⛔ Block MAC Address dari Akses Internet di MikroTik
Pendahuluan
Dalam jaringan LAN, hotspot, maupun jaringan desa, tidak semua perangkat boleh bebas mengakses internet. Ada kondisi tertentu di mana perangkat harus tetap terhubung ke jaringan lokal, tetapi tidak diizinkan keluar ke internet.
Salah satu metode yang efektif dan sederhana untuk kasus ini adalah memblokir akses internet berdasarkan MAC Address perangkat. Metode ini sangat berguna ketika IP address perangkat sering berubah (DHCP) dan perangkat tidak bisa dikontrol langsung oleh pengguna.
Kenapa Menggunakan MAC Address?
Apa itu MAC Address?
MAC Address adalah identitas unik hardware yang dimiliki setiap perangkat jaringan (NIC). Contoh:
DC:21:5C:9A:7F:11
Karakteristik MAC Address:
- Unik per perangkat
- Tidak berubah walaupun IP berubah
- Mudah diidentifikasi di MikroTik
Alasan Memblokir Berdasarkan MAC Address
Pendekatan ini cocok digunakan jika:
- Perangkat menggunakan DHCP
- IP address sering berubah
- Tidak ingin membuat static IP
- Perangkat hanya boleh akses LAN lokal
Contoh kasus nyata:
- CCTV hanya boleh akses NVR lokal
- Mesin absensi hanya kirim data ke server lokal
- TV / IoT tidak boleh akses internet
- Perangkat user melanggar kebijakan jaringan
Skenario Implementasi
Topologi sederhana:
[ Device ] → [ Switch / AP ] → [ MikroTik ] → [ Internet ]
Kondisi:
- Perangkat terhubung normal ke LAN
- DHCP aktif
- Ingin block internet saja
- Akses LAN tetap berjalan
Apa yang Terjadi Jika Tidak Diblok?
Jika perangkat tidak dibatasi:
- Perangkat dapat mengunduh update otomatis
- Streaming dan konsumsi bandwidth berlebih
- Risiko malware / botnet
- Mengganggu kualitas jaringan pengguna lain
Metode Blocking MAC Address di MikroTik
Prinsip Dasar
Langkah umum:
- Identifikasi MAC Address perangkat
- Buat firewall rule
- Blokir trafik ke arah internet (WAN)
- Trafik LAN tetap diizinkan
1. Mengetahui MAC Address Perangkat
Melalui DHCP lease:
/ip dhcp-server lease print
Atau dari ARP table:
/ip arp print
Catat MAC Address perangkat yang ingin diblokir.
2. Block Internet Berdasarkan MAC Address (Recommended)
Firewall filter pada chain forward:
/ip firewall filter
add chain=forward src-mac-address=DC:21:5C:9A:7F:11 \
out-interface-list=WAN action=drop \
comment="[BLOG] Block Internet by MAC Address"
Penjelasan:
- chain=forward → trafik client ke internet
- src-mac-address → MAC Address target
- out-interface-list=WAN → hanya trafik ke internet
- Trafik LAN tetap berjalan normal
3. Block Total Perangkat (Opsional)
Jika ingin memutus seluruh akses jaringan:
/ip firewall filter
add chain=forward src-mac-address=DC:21:5C:9A:7F:11 \
action=drop \
comment="[BLOG] Block Total Device by MAC"
⚠ Tidak direkomendasikan untuk perangkat penting.
Kelebihan Block Berdasarkan MAC Address
- IP berubah tidak berpengaruh
- Cepat diterapkan
- Tidak perlu static DHCP
- Cocok untuk perangkat IoT
- Mudah dikelola
Kekurangan dan Batasan
- MAC Address bisa di-spoof oleh user berpengalaman
- Tidak cocok untuk jaringan publik besar
- Tidak scalable jika terlalu banyak perangkat
Disarankan dikombinasikan dengan:
- Address List
- VLAN
- Hotspot profile
- PPPoE profile
Best Practice
- Letakkan rule setelah accept established, related
- Gunakan out-interface-list=WAN
- Beri comment yang jelas
- Dokumentasikan MAC Address dan pemilik perangkat
- Jangan block di chain=input untuk klien
Monitoring dan Troubleshooting
Cek hit rule:
/ip firewall filter print stats
Cek koneksi aktif perangkat:
/ip firewall connection print where src-mac-address=DC:21:5C:9A:7F:11
Kesimpulan
Memblokir akses internet berdasarkan MAC Address di MikroTik adalah solusi praktis dan efektif untuk mengontrol perangkat tertentu tanpa mengganggu jaringan lokal.
Metode ini sangat cocok digunakan sebagai kontrol tambahan, solusi cepat, dan kebijakan internal jaringan kecil hingga menengah.