Access List Cisco Paket Tracer

Access List (ACL)

Apa sih ACL itu? jadi ACL ini semacam filter buat paket masuk dan keluar dari router, mirip-mirip firewall lah gampangnya. ACL ini ada 2 jenisnya ada standart Acces-list sama extented Access-list, bedanya apa bang? gampangnya gini kalo yang standart itu nge filter paketnya kurang spesifik contohnya dia cuma bisa filter berdasarkan source ip address, host, network. Kalo yang extended bisa lebih spesifik bisa sampe portnya di filter terus destinationnya. bisa liat penjelasan dibawah aja dah biar gampang wkwk.

Standart Access-list

• ACL berfungsi sebagai packet filtering, menentukan apakah sebuah paket bisa dilewatkan atau tidak. 
• ACL standard hanya bisa melakukan filtering berdasarkan IP host atau IP Network source nya saja. 
• ACL Standard menggunakan ACL number 1-99. 
• Konfigurasikan sedekat mungkin dengan destination. 
• Direction in dan out nya ditentukan berdasarkan arah paket nya dari source menuju destination. 
  

Kalo udah tau standart Access-list mending kita masuk ke konfigurasinya

Yang pertama teman-teman harus buat pre-confignya dulu kaya masukin ip address di setiap perangkat terus jangan lupa dibikin routingnya terserah mau static atau dinamis, kalo lupa cara konfigurasi routing bisa liat disini. Tujuan kita disini adalah kita ingin membatasi pc dari network 192.168.10.0/24 tidak boleh mengakses server dengan menggunakan standart access-list. Perlu di ingat kalo kita pake standart access-list kita konfigurasi routernya yang paling dekat dengan destination yaitu si server. Buat access-list baru di router 2

R2#configure terminal

R2(config)#access-list 1 deny 192.168.10.0 0.0.0.255

R2(config)#access-list 1 permit any

R2(config)#interface fa0/1

R2(config-if)#ip access-group 1 out 

Konsep access-list ini ketika ada banyak daftar access-list dia akan baca dari atas sampai kebawah, ketika perintah yang atas terpenuhi dia tidak akan melanjutkan kebawah. Mirip kaya filter rules di Mikrotik lah dia kan bacanya dari atas ke bawah. Jadi sebenarnya ketika kita tadi membuat rule untuk memblok koneksi dari PC2tadi, di bawahnya otomatis akan ada rule implicit seperti berikut

 

access-list 1 deny any

Maka dari itu kita harus membuat perintah access-list 1 permit any

Pasang Access-list di interface paling dekat dengan server yaitu fa0/1, ketika konfigurasi telah selesai teman-teman bisa cek dengan menggunakan show ip access-list di router atau bisa juga akses server melalui pc, bisa menggunakan ping, akses web servernya.

gambar diatas adalah sebelum menggunakan access-list ketika sudah menggunakan akses list, server tidak akan bisa di akses oleh pc

Gambar diatas ketika sudah menggunakan standart access-list, ketika kita akses server entah itu ping, akses web servernya pc ga akan bisa akses. Jika teman-teman buat access list 2 out, access-list 1 out akan hilang karena setiap satu arah interface hanya diperbolehkan satu access-list

Extended Access-list

• ACL extended bisa melakukan filtering tidak hanya berdasarkan source saja, melainkan juga destination serta port dan protocol yang digunakan. 
• ACL Extended menggunakan ACL number 100-199. 
• ACL Extended dipilih jika keperluannya spesifik ke aplikasi; missal membatasi telnet, atau akses web server atau email, ftp dst nya. 
• Konfigurasikan sedekat mungkin dengan source. 
• Direction in dan out nya ditentukan berdasarkan arah paket nya dari source menuju destination. 

Kalo Extended access-list ini lebih spesifik memfilter paketnya tidak seperti standart access-list, tujuan kita disini ingin membuat pc dari network 192.168.10.0/24 tidak bisa mengakses web http (port 80) ke server, tetapi untuk akses protocol lain masih bisa. Kita masih menggunakan topologi yang sama seperti tadi.

Sebelum itu kita harus menghapus konfigurasi access-list 1 yang tadi sudah kita buat

R2#configure terminal

R2(config)#no access-list 1

lalu kita buat konfigurasi extended ACL di router 1

R1>en

R1#configure terminal

R1(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 12.12.12.1 eq 80

Keterangan :

Pada bagian protokol menggunakan tcp, karena tcp merupakan protokol yang membawa paket http request dari client menuju server. eq merupakan perintah untuk mencocokan paket dengan nomor port atau layanan yang didefinisikan pada rule access list. Pada rule ini kita mendefinisikan layanan www yang akan diblok. Apabila ingin menggunakan nomor port, maka www bisa diganti dengan 80.

R1(config)#access-list 100 permit ip any any

Keterangan :

Protokol yang digunakan adalah ip karena protokol ini sudah mencakup protokol-protokol yang lain seperti tcp, udp, dan icmp. Kalian juga dapat menggunakan nomor access list selain 100. ACL extended dapat menggunakan nomor dari 100 sampai dengan 199.

R1(config)#interface fa0/1

R1(config-if)#ip access-group 100 in

Langkah selanjutnya adalah meletakkan ACL pada interface router. Mengacu pada konsep extended ACL bahwa access list ditempatkan pada interface router yang paling dekat dengan source packet, maka ACL akan diletakkan di interface Fastethernet0/1. Parameter yang digunakan adalah in, karena trafik yang terjadi pada interface tersebut adalah trafik inbound (dari PC masuk ke interface router).

Pengujian

Tadi kita hanya memblok akses ke web http (port 80) jadi harusnys hanya akses ke web saja yang ditolak, sedangkan protocol lain aman. Kita bisa menguji dari sisi client

Gambar di atas ketika client mengakses web server dan mengakses ping.