Lewati ke konten
AhmadWeb
MIKROTIK

Cara Setting Firewall Mikrotik (Filter Rules Dasar)

Ahmad Saripudin12 menit baca
Cara Setting Firewall Mikrotik (Filter Rules Dasar)
Daftar Isi

Router yang baru selesai dikonfigurasi sampai bisa internet sebenarnya belum aman. Selama belum ada firewall Mikrotik yang menyaring lalu lintas, siapa pun yang tahu alamat IP dan port-nya bisa mencoba masuk ke router Anda. Firewall adalah lapisan pertama yang memutuskan paket mana boleh lewat dan mana yang ditolak. Artikel ini membahas konsep dasarnya lalu langsung ke praktik menyusun filter rules yang benar, termasuk contoh aturan siap pakai untuk melindungi router.

Firewall Mikrotik adalah fitur RouterOS yang menyaring lalu lintas jaringan berdasarkan aturan (filter rules). Cara kerjanya sederhana: setiap paket dicocokkan dengan daftar rule dari atas ke bawah, dan router menjalankan action — misalnya accept atau drop — pada rule pertama yang cocok. Paket yang tidak cocok dengan satu rule pun akan diterima secara default.

Poin Penting

  • Firewall bekerja per chain: input (ke router), forward (lewat router), output (dari router).
  • Rule dibaca atas ke bawah, action pertama yang cocok langsung dijalankan — urutan menentukan segalanya.
  • Fondasi firewall yang benar = izinkan established,related, buang invalid, lalu drop sisanya di chain input.
  • Salah urutan bisa membuat Anda terkunci dari router sendiri — pakai Safe Mode saat menyusun rule.

Apa Itu Firewall Mikrotik dan Fungsinya

Firewall pada Mikrotik bukan aplikasi terpisah, melainkan bagian dari RouterOS yang diatur lewat menu IP → Firewall. Tugas utamanya menyaring paket data: memeriksa dari mana paket berasal, ke mana tujuannya, protokol apa yang dipakai, lalu memutuskan diteruskan atau dibuang.

Fungsinya di lapangan ada tiga. Pertama, melindungi router itu sendiri dari upaya login paksa dan pemindaian port. Kedua, mengatur lalu lintas antar-jaringan lokal — misalnya memisahkan jaringan tamu dari jaringan kantor. Ketiga, menjadi dasar untuk fitur lanjutan seperti blokir situs, pembatasan bandwidth, dan pencatatan aktivitas. Tanpa firewall yang rapi, semua fitur keamanan lain berdiri di atas fondasi yang bocor.

Perlu ditegaskan: firewall dan NAT itu berbeda meski satu menu. NAT (Network Address Translation) mengubah alamat paket agar jaringan lokal bisa keluar ke internet, sedangkan Filter Rules yang jadi fokus artikel ini bertugas mengizinkan atau menolak paket. Keduanya bekerja bersama, tapi tujuannya tidak sama.

Mengenal Chain: Input, Forward, dan Output

Sebelum menulis satu rule pun, Anda wajib paham konsep chain. Chain adalah kelompok aturan berdasarkan arah perjalanan paket relatif terhadap router. Salah menaruh rule di chain yang keliru adalah penyebab nomor satu firewall "tidak berfungsi".

Diagram tiga chain firewall Mikrotik: input untuk trafik menuju router, forward untuk trafik yang melewati router, dan output untuk trafik dari router
Diagram tiga chain firewall Mikrotik: input untuk trafik menuju router, forward untuk trafik yang melewati router, dan output untuk trafik dari router

Ada tiga chain bawaan di Filter Rules:

ChainArah paketContoh penggunaan
inputMenuju router (Anda mengakses router)Batasi akses Winbox, SSH, ping ke router
forwardMelewati router (antar-perangkat/internet)Blokir situs, isolasi antar-jaringan, batasi klien
outputKeluar dari router (router yang memulai)Jarang dipakai; batasi trafik yang dibuat router

Aturannya begini: kalau Anda ingin mengamankan router, tulis rule di chain input. Kalau ingin mengatur trafik pengguna yang menembus router ke internet, pakai chain forward. Chain output paling jarang disentuh karena router jarang perlu dibatasi saat menghubungi layanan luar.

