Mangle merupakan salah satu fitur yang terdapat pada menu firewall yang memiliki fungsi untuk menandai sebuah koneksi atau paket data, yang melewati router, masuk ke router, ataupun keluar dari router agar paket data mudah dikenali. Marking hanya dapat dilakukan di router yang sama. Ada 3 jenis marking yaitu connection-mark,packet-mark dan router-mark.
Connection-Mark : Jenis marking yang digunakan untuk menandai 1 koneksi baik request paket pertama yang keluar dari client maupun response paket dari webserver.
Packet-Mark : Jenis marking yang digunakan untuk menandai setiap paket yang melewati router, marking ini juga menandai traffic request dan response.
Router-Mark : Jenis marking yang digunakan untuk memilih jalur routing. Kita dapat memilih jalur mana yang ingin dilalu paket menggunakan marking ini.
Didalam firewall mangle terdapat 3 jenis marking yang bisa digunakan :
A. Connection Mark
Connection Mark bekerja dengan melakukan penandaan sebuah paket pertama yang keluar dari client ataupun paket hasil respons dari web server. Connection Mark merupakan jenis marking yang digunakan untuk menandai adanya suatu koneksi.
Langkah konfigurasi :
1. Langkah pertama, lakukan konfigurasi connection-mark (Marking HTTP) dengan perintah sebagai berikut:
Note :
-> chain (prerouting) : untuk melakukan marking paket yang akan keluar atau melalui router.
-> src-address : sumber berasalnya paket tersebut.
-> protocolnya tcp dan dst-port 80 digunakan karena kita akan melakukan marking pada web yang menggunakan HTTP.
-> in-interface : tempat masuknya paket yang berasal dari client
-> action : untuk menandai koneksi.
-> new-connection-mark : untuk penamaan paket tersebut.
2. Kemudian lakukan pengaksesan web pada browser yang menggunnakan port 80, saya akan memilih untuk mengakses web http://kartolo.sby.datautama.net.id/
3. Selanjutnya lakukan pemeriksaan pada bagian GUI firewall mangle yaitu ip > firewall > mangle dan lihatlah perubahan paket yang terjadi pada marking connection-mark tersebut.
A.1. Connection-mark (marking content)
Connection Mark bekerja dengan melakukan penandaan sebuah paket pertama yang keluar dari client ataupun paket hasil respons dari web server yang berupa suatu ekstensi / content.
4. Selanjutnya konfigurasikanlah connection mark dengan perintah sebagai berikut:
5. Kemudian lakukan download file dengan extention .iso pada web yang menggunakan port 80 atau pada web seperti dibawah ini:
6. Selanjutnya lihat pada bagian GUI yaitu ip > firewall > mangle konfigurasi mangle, dapat terlihat perubahan pada paket yangditandai saat kita melakukan download file dengan extention .iso
7. Pastikan untuk mengaktifkan juga passthrough pada konfigurasi firewall pertama, agar paket dapat diteruskan kerule berikutnya.
B. Packet Mark
Packet mark digunakan untuk menandai semua paket yang memiliki connection . Packet mark juga membutuhkan connection marksebagai parameter.
Konfigurasi packet mark (all traffic)
1. Lakukan konfigurasi packet mark rule 1, rule 2 dan rule 3 untuk memisahkan traffic download dan upload dengan perintah sebagai berikut :
2. Lalu, akses koneksi internet dan perhatikan perubahan yang terjadi pada bagian packet yang ditandai.
Konfigurasi packet mark (Setiap client dan memisahkan traffic upload dan download)
1. Lakukan konfigurasi packet mark rule 1, rule 2 dan rule 3 untuk memisahkan traffic download dan upload pada setiap client seperti perintah dibawah ini :
- Untuk Client01 :
- Untuk Client02 :
3. Setelah itu, lakukan akses internet dan lihat perubahan packet dan yang ditandai.
Konfigurasi Packet Mark (Marking port dan extensi)
1. Konfigurasikanlah rule firewall mangle untuk menandai paket yang menggunakan port dan extension tertentu dengan perintah sebagai berikut:
2. Selanjutnya konfigurasikan packet mark untuk mark-connection yang sudah dibuat sebelumnya dengan perintah sebagai berikut:
3. Lalu, Konfigurasi mark-connection dan packet mark untuk memisahkan traffic upload dan download dengan perintah dibawah ini:
4. Kemudian akses web yang menggunakan port tersebut dan lihatlah perubahan pada paket mangle pada bagian ip > firewall > mangle karena saya tidak melakukan akses web dengan port tersebut maka tidak terjadi perubahan paket, hanya terjadi perubahan paket pada connection-mark All client saja.
