FIREWALL MANGLE
Firewall Mangle fungsinya untuk memberi tanda (mark) pada paket data dan koneksi tertentu. Tujuan nya sendiri adalah agar paket data lebih mudah dikenali. Dengan menggunakan Firewall Mangle (Marking) pada Router MikroTik ini, akan memudahkan dalam mengelola sebuah paket data. Misalnya, menerapkan marking pada firewall filter, NAT, Routing. Fitur Mangle ini hanya bisa digunakan pada router MikroTik itu sendiri dan tidak dapat digunakam oleh router lain. Karena marking tersebut akan dilepas pada saat paket data akan keluar / meninggalkan router.
Di dalam Firewall Mangle ini, ada 3 jenis Marking yang bisa kita gunakan, yaitu
- Connection Mark (Penandaan pada Koneksi)
- Packet Mark (Penandaan pada paket data)
- Routing Mark (Penandaan pada Routing)
Kita langsung saja pada pembahasan marking yang pertama, yaitu Connection Mark
CONNECTION MARK
Seperti yang saya jelaskan sebelumnya, Connection Mark ini berfungsi untuk menandai sebuah Koneksi. Connection Mark bisa digunakan untuk memberikan tanda atau marking pada paket pertama yang dikeluarkan oleh Client ataupun Paket Response yang pertama dikeluarkan oleh Web Server
Bisa kita lihat gambar diatas, Client melakukan Request HTTP terhadap suatu Web Server. Terlihat pada gambar diatas, Request dari Client tersebut memiliki 3 paket, pada connection mark ini yang ditandai adalah paket yang pertama keluar dari Client, untuk paket ke dua dan ke tiga tidak ditandai. Begitu juga pada paket Response dari Web Server, paket yang pertama keluar dari Web Server tersebut yang akan ditandai.
Sekarang, kita akan melakukan percobaan. Kita akan melakukan konfigurasi Connection Markpada topologi dibawah ini :
Kita akan melakukan Connection Marking pada interface ether2 yang melakukan aktifitas browsing HTTP. Perintah text (CLI) nya adalah sebagai berikut
- ip firewall mangle add chain=prerouting src-address=13.13.13.2 protocol=tcp dst-port=80 in-interface=ether2 action=mark-connection new-connection-mark=browsing
Keterangan :
- chain=prerouting = chain yang digunakan untuk melakukan marking pada paket yang akan keluar / melintasi router
- src-address = sumber yang mengeluarkan paket
- protocol=tcp port=80 = karena kita akan melakukan marking pada aktifitas HTTP, maka menggunakan protocol tcp dan port HTTP yaitu 80
- in-interface=ether2 = masuk melalui interface ether2
- action=mark-connection= untuk menandai koneksi
- new-connection-mark=browsing = nama
Jika melalui WinBox (GUI), klik menu IP –> Firewall –> tab Mangle –> + (add) lalu lakukan konfigurasi seperti gambar dibawah ini
Untuk melakukan pengecekan, bisa kita lihat pada menu IP –> Firewall –> Mangle lalu lihat di bagian Packets. Setelah itu, kita test melakukan browsing, misalnya membuka website intra.id
Bisa kita lihat dibagian Packets , PC Client membuat beberapa koneksi saat membuka website tersebut. Koneksi tersebut digunakan untuk membuka content misalnya gambar atau link pada website tersebut.
Kita juga bisa melakukan marking sesuai dengan content yang diakses user. Misalnya, melakukan connection marking pada content file berekstensi .rar. Untuk melakukan konfigurasi nya hampir sama seperti sebelumnya. Hanya saja, disini kita akan menambahkan perintah content. Langsung saja ke langkah konfigurasi nya :
- ip firewall mangle add chain=prerouting src-address=13.13.13.2 protocol=tcp port=80 content=.rar action=mark-connection new-connection-mark=download_rar
Kita cek menggunakan perintah ip firewall mangle print detail
Kita juga perlu memperhatikan perintah passtrough, jika passtrough pada rule pertama (0) adalah no , maka marking pada paket data tidak akan dilanjutkan pada rule selanjutnya. Jika passtrough=yes marking akan dilanjutkan pada rule selanjutnya. Agar lebih jelas, kita akan coba melakukan download file berekstensi rar.
Koneksi yang dibuat IDM
IDM membuat 8 Koneksi pada saat mendownload file diatas
Jika passtrough pada rule pertama (no index 0) adalah no
Jika passtrough pada rule pertama (no index 0) adalah yes
Bisa kita lihat perbandingan diatas, rule ke 2 akan “menangkap” 8 paket (melakukan connection mark) pada saat client mendownload file rar jika parameter passtrough adalah yes. Berbeda jika pada rule pertama perintah passtrough nya adalah no.
Jika kita lihat pada gambar diatas, kita melakukan test download menggunakan Internet Download Manager. Jika kita mendownload menggunakan IDM ini, nantinya download manager tersebut akan membuat beberapa koneksi seperti seperti gambar dibawah ini.
Jika salah satu koneksi tersebut telah selesai mendownload, maka IDM akan membuat koneksi baru, dan pada Counter Packet connection mark juga akan bertambah sesuai dengan koneksi yang dibuat oleh download manager
No Spam, Please...!