Jika berbicara tentang koneksi internet, saat ini telah berkembang
jenis koneksi lokal dan international.
Koneksi lokal tersebut biasanya berkembang di suatu daerah / negara guna mendukung
percepatan dan menekan cost pertukaran informasi antar host di dalamnya. Implementasi yang dilakukan
biasanya dengan menghubungkan (routing) antar ISP, sehingga
semua saling terkoneksi. Di
Indonesia sendiri saat ini terdapat IIX (Indonesia Internet eXchange)
dan OpenIXP (open Internet eXchange Point) guna mempercepat pertukaran informasi
untuk server/host yang berada di Indonesia.
Dengan adanya pembagian koneksi tersebut telah banyak ISP yang menerapkan kapasitas
bandwidth yang berbeda antara lokal (IIX) dengan kapasitas untuk international.
Biasanya bandwidth yang menuju ke IIX / OpenIXP lebih besar dibanding bandwidth
international. Pada sisi pelanggan kerap kali masih menemui kendala untuk dapat
melakukan manajemen kedua traffic tersebut, dimana harus dipisahkan antara IIX
dan international baik untuk bandwidth ataupun hak akses PC LAN.
Pada Router Mikrotik sendiri telah memiliki fitur untuk dapat menghandle
kondisi tersebut. Salah satu fitur yang telah banyak digunakan adalah dengan melakukan
pendataan semua alamat IP yang tergabung pada exchange tersebut. Jika di Indonesia
telah terdapat sebuah file Nice.rsc yang berisi semua alamat IP Public yang tergabung
dalam IIX. Dengan menggunakan Address-List=Nice tersebut kita bisa secara fleksible
membuat Queue atau Firewall. Contoh penerapannya bisa dilihat pada artikel kami
Simple Queue, memisahkan bandwidth Lokal dan International.
Sebagai alternatif lain, pada firewall saat ini terdapat sebuah matcher untuk
membantu menentukan traffic IIX berdasarkan routing table tanpa menggunakan Address-List
Nice.rsc . Mathcer tersebut adalah "Routing-table"
Parameter ini akan tepat digunakan ketika ISP memberikan langsung informasi full
route ke arah IIX, misalnya menggunakan BGP. Parameter Routing Table ini akan
membantu kita dalam menangkap traffic berdasarkan Dst-Address yang masuk dalam
sebuah routing table.
Contoh Kasus
Sebagai
contoh kasus terdapat sebuah topologi sebagai berikut;
Router Client memiliki 2 gateway, satu untuk ke arah IX (international) dan satu lagi untuk
ke arah IIX (local). Client mendapatkan informasi routing ke arah IIX melalui
BGP Peer ke arah ISP.
Sedangkan untuk routing ke arah international bisa diwakili langsung dengan dst-address=0.0.0.0/0.
Pada saat BGP Peer sudah terbentuk maka Router Client akan mendapatkan informasi
Routing dengan flag DAb seperti gambar berikut ;
Secara default, semua routing tersebut masuk ke dalam routing table Main. Selanjutnya
informasi Routing ini bisa dimasukkan ke dalam routing table baru untuk kebutuhan
firewall nantinya. Cara untuk memasukkan routing BGP ke dalam table routing baru
bisa menggunakan Routing Filter dengan memanfaatkan parameter set-routing-mark
, sebagai contoh dimasukkan ke dalam table routing= IIX seperti berikut :
Gambar Pengaturah Routing Filter
Kemudian set Routing Filter tersebut pada BGP Peer yang digunakan ;
[admin@R-Client] > /routing bgp peer set peer1 in-filter=bgp1
Dengan begitu semua DAb pada Route List akan memiliki routing-mark=IIX
Agar traffik dari PC LAN yang menuju ke IIX dapat menggunakan gateway yang sesuai,
maka perlu ditambahkan Route Rule dengan src-address=IP LAN seperti berikut
Firewall Matcher Routing Table
Setelah langkah tersebut selesai, kita bisa menggunakan parameter firewall routing-table=IIX
untuk menangkap traffic yang tujuannya masuk dalam routing table=IIX. Sebagai
contoh misalnya terdapat sebuah PC yang tidak boleh mengakses website international,
hanya boleh mengakses website lokal (IIX). Maka bisa ditambah sebuah rule firewall
berikut
Apa bedanya dengan Route-Mark ?
Pada firewall sebelumnya kita telah mengenal matcher routing-mark yang juga kita
bisa isi dengan nama sebuah routing table, misal Routing Mark=IIX . Fungsi ini
juga sudah sering digunakan untuk melakukan penentuan sebuah traffic akan dilewatkan
ke routing table mana, yakni dengan parameter action=mark-routing new-routing-mark=(nama
routing table).
Namun ternyata sistem firewall dan routing itu terpisah, sehingga jika pengaturan
dilakukan seperti pada artikel ini, pengelompokan tabel Routing terjadi pada sistem
Routing, traffic tersebut tidak akan tertangkap ketika
kita menggunakan matcher Routing-Mark.
Traffic tersebut hanya akan tertangkap jika kita menggunakan matcher Routing-Table
Dengan kata lain sebenarnya matcher Routing Table pada Firewall ini menjembatani
pembacaan traffic antara sistem routing dengan firewall pada Mikrotik, sehingga
firewall bisa menginspeksi paket yang terjadi di proses routing.