Block Mac Address Dari Akses Internet Di MikroTik

Dari Kicap Karan Wiki
Loncat ke navigasiLoncat ke pencarian

Ringkasan

Block MAC Address dari Akses Internet adalah metode pengendalian akses jaringan pada MikroTik dengan memanfaatkan identitas fisik perangkat (MAC Address) untuk mencegah perangkat tertentu mengakses internet, tanpa mengganggu konektivitas ke jaringan lokal (LAN).

Metode ini umum digunakan pada lingkungan homelab, hotspot, dan jaringan desa untuk kontrol cepat dan efektif terhadap perangkat berbasis DHCP.

Ruang Lingkup

Dokumentasi ini berlaku untuk:

  • Router MikroTik (RouterOS v6 & v7)
  • Jaringan LAN berbasis DHCP
  • Hotspot MikroTik
  • Jaringan desa / ISP kecil

Tidak direkomendasikan untuk:

  • Jaringan publik skala besar
  • Lingkungan dengan kebutuhan keamanan tingkat tinggi tanpa kontrol tambahan

Latar Belakang Masalah

Pada jaringan berbasis DHCP, IP Address perangkat dapat berubah sewaktu-waktu. Hal ini menyulitkan administrator jaringan jika ingin membatasi akses internet hanya untuk perangkat tertentu.

Tanpa mekanisme pembatasan:

  • Perangkat bebas mengakses internet
  • Bandwidth terpakai tanpa kontrol
  • Risiko malware dan botnet meningkat
  • Kualitas layanan pengguna lain menurun

Kenapa Menggunakan MAC Address

MAC Address adalah identitas unik yang melekat pada perangkat jaringan.

Kelebihan penggunaan MAC Address:

  • Tidak berubah walaupun IP berubah
  • Mudah diidentifikasi di MikroTik
  • Cocok untuk perangkat IoT dan embedded device
  • Tidak membutuhkan static DHCP

Metode ini sangat efektif untuk kontrol perangkat berbasis hardware.

Konsep Teknis

Firewall MikroTik dapat memfilter trafik berdasarkan src-mac-address. Dengan mengombinasikannya dengan out-interface-list=WAN, router hanya akan memblokir trafik menuju internet, sementara trafik lokal tetap diizinkan.

Pendekatan ini memastikan:

  • Akses LAN tetap berjalan
  • Internet diblokir secara selektif
  • Tidak mengganggu perangkat lain

Arsitektur Implementasi

  1. Perangkat terhubung ke LAN melalui DHCP
  2. MikroTik mengidentifikasi perangkat berdasarkan MAC Address
  3. Firewall memblokir trafik ke interface WAN
  4. Trafik LAN tidak terpengaruh

Langkah Implementasi

1. Identifikasi MAC Address Perangkat

Melalui DHCP lease: 

/ip dhcp-server lease print

Atau melalui ARP table: 

/ip arp print

Catat MAC Address perangkat yang akan diblokir.

2. Block Akses Internet Berdasarkan MAC Address (Recommended)

/ip firewall filter
add chain=forward src-mac-address=DC:21:5C:9A:7F:11 \
    out-interface-list=WAN action=drop \
    comment="[WIKI] Block Internet by MAC Address"

Rule ini hanya memblokir trafik menuju internet dan tetap mengizinkan komunikasi LAN.

3. Block Total Perangkat (Opsional)

Digunakan jika perangkat harus benar-benar diisolasi. 

/ip firewall filter
add chain=forward src-mac-address=DC:21:5C:9A:7F:11 \
    action=drop \
    comment="[WIKI] Block Total Device by MAC"

Tidak direkomendasikan untuk perangkat penting seperti server atau NVR.

Kelebihan Implementasi

  • Tidak terpengaruh perubahan IP
  • Cepat dan sederhana
  • Efektif untuk perangkat IoT
  • Mudah dipelihara
  • Cocok untuk jaringan kecil–menengah

Keterbatasan

  • MAC Address dapat di-spoof oleh pengguna berpengalaman
  • Tidak scalable untuk jumlah perangkat besar
  • Bukan solusi keamanan utama

Disarankan dikombinasikan dengan:

  • VLAN
  • Address List
  • Hotspot user profile
  • PPPoE policy

Best Practice

  • Letakkan rule setelah accept established, related
  • Gunakan out-interface-list=WAN
  • Tambahkan comment yang jelas
  • Dokumentasikan MAC Address dan pemilik perangkat
  • Hindari pemblokiran di chain=input untuk klien

Monitoring dan Troubleshooting

Monitoring hit rule firewall: 

/ip firewall filter print stats

Monitoring koneksi aktif perangkat: 

/ip firewall connection print where src-mac-address=DC:21:5C:9A:7F:11

Keamanan dan Stabilitas

Blocking berdasarkan MAC Address bukan pengganti sistem autentikasi, namun berperan penting dalam:

  • Kontrol akses internal
  • Pengurangan abuse perangkat
  • Menjaga kualitas layanan jaringan

Status Implementasi

  • ✔ Digunakan di lingkungan produksi
  • ✔ Aman untuk jaringan DHCP
  • ✔ Direkomendasikan untuk homelab dan jaringan desa

Referensi Internal

  • Wiki: Drop Invalid Input & Forward
  • Wiki: Connection Limit TCP & UDP
  • Wiki: DNS Rate Limiting

Dokumen ini merupakan bagian dari dokumentasi internal jaringan dan dapat disesuaikan sesuai kebutuhan implementasi.

Diperoleh dari "https://wiki.kicap-karan.com/index.php?title=Block_Mac_Address_Dari_Akses_Internet_Di_MikroTik&oldid=93"