Cara Blokir Website Menggunakan Layer 7 Mikrotik

Berikut ini kita akan mensharing cara memblokir website, misalnya facebook dengan menggunakan Mikrotik Layer 7 Protokol (L7). Protokol Layer7 adalah metode untuk mencari pola dalam ICMP/TCP/UDP stream, atau istilah lainnya regexp pattern.

Cara kerja L7 adalah mencocokkan (mathcer) 10 paket koneksi pertama atau 2KB koneksi pertama dan mencari pola/pattern data yang sesuai dengan yang tersedia. Jika pola ini tidak ditemukan dalam data yang tersedia, matcher tidak memeriksa lebih lanjut. Dan akan dianggapunknown connections. Anda harus mempertimbangkan bahwa banyak koneksi secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC Router anda. Untuk menghindari hal tersebut, maka tambahkan regular firewall matchers (pattern) untuk mengurangi jumlah data yang dikirimkan ke layer-7 filter.

Layer 7 matcher harus melihat kedua arah lalu lintas (masuk dan keluar). Untuk memenuhi persyaratan ini rule L7 harus diatur dalam chain Forward. Jika rule pada chain input/prerouting, maka aturan yang sama juga harus diatur dalam chain output/postrouting,jika tidak, maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap tidak benar/cocok.

Baiklah, demikian sedikit tentang Layer 7 Protocol. Untuk lebih lengkapnya, anda bisa searching di bang Google. Selanjutnya kita kembali ke pokok pembahasan awal. Rencana desain jaringan yang akan kita gunakan adalah seperti gambar berikut ini:

.

Dilihat dari sisi client sebagai pengguna hak akses, maka untuk memblokir Website dengan L7 Mikrotik ini dibuat dengan 2 cara, yaitu:

1. Blokir website (facebook) untuk semua PC Client yang terhubung ke jaringan local network.
2. Setting agar hanya PC Client tertentu yang dapat mengakses alamat website yang diblokir
   .

A. Blokir Website (Facebook) untuk semua PC Client yang Terhubung ke Jaringan Local Network

1. Langkah pertama, kita cek dulu situs Facebook bisa dibuka apa tidak.
   .
2. Cek IP address pada PC client yang tidak boleh buka Facebook. Caranya, dari PC client, tekan pada keyboard tombol Windows + tombol R secara bersamaan, kemudian ketik “cmd” tanpa tanda petik, lalu Enter. Lalu pada tampilan DOS-nya Windows, ketik “ipconfig /all” tanpa tanda petik seperti gambar di bawah ini.
   .
3. Selanjutnya, jalankan software Winbox MikroTik yang sudah kita download sebelumnya. Kita akan membuat rule regexp baru untuk memblokir website (Facebook). Masuk ke menu IP –>Firewall
   
   .
4. Kemudian klik tab Layer 7 Protocols, lalu klik tombol tambah (+) yang ada di bawah menuFilter Rules.
   .
5. Pada jendeal New Firewall 7 Protocol, beri nama rule “facebook” (tanpa tanda petik), lalu masukkan script regexp seperti berikut ini :
   ^.+(facebook.com).*$.
6. Selanjutnya, buat Firewall Rule baru dengan klik tab Filter Rules, lalu klik tanda tambah (+) yang ada di bawahnya. Lalu pada tampilan jendela New Firewall Rules, klik tab General, kemudian pada bagian Chain, pilih forward. Pada bagian Src Address, isikan alamat network lokal dari client, yaitu 172.16.10.0/24.
   .
7. Kemudian masuk tab Advanced, pada bagian Layer 7 Protocol pilih facebook.
   .
8. Selanjutnya masuk tab Action, pada bagian Action, pilih drop.
   .
9. Sekarang coba kita tes hasil konfigurasi tadi apakah sudah berhasil atau belum, dengan membuka kembali alamat site Facebook.
   
   .
10. Cek juga apakah alamat websites yang lain, misalnya http://www.google.com apakah juga diblok oleh MikroTik.
    
