Menu

Struktur Chain pada Firewall RouterOS

Diposting pada Februari 20, 2026

Struktur Chain pada Firewall MikroTik RouterOS

MikroTik RouterOS dibangun di atas arsitektur kernel Linux. Oleh karena itu, sistem pemfilteran paketnya (firewall filter) mengadopsi logika iptables/netfilter yang presisi dan deterministik. Dalam RouterOS, setiap paket data yang melintas harus dievaluasi melalui jalur aturan yang disebut Chain.

Untuk menguasai keamanan jaringan dan konfigurasi routing, Anda mutlak harus memahami tiga struktur chain utama pada menu IP > Firewall > Filter Rules.

3 Struktur Chain Utama pada Filter RouterOS

Secara fundamental, RouterOS mengklasifikasikan arah lalu lintas data ke dalam tiga kategori chain absolut:

1. Chain: Input

Chain ini menangkap seluruh paket data yang masuk dan ditujukan langsung ke alamat IP router itu sendiri.

  • Fungsi Utama: Melindungi unit router dari akses tidak sah atau serangan langsung.

  • Contoh Kasus: Anda melakukan remote ke router menggunakan Winbox, SSH, WebFig, atau melakukan ping dari komputer klien ke IP gateway (router). Semua aktivitas ini dieksekusi di dalam chain input.

2. Chain: Output

Chain ini menangkap seluruh paket data yang berasal dan diciptakan langsung oleh router itu sendiri menuju ke luar jaringan.

  • Fungsi Utama: Mengontrol aktivitas komunikasi yang diinisiasi oleh sistem router.

  • Contoh Kasus: Router melakukan sinkronisasi waktu ke server NTP di internet, router mengirimkan log ke server eksternal, atau Anda mengeksekusi perintah ping 8.8.8.8 dari terminal RouterOS.

3. Chain: Forward

Chain ini menangkap seluruh paket data yang hanya menumpang lewat melalui router. Paket ini memiliki IP sumber dan IP tujuan selain dari IP router itu sendiri.

  • Fungsi Utama: Mengelola, memblokir, atau mengizinkan lalu lintas data antara komputer klien di jaringan lokal (LAN) dengan internet (WAN), atau antar segmen LAN (VLAN).

  • Contoh Kasus: Klien (komputer Anda) membuka situs web, mengunduh file, atau bermain game online. Data masuk dari port LAN, diproses oleh CPU router, dan diteruskan keluar melalui port WAN menuju internet.

Analogi Inti: Sistem Keamanan Markas Militer

Untuk membedakan ketiganya dengan sangat jelas, visualisasikan router Anda sebagai Markas Besar Keamanan yang memiliki pos pemeriksaan.

  • Input (Tamu Markas): Seorang kurir atau petugas datang dari luar dan menyatakan, "Saya ingin  menyerahkan dokumen ini langsung ke Komandan di dalam Pos Keamanan." Penjaga (Chain Input) akan memeriksa ID tamu tersebut. Jika diizinkan (Accept), tamu masuk ke pos. Jika tidak (Drop), tamu ditolak.

  • Output (Tugas Luar): Komandan di dalam pos memerintahkan anggotanya untuk keluar markas dan membeli perlengkapan. Anggota tersebut berjalan keluar dari pos menuju jalan raya. Penjaga gerbang keluar (Chain Output) mencatat kepergian anggota tersebut.

  • Forward (Kendaraan Melintas): Sebuah truk kargo sipil masuk melalui gerbang utara markas dan ingin keluar melalui gerbang selatan untuk memotong jalan menuju kota lain. Truk ini tidak ada urusan dengan Komandan di dalam pos. Penjaga (Chain Forward) memeriksa isi truk; jika aman, truk diizinkan melintas dari gerbang utara tembus ke gerbang selatan.

Analogi Lebih Inti: Logistik Udara dan Bandara Transit

Pada level operasional jaringan yang lebih tinggi, bayangkan router sebagai Bandara Internasional (Hub Transit).

  • Input (Akses Internal Bandara): Paket logistik yang dikirim khusus untuk dikonsumsi oleh staf manajemen bandara. Misalnya: pasokan seragam baru untuk pegawai Aviation Security. Paket ini masuk dan berakhir di gudang manajemen bandara.

  • Output (Transmisi Otoritas): Pesan radio atau paket data radar yang dikirimkan secara mandiri oleh menara pengawas (Air Traffic Control) bandara tersebut ke menara di negara lain. Ini adalah komunikasi dari sistem inti.

  • Forward (Penumpang Transit): Ratusan ribu penumpang yang turun dari Pesawat A (dari LAN), berjalan melewati lorong terminal transfer bandara (proses routing), lalu naik ke Pesawat B (menuju WAN/Internet). Penumpang ini tidak bekerja di bandara dan tidak tinggal di bandara; mereka mutlak hanya menumpang lewat. Chain Forward bertugas memeriksa paspor dan barang bawaan penumpang transit ini.

Tabel Matriks Chain RouterOS

ParameterInputOutputForward
Sumber (Source)Jaringan Luar (LAN/WAN)Proses Internal RouterJaringan Luar (LAN/VLAN A)
Tujuan (Destination)IP Router (Local Address)Jaringan Luar (LAN/WAN)Jaringan Luar (WAN/VLAN B)
Penggunaan CPUSangat RendahSangat RendahSangat Tinggi (Beban Utama)
Target PengamananMelindungi Perangkat RouterMengontrol Permintaan RouterMengamankan Klien / Karyawan

Sistem memproses ketiga chain ini secara independen. Memblokir situs web berbahaya bagi karyawan harus dilakukan di chain Forward, bukan Input. Sebaliknya, mencegah hacker meretas kata sandi Winbox Anda dari internet harus dilakukan di chain Input, bukan Forward.


SENG TENANG SENG KALEM KUASAI           
Belajar | Eksperimen | Berkarya | Berdoa


Daftar Pustaka :
https://help-mikrotik-com.translate.goog/docs/spaces/ROS/pages/328227/Packet+Flow+in+RouterOS?_x_tr_sl=en&_x_tr_tl=id&_x_tr_hl=id&_x_tr_pto=tc
https://gilanghilal.blogspot.com/2012/12/pengertian-chain-pada-packet-flow.html
https://gemini.google.com
https://chatgpt.com/

:

Kirim Komentar: