Firewall rules compatibility between Mikrotik RouterOS version 2.9.50 and 3.11

Tadi pagi nambahin address list ke firewall di mikrotik 3.11 yang ternyata berujung malapetaka. Selang beberapa menit setelah menyelesaikan pengcopyan address kedalam address list baru ada telp masuk dari user. Pertanyaan yang diajukan adalah “mengapa tidak bisa akses ke mapdrive server?”. Dilanjutkan dengan dilakukan ping pun tidak berdampak positif karena ternyata “Destination net unreachable” yang kudapat.

Tadinya kupikir ini kelakuan dari mikrotik yang minta selalu direboot sebulan sekali seperti sewaktu kugunakan versi 2.9.50. Jadilah kuputuskan untuk mereboot mikrotik router meski ternyata hasilnya tetap sama. Kualihkan perhatianku ke jaringan secara fisik yang ternyata setelah dicek hasilnya masih dalam kondisi baik. Kembali fokus pada mikrotik routeros 3.11 yang baru saja aku tambah address listnya.

Setengah putus asa aku coba untuk mendisable rule packet reject pada firewall filter berikut ini:

23 ;;; rejected packets from LAN 1
chain=forward action=reject reject-with=icmp-network-unreachable src-address=192.9.18.0/24 out-interface=bridge1

24 ;;; rejected packets from LAN 2
chain=forward action=reject reject-with=icmp-network-unreachable src-address=192.9.19.0/24 out-interface=bridge1

Seperti yang sudah diperkirakan, cara tersebut manjur dan mak nyuuss…..
Eiittss tapi jadinya internet jadi loss donk…..:-( meski jadinya speed koneksi jadi lebih cepat.
Wahh..gak bener nih….coba ganti interface dari bridge1 ke ether3 seperti sbb:

23 ;;; rejected packets from LAN 1

chain=forward action=reject reject-with=icmp-network-unreachable src-address=192.9.18.0/24 out-interface=ether3

24 ;;; rejected packets from LAN 2

chain=forward action=reject reject-with=icmp-network-unreachable src-address=192.9.19.0/24 out-interface=ether3

Hasilnya…….sama aja….:-( masih tetep loss internetnya….:-((
Coba lagi dikembalikan seperti semula namun dengan ditambah filter lagi seperti sbb:

23 ;;; rejected packets from LAN 1
chain=forward action=reject reject-with=icmp-network-unreachable src-address=192.9.18.0/24 dst-address-list=!jaringan lokal out-interface=bridge1

24 ;;; rejected packets from LAN 2
chain=forward action=reject reject-with=icmp-network-unreachable src-address=192.9.19.0/24 dst-address-list=!jaringan lokal out-interface=bridge1

Alhamdulillah…berhasil juga…:-))
1. User tanpa internet dapat akses ke mapdrive fileserver.
2. Firewall rules dapat berfungsi dengan baik sehingga hanya user yang diijinkan yang dapat koneksi internet.

~ by sigidwu on September 12, 2008.