Konfigurasi NAT pada Web Server dibelakang mikrotik  

Semua tentang router mikrotik dibahas disini

Konfigurasi NAT pada Web Server dibelakang mikrotik

Postoleh ceka »

Jika anda mempunyai Web Server, CCTV atau yang lainnya yang topologinya terletak dibelakang router mikrotik dan akan mengaksesnya dari Luar (internet) berikut konfigurasinya:
Gambar :
Gambar


Gambar tersebut menjelaskan topologi jaringan web server di belakang router yang memiliki IP Public, dan router harus melakukan NAT untuk meneruskan lalu lintas alamat IP Public ke web server di belakangnya.

Konfigurasi natnya seperti ini:

/ip firewall nat
add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.1.2
add chain=srcnat out-interface=WAN action=masquerade


Alur cerita : :D
Ketika klien dari Internet dengan alamat IP 2.2.2.2 melakukan koneksi ke web server.
1. Klien mengirimkan paket dengan alamat IP 2.2.2.2 ke alamat IP tujuan 1.1.1.1 pada port tcp/80 untuk mengakses sumber daya web.
2. Router Nat meneruskan paket ke 192.168.1.2 dan menggantikan alamat IP tujuan pada paket ke IP Web Server. Alamat IP klien tetap sama: 2.2.2.2.
3. Web Server menjawab permintaan klien dan paket balasan memiliki alamat IP sumber 192.168.1.2 dan IP alamat tujuan 2.2.2.2.
4. Router menentukan bahwa paket tersebut merupakan bagian dari koneksi sebelumnya dan mengembalikan tujuan NAT, serta menempatkan alamat tujuan IP asli ke dalam alamat IP sumber. Alamat IP tujuan adalah 2.2.2.2, dan alamat IP sumber adalah 1.1.1.1.
Klien menerima paket balasan yang mereka harapkan, dan Web terakses.


Ketika sebuah klien pada jaringan internal yang sama dengan web server, misal ip client 192.168.1.10:
1. klien mengirimkan paket dengan alamat IP sumber dari 192.168.1.10 ke alamat IP tujuan 1.1.1.1 pada port tcp/80 untuk mengakses sumber daya web.
2. Router Nat meneruskan paket ke 192.168.1.2 dan menggantikan alamat IP tujuan pada paket ke IP Web Server. Alamat IP sumber tetap sama: 192.168.1.10.
3. Web Server menjawab permintaan klien. Namun, alamat IP sumber dari permintaan tersebut pada subnet yang sama sebagai server web. Web server tidak mengirim balasan kembali ke router, tapi mengirimkannya kembali langsung ke 192.168.1.10 dengan alamat IP sumber dalam balasan dari 192.168.1.2.

Klien menerima paket balasan, tetapi tereject karena klien mengharapkan paket balasan dari 1.1.1.1, dan bukan dari 192.168.1.2. Klien yang bersangkutan menerima paket yang tidak valid dan tidak berhubungan dengan koneksi klien yang sebelumnya.

Untuk memperbaiki masalah ini, aturan NAT perlu tambahan, sehingga semua lalu lintas koneksi ke web server tetap mengalir melalui router, meskipun klien dan server berada di subnet yang sama. Aturan dibawah ini adalah contoh yang simpel dan bisa dikembangkan sendiri sesuai kebutuhan router.

/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.2 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade


Dengan aturan tambahan, alur cerita sekarang berubah:

1. Klien mengirimkan paket dengan alamat IP sumber dari 192.168.1.10 ke alamat IP tujuan 1.1.1.1 pada port tcp/80 untuk mengakses sumber daya web.
2. Router Nat meneruskan paket ke 192.168.1.2 dan menggantikan alamat IP tujuan pada paket ke IP Web server. Alamat tersebut juga adalah sumber Nats paket dan mengganti alamat IP sumber dengan alamat IP pada antarmuka LAN. Alamat IP tujuan adalah 192.168.1.2, dan alamat sumber IP adalah 192.168.1.1.
3. Web Server mengirimkan balasan dengan alamat IP sumber 192.168.1.2 kembali ke interface IP alamat router LAN 192.168.1.1.
4. Router menentukan bahwa paket tersebut merupakan bagian dari koneksi sebelumnya dan Mengembalikan kedua sumber dan tujuan NAT, dan menempatkan alamat IP tujuan asli dari 1.1.1.1 ke dalam kolom alamat IP sumber dan alamat IP sumber asli dari 192.168.1.10 ke IP alamat tujuan.

Klien menerima paket balasan yang mereka mengharapkan, dan sambungan terbuat.

Namun, web server hanya melihat sumber alamat IP dari 192.168.1.1 untuk semua permintaan dari klien internal terlepas dari alamat nyata IP klien internal.


Berikut info dari saya. Jika ada kekurangan mohon dikoreksi.. :pray:
ceka
 
Post: 42
Bergabung: Kam Mar 15, 2012 8:19 am

Re: Konfigurasi NAT pada Web Server dibelakang mikrotik

Postoleh rapidash »

Konfigurasi NAT pada web server ditaruh dibelakang mikrotik kegunaannya bisa mencegah serangan hacker ya gan ?
rapidash
 
Post: 5
Bergabung: Jum Agt 19, 2016 8:42 am

Re: Konfigurasi NAT pada Web Server dibelakang mikrotik

Postoleh ceka »

rapidash menulis:Konfigurasi NAT pada web server ditaruh dibelakang mikrotik kegunaannya bisa mencegah serangan hacker ya gan ?


Bukan gan.. tujuannya kalau kita hanya punya 1 IP Public untuk akses internet dan web server..
ceka
 
Post: 42
Bergabung: Kam Mar 15, 2012 8:19 am

Re: Konfigurasi NAT pada Web Server dibelakang mikrotik

Postoleh dyonika »

jadi ini tujuannya sama yah gan
dyonika
 
Post: 2
Bergabung: Jum Apr 21, 2017 9:27 am


Kembali ke Mikrotik

Siapa yang online

Pengguna yang berada di forum ini: Tidak ada pengguna yang terdaftar dan 1 tamu

cron