Connection State: Konsep yang Sering Dilewatkan

Banyak tutorial firewall langsung loncat ke "drop port ini, blokir IP itu" tanpa menyentuh connection state. Padahal inilah yang memisahkan firewall modern dari sekadar daftar blokir. Connection tracking di Mikrotik mengingat status tiap koneksi, sehingga Anda tidak perlu menulis rule bolak-balik untuk trafik yang sama.

Diagram alur connection state firewall Mikrotik: paket established dan related diterima, paket invalid dibuang, paket new diperiksa aturan berikutnya
Diagram alur connection state firewall Mikrotik: paket established dan related diterima, paket invalid dibuang, paket new diperiksa aturan berikutnya

Ada empat status yang perlu Anda kenal:

  • established — paket milik koneksi yang sudah terjalin. Ini balasan dari permintaan yang tadi Anda kirim, jadi aman untuk diterima.
  • related — paket yang berhubungan dengan koneksi lain yang sudah ada (misalnya transfer data FTP yang menempel pada sesi kontrolnya).
  • new — paket pertama yang memulai koneksi baru. Di sinilah Anda memutuskan boleh atau tidak.
  • invalid — paket yang tidak bisa dikaitkan dengan koneksi mana pun. Hampir selalu sampah atau upaya jahat — sebaiknya langsung dibuang.

Trik utamanya: terima dulu semua koneksi established dan related di baris paling atas, buang yang invalid, baru periksa koneksi new dengan aturan yang lebih ketat. Dengan pola ini, satu rule menangani balasan untuk seluruh trafik, dan router pun jauh lebih ringan.

Action: Accept, Drop, Reject, dan Lainnya

Setiap rule diakhiri dengan action — apa yang dilakukan router saat paket cocok. Memahami perbedaannya penting agar firewall Anda bereaksi sesuai niat.

ActionEfek
acceptTerima paket, pemrosesan chain berhenti untuk paket itu
dropBuang paket diam-diam tanpa memberi tahu pengirim
rejectTolak paket dan kirim balasan penolakan ke pengirim
logCatat paket ke log (biasa digabung, tidak menghentikan proses)
fasttrack-connectionPercepat koneksi established agar hemat CPU
jumpLompat ke custom chain buatan sendiri

Untuk keamanan, drop hampir selalu lebih baik daripada reject. Alasannya: drop membuat router seolah tidak ada, sehingga pemindai port tidak mendapat konfirmasi bahwa alamat itu hidup. reject memang lebih sopan (pengirim tahu ditolak), tapi justru membocorkan keberadaan router Anda.

Iklan

1. Buka Filter Rules di Winbox

Masuk ke router lewat Winbox — kalau lupa caranya, ikuti panduan login Mikrotik dulu. Setelah masuk, buka menu IP → Firewall, lalu pilih tab Filter Rules. Di sinilah semua aturan penyaringan disusun. Untuk menambah rule, klik tanda + di kiri atas; jendela baru akan meminta Anda mengisi tab General (kondisi) dan tab Action (tindakan). Kenali dulu bagian-bagian jendela rule berikut agar tidak bingung saat mengisi:

Anatomi dialog firewall rule Mikrotik di Winbox: tab General berisi syarat paket (chain, protokol, port), tab Action berisi tindakan accept atau drop
Anatomi dialog firewall rule Mikrotik di Winbox: tab General berisi syarat paket (chain, protokol, port), tab Action berisi tindakan accept atau drop

Intinya hanya dua: di tab General Anda menentukan paket seperti apa yang dicocokkan (chain, protokol, port, alamat), dan di tab Action Anda menentukan apa yang dilakukan saat paket itu cocok. Sisanya (Advanced, Extra) hanya opsi tambahan yang jarang dipakai untuk rule dasar.

