Untuk mengelola lalu lintas yang mengalir melalui router Anda, beragam fitur pemfilteran dan pembatasan yang tersedia didalam OPNsense.
Ini semua digabungkan di bagian firewall di menu web GUI OPNsense.
OPNsense sendiri berisi filter paket stateful, yang dapat digunakan untuk membatasi atau mengizinkan lalu lintas dari atau ke jaringan tertentu serta mempengaruhi bagaimana lalu lintas harus diteruskan.
Berikut adalah contoh-contoh bagaimana membatasi lalu lintas masuk dan keluar jaringan yang dibagi kedalam berbagai macam skenario.
Kali ini saya memfokusnya penggunaan pftable sebagai media penyimpanan alamat ip.
Sebelumnya system operasi OPNsense harus sudah di setup dan bisa berfungsi dengan baik sebagai gateway internet jika belum panduan untuk instalasi bisa merujuk ke artikel saya sebelumnya yaitu Membangun Firewall Router menggunakan OPNsense.
Skenario 1 : Mengijinkan akses ke router port https dan ssh dari sisi WAN
Pastikan Block private Network tidak di checklist Interfaces – WAN
Kemudian buat rules dengan masuk ke menu Firewall – Rules -WAN – add
Skenario 2 : Mengijinkan akses ke router port https dan ssh dari sisi WAN hanya dari alamat ip indonesia jika diakses dari negara lain akan di blokir.
Buat akun di https://www.maxmind.com/en/geolite2/signup pastikan menggunakan email yang valid, akan ada konfirmasi di kirim ke email yang bersangkutan.
Login dengan akun email yang sudah diverifikasi di web maxmind.com dan masuk ke menu Services – My License Key – Generate sesuai Gambar 3
Kembali ke opnsense gui, setting geoip url di menu Firewall – Aliases – GeoIP Settings.
Masukan tautan seperti contoh dibawah:
https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=CP00QiqjpTqmPloO&suffix=zip
dan pastikan lisensi key sesuai dengan yang ada di situs maxmind.com. sesuai Gambar 4.
Buat Aliases berdasarkan alamat ip indonesia dan berikan nama INDONESIA.
Firewall – Aliases – + Gambar 5.
Edit rules AllowHTTPSdanSSH on WAN, dan rubah source address dari any menjadi INDONESIA.
Skenario 3 : Memblokir akses ke situs facebook.com
Buat Aliases baru dengan nama Facebook Firewall – Aliases – + Gambar 7.
Buat Rule baru dengan deskripsi Block Facebook dan destination Facebook.
Firewall – Rules – WAN – + Gambar 8.
Skenario 4 : Proteksi router dari ip address spammer atau Bots menggunakan spamhaus list DROP dan EDROP.
DROP (Don’t Route Atau Peer) adalah daftar “drop all traffic”, yang terdiri dari netblock yang “dibajak” atau disewa oleh spam profesional atau operasi kejahatan cyber (digunakan untuk penyebaran malware, pengunduh trojan, botnet pengendali).
Daftar DROP adalah sebagian kecil dari SBL, yang dirancang untuk digunakan oleh firewall dan peralatan router untuk menyaring lalu lintas berbahaya dari netblock ini.
EDROP (Extended Don’t Route Atau Peer) adalah perpanjangan dari daftar DROP yang mencakup netblock suballocated yang dikendalikan oleh spammer atau penjahat cyber. EDROP dimaksudkan untuk digunakan sebagai tambahan alokasi langsung pada daftar DROP.
Untuk penjelasan lebih lengkap mengenai DROP dan EDROP ini bisa merujuk ke tautan berikut https://www.spamhaus.org/drop/.
DROP list (txt) https://www.spamhaus.org/drop/drop.txt
EDROP list (txt) https://www.spamhaus.org/drop/edrop.txt
Buat 2 (dua) buah Aliases baru untuk DROP dan EDROP di menu,
Firewall – Aliases – + Gambar 9 dan 10 .
Kemudian buat 2 (dua) Rules untuk memblokir DROP dan EDROP list.
Firewall – Rules – WAN + sesuai Gambar 11 dan 12.
Skenario 5 : Mengakses webserver yang berada di jaringan LAN.
Webserver menggunakan apache dengan system operasi linux Debian dan berjalan di port HTTP (80) dengan alamat iplan 192.168.1.101.
Berikut langkahnya, masuk ke menu Firewall – NAT – Port Forward – + Gambar 13.
Lalu coba mengakses web server dari WAN address dalam hal ini alamat ip WAN adalah 192.168.88.26 melalui port 8000 Gambar 14.
Dan sampai disini artikel yang membahas pengguaan firewall di router OPNsense, semoga tulisan ini bisa berguna untuk pembaca yang berniat menggunakan opnsense sebagai alternatif router di tempatnya masing-masing, sekian dan wassalam.