    Dari tampilan di atas, ternyata alamat google masih dapat diakses, sehingga settingan kita berfungsi dengan baik.
    .
11. Baiklah saya anggap konfigurasi yang barusan kita buat telah sukses. Anda bisa melakukan blokir alamat website lainnya dengan cara di atas. Yang perlu diingat bahwa semua PC client yang berada dalam jaringan lokal tersebut tidak akan bisa mengakses alamat website yang sudah diblokir, karena kita memblokirnya berdasarkan alamat network. Sekarang bagaimana cara konfigurasi pada MikroTik agar hanya PC client tertentu yang dapat mengakses alamat website yang telah diblokir? Kita masuk ke pembahasan berikutnya.
    .

B. Setting agar hanya PC Client tertentu yang dapat Mengakses Alamat Website yang Diblokir

Setelah kita praktekkan cara pertama tadi, dimana semua PC client dalam jaringan lokal tidak dapat mengakses alamat website facebook, maka selanjutnya kita coba membuat agar salah satu PC client tersebut (kita namakan PC client 2) dapat mengakses facebook. Langkah yang dilakukan adalah sebagai berikut:

1. Langkah pertama kita mengecek IP addres PC client 2 dengan cara seperti langkah sebelumnya, yaitu menekan tombol Windows + R pada keyboard secara bersamaan, lalu ketik “cmd” (tanpa tanda petik), kemudian Enter. Pada tampilan jendela prompt, ketikkan kembali ipconfig laluEnter.
   Dari tampilan di atas, terlihat bahwa IP address client 2 yang akan kita beri ijin untuk mengakses alamat facebook mempunyai IP address 172.16.10.199/24.
   .
2. Sekarang kita kembali membuka WinBox MikroTik. Masuk ke menu IP –> Firewall –> Filter Rules.
   .
3. Buat Filter rule kedua dengan Src Address spesifik ke IP address client nya yaitu 172.16.10.199, bukannya alamat jaringannya (network address). Klik tab General, pada bagian Chain pilihforward, lalu pada bagian Src. Address masukkan alamat IP address PC client 2 yaitu172.16.10.199. .
4. Klik tab Advanced, lalu pada bagian Layer 7 Protocol pilih facebook.
   .
5. Klik tab Action, lalu pada bagian Action pilih accept. Selanjutnya Apply dan OK.
   .
6. Selanjutnya rule yang tadi sudah dibuat akan tampil di halaman filter rules. Pindahkan rule yang baru dibuat tersebut ke flag 0 yaitu yang paling atas (di atas rule action drop)..
7. Selanjutnya, sekarang kita lakukan pengetesan dari PC client 2 untuk mengakses alamat Facebook. Buka facebook dengan browser anda. Jika alamat facebook dapat diakses, berarti settingan yang telah kita lakukan sebelumnya sudah berhasil dengan baik..
8. Sekarang coba perhatikan detail pada rule-nya, ternyata terdapat lalulintas paket dan data yang lewat.
   .
9. Untuk memastikan kerja settingan filter rules MikroTik, coba cek juga pada client lainnya pada network yang sama apakah facebook bisa diakses atau tidak.
   Ahh… ternyata tidak bisa diakses!! Berarti settingan kita sudah benar.
   .
10. Coba cek juga rule-nya (Action drop), apakah ada lalulintas data dari PC client yang lain tersebut.
    
    Ternyata drop packets rate-nya naik. Hal ini berarti setingan kita berhasil memblokir  facebook menggunakan Layer 7 Protocol Mikrotik.
    .

Berdasarkan cara settingan di atas, kita juga bisa memblokir situs youtube, twitter, dan sebagainya. Silakan anda coba dan terapkan sendiri.
Demikianlah tutorial cara memblokir website dengan menggunakan Layer 7 Protocol Mikrotik. Mudah-mudahan bermanfaat, dan terima kasih atas kunjungan anda.