Jika Anda lebih nyaman dengan perintah, buka New Terminal dan ketikkan rule langsung. Semua contoh di artikel ini menyertakan versi terminalnya supaya bisa disalin cepat.

Rule pertama di chain input harus meloloskan trafik balasan. Di Winbox: buat rule baru, tab General isi Chain: input, lalu di tab Advanced cari Connection State dan centang established serta related. Tab Action pilih accept. Versi terminalnya:

ini
/ip firewall filter
add chain=input connection-state=established,related action=accept comment="Izinkan koneksi terjalin"

Tanpa rule ini di posisi atas, semua balasan dari internet ke router akan ikut tersaring rule di bawahnya — dan Anda berisiko memutus koneksi sendiri.

3. Buang Paket Invalid

Berikutnya, buang paket yang statusnya invalid. Paket seperti ini tidak punya konteks koneksi yang sah dan tidak ada gunanya diproses lebih lanjut.

ini
add chain=input connection-state=invalid action=drop comment="Buang paket invalid"

Letakkan rule ini tepat setelah rule established/related. Di jaringan yang sibuk, jumlah paket invalid yang terbuang bisa mengejutkan — dan setiap satunya adalah beban yang tidak perlu ditanggung router.

4. Amankan Akses ke Router

Sekarang tentukan siapa yang boleh menyentuh router. Pola paling umum: izinkan akses penuh dari jaringan lokal, izinkan ping untuk diagnosis, lalu tutup sisanya. Anggap interface lokal Anda bernama LOKAL (seperti pada panduan cara setting Mikrotik dengan Winbox).

ini
add chain=input protocol=icmp action=accept comment="Izinkan ping"
add chain=input in-interface=LOKAL action=accept comment="Akses penuh dari LAN"

Kalau Anda perlu mengelola router dari luar (misalnya lewat internet), jangan buka Winbox atau SSH ke semua orang. Batasi ke satu alamat IP tepercaya saja:

css
add chain=input protocol=tcp dst-port=8291 src-address=103.20.10.5 action=accept comment="Winbox dari IP admin"

Ganti 103.20.10.5 dengan IP publik Anda. Membiarkan port 8291 (Winbox) atau 22 (SSH) terbuka untuk seluruh internet adalah salah satu penyebab utama router Mikrotik tidak aman.

5. Terapkan Aturan Default Drop

Baris terakhir chain input adalah kunci seluruh strategi: buang semua paket yang belum tertangani rule di atasnya.

ini
add chain=input action=drop comment="Tolak sisa trafik ke router"

Setelah rule ini aktif, hanya trafik yang secara eksplisit Anda izinkan (established, ping, LAN, IP admin) yang bisa mencapai router. Semua sisanya lenyap tanpa jejak. Inilah prinsip default deny — lebih aman menutup semua lalu membuka yang perlu, ketimbang membuka semua lalu menambal satu per satu.

Untuk trafik pengguna yang menembus router, tambahkan pola serupa di chain forward:

ini
/ip firewall filter
add chain=forward connection-state=established,related action=accept
add chain=forward connection-state=invalid action=drop

Script Firewall Mikrotik Lengkap (Siap Salin)

Kalau Anda ingin langsung menerapkan seluruh fondasi di atas sekaligus, salin blok berikut ke New Terminal. Ganti nama interface LOKAL dan IP admin sesuai jaringan Anda sebelum menekan Enter.

ini
/ip firewall filter
add chain=input connection-state=established,related action=accept comment="input: koneksi terjalin"
add chain=input connection-state=invalid action=drop comment="input: buang invalid"
add chain=input protocol=icmp action=accept comment="input: izinkan ping"
add chain=input in-interface=LOKAL action=accept comment="input: akses dari LAN"
add chain=input action=drop comment="input: tolak sisanya"
add chain=forward action=fasttrack-connection connection-state=established,related comment="forward: percepat koneksi"
add chain=forward connection-state=established,related action=accept comment="forward: koneksi terjalin"
add chain=forward connection-state=invalid action=drop comment="forward: buang invalid"

Rule fasttrack-connection bersifat opsional tapi disarankan: ia mengalihkan koneksi yang sudah terjalin ke jalur cepat sehingga beban CPU router turun drastis di jaringan padat. Letakkan sebelum rule accept established agar sebagian besar trafik langsung dipercepat.

