winbox, telnet, ssh, dsb). Dengan demikian jalan satu-satunya adalah dengan cara mengeditnya secara manual didalam mikrotik itu sendiri, bagi yang belum terbiasa menggunakan mikrotik dengan tampilan Non-GUI tentu saja akan merasa kurang nyaman.
Disini akan dibahas bagaimana mencegah agar winbox agar tidak terkunci ketika melakukan pengeditan firewall. Ada dua cara yang bisa dipakai. Cara yang pertama adalah:
A. Copy dan pastekan rule berikut pada terminal mikrotik:
/ ip firewall filterPada tampilan IP > FIREWALL > FILTER akan terlihat seperti pada gambar berikut ini:
add chain=input dst-address=255.255.255.255 protocol=udp dst-port=5678 \
in-interface=LAN action=accept comment="recovery winbox via local"
Letakkan Rule tersebut pada bagian paling atas diantara rule chain input lainnya, jika sewaktu-waktu kita tidak sengaja mengunci service input, kita masih tetap bisa menggunakan winbox dan memperbaiki kesalahan yang terjadi sebelumnya.
Jika terjadi kesalahan sebagaimana yang telah diterangkan diatas, maka penggunaan winbox (yang dalam hal ini berlaku hanya untuk via local) adalah bukan dengan mengisikan ip address tetapi dengan melakukan pengisian mac address pada kolom "connect to:". Untuk mendapatkan mac address tekan tombol gambar titik tiga disebelah tombol "connect". Lihat gambar:
Kemudian login seperti biasa, perbaiki kesalahan input service yang telah dilakukan sebelumnya.
Beda halnya jika kita melakukan remote winbox dengan jarak jauh, tentu saja dengan cara diatas tidak akan bisa dilakukan, mengingat service diatas hanya untuk jaringan local. Ini bisa dilakukan dengan cara yang kedua, yaitu dengan menggunakan list IP-Address untuk di accept service pada ip yang dituju.
B. Copy-Pastekan command line berikut pada terminal mikrotik:
/ ip firewall address-list
add list=ipku address=182.0.0.0/12
add list=ipku address=114.120.0.0/13
/ ip firewall filter
add chain=input protocol=tcp dst-port=8291 \
src-address-list=ipku action=accept
Pada tulisang yang berwarna merah dapat diganti dengan ip anda dimana saat ini anda menggunakan ip address tersebut utk melakukan remote winbox ke microtik anda. Ip tersebut diatas yang berwarna merah adalah IP telkomsel, dimana saya menggunakan modem HP flash milik telkomsel untuk menghubungkan ke mikrotik router saya. Slah yang digunakan diatas menggunakan slash besar karena ip telkomsel adalah ip dinamis yang selalu berganti. Anda dapat menyesuaikan kondisi ip address anda sendiri.
Dengan cara yang kedua ini lebih efisien dipakai, karena selain bisa dipakai dalam kondisi WAN (publik) juga bisa dipakai dalam akses LAN, dengan cara menambahkan ip address LAN anda sendiri di dalam list ip-address diatas (ex: 192.169.10.0/24). Dan cara penggunaannya pun bisa dipakai secara langsung dengan mengisi ip address publik mikrotik anda tanpa menggunakan mac-address. Lihat gambar berikut:
Letakkan rule yang baru dibuat tadi ke bagian atas dari service input lainnya. Dengan cara menambahkan rule ini di bagian firewall mikrotik, kita tidak akan diblock lagi oleh mikrotik milik kita sendiri, ketika melakukan kesalahan dalam setting / edit firewall.
Salam Codet.
No comments:
Post a Comment