Security Router MikroTik (Firewall) Menggunakan Chain Input
Router MikroTik sering dipakai untuk jaringan kantor, sekolah, hotspot, sampai backbone kecil. Masalahnya, router adalah pusat kendali jaringan. Jika router terbuka, penyerang tidak perlu menyerang PC client. Mereka cukup menyerang router.
Tutorial ini membahas cara mengamankan Router MikroTik menggunakan Firewall Filter pada Chain Input. Fokusnya adalah mengamankan akses ke router. Bukan mengamankan trafik antar client.
Di akhir tutorial, kamu akan punya konfigurasi firewall input yang aman, rapi, dan bisa diverifikasi menggunakan Nmap.
Kenapa Firewall Chain Input Wajib Dipahami
Chain input berfungsi untuk memfilter paket yang tujuan akhirnya adalah router. Ini berbeda dengan chain forward yang memfilter paket yang melewati router.
Chain input dipakai untuk:
- Membatasi akses WinBox, SSH, WebFig, API, SNMP, dan service RouterOS lainnya
- Mencegah scanning port dari LAN maupun WAN
- Mengurangi risiko brute force login
- Mengunci router dari akses user yang tidak berhak
Jika chain input kosong, maka router akan menerima koneksi ke banyak port. Ini termasuk port manajemen.
Perbedaan Chain Input, Forward, dan Output
Sebelum masuk konfigurasi, kamu harus paham perbedaan 3 chain utama.
Chain Input
Input adalah paket yang menuju router.
Contoh:
- WinBox ke router
- Ping ke router
- DNS query ke router
- SSH ke router
Chain Forward
Forward adalah paket yang melewati router.
Contoh:
- Client browsing internet
- Client akses server LAN
- LAN ke VLAN lain
Chain Output
Output adalah paket yang berasal dari router.
Contoh:
- Router ping ke internet
- Router update RouterOS
- Router sinkron NTP
Tutorial ini fokus ke input karena targetnya adalah keamanan router.
Target Konfigurasi Security MikroTik
Kita akan membuat konfigurasi firewall input dengan target:
- Semua port router diblok untuk client biasa
- Hanya IP admin yang boleh akses WinBox dan service manajemen
- Client hanya boleh DNS dan DHCP (opsional)
- Semua akses dari WAN ke router diblok
- Rule bisa diverifikasi menggunakan Nmap
Topologi dan Skenario Lab
Agar mudah dipraktikkan, kita gunakan topologi sederhana.
- ether1 = WAN (internet)
- ether2 = LAN (client dan admin)
Contoh IP:
- Router LAN: 30.30.30.1/24
- PC Client: 30.30.30.40/24
- PC Admin: 30.30.30.50/24
Persiapan Konfigurasi Dasar Router
Sebelum membuat firewall, pastikan router sudah bisa internet dan client bisa browsing.
Setting DHCP Client WAN
Jika WAN dari modem memberi IP otomatis:
IP > DHCP Client > Add
- Interface: ether1
- Use Peer DNS: yes (opsional)
- Use Peer NTP: yes (opsional)
Setting IP Address LAN
IP > Addresses > Add
- Address: 30.30.30.1/24
- Interface: ether2
Setting DNS Router
IP > DNS
- Servers: 8.8.8.8, 1.1.1.1
- Allow Remote Requests: yes
Jika kamu tidak ingin router melayani DNS untuk client, set menjadi no.
Setting NAT Masquerade
IP > Firewall > NAT > Add
- Chain: srcnat
- Out Interface: ether1
- Action: masquerade
Dua Teknik Firewall Chain Input yang Paling Umum
Dalam praktik, ada 2 gaya utama untuk security router.
Teknik 1: Drop Some, Accept All
Konsep:
- Kamu hanya memblok beberapa port tertentu
- Lalu membiarkan port lain terbuka
Teknik ini sering dipakai karena cepat.
Namun ini bukan metode terbaik untuk keamanan. Karena kamu bisa lupa port lain yang masih aktif, seperti API, SNMP, FTP, Telnet, dan service tambahan.
Teknik 2: Accept Some, Drop All
Konsep:
- Kamu hanya membuka port yang benar-benar dibutuhkan
- Semua port lain otomatis ditutup
Ini metode terbaik untuk keamanan router. Ini juga metode yang paling sering dipakai di jaringan produksi.
Prinsip Penting Firewall MikroTik (Wajib Dipahami)
Sebelum menulis rule, pahami prinsip ini.
Rule Dibaca dari Atas ke Bawah
Firewall MikroTik memproses rule dari urutan paling atas. Jika rule pertama match, maka rule berikutnya tidak dicek lagi.
Karena itu, urutan rule sangat menentukan hasil.
Established dan Related Harus Diizinkan
Rule ini menjaga koneksi yang sudah aktif tetap berjalan stabil.