Pastikan rule benar-benar jalan

Di Winbox, tiap rule punya kolom Bytes dan Packets yang menghitung trafik yang cocok dengannya. Kalau angka pada rule tertentu tetap nol padahal seharusnya ada trafik lewat, hampir pasti rule itu salah chain atau kalah urutan dari rule di atasnya.

Iklan

Urutan Rule: Kesalahan yang Membuat Terkunci

Karena rule dibaca dari atas ke bawah dan berhenti pada kecocokan pertama, urutan menentukan hasil. Kesalahan klasik: menaruh rule drop all di posisi paling atas, atau menaruh rule accept established di bawahnya. Begitu Anda klik Apply, koneksi Winbox langsung putus dan router jadi tidak bisa dihubungi.

Jangan buru-buru menaruh drop di atas

Rule action=drop tanpa syarat harus SELALU jadi baris terakhir di chain-nya. Menaruhnya di atas rule accept sama saja menutup pintu sebelum Anda sempat masuk — dan tanpa Safe Mode, satu-satunya jalan pulih adalah reset fisik router.

Diagram urutan rule firewall Mikrotik: urutan benar meloloskan admin, urutan salah menaruh drop di atas sehingga admin terkunci
Diagram urutan rule firewall Mikrotik: urutan benar meloloskan admin, urutan salah menaruh drop di atas sehingga admin terkunci

Ada dua pengaman yang wajib Anda biasakan:

  1. Aktifkan Safe Mode sebelum menyusun rule. Tekan tombol Safe Mode di kiri atas Winbox (atau Ctrl+X di terminal). Jika koneksi terputus akibat rule yang salah, RouterOS otomatis membatalkan perubahan setelah beberapa saat, dan Anda tetap bisa masuk.
  2. Uji rule drop terakhir belakangan. Susun dulu semua rule accept, pastikan akses lokal dan admin lolos, baru tambahkan drop penutup. Jangan pernah menaruh drop sebelum accept selesai diuji.

Kalau terlanjur terkunci dan Safe Mode tidak aktif, satu-satunya jalan biasanya adalah reset — pelajari cara reset Mikrotik agar tidak panik saat itu terjadi.

Lindungi Router dari Port Scan dan Brute Force

Firewall tidak hanya menolak akses; ia juga bisa menjebak penyerang secara otomatis. Polanya: setiap IP yang mengetuk port sensitif (Winbox 8291, SSH 22) dengan pola mencurigakan dimasukkan ke sebuah Address List, lalu seluruh trafik dari daftar itu langsung dibuang untuk jangka waktu tertentu.

Diagram auto-block serangan di firewall Mikrotik: IP penyerang yang memindai port dimasukkan ke address list lalu di-drop, sementara IP tepercaya tetap diterima
Diagram auto-block serangan di firewall Mikrotik: IP penyerang yang memindai port dimasukkan ke address list lalu di-drop, sementara IP tepercaya tetap diterima

Address List adalah kumpulan alamat IP bernama yang bisa diisi manual atau otomatis oleh rule. Contoh paling praktis: catat siapa pun yang mencoba membuka koneksi SSH baru, lalu blokir bila ia sudah masuk daftar.

ini
/ip firewall filter
add chain=input protocol=tcp dst-port=22 connection-state=new \
  src-address-list=ssh-blacklist action=drop comment="Blokir IP di daftar hitam"
add chain=input protocol=tcp dst-port=22 connection-state=new \
  action=add-src-to-address-list address-list=ssh-blacklist \
  address-list-timeout=1h comment="Catat pengetuk SSH"

Baris kedua mencatat setiap IP yang mencoba SSH ke daftar ssh-blacklist selama satu jam. Baris pertama — karena diletakkan di atasnya — langsung membuang IP yang sudah terdaftar. Untuk serangan yang lebih agresif, teknik ini bisa dibuat bertingkat (stage 1 → stage 2 → blacklist), tapi dua rule sederhana ini sudah menahan mayoritas bot pemindai otomatis.

