🛡️Mengamankan Router MikroTik: Kenapa Saya Hanya Mengizinkan Trusted Akses ke Router
Artikel ini saya tulis berdasarkan pengalaman nyata saya mengelola homelab dan jaringan desa menggunakan MikroTik.
1. Kesalahan Awal yang Pernah Saya Lakukan
Dulu, waktu jaringan masih kecil, saya berpikir:
“Ah, router kan cuma satu, biarin aja semua device bisa akses.”
Hasilnya?
- Router sering kena scan
- Login attempt aneh di Winbox & SSH
- CPU naik padahal user tidak banyak
- Connection list penuh hal tidak jelas
Dari situ saya belajar satu hal penting:
Router bukan server umum. Router adalah otak jaringan.
Dan otak tidak boleh disentuh sembarang device.
2. Memahami Input Chain (Versi Bahasa Manusia)
Di MikroTik, input chain artinya:
Traffic yang menuju router itu sendiri, bukan lewat router.
Contohnya:
- Winbox
- SSH
- WebFig
- API
- SNMP
- Ping ke IP router
Kalau rule input salah:
- Router bisa di-scan
- Bisa kena brute force
- Bisa habis resource
3. Prinsip yang Saya Terapkan
Prinsip saya sangat sederhana:
- Koneksi yang sudah sah jangan diganggu
- Hanya device trusted yang boleh akses router
- Untrusted tidak perlu tahu router itu ada
Trusted ≠ sombong, tapi realistis.
4. Kenapa Untrusted Tidak Boleh Akses Router
Untrusted yang saya maksud:
- AP / Wi‑Fi client
- CCTV
- User PPPoE
4.1 Mereka Tidak Butuh Akses Router
Jujur saja:
- HP user tidak perlu Winbox
- Kamera tidak perlu SSH
- User PPPoE tidak perlu ping router
Kalau mereka tidak butuh, kenapa dibuka?
4.2 Mengurangi Attack Surface
Setiap port terbuka = peluang masalah.
Dengan menutup akses:
- Scan berhenti di firewall
- Brute force langsung drop
- Router lebih tenang
Saya tidak menunggu router diserang dulu baru bertindak.
4.3 Menghemat Resource Router
Router kecil itu CPU & RAM terbatas.
Kalau semua device bebas kirim:
- ICMP
- TCP SYN
- Login attempt
Router capek sendiri.
5. Konsep Trusted Device (Versi Saya)
Trusted itu:
- Server network
- Laptop admin
- IP saya sendiri
Artinya:
Device yang memang punya alasan sah untuk akses router.
6. Rule Paling Wajib: Allow Established & Related
Ini rule nomor satu di input chain.
Kenapa?
Karena:
- Kalau saya sudah login via Winbox
- Kalau router sudah jawab ping
Maka koneksi itu harus dilanjutkan.
Kalau tidak:
- Session putus
- Router terasa error
Command
/ip firewall filter
add chain=input connection-state=established,related action=accept comment="Allow Established & Related Input"
Rule ini bikin router tidak memutus koneksi sah.
7. Mengizinkan Trusted Akses ke Router
Setelah koneksi lama aman, langkah berikutnya:
Siapa yang boleh masuk ke router?
Jawaban saya:
Hanya trusted.
Command
/ip firewall filter
add chain=input src-address-list=trusted action=accept comment="Allow Trusted Access to Router"
Dengan rule ini:
- Server boleh akses router
- Laptop admin boleh login
- Monitoring tetap jalan
8. Bagaimana Nasib Untrusted?
Setelah dua rule di atas:
Semua traffic input lain tidak saya izinkan.
/ip firewall filter
add chain=input action=drop comment="Drop All Other Input"
Artinya:
- AP tidak bisa scan router
- CCTV tidak bisa ping router
- PPPoE user tidak bisa brute force
Router saya menghilang dari mereka.
9. Urutan Rule Itu Penting (Ini Tidak Bisa Ditawar)
Urutan saya:
- Allow established & related
- Allow trusted
- Drop sisanya
Kalau dibalik:
- Router bisa lock diri sendiri
- Admin ikut terblokir
Saya selalu ingat ini sebelum klik Apply.
10. Hasil Nyata yang Saya Rasakan
Setelah rule ini aktif:
- CPU router lebih stabil
- Connection table lebih bersih
- Tidak ada login attempt aneh
- Saya lebih tenang 😄
Dan yang paling penting:
User tidak sadar router diamankan — artinya konfigurasi berhasil.
11. Penutup
Mengamankan input chain bukan soal paranoia.
Ini soal:
- Melindungi otak jaringan
- Mengurangi beban tidak perlu
- Mempersiapkan jaringan untuk tumbuh
Buat saya pribadi:
Router yang baik adalah router yang tidak menarik perhatian.
Ditulis dari pengalaman nyata mengelola homelab dan jaringan desa.