C. Routing Mark
Routing mark adalah metode yang bisa digunakan untuk menandai koneksi seperti apa yang ingin di tandai untuk mangarahkan lewat mana paket tersebut agar sampai tujuannya. Ingat, caranya dengan menandai paketRouting Mark berfungsi untuk menentukan jalur yang akan dilalui paket.
Konfigurasi routing mark (Pemisahan jalur internasional dan jalur local)
1. Lakukan konfigurasi IP address untuk terkoneksi dengan ISP baik ISP A maupun ISP B dengan ip address yang satu network agar terkoneksi sesuai dengan interfacenya.
2. Selanjutnya, Konfigurasikanlah dns yang sesuai untuk ISP A dan ISP B.
3. Kemudian, Konfigurasikan IP gateway menggunakan IP Internasional dengan perintah sebagai berikut serta tambahkan routing marknya.
4. Lalu, konfigurasikan firewall nat agar client dapat terkoneksi dengan internet.
5. Selanjutnya, Lakukan download dan import file yang berisi daftar ip local agar router dapat mengetahui mana saja yang merupakan IP local. Donwload paket tersebut hingga finished kemudian import file tersebut.
6. Setelah itu periksa pada tabel address-list yang berada pada ip > firewall > address-list dan akan muncul daftar IP local yang ada diindonesia.
7. Setelah itu, Konfigurasikan mark-routing untuk menandai paket yang melalui jalur internasional maupun local dengan perintah sebagai berikut:
8. Selanjutnya lakukan pemisahan gateway untuk kedua paket tersebut dengan menggunakan gateway serta routing-mark.
Perintah :
-ip route add gateway=192.168.202.146 distance=1 routing-mark=int-packet
-ip route add gateway=192.168.100.2 distance=1 routing-mark=local-packet
Konfigurasi routing mark ( Pemisahan jalur untuk website tertentu )
1. Konfigurasikanlah firewall mangle dengan rule dibawah ini dan kemudian arahkan routing mark yang sudah dibuat ke IP route intenasional dengan perintah : ip route set number=1 routing-mark=FB
Konfigurasi routing mark ( Pemisahan jalur ISP )
1. Konfigurasikan firewall mangle dan arahkan scr-addressnya ke IP client yang diinginkan dengan perintah : ip firewall mangle add chain=prerouting scr-address=27.27.27.x action=mark-routing new-routing-mark="ISP A" passthrough=no.
2. Lalu, Konfigurasikan IP route dan arahkan routing-mark dengan yang sudah dibuat dan tentukan gateway ISP tersebut dengan perintah sebagai berikut:
3. Setelah itu lakukan pengujian pada client yang menggunakan IP 27.27.27.1 dengan mensetting IP address pada IPV4 -nya.
4. Setelah itu, Lakukan pengujian ping terhadap 2 gateway ISP tersebut dan dapat dilihat client tersebut hanya dapat terhubung dengan gateway dari ISP A karena sudah dijalurkan dengan konfigurasi sebelumnya yaitu client1 terhubung dengan ISP A saja.
5. Selanjutnya lakukan pengujian pada client yang menggunakan IP 27.27.27.2 dengan mensetting IP address pada IPV4 -nya.
6. Setelah itu lakukan ping terhadap gateway dan dapat dilihat bahwa jika kita ping terhadap 2 gateway maka hasilnya client tersebut hanya terhubung dengan gateway yang ada pada ISP B karena client2 dijalurkan khusus untuk ISP B saja
-Sekian dan Terima Kasih-