Ini melengkapi, bukan menggantikan, langkah pengamanan lain: mengubah port default, mematikan layanan yang tak dipakai, dan mengganti password bawaan. Semuanya dibahas di panduan mengamankan router Mikrotik.

Filter, NAT, Mangle, dan Raw: Jangan Tertukar

Menu IP → Firewall punya beberapa tab yang fungsinya berbeda. Ringkasnya:

TabTugas
Filter RulesMengizinkan/menolak paket (fokus artikel ini)
NATMenerjemahkan alamat (masquerade untuk internet, port forwarding)
MangleMenandai paket/koneksi untuk manajemen bandwidth atau routing
RawMenyaring paket sebelum connection tracking (untuk mitigasi serangan besar)

Untuk kebutuhan sehari-hari, cukup kuasai Filter Rules dan NAT. Mangle dan Raw baru relevan saat jaringan Anda tumbuh besar atau menghadapi serangan berat.

Pertanyaan yang Sering Diajukan

Apa fungsi firewall pada Mikrotik?

Firewall Mikrotik menyaring lalu lintas jaringan berdasarkan aturan yang Anda buat. Fungsinya melindungi router dari akses tidak sah, mengatur trafik antar-jaringan, dan menjadi dasar fitur keamanan lain seperti blokir situs dan pembatasan pengguna.

Apa beda chain input dan forward di firewall Mikrotik?

Chain input mengatur paket yang menuju router itu sendiri (misalnya saat Anda mengakses Winbox), sedangkan forward mengatur paket yang melewati router antar-perangkat atau ke internet. Amankan router lewat input, atur trafik pengguna lewat forward.

Kenapa saya terkunci dari router setelah membuat rule firewall?

Biasanya karena rule drop diletakkan sebelum rule yang mengizinkan akses Anda, atau rule accept established belum ada di atas. Selalu aktifkan Safe Mode sebelum menyusun aturan, dan uji rule accept lebih dulu sebelum menambahkan drop penutup.

Sebaiknya pakai action drop atau reject?

Untuk keamanan, gunakan drop. Drop membuang paket tanpa memberi tahu pengirim sehingga router seolah tidak terlihat oleh pemindai. Reject mengirim balasan penolakan yang justru mengonfirmasi keberadaan router Anda.

Apa itu Address List di firewall Mikrotik?

Address List adalah kumpulan alamat IP bernama yang bisa dipakai satu rule sekaligus. Isinya bisa ditambah manual atau otomatis lewat action add-src-to-address-list, sehingga cocok untuk memblokir daftar IP yang panjang atau menjebak penyerang secara otomatis.

Bagaimana cara memastikan rule firewall sudah bekerja?

Perhatikan kolom Bytes dan Packets pada tiap rule di Winbox. Angka yang bertambah menandakan trafik benar-benar cocok dan diproses rule tersebut. Jika tetap nol padahal seharusnya ada trafik, rule kemungkinan salah chain atau kalah urutan.

Kesimpulan

Menyusun firewall Mikrotik yang benar sebenarnya bertumpu pada beberapa prinsip sederhana: pahami chain (input, forward, output), manfaatkan connection state agar rule ringkas, pilih action yang tepat, dan jaga urutan supaya tidak mengunci diri sendiri. Mulailah dari fondasi di chain input — izinkan established/related, buang invalid, amankan akses, lalu drop sisanya — dan Anda sudah menutup celah paling umum yang dimanfaatkan penyerang. Setelah firewall dasar berjalan, lanjutkan ke pengaturan lain seperti blokir situs di Mikrotik atau perkuat keamanan menyeluruh lewat tips mengamankan router Mikrotik. Untuk detail parameter lengkap, dokumentasi resmi Firewall RouterOS selalu jadi rujukan terbaik.

Iklan

Bagikan artikel

Suka tulisan ini? Sebarkan ke yang lain.

Artikel Terkait

Iklan