Cara Setting Firewall Dasar di Mikrotik: Panduan Lengkap untuk Keamanan Jaringan

Pendahuluan: Mengapa Firewall Mikrotik Sangat Penting?

Di era digital yang serba terhubung, keamanan jaringan bukan lagi pilihan, melainkan keharusan mutlak. Setiap perangkat yang terhubung ke internet, termasuk router, menjadi target potensial bagi serangan siber. Bagi pengguna Mikrotik, perangkat lunak yang andal dan fleksibel, perlindungan utama terhadap ancaman ini adalah Firewall Mikrotik.

Firewall Mikrotik, yang berada di bawah sub-menu /ip firewall filter, adalah jantung dari pertahanan jaringan Anda. Tanpa konfigurasi firewall dasar yang tepat, router Anda—dan seluruh jaringan di belakangnya—terbuka lebar bagi intrusi, serangan DDoS, hingga penyalahgunaan sumber daya. Panduan ini dirancang untuk pemula hingga administrator jaringan yang ingin memahami dan mengimplementasikan kebijakan firewall yang kuat dan mendasar, memastikan jaringan Anda aman, stabil, dan berkinerja optimal.

Kita akan membahas konsep dasar (Chains dan Actions), prinsip "Explicit Allow, Implicit Deny," dan langkah-langkah praktis menggunakan CLI (Command Line Interface) yang merupakan metode paling efisien dan akurat dalam konfigurasi Mikrotik RouterOS.

Memahami Konsep Inti Firewall Mikrotik

Sebelum kita terjun ke kode, memahami bagaimana firewall Mikrotik memproses paket data adalah kuncinya. Mikrotik menggunakan sistem Stateful Firewall, yang berarti ia tidak hanya melihat alamat sumber dan tujuan, tetapi juga melacak status koneksi (baru, terjalin, terkait).

Rantai (Chains) Utama dalam Firewall Filter

Dalam konfigurasi /ip firewall filter, terdapat tiga rantai (chains) utama yang harus Anda pahami:

• Input Chain: Rantai ini menangani paket data yang ditujukan untuk router itu sendiri. Contoh: Paket data yang mencoba mengakses WinBox, SSH, atau ping ke alamat IP router (WAN atau LAN).
• Forward Chain: Rantai ini menangani paket data yang melewati router, dari satu jaringan ke jaringan lain. Contoh: Lalu lintas dari jaringan LAN Anda menuju internet (WAN), atau lalu lintas dari internet yang mencoba masuk ke server internal Anda.
• Output Chain: Rantai ini menangani paket data yang berasal dari router itu sendiri. Contoh: Paket yang dikirim router saat melakukan ping ke server DNS, atau permintaan NTP (Network Time Protocol) dari router.

Aksi (Actions) Penting

Setiap aturan firewall harus memiliki aksi (action) yang menentukan apa yang harus dilakukan router terhadap paket yang cocok dengan kriteria aturan tersebut:

1. Accept: Membiarkan paket melewati aturan dan meneruskannya ke tujuan. (Paket tidak akan diperiksa oleh aturan lain di bawahnya).
2. Drop: Menghilangkan paket secara diam-diam (tidak mengirimkan pesan balasan ke pengirim). Ini adalah opsi paling aman untuk memblokir lalu lintas dari luar.
3. Reject: Menghilangkan paket, tetapi mengirimkan pesan balasan (seperti ICMP Destination Unreachable) kembali ke pengirim. Ini berguna untuk debugging tetapi kurang aman daripada drop.
4. Log: Mencatat informasi paket di log router sebelum melanjutkan pemrosesan.
5. Passthrough: Melewati aturan ini dan melanjutkan pemeriksaan di aturan berikutnya.

Prinsip "Implicit Deny" (Default Drop Policy)

Prinsip keamanan dasar yang harus diterapkan adalah "Implicit Deny," yang berarti, secara default, semua yang tidak secara eksplisit diizinkan harus diblokir. Di Mikrotik, ini dicapai dengan menempatkan aturan action=drop di akhir setiap chain (Input, Forward, Output).

Langkah Persiapan dan Penamaan Antarmuka

Sebelum memulai konfigurasi firewall, pastikan antarmuka (interface) di router Anda telah dinamai dengan jelas. Penamaan yang konsisten adalah kunci untuk menghindari kesalahan konfigurasi.