Jika rule ini tidak ada, koneksi WinBox dan browsing bisa terasa tidak stabil.
Drop Invalid Harus Ada
Paket invalid adalah paket rusak atau tidak sesuai state koneksi. Ini sering dipakai dalam scanning atau serangan.
Teknik 1: Drop Some, Accept All (Cara Cepat)
Teknik ini cocok untuk latihan. Bukan untuk produksi.
Konsep Teknik 1
Kamu memblok beberapa port untuk IP tertentu. Setelah itu, semua input LAN tetap diizinkan.
Contoh Target
- PC client 30.30.30.40 tidak boleh akses WinBox dan SSH
- PC admin 30.30.30.50 tetap bebas
Konfigurasi Firewall Input Teknik 1
Jalankan perintah berikut di Terminal MikroTik.
Rule 1: Allow Established dan Related
/ip firewall filter add chain=input connection-state=established,related action=accept comment=”Allow established, related”
Rule 2: Drop Invalid
/ip firewall filter add chain=input connection-state=invalid action=drop comment=”Drop invalid”
Rule 3: Drop WinBox dari Client
/ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address=30.30.30.40 action=drop comment=”Drop WinBox from client”
Rule 4: Drop SSH dari Client
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address=30.30.30.40 action=drop comment=”Drop SSH from client”
Rule 5: Accept Semua Input dari LAN
/ip firewall filter add chain=input in-interface=ether2 action=accept comment=”Allow all input from LAN”
Kekurangan Teknik 1
Teknik ini terlihat bekerja. Tetapi secara keamanan masih lemah.
Karena:
- API masih bisa terbuka
- SNMP masih bisa terbuka
- FTP masih bisa terbuka
- Telnet masih bisa terbuka
- WebFig bisa terbuka jika tidak diblok
Jika router dipakai untuk produksi, teknik ini berbahaya.
Verifikasi Teknik 1 dengan Nmap
Nmap dari PC Client
nmap -sS -p 22,8291,80,443 30.30.30.1
Jika rule benar, port 22 dan 8291 akan berubah menjadi filtered.
Nmap dari PC Admin
nmap -sS -p 22,8291,80,443 30.30.30.1
Admin masih bisa melihat port terbuka.
Teknik 2: Accept Some, Drop All (Cara Aman)
Ini metode yang disarankan untuk keamanan router.
Konsep Teknik 2
- Buka hanya port yang dibutuhkan
- Semua input lain ditutup total
Teknik ini membuat router jauh lebih sulit diserang.
Membuat Address List untuk IP Admin
Agar rule rapi, gunakan address-list.
Tambahkan IP Admin
/ip firewall address-list add list=ADMIN address=30.30.30.50 comment=”Admin PC”
Jika admin lebih dari satu, tambahkan semua IP admin ke list ini.
Konfigurasi Firewall Input Teknik 2 (Rekomendasi Produksi)
Gunakan urutan rule berikut.
Rule 1: Allow Established dan Related
/ip firewall filter add chain=input action=accept connection-state=established,related comment=”Allow established, related”
Rule 2: Drop Invalid
/ip firewall filter add chain=input action=drop connection-state=invalid comment=”Drop invalid”
Rule 3: Allow ICMP dari Admin
/ip firewall filter add chain=input protocol=icmp src-address-list=ADMIN action=accept comment=”Allow ping from ADMIN”
Rule 4: Allow WinBox dari Admin
/ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address-list=ADMIN action=accept comment=”Allow WinBox from ADMIN”
Rule 5: Allow SSH dari Admin (Opsional)
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ADMIN action=accept comment=”Allow SSH from ADMIN”
Jika kamu tidak butuh SSH, jangan buat rule ini. Lebih aman jika SSH dimatikan.
Rule 6: Allow WebFig dari Admin (Opsional)
/ip firewall filter add chain=input protocol=tcp dst-port=80,443 src-address-list=ADMIN action=accept comment=”Allow WebFig from ADMIN”
Jika kamu tidak butuh WebFig, disable saja service www dan www-ssl.
Rule 7: Allow DNS dari LAN (Jika Router Jadi DNS)
/ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=ether2 action=accept comment=”Allow DNS UDP from LAN”
/ip firewall filter add chain=input protocol=tcp dst-port=53 in-interface=ether2 action=accept comment=”Allow DNS TCP from LAN”
Rule 8: Allow DHCP dari LAN (Jika Router Jadi DHCP Server)
/ip firewall filter add chain=input protocol=udp dst-port=67,68 in-interface=ether2 action=accept comment=”Allow DHCP from LAN”
Rule 9: Drop Semua Input dari WAN
/ip firewall filter add chain=input in-interface=ether1 action=drop comment=”Drop all input from WAN”
Rule 10: Drop Semua Input Lainnya
/ip firewall filter add chain=input action=drop comment=”Drop all other input”
Kenapa Rule Drop WAN Tidak Cukup Jika Tidak Ada Drop All
Banyak orang membuat rule drop WAN, lalu merasa aman.
