Filter Website dengan Content dan L7 Protocol

Updated on May 15, 2026

Gambaran Besar Dulu

Bayangkan kamu punya warung internet. Kamu sebagai pemilik berhak bilang ke penjaga pintu: “Kalau ada tamu yang mau buka YouTube, tolak masuk.” Nah, di jaringan komputer, penjaga pintu itu namanya Firewall, dan perintahnya kita tulis di MikroTik.

Ada dua cara memblokir website di MikroTik:

  1. Filter Content — cara cepat, tapi hanya efektif untuk HTTP (situs lama tanpa gembok/HTTPS)
  2. Layer 7 Protocol (L7) — cara lebih canggih, bisa mendeteksi pola trafik meski sudah pakai HTTPS

Kita bahas keduanya satu per satu.

Cara 1: Filter dengan Content (Cara Mudah)

Cara kerjanya

MikroTik membaca isi paket data yang lewat, lalu cari kata tertentu. Kalau ketemu kata “facebook.com” di dalam paket, langsung dibuang.

Ibaratnya: seperti satpam yang membaca surat yang lewat — kalau isi suratnya ada kata “Facebook”, surat itu langsung disobek.

Langkah-langkahnya

Via Terminal/CLI:

ip firewall filter add chain=forward content=facebook.com action=drop

Terjemahannya kalimat per kalimat:

  • chain=forward — aturan ini berlaku untuk trafik yang lewat router (dari LAN ke internet)
  • content=facebook.com — cari paket yang isinya mengandung teks ini
  • action=drop — buang paketnya, jangan diteruskan

Via WinBox GUI:

  • Buka WinBox → IPFirewall
  • Klik tab Filter Rules → klik tombol + (tambah rule baru)
  • Isi:
    • Chain: forward
    • Advanced tabContent: facebook.com
    • Action tabAction: drop
  • Klik OK

Kelemahannya

Cara ini tidak efektif untuk situs yang pakai HTTPS (ada ikon gembok di browser). Kenapa? Karena kalau pakai HTTPS, isi paket sudah dienkripsi (dikunci), jadi MikroTik tidak bisa membaca kata “facebook.com” di dalamnya. Anggap saja suratnya sudah dimasukkan ke amplop yang dikunci — satpam tidak bisa membaca isinya.

Cara 2: Filter dengan Layer 7 Protocol (Cara Lebih Ampuh)

Cara kerjanya

Layer 7 tidak membaca isi paket, tapi membaca pola dari trafik yang lewat menggunakan regular expression (regexp). Regexp itu semacam kode pencarian yang bisa mendeteksi pola teks.

Ibaratnya: satpam sekarang tidak membaca isi surat, tapi melihat cara seseorang berjalan. Kalau gayanya mirip orang YouTube, langsung diblokir.

Langkah-langkahnya

Langkah 1 — Buat pola L7:

ip firewall layer7-protocol add name=block-youtube regexp="^.+(youtube\.com).*$"

Penjelasan:

  • name=block-youtube — nama aturan ini, bebas kita tentukan
  • regexp="^.+(youtube\.com).*$" — pola pencarian: “cari apapun yang mengandung kata youtube.com”

Via WinBox GUI:

  • Buka IPFirewall → tab Layer7 Protocols
  • Klik + (tambah baru)
  • Name: block-youtube
  • Regexp: ^.+(youtube\.com).*$
  • Klik OK

Langkah 2 — Terapkan ke Filter Rule:

ip firewall filter add chain=forward layer7-protocol=block-youtube action=drop

Penjelasan:

  • chain=forward — berlaku untuk trafik yang lewat router
  • layer7-protocol=block-youtube — pakai pola L7 yang tadi kita buat
  • action=drop — buang paketnya

Via WinBox GUI:

  • Buka tab Filter Rules → klik +
  • Chain: forward
  • Tab AdvancedLayer7 Protocol: block-youtube
  • Tab ActionAction: drop
  • Klik OK

Posisi Rule itu Penting

Ini bagian yang sering bikin siswa gagal. Firewall MikroTik membaca rule dari atas ke bawah, seperti membaca daftar antrian. Kalau ada rule “bolehkan semua” di atas, rule “blokir YouTube” di bawahnya tidak akan pernah terbaca.

Pastikan rule blokir kamu ada sebelum rule accept yang umum.

Cek urutan via CLI:

ip firewall filter print

Kalau posisinya salah, pindahkan via WinBox dengan cara drag dan drop, atau via CLI:

ip firewall filter move [nomor-rule] destination=0

Verifikasi: Tes Apakah Berhasil

Setelah rule dibuat, lakukan pengujian dari komputer client:

  • Buka browser, coba akses situs yang diblokir
  • Hasilnya harus: timeout, connection refused, atau halaman tidak bisa dibuka

Kalau masih bisa diakses, cek lagi urutan rule-nya.

Monitoring: Lihat Rule Bekerja

Untuk melihat berapa banyak paket yang sudah diblokir, jalankan:

ip firewall filter print stats

Kolom Bytes dan Packets akan bertambah setiap ada trafik yang ter-drop. Kalau angkanya nol terus padahal kamu sudah mencoba akses dari client, berarti rule tidak terpicu — cek posisi dan pengaturannya lagi.

Jebakan Umum yang Harus Diwaspadai

  • Regexp salah format — titik di dalam regexp harus ditulis \. bukan . (tanda titik biasa di regexp artinya “karakter apa saja”). Kalau salah, pola tidak akan cocok.
  • Rule diletakkan setelah rule accept — rule blokir tidak akan pernah jalan. Urutan adalah segalanya.
  • Content filter untuk situs HTTPS — hasilnya tidak efektif. Pakai L7 untuk situs modern.
  • L7 butuh beberapa paket untuk mendeteksi — tidak langsung aktif di paket pertama. Ada sedikit delay sebelum koneksi benar-benar terputus.
  • L7 berat di CPU — jangan bikin terlalu banyak rule L7 sekaligus, nanti router jadi lambat.

Kuis Singkat

  1. Apa bedanya metode Content dan Layer 7 Protocol dalam memblokir website — kapan kamu pilih yang mana?

  2. Kamu sudah membuat rule action=drop untuk memblokir YouTube, tapi situs itu masih bisa diakses dari client. Apa kemungkinan penyebabnya?

  3. Dalam perintah regexp="^.+(youtube\.com).*$", kenapa titik sebelum “com” harus ditulis dengan backslash (\.), bukan titik biasa?

Next

Konfigurasi NAT (Static NAT vs Masquerade)
Konfigurasi Wireless Access Point MikroTik
Virtual Access Point dan Multi-SSID MikroTik
Hotspot Server MikroTik (Login Page, User Management)
VLAN Dasar pada Cisco Switch (Membuat, Assign Port, Trunking)
Bandwidth Management: Simple Queue MikroTik
Per Connection Queue (PCQ) MikroTik
Firewall Logging dan Monitoring MikroTik
Backup, Restore, dan Upgrade RouterOS MikroTik
Multi-Area OSPF dengan Redistribusi
EtherChannel (Link Aggregation) pada Cisco Switch
Spanning Tree Protocol (STP) Observasi dan Tuning
Queue Tree Hierarki (HTB) MikroTik untuk QoS Kompleks
Switch Chip & VLAN pada MikroTik RouterBoard
PROYEK AKHIR: Desain Jaringan Kantor Lengkap