Kasus SOHO Standar

Kita akan menggunakan skenario standar: Router memiliki satu koneksi Internet (WAN) dan satu koneksi jaringan lokal (LAN).

/interface set ether1 name=WAN_Interface
/interface set bridge1 name=LAN_Bridge
        

Pentingnya Daftar Alamat (Address Lists)

Untuk memudahkan pengelolaan, definisikan alamat IP yang sering digunakan, seperti jaringan lokal Anda (LAN). Ini akan membuat aturan firewall lebih mudah dibaca dan dikelola.

/ip firewall address-list
add list=LAN_Jaringan address=192.168.88.0/24 comment="Jaringan Lokal Internal"
        

Tutorial Langkah-demi-Langkah: Setting Firewall Dasar Mikrotik

Pengaturan firewall dasar ini bertujuan untuk mencapai dua hal utama: Mengamankan router itu sendiri (INPUT) dan mengamankan lalu lintas yang melewati router (FORWARD).

Langkah 1: Mengamankan Akses Router (INPUT Chain)

Tujuan utama di sini adalah memastikan hanya perangkat dari Jaringan LAN yang dapat mengakses konfigurasi router (WinBox, SSH, HTTP) dan memblokir upaya akses dari WAN (Internet).

1.1. Izinkan Koneksi yang Sudah Terjalin dan Terkait

Ini adalah aturan terpenting. Firewall harus selalu mengizinkan paket yang merupakan bagian dari sesi koneksi yang sah (established) atau paket yang terkait dengan koneksi yang ada (related, seperti paket balasan FTP atau ICMP). Aturan ini harus berada di urutan teratas untuk mengurangi beban CPU.

/ip firewall filter
add chain=input action=accept connection-state=established,related \
    comment="01. Terima koneksi yang sudah terjalin dan terkait"
        

1.2. Blokir Koneksi Baru (Invalid)

Memblokir paket yang diklasifikasikan sebagai invalid adalah langkah cepat untuk menyingkirkan lalu lintas yang rusak atau mencoba memanipulasi koneksi.

add chain=input action=drop connection-state=invalid \
    comment="02. Drop paket invalid"
        

1.3. Izinkan Akses Lokal (LAN)

Izinkan semua lalu lintas yang berasal dari antarmuka LAN Anda untuk mengakses router. Ini memungkinkan Anda mengelola router dari jaringan internal.

add chain=input action=accept in-interface=LAN_Bridge \
    comment="03. Terima akses dari Jaringan LAN"
        

1.4. Izinkan PING Sederhana dari WAN (Opsional)

Untuk memastikan koneksi Internet masih aktif, Anda mungkin ingin mengizinkan beberapa ping dari luar. Namun, membatasi jumlahnya penting untuk mencegah serangan ICMP flood.

add chain=input action=accept protocol=icmp src-address-list=!LAN_Jaringan \
    limit=5/s,20 burst=20 comment="04. Terima ICMP (Ping) dari WAN dgn batasan"
        

1.5. Blokir Sisa Lalu Lintas dari WAN

Ini adalah aturan "Implicit Deny" untuk rantai INPUT. Setiap paket yang berasal dari luar (WAN) dan belum cocok dengan aturan di atas, akan diblokir. Pastikan in-interface adalah WAN Anda.

add chain=input action=drop in-interface=WAN_Interface \
    comment="05. Drop sisa lalu lintas ke Router dari WAN"
        

Langkah 2: Mengamankan Lalu Lintas Melewati Router (FORWARD Chain)

Rantai FORWARD menangani komunikasi antara LAN dan WAN. Tujuan kita adalah mengizinkan LAN keluar ke WAN, tetapi memblokir semua upaya koneksi baru dari WAN ke LAN (kecuali untuk kasus tertentu seperti Port Forwarding, yang tidak dibahas di panduan dasar ini).

2.1. Izinkan Koneksi Established dan Related

Sama seperti INPUT, ini memastikan bahwa lalu lintas yang merupakan balasan dari permintaan yang sah diizinkan masuk kembali ke LAN.

