Firewall Filter MikroTik: Membatasi Akses Internet per IP

Updated on May 15, 2026

Big Picture dulu

Bayangin kamu punya kos-kosan. Ada 24 kamar. Kamu sebagai pemilik bisa atur: kamar 1-10 boleh keluar lewat pintu utama kapan saja, sementara kamar 11-24 tidak boleh keluar sama sekali. Nah, Firewall Filter itu persis kayak satpam di pintu kos yang pegang daftar aturan tadi.

Di jaringan komputer, setiap paket data yang lewat router itu “ditanya” dulu oleh firewall: “Kamu dari mana? Mau ke mana? Boleh atau tidak?” Kalau boleh → lolos. Kalau tidak → dibuang.

Satu hal yang wajib kamu ingat sebelum mulai: aturan firewall dibaca dari atas ke bawah, dan berhenti di aturan pertama yang cocok. Ini namanya prinsip top-to-bottom. Urutan rule itu segalanya.

Konsep Dasar yang Wajib Dipahami

Chain Forward Ini adalah jalur yang dipakai untuk paket data yang melewati router, bukan yang menuju router itu sendiri. Karena siswa browsing dari laptop ke internet, berarti paket mereka melewati router, jadi kita pakai chain forward.

Action Accept vs Drop

  • accept = loloskan paket ini, selesai, jangan cek rule berikutnya
  • drop = buang paket ini diam-diam, si pengirim tidak dapat pemberitahuan apa-apa

Protocol TCP dan Port

  • HTTP (browsing biasa) pakai port 80
  • HTTPS (browsing aman, ada gembok di browser) pakai port 443
  • Kita tulis: dst-port=80,443 artinya paket yang menuju port 80 atau 443

Langkah-langkah Konfigurasi

Langkah 1: Buat rule ALLOW untuk IP yang diizinkan browsing

ip firewall filter add chain=forward src-address=192.168.1.1-192.168.1.10 protocol=tcp dst-port=80,443 action=accept

Artinya dalam bahasa manusia: “Paket dari IP 192.168.1.1 sampai 192.168.1.10, yang mau ke port 80 atau 443, silakan lewat.”

Ini berlaku untuk 10 perangkat pertama di jaringan kamu.

Langkah 2: Buat rule BLOCK untuk semua IP lain di subnet yang sama

ip firewall filter add chain=forward src-address=192.168.1.0/24 action=drop

Artinya: “Paket dari seluruh jaringan 192.168.1.0/24 yang belum lolos di rule sebelumnya, buang.”

Kenapa ini aman? Karena IP .1 sampai .10 sudah diizinkan di rule pertama tadi. Mereka tidak akan sampai ke rule drop ini. Yang kena drop hanya IP .11 ke atas.

Langkah 3: Verifikasi urutan rule

ip firewall filter print

Kamu akan melihat daftar rule dengan nomor urut. Rule accept HARUS ada di atas rule drop. Kalau terbalik, semua orang malah kena blokir — termasuk IP .1 sampai .10.

Langkah 4 (Opsional): Beri pengecualian untuk satu IP tertentu

Misalnya IP 192.168.1.1 adalah komputer guru, boleh akses semua tanpa batasan port:

ip firewall filter add chain=forward src-address=192.168.1.1 action=accept

Langkah 5: Pindahkan rule pengecualian ke posisi paling atas

ip firewall filter move [nomor-rule] 0

Ganti [nomor-rule] dengan nomor yang tampil di hasil print tadi. Angka artinya posisi pertama.

Kenapa perlu dipindah? Karena kalau rule “IP .1 boleh semua” posisinya di bawah rule “IP .1-.10 boleh port 80,443 saja”, maka yang berlaku adalah rule yang lebih atas. Rule pengecualian tidak akan pernah dibaca.

Langkah 6 (Opsional): Tambahkan batasan waktu

Tambahkan parameter time ke rule yang sudah ada, misalnya:

... time=08:00:00-17:00:00,mon,tue,wed,thu,fri

Ini artinya rule berlaku hanya Senin sampai Jumat, pukul 08.00-17.00. Di luar jam itu, rule tidak aktif dan paket akan diteruskan ke rule berikutnya.

Skenario Nyata di Lab

Di lab kamu, topologinya: laptop siswa → switch → MikroTik → internet.

Misalnya ada 30 komputer lab dengan IP 192.168.1.2 sampai 192.168.1.31:

  • Komputer 1-10 (IP .2 sampai .11): boleh browsing
  • Komputer 11-30 (IP .12 sampai .31): hanya boleh akses lokal, tidak bisa browsing

Kamu tinggal sesuaikan range di src-address sesuai kebutuhan.

Jebakan Umum yang Sering Terjadi

Jebakan 1: Urutan rule terbalik Rule drop dipasang lebih dulu sebelum rule accept. Akibatnya, semua IP langsung kena drop sebelum sempat dicek apakah mereka termasuk yang diizinkan. Solusi: selalu print untuk cek urutan, dan pindah rule kalau perlu.

Jebakan 2: Lupa tulis protocol=tcp Port 80 dan 443 hanya berlaku di TCP. Kalau tidak dituliskan protokolnya, rule mungkin tidak bekerja sesuai harapan karena router bingung mencocokkan rule.

Jebakan 3: Drop terlalu agresif Menulis src-address=0.0.0.0/0 action=drop di posisi atas. Ini memblokir semua paket, termasuk koneksi ke router itu sendiri. Router bisa tidak bisa di-remote lagi.

Jebakan 4: Parameter time tidak aktif MikroTik harus punya waktu yang benar. Kalau jam di router salah, rule berbasis waktu tidak akan jalan tepat. Cek dengan: system clock print.

Kuis Singkat

Jawab dulu sebelum lanjut ya:

  1. Sebuah paket dari IP 192.168.1.15 mencoba membuka website (port 80). Di firewall sudah ada dua rule: rule pertama accept untuk IP 192.168.1.1-192.168.1.10, rule kedua drop untuk 192.168.1.0/24. Apa yang terjadi dengan paket tersebut dan mengapa?

  2. Kamu sudah buat tiga rule firewall. Setelah di-print, urutannya: rule drop ada di nomor 0, rule accept ada di nomor 1. Apa yang perlu kamu lakukan dan perintah apa yang digunakan?

  3. Seorang siswa mengeluh: “Pak, saya bisa buka YouTube pagi tadi, tapi sekarang tidak bisa.” Ternyata ada rule dengan parameter time=07:00:00-12:00:00. Sekarang jam 13.00. Apa yang paling mungkin menjadi penyebabnya?

Next

Filter Website dengan Content dan L7 Protocol
Konfigurasi NAT (Static NAT vs Masquerade)
Konfigurasi Wireless Access Point MikroTik
Virtual Access Point dan Multi-SSID MikroTik
Hotspot Server MikroTik (Login Page, User Management)
VLAN Dasar pada Cisco Switch (Membuat, Assign Port, Trunking)
Bandwidth Management: Simple Queue MikroTik
Per Connection Queue (PCQ) MikroTik
Firewall Logging dan Monitoring MikroTik
Backup, Restore, dan Upgrade RouterOS MikroTik
Multi-Area OSPF dengan Redistribusi
EtherChannel (Link Aggregation) pada Cisco Switch
Spanning Tree Protocol (STP) Observasi dan Tuning
Queue Tree Hierarki (HTB) MikroTik untuk QoS Kompleks
Switch Chip & VLAN pada MikroTik RouterBoard
PROYEK AKHIR: Desain Jaringan Kantor Lengkap