Fungsi filter pada menu firewall mikrotik berfungsi untuk menangani paket data yang masuk atau keluar ke salah satu interface router. Hampir sama memang fungsinya dengan NAT (Pembahasan NAT), yaitu sama-sama menangani paket data yang masuk/keluar dan melintasi router. namun NAT memiliki kemampuan untuk merubah IP address sedangkan filter tidak difungsikan untuk melakukan perubahan IP.
Pada chain filter terdapat beberapa pilihan, namun yang akan dibahas kali ini hanyalah Chain input saja, sedangkan untuk chain lainya akan dibahas di artikel lainya.
Chain Input pada filter firewall difungsikan untuk menangani paket data yang masuk melalui salah satu interface Mikrotik dan ditujukan Ke Router itu sendiri, Contohnya jika anda melakukan Ping(icmp) ke router maka Paket data berupa PING tadi akan di tangani oleh chain input, contoh lainya jika anda mengakses router mikrotik melalui winbox, atau telnet maka paket data tersbut akan di tangani oleh Chain input
Salah satu kegunaan dari penggunaan Chain input pada filter ini adalah untuk memberikan batasan ke akses port-port pada mikrotik. untuk melihat Port-port apa saja yang terbuka pada mikotik bisa anda lihat melalui winbox pada menu IP - Services
Contoh Kasus :
Anda tidak ingin Router anda diakses melalui Internet yang terhubung melalui ether1 entah menggunakan SSH,Telnet dan lainya.
Maka perintah yang digunakan untuk kasus diatas adalah sebagai berikut :
ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=20,21,22,23,80,8291 action=drop
Namun Jika anda menggunakan Winbox maka masuk ke menu IP - Firewall - Filter dan Klik tombol + (tambah) lalu ikuti konfigurasi seperti pada gambar dibawah ini
Sampai disini seharusnya Tujuan awal kita tadi yaitu Tidak mengijinkan akses ke Mikrotik yang datang dari ether1(Internet) entah melalui winbox atau yang lainya sudah berhasil di konfigurasi.
Muncul sebuah problem, dengan konfigurasi seperti diatas tentunya tidak akan ada akses ke Router melalui internet untuk semua orang termasuk anda sendiri.
Lantas bagaimana caranya jika suatu saat anda membutuhkan Akses ke Router melalui internet sedangkan kita sudah memblokir semua aksesnya ?
Baca juga : Cara Terbaru Remot Mikrotik dari Internet
Untuk mengatasi hal ini perlu adanya tambahan Rules, sebagai contoh anda memiliki PC dengan IP Publik 10.10.10.1 dan anda ingin mengakses Router melalui Internet dengan menggunakan Winbox (8291)
Perintah yang bisa digunakan adalah sebagai berikut
ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=8291 src-address=10.10.10.1 action=accept
Jika menggunakan Winbox lihat pada gambar dibawah ini
Penting untuk diingat !!!
Mikrotik akan mengeksekusi Rules baris per baris, artinya mikrotik akan menjalankan rules berdasarkan urutanya dari atas ke bawah.
Pada Artikel ini kita telah membuat 2 buah rules yaitu
- Rules untuk melakukan batasan akses ke Mikrotik melalui Internet
- Rules untuk mengijinkan IP 10.10.10.1 untuk bisa mengakses mikrotik dari internet melalui winbox
Perhatikan, ! Rules No 2 yang mengijinkan IP 10.10.10.1 mengakses Mikrotik melalui internet via winbox tidak akan berfungsi seperti yang diharapkan dikarenakan Rules ini berada dibawah Rules yang Membatasi semua IP(termasuk IP 10.10.10.1) untuk mengakses Mikrotik dari internet / ether1.
Oleh Karenanya dibutuhkan perubahan Urutan rules menjadi seperti ini :
- Rules untuk mengijinkan IP 10.10.10.1 untuk bisa mengakses mikrotik dari internet melalui winbox
- Rules untuk melakukan batasan akses ke Mikrotik melalui Internet
Untuk merubah Urutan rules pada winbox, cukup dengan mengklik dan tahan pada baris rules yang ingin dipindah lalu drag ke urutan yang anda inginkan.
Semoga artikel ini bisa dengan mudah untuk di pahami :D
Sekian dan terima kasih :D
EmoticonEmoticon