/ip firewall filter
add chain=forward action=accept connection-state=established,related \
    comment="06. Terima koneksi FORWARD yang sudah terjalin dan terkait"
        

2.2. Drop Paket Invalid

add chain=forward action=drop connection-state=invalid \
    comment="07. Drop paket invalid FORWARD"
        

2.3. Izinkan Jaringan LAN Menuju Internet

Izinkan semua lalu lintas yang berasal dari LAN (in-interface=LAN_Bridge) keluar ke WAN (out-interface=WAN_Interface).

add chain=forward action=accept connection-state=new in-interface=LAN_Bridge out-interface=WAN_Interface \
    comment="08. Izinkan lalu lintas LAN menuju Internet"
        

2.4. Blokir Koneksi Baru dari WAN ke LAN (Stealth Protection)

Ini adalah inti dari perlindungan jaringan internal. Kita memblokir semua upaya koneksi baru (connection-state=new) yang datang dari luar (WAN) dan menargetkan jaringan internal (LAN).

add chain=forward action=drop connection-state=new in-interface=WAN_Interface out-interface=LAN_Bridge \
    comment="09. Blokir semua koneksi baru dari WAN ke LAN"
        

2.5. Aturan Drop Akhir (Kebijakan Default)

Sebagai kebijakan keamanan terakhir, semua paket yang tidak cocok dengan aturan di atas (baik di INPUT maupun FORWARD) harus diblokir. Ini menegakkan prinsip "Implicit Deny."

add chain=input action=drop comment="10. Kebijakan DROP Default INPUT"
add chain=forward action=drop comment="11. Kebijakan DROP Default FORWARD"
        

Menggabungkan Firewall dengan NAT Masquerade

Meskipun NAT (Network Address Translation) secara teknis bukan bagian dari filter firewall, ia sangat penting dalam setup dasar Mikrotik agar perangkat di LAN dapat terhubung ke internet menggunakan satu alamat IP publik (WAN).

Aturan NAT ini harus diletakkan di /ip firewall nat.

/ip firewall nat
add chain=srcnat action=masquerade out-interface=WAN_Interface \
    comment="NAT Masquerade untuk akses internet LAN"
        

Pastikan aturan NAT ini sudah ada dan berfungsi sebelum Anda menguji aturan FORWARD, karena tanpa NAT, perangkat LAN tidak akan mendapatkan balasan dari internet.

Kesalahan Umum Saat Setting Firewall Mikrotik dan Cara Mengatasinya

1. Salah Urutan Aturan (The Order Matters)

Firewall Mikrotik memproses aturan dari atas ke bawah (berdasarkan nomor urut). Jika Anda menempatkan aturan action=drop umum di atas aturan action=accept yang spesifik, maka lalu lintas yang seharusnya diizinkan akan diblokir terlebih dahulu. Selalu pastikan aturan spesifik (Accept Established/Related) berada di puncak, diikuti oleh aturan pemblokiran spesifik, dan diakhiri dengan aturan Drop umum.

2. Terkunci dari Router (Lockout)

Ini adalah kesalahan paling umum, terjadi ketika aturan drop di rantai INPUT diterapkan sebelum aturan accept untuk manajemen lokal (WinBox/SSH). Jika ini terjadi dan Anda tidak memiliki akses fisik ke router, Anda harus menggunakan fitur Safe Mode di WinBox saat mengedit aturan. Jika terlanjur terkunci, satu-satunya cara adalah hard reset atau mengakses router melalui MAC-Telnet (jika masih berfungsi).

Tips Pencegahan: Saat melakukan perubahan besar pada firewall, selalu aktifkan Safe Mode. Jika koneksi Anda terputus, Mikrotik akan secara otomatis mengembalikan konfigurasi ke keadaan semula.

3. Menggunakan Reject vs. Drop

Menggunakan reject untuk memblokir lalu lintas dari WAN (Internet) akan memberitahu penyerang bahwa ada sesuatu di balik alamat IP tersebut, bahkan jika portnya ditutup. Selalu gunakan drop untuk lalu lintas yang berasal dari WAN. Drop membuat router seolah-olah tidak ada di jaringan, memberikan lapisan keamanan tambahan (disebut juga stealth mode).

4. Lupa Mendefinisikan Antarmuka Masuk/Keluar

Dalam rantai FORWARD, sangat penting untuk mendefinisikan baik in-interface (antarmuka masuk) maupun out-interface (antarmuka keluar). Kegagalan mendefinisikan salah satunya dapat menyebabkan aturan tersebut diterapkan secara salah, misalnya, memblokir lalu lintas LAN yang seharusnya diizinkan keluar.

Tambahan Keamanan: Membatasi Serangan Dasar (Anti-DDoS Sederhana)

Untuk menambah kedalaman keamanan, Anda bisa menambahkan aturan sederhana untuk membatasi paket-paket yang mencoba membanjiri router atau server Anda (DoS/DDoS).