Padahal, jika router punya interface lain, atau ada bridge yang salah, input bisa tetap terbuka.
Rule drop all di akhir adalah pagar terakhir.
Ini wajib.
Verifikasi Teknik 2 dengan Nmap (Wajib)
Setelah rule aktif, verifikasi.
Verifikasi dari PC Admin
nmap -sS -p 22,8291,80,443 30.30.30.1
Hasil yang benar:
- Port 8291 open
- Port 22 open jika kamu allow
- Port 80/443 open jika kamu allow
Verifikasi dari PC Client
nmap -sS -p 1-10000 30.30.30.1
Hasil yang benar:
- Hanya port DNS atau DHCP yang terlihat
- Port WinBox dan SSH harus filtered
Kenapa Status Port Menjadi Filtered
Jika firewall melakukan drop, Nmap tidak mendapat balasan.
Karena itu Nmap menandai port sebagai filtered.
Jika firewall menggunakan reject, Nmap akan melihat port closed.
Untuk security, drop lebih disarankan karena tidak memberi informasi ke attacker.
Hardening Tambahan yang Wajib Dilakukan
Firewall input bagus, tetapi belum cukup.
Bagian ini adalah langkah security yang sangat disarankan.
Disable Service yang Tidak Dipakai
Buka:
IP > Services
Disable service berikut jika tidak digunakan:
- telnet
- ftp
- www
- www-ssl
- api
- api-ssl
- ssh (jika tidak dipakai)
- snmp (jika tidak dipakai)
Semakin sedikit service aktif, semakin kecil permukaan serangan.
Batasi WinBox dengan Available From
Ini adalah lapisan keamanan tambahan.
IP > Services > WinBox
- Available From: 30.30.30.50/32
Dengan ini, walaupun firewall salah, WinBox tetap hanya bisa dari IP admin.
Gunakan Password Kuat dan Nonaktifkan User Default
Banyak router MikroTik diretas bukan karena firewall. Tetapi karena password lemah.
Langkah yang benar:
- Jangan pakai user “admin” tanpa password
- Buat user baru dengan group full
- Disable user admin lama
Update RouterOS Secara Berkala
RouterOS lama memiliki banyak celah keamanan. Ini fakta teknis yang sering terjadi.
Update:
System > Packages > Check for Updates
Versi Rule Firewall Input yang Lebih Profesional
Jika kamu ingin rule lebih rapi, gunakan model ini.
Konsep Profesional
- Admin pakai address-list
- DNS dan DHCP hanya untuk LAN
- WAN ditutup total
- Drop all sebagai rule terakhir
Script Lengkap
/ip firewall address-list
add list=ADMIN address=30.30.30.50 comment=”Admin PC”
/ip firewall filter
add chain=input action=accept connection-state=established,related comment=”Allow established, related”
add chain=input action=drop connection-state=invalid comment=”Drop invalid”
add chain=input action=accept protocol=icmp src-address-list=ADMIN comment=”Allow ICMP from ADMIN”
add chain=input action=accept protocol=tcp dst-port=8291 src-address-list=ADMIN comment=”Allow WinBox from ADMIN”
add chain=input action=accept protocol=tcp dst-port=22 src-address-list=ADMIN comment=”Allow SSH from ADMIN”
add chain=input action=accept protocol=udp dst-port=53 in-interface=ether2 comment=”Allow DNS UDP from LAN”
add chain=input action=accept protocol=tcp dst-port=53 in-interface=ether2 comment=”Allow DNS TCP from LAN”
add chain=input action=accept protocol=udp dst-port=67,68 in-interface=ether2 comment=”Allow DHCP from LAN”
add chain=input action=drop in-interface=ether1 comment=”Drop all input from WAN”
add chain=input action=drop comment=”Drop all other input”
Checklist Security Router MikroTik Setelah Konfigurasi
Gunakan checklist ini.
Checklist Firewall Input
- Established, related sudah accept
- Invalid sudah drop
- Admin sudah dibuat address-list
- WinBox hanya dari admin
- WAN sudah drop total
- Drop all ada di akhir
Checklist Service RouterOS
- Telnet disable
- FTP disable
- API disable
- SNMP disable jika tidak dipakai
- WebFig disable jika tidak dipakai
- WinBox dibatasi Available From
Checklist Verifikasi
- Nmap dari client hanya melihat DNS atau DHCP
- Nmap dari admin melihat port manajemen yang diizinkan
- Nmap dari WAN tidak menemukan port
Penutup
Security Router MikroTik paling efektif dimulai dari chain input. Ini adalah lapisan utama untuk melindungi router dari akses yang tidak sah.
Metode terbaik adalah Accept some, drop all. Kamu hanya membuka port yang dibutuhkan. Sisanya ditutup total.
