Memblokir client jahil mengakses ont

Konfigurasi Firewall Filter Rules pada router MikroTik (atau router lain dengan fitur serupa) untuk memblokir akses client ke IP ONT.

Asumsi:

• Perangkat: Router Mikrotik (karena ini adalah implementasi umum).

• IP ONT (tujuan yang diblokir): 192.168.1.1

• Segmen NOC (diizinkan): 192.168.100.1/24 (berarti 192.168.100.0/24)

• Segmen Client 1 (diblokir): 10.0.2.1/23 (berarti 10.0.2.0/23)

• Segmen Client 2 (diblokir): 172.24.2.1/23 (berarti 172.24.2.0/23)

Konfigurasi Firewall MikroTik

Anda perlu membuat dua jenis rule dalam urutan yang tepat: mengizinkan (Accept) untuk NOC dan kemudian memblokir (Drop) untuk segmen client.

1. Izinkan Akses untuk Segmen NOC

Rule ini harus diletakkan di atas rule blokir.

/ip firewall filter
add action=accept chain=forward \
    src-address=192.168.100.0/24 \
    dst-address=192.168.1.1 \
    comment="IZINKAN AKSES NOC KE ONT"

• action=accept: Mengizinkan trafik yang sesuai dengan kriteria ini.

• chain=forward: Menerapkan aturan pada trafik yang melewati router (dari client/NOC menuju ONT, yang kemungkinan berada di jaringan yang berbeda).

• src-address=192.168.100.0/24: Sumber alamat IP dari segmen NOC.

• dst-address=192.168.1.1: Alamat IP ONT sebagai tujuan.

2. Blokir Akses untuk Segmen Client

Setelah mengizinkan NOC, buat rule untuk memblokir segmen client. Anda bisa menggabungkan kedua segmen client menjadi satu rule atau membuat dua rule terpisah.

Opsi A: Blokir Dua Segmen Client dengan Dua Rule Terpisah

Membuat dua rule untuk kejelasan.

/ip firewall filter
add action=drop chain=forward \
    src-address=10.0.2.0/23 \
    dst-address=192.168.1.1 \
    comment="BLOKIR AKSES CLIENT 1 KE ONT"

add action=drop chain=forward \
    src-address=172.24.2.0/23 \
    dst-address=192.168.1.1 \
    comment="BLOKIR AKSES CLIENT 2 KE ONT"

Opsi B: Blokir Dua Segmen Client dengan Address List (Direkomendasikan)

Menggunakan Address List membuat konfigurasi lebih rapi dan mudah dikelola.

Langkah 2.1: Buat Address List untuk Client

/ip firewall address-list
add address=10.0.2.0/23 list=Blocked_ONT_Access comment="Segmen Client 1"
add address=172.24.2.0/23 list=Blocked_ONT_Access comment="Segmen Client 2"

Langkah 2.2: Buat Rule Blokir menggunakan Address List

/ip firewall filter
add action=drop chain=forward \
    src-address-list=Blocked_ONT_Access \
    dst-address=192.168.1.1 \
    comment="BLOKIR AKSES SELURUH CLIENT KE ONT"

• action=drop: Akan menjatuhkan paket (memblokir akses).

• src-address-list=Blocked_ONT_Access: Sumber alamat IP dari daftar yang telah dibuat.

• Penting: Pastikan rule ini berada di bawah rule IZINKAN AKSES NOC (nomor 1).

Urutan Rule Firewall

Urutan rule sangat penting. Pastikan rule accept untuk NOC berada di atas rule drop untuk client agar trafik NOC tidak ikut terblokir.

Urutan yang Benar (Menggunakan Opsi B):

1. Rule 1: action=accept untuk src-address=192.168.100.0/24 ke dst-address=192.168.1.1.

2. Rule 2: action=drop untuk src-address-list=Blocked_ONT_Access ke dst-address=192.168.1.1.

Jika Anda ingin membatasi jenis trafik ke ONT (misalnya, hanya blokir akses HTTP/HTTPS), Anda bisa menambahkan parameter protocol dan dst-port (misalnya protocol=tcp dst-port=80,443). Namun, script di atas akan memblokir semua jenis koneksi ke IP ONT, yang umumnya cukup.