MikroTik Firewall pt.4 : Mangle, Pengenalan & Connection Mark

FIREWALL MANGLE

Firewall Mangle fungsinya untuk memberi tanda (mark) pada paket data dan koneksi tertentu. Tujuan nya sendiri adalah agar paket data lebih mudah dikenali. Dengan menggunakan Firewall Mangle (Marking) pada Router MikroTik ini, akan memudahkan dalam mengelola sebuah paket data. Misalnya, menerapkan marking pada firewall filter, NAT, Routing. Fitur Mangle ini hanya bisa digunakan pada router MikroTik itu sendiri dan tidak dapat digunakam oleh router lain. Karena marking tersebut akan dilepas pada saat paket data akan keluar / meninggalkan router.

Di dalam Firewall Mangle ini, ada 3 jenis Marking yang bisa kita gunakan, yaitu

  • Connection Mark (Penandaan pada Koneksi)
  • Packet Mark (Penandaan pada paket data)
  • Routing Mark (Penandaan pada Routing)

Kita langsung saja pada pembahasan marking yang pertama, yaitu Connection Mark

CONNECTION MARK

Seperti yang saya jelaskan sebelumnya, Connection Mark ini berfungsi untuk menandai sebuah Koneksi. Connection Mark bisa digunakan untuk memberikan tanda atau marking pada paket pertama yang dikeluarkan oleh Client ataupun Paket Response yang pertama dikeluarkan oleh Web Server

image252
Connection Mark

Bisa kita lihat gambar diatas, Client melakukan Request HTTP terhadap suatu Web Server. Terlihat pada gambar diatas, Request dari Client tersebut memiliki 3 paket, pada connection mark ini yang ditandai adalah paket yang pertama keluar dari Client, untuk paket ke dua dan ke tiga tidak ditandai. Begitu juga pada paket Response dari Web Server, paket yang pertama keluar dari Web Server tersebut yang akan ditandai.

Sekarang, kita akan melakukan percobaan. Kita akan melakukan konfigurasi Connection Markpada topologi dibawah ini :

image253
Contoh Topologi u/ Konfig. Connection Mark

Kita akan melakukan Connection Marking pada interface ether2 yang melakukan aktifitas browsing HTTP. Perintah text (CLI) nya adalah sebagai berikut

  • ip firewall mangle add chain=prerouting src-address=13.13.13.2 protocol=tcp dst-port=80 in-interface=ether2 action=mark-connection new-connection-mark=browsing

Keterangan :

  • chain=prerouting = chain yang digunakan untuk melakukan marking pada paket yang akan keluar / melintasi router
  • src-address = sumber yang mengeluarkan paket
  • protocol=tcp port=80 = karena kita akan melakukan marking pada aktifitas HTTP, maka menggunakan protocol tcp dan port HTTP yaitu 80
  • in-interface=ether2 = masuk melalui interface ether2
  • action=mark-connection= untuk menandai koneksi
  • new-connection-mark=browsing nama
image254
Konfigurasi Connection Mark (CLI)

Jika melalui WinBox (GUI), klik menu IP –> Firewall –> tab Mangle –> + (add) lalu lakukan konfigurasi seperti gambar dibawah ini

image255
Konfigurasi Conn. Mark melalui WinBox

Untuk melakukan pengecekan, bisa kita lihat pada menu IP –> Firewall –> Mangle­ lalu lihat di bagian Packets. Setelah itu, kita test melakukan browsing, misalnya membuka website intra.id

image256
Counter Packets

Bisa kita lihat dibagian Packets , PC Client membuat beberapa koneksi saat membuka website tersebut. Koneksi tersebut digunakan untuk membuka content misalnya gambar atau link pada website tersebut.

Kita juga bisa melakukan marking sesuai dengan content yang diakses user. Misalnya, melakukan connection marking pada content file berekstensi .rar. Untuk melakukan konfigurasi nya hampir sama seperti sebelumnya. Hanya saja, disini kita akan menambahkan perintah content. Langsung saja ke langkah konfigurasi nya :

  • ip firewall mangle add chain=prerouting src-address=13.13.13.2 protocol=tcp port=80 content=.rar action=mark-connection new-connection-mark=download_rar

Kita cek menggunakan perintah ip firewall mangle print detail

image257
Konfigurasi Conn. Mark download_rar

Kita juga perlu memperhatikan perintah passtrough, jika passtrough pada rule pertama (0) adalah no , maka marking pada paket data tidak akan dilanjutkan pada rule selanjutnya. Jika passtrough=yes marking akan dilanjutkan pada rule selanjutnya. Agar lebih jelas, kita akan coba melakukan download file berekstensi rar.

 

image258

Koneksi yang dibuat IDM

IDM membuat 8 Koneksi pada saat mendownload file diatas

Jika passtrough pada rule pertama (no index 0) adalah no

image259
passtrough=no

Jika passtrough pada rule pertama (no index 0) adalah yes

image260
passtrough=yes

Bisa kita lihat perbandingan diatas, rule ke 2 akan “menangkap” 8 paket (melakukan connection mark) pada saat client mendownload file rar jika parameter passtrough adalah yes. Berbeda jika pada rule pertama perintah passtrough nya adalah no.

Jika kita lihat pada gambar diatas, kita melakukan test download menggunakan Internet Download Manager. Jika kita mendownload menggunakan IDM ini, nantinya download manager tersebut akan membuat beberapa koneksi seperti seperti gambar dibawah ini.

image261
Koneksi yang dibuat IDM

Jika salah satu koneksi tersebut telah selesai mendownload, maka IDM akan membuat koneksi baru, dan pada Counter Packet connection mark juga akan bertambah sesuai dengan koneksi yang dibuat oleh download manager