MTCNA Modul 3: Firewall Basic, Filter Rules, dan Port Forwarding MikroTik

Dipublikasikan oleh

MTCNA Modul 3: Firewall Basic & Router Security

Modul ini membahas cara mengamankan router dari serangan luar dan membatasi akses klien. Kita juga akan mempelajari tiga konsep aliran data (Chain) utama pada MikroTik: Input, Forward, dan Output.

Memahami 3 "Chain" pada Firewall

Sebelum melakukan konfigurasi, Anda wajib memahami perbedaan 3 jalur lalu lintas (Chain) pada fitur Filter Rules MikroTik:

1. Chain: INPUT

Trafik yang menuju/masuk ke dalam router.

Contoh: Hacker dari internet mencoba Ping atau login Winbox ke IP Router kita.

2. Chain: FORWARD

Trafik yang sekadar melewati router.

Contoh: Komputer karyawan/klien membuka website YouTube atau mendownload file.

3. Chain: OUTPUT

Trafik yang berasal dari router itu sendiri ke luar.

Contoh: Router melakukan Ping ke server Google (8.8.8.8) melalui terminal.

1

Mengamankan Router (Blokir Ping dari Luar)

Kita akan menolak (Drop) semua permintaan Ping (ICMP) yang berasal dari jalur internet (ether1) agar router kita tidak mudah di-scan. Target serangannya adalah router kita, jadi kita gunakan Chain: Input.

Metode Winbox (GUI)

  1. Buka menu IPFirewall ➔ Tab Filter Rules.
  2. Klik ikon (+) Add. Pada tab General, atur Chain: input.
  3. Atur Protocol: 1 (icmp).
  4. Atur In. Interface: ether1 (Arah datangnya ancaman).
  5. Pindah ke tab Action, ubah menjadi drop. Klik Apply lalu OK.
Metode Terminal (CLI) 
/ip firewall filter add chain=input protocol=icmp in-interface=ether1 action=drop
2

Membatasi Akses Klien (Drop Trafik)

Sekarang kita buat aturan agar komputer karyawan (LAN) tidak bisa nge-Ping ke Google (8.8.8.8). Lalu lintas ini berasal dari karyawan yang ingin melewati router menuju internet, maka gunakan Chain: Forward.

Metode Winbox (GUI)

  1. Di tab Filter Rules, klik (+) Add lagi.
  2. Pada tab General, atur Chain: forward.
  3. Atur Dst. Address: 8.8.8.8 (Target yang dilarang).
  4. Atur Protocol: 1 (icmp).
  5. Pindah ke tab Action, ubah menjadi drop. Klik OK.
Metode Terminal (CLI) 
/ip firewall filter add chain=forward dst-address=8.8.8.8 protocol=icmp action=drop
3

Port Forwarding / DST-NAT

Ini adalah trik wajib untuk mengonlinekan DVR CCTV atau Web Server lokal. Kita meneruskan (forward) permintaan masuk dari IP Publik ke IP Lokal perangkat menggunakan Chain: dstnat.

Skenario: Anda punya DVR dengan IP Lokal 192.168.10.50 di port 80. Kita ingin orang luar mengakses IP Publik router lalu diarahkan langsung ke DVR tersebut.

Metode Winbox (GUI)

  1. Buka menu IPFirewall ➔ Tab NAT.
  2. Klik ikon (+) Add. Pada tab General, atur Chain: dstnat.
  3. Protocol: 6 (tcp) dan Dst. Port: 80.
  4. In. Interface: ether1 (Jalur internet).
  5. Pindah ke tab Action. Ubah Action menjadi dst-nat.
  6. Pada To Addresses isikan: 192.168.10.50. Pada To Ports isikan: 80. Klik OK.
Metode Terminal (CLI) 
/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 in-interface=ether1 action=dst-nat to-addresses=192.168.10.50 to-ports=80

Ringkasan Modul 3

Chain Input: Memfilter ancaman yang tertuju langsung ke sistem RouterOS.
Chain Forward: Memfilter hak akses klien lokal yang ingin menuju internet.
Action Drop: Digunakan untuk membuang paket/memblokir akses.
DST-NAT (Port Forward): Jurus mengonlinekan DVR CCTV / server web ke publik.

Jaringan sudah aman dari serangan?

Lanjut gabungkan port dengan Bridge!

Modul 4: Bridging System

Ruang Diskusi

0 Komentar

Tulis Pesan Publik