🛡️ Firewall Filter Dasar di MikroTik
Belajar cara kerja Firewall Filter MikroTik dari nol — mulai dari konsep chain, action, sampai praktik langsung di Winbox, Webfig, dan CLI.
Pernah nggak sih kamu kepikiran, kenapa router kantor atau warnet langganan kamu jarang banget kena serangan aneh-aneh dari internet, padahal terhubung 24 jam nonstop? Jawabannya sederhana: ada Firewall Filter yang bekerja diam-diam, menyaring setiap paket data yang masuk dan keluar. Nah, di artikel ini kamu akan belajar Firewall Filter Dasar di MikroTik dari konsep sampai praktik nyata — cocok banget buat kamu yang baru mulai serius belajar keamanan jaringan. Santai aja, nggak perlu jadi jagoan networking dulu buat paham ini. 😄
Firewall Filter bukan cuma soal "blokir yang jahat" — ia juga soal keputusan sadar tentang apa saja yang boleh masuk dan keluar dari jaringanmu. Tanpa aturan, router kamu itu ibarat rumah tanpa pintu.
🧠 Apa Itu Firewall Filter di MikroTik?
Bayangkan router MikroTik kamu itu seperti satpam kompleks perumahan. Setiap orang (baca: paket data) yang mau masuk atau keluar kompleks harus lewat pos jaga. Nah, Firewall Filter itu adalah "buku aturan" yang dipegang si satpam — siapa yang boleh masuk, siapa yang harus ditolak, dan siapa yang cuma boleh lewat doang tanpa digeledah.
Di MikroTik, Firewall Filter bekerja dengan cara mengevaluasi setiap paket data berdasarkan chain (jalur lalu lintas paket) dan rule (aturan) yang kamu buat. Kalau paket cocok dengan rule tertentu, MikroTik akan menjalankan action yang sudah kamu tentukan — misalnya accept, drop, atau reject.
Firewall Filter = Chain + Rule (kondisi) + Action
Setiap paket data dievaluasi urut dari atas ke bawah dalam satu chain, sampai ketemu rule yang cocok — lalu action dijalankan.
🔀 Tiga Chain Utama dalam Firewall Filter MikroTik
Sebelum masuk ke praktik firewall filter dasar di MikroTik, kamu wajib kenal tiga chain bawaan yang jadi fondasi semua aturan firewall:
Paket yang ditujukan LANGSUNG ke router itu sendiri, misalnya login Winbox.
Paket yang cuma "lewat" router, misalnya trafik klien menuju internet.
Paket yang DIHASILKAN oleh router itu sendiri, misalnya ping keluar dari router.
Buat pemula, kesalahan paling umum adalah menaruh rule blokir akses admin di chain forward, padahal seharusnya di chain input. Akibatnya? Rule nggak jalan sama sekali dan router tetap "terbuka".
⚙️ Praktik Firewall Filter Dasar di MikroTik
Sekarang saatnya praktik. Kita akan bikin contoh firewall filter dasar di MikroTik untuk kasus paling umum: memblokir akses ping (ICMP) dari luar dan membatasi akses Winbox hanya dari jaringan lokal.
Di Winbox, masuk ke IP → Firewall → Filter Rules, lalu klik tombol + untuk menambah rule baru.
Pilih chain input, protocol icmp — karena kita mau menyaring ping yang menuju router.
Di tab Action, pilih drop supaya paket ICMP dari luar langsung dibuang tanpa balasan.
Klik Apply, lalu pastikan urutan rule sudah benar — MikroTik membaca rule dari atas ke bawah.
Contoh via CLI (Terminal):
/ip firewall filter add chain=input protocol=icmp action=drop comment="Blokir ping dari luar" add chain=input protocol=tcp dst-port=8291 src-address=192.168.1.0/24 action=accept comment="Izinkan Winbox dari LAN" add chain=input protocol=tcp dst-port=8291 action=drop comment="Blokir Winbox dari luar LAN"
Contoh via Webfig:
Menu: IP > Firewall > Filter Rules > Add New Chain : input Protocol : icmp Action tab : drop Comment : "Blokir ping dari luar"
Selalu tambahkan comment di setiap rule firewall. Enam bulan lagi, kamu bakal lupa alasan bikin rule itu — dan comment inilah yang bakal menyelamatkanmu dari kebingungan.
📊 Tabel Referensi Action pada Firewall Filter
Supaya kamu makin paham struktur firewall filter dasar di MikroTik, berikut tabel action yang paling sering dipakai beserta fungsinya:
Jangan pernah drop chain input secara total tanpa rule accept untuk IP kamu sendiri terlebih dahulu — kamu bisa terkunci total dari router-mu sendiri! Selalu tes dari sesi yang aman (misalnya via Winbox MAC-address) sebelum apply rule ketat.
drop cenderung lebih aman untuk keamanan karena penyerang tidak tahu apakah port tertutup atau memang tidak ada respons sama sekali — istilahnya "stealth". Sedangkan reject lebih ramah untuk troubleshooting karena user tahu koneksinya ditolak, bukan sekadar timeout. Untuk firewall filter dasar di MikroTik yang fokus keamanan, drop biasanya jadi pilihan default para network engineer.
🎯 Kesimpulan
Firewall Filter Dasar di MikroTik adalah fondasi keamanan jaringan yang wajib kamu kuasai sebelum lanjut ke topik lebih advance. Kamu sudah belajar konsep chain (input, forward, output), cara membuat rule via Winbox, Webfig, maupun CLI, sampai perbedaan action seperti accept, drop, dan reject. Praktikkan pelan-pelan, dan jangan takut salah — justru dari situ kamu belajar cara kerja firewall yang sesungguhnya.
Kalau artikel ini membantu, yuk tinggalkan komentar dan share ke temanmu yang juga lagi belajar MikroTik! 🙌
Lihat daftar lengkap 41 artikel dalam seri ini, dari dasar sampai mahir.
Lihat Seri Lengkap →