Salah satu tekniknya adalah Port Scan Protection. Kita bisa menggunakan raw firewall untuk menangkap dan memblokir IP yang mencoba melakukan port scanning secara agresif. Ini harus diterapkan di rantai prerouting sebelum paket diproses oleh filter biasa.

/ip firewall raw

# 1. Mendaftarkan IP yang melakukan Port Scan
add chain=prerouting action=add-src-to-address-list \
    connection-limit=10,32 protocol=tcp \
    address-list=Blokir_Scanning address-list-timeout=1h \
    comment="Blokir IP yang Port Scanning"

# 2. Drop semua paket dari IP di daftar 'Blokir_Scanning'
add chain=prerouting action=drop src-address-list=Blokir_Scanning \
    comment="Drop semua paket dari IP Scanning"
        

Aturan di atas membatasi jumlah koneksi TCP baru dari satu sumber ke 10 koneksi. Jika melebihi batas tersebut, IP sumber akan dimasukkan ke daftar Blokir_Scanning selama 1 jam, dan semua paket dari IP tersebut langsung di-drop, melindungi CPU router dari pemrosesan lebih lanjut.

FAQ (Frequently Asked Questions) Mengenai Firewall Mikrotik

Q: Apakah saya perlu mengamankan rantai OUTPUT?

A: Untuk setup dasar SOHO, biasanya tidak perlu. Rantai OUTPUT mengontrol apa yang dikirim router itu sendiri (misalnya, permintaan DNS router atau log ke server Syslog). Kecuali jika Anda mencurigai router Anda terinfeksi dan mengirim spam, atau Anda memiliki kebutuhan keamanan yang sangat ketat, fokuslah pada INPUT dan FORWARD.

Q: Apa bedanya chain=input dan chain=forward?

A: Input adalah untuk paket yang berakhir di router (akses WinBox, SSH). Forward adalah untuk paket yang melewati router (lalu lintas LAN ke WAN, atau sebaliknya). Jika lalu lintas berasal dari internet dan ingin masuk ke PC di LAN, itu adalah FORWARD. Jika lalu lintas berasal dari internet dan ingin login ke router, itu adalah INPUT.

Q: Mengapa saya harus selalu mengizinkan established,related terlebih dahulu?

A: Ini adalah optimasi performa. Ketika sebuah koneksi sudah diidentifikasi sebagai sah dan sedang berjalan (established), kita tidak perlu lagi memprosesnya melalui puluhan aturan firewall di bawahnya. Dengan menempatkan aturan ini di awal, Mikrotik dapat dengan cepat meneruskan lalu lintas yang sah dan mengurangi beban CPU.

Q: Setelah saya setting firewall, kenapa kecepatan internet saya turun?

A: Hal ini jarang terjadi pada konfigurasi dasar. Namun, penurunan kecepatan bisa terjadi jika Anda terlalu banyak menggunakan fitur log, atau jika Anda menerapkan aturan Layer7 Protocol (yang sangat intensif CPU), atau jika aturan yang Anda buat terlalu kompleks sehingga memakan waktu pemrosesan yang signifikan. Pastikan aturan established,related Anda berada di posisi teratas.

Kesimpulan: Jaringan Aman Berkat Firewall Mikrotik

Mengimplementasikan firewall dasar di Mikrotik adalah fondasi utama dari keamanan jaringan yang solid. Dengan memahami tiga rantai utama—INPUT, FORWARD, dan OUTPUT—serta menerapkan prinsip "Implicit Deny" melalui aturan drop di akhir setiap rantai, Anda telah menutup celah keamanan paling umum.

Firewall yang telah dikonfigurasi dengan baik tidak hanya melindungi router Anda dari akses ilegal dari WAN, tetapi juga memastikan bahwa lalu lintas dari jaringan internal dapat berjalan lancar tanpa gangguan dari paket-paket berbahaya. Selalu ingat untuk menguji setiap aturan dan menggunakan Safe Mode saat melakukan perubahan, memastikan koneksi manajemen Anda tetap terjaga.

Mikrotik menawarkan fleksibilitas yang luar biasa. Setelah menguasai dasar-dasar ini, Anda dapat melanjutkan ke konfigurasi yang lebih kompleks seperti VPN, Port Forwarding, dan implementasi Quality of Service (QoS) dengan keyakinan bahwa fondasi keamanan Anda sudah kokoh.