Block PPPoE Subscriber To Subscriber Di MikroTik

Dari Kicap Karan Wiki
Loncat ke navigasiLoncat ke pencarian

Ringkasan

Block PPPoE Subscriber to Subscriber adalah konfigurasi firewall pada MikroTik untuk mencegah subscriber PPPoE saling berkomunikasi satu sama lain. Konfigurasi ini bertujuan untuk mengisolasi setiap pengguna, sehingga subscriber hanya dapat mengakses internet dan layanan yang diizinkan, tanpa bisa mengakses subscriber lain.

Konfigurasi ini merupakan best practice pada jaringan ISP, jaringan desa, dan semua lingkungan multi-user berbasis PPPoE.

Ruang Lingkup

Dokumentasi ini berlaku untuk:

  • Router MikroTik (RouterOS v6 & v7)
  • Jaringan berbasis PPPoE
  • Jaringan desa / komunitas
  • ISP kecil hingga menengah

Tidak direkomendasikan untuk:

  • Jaringan internal server / data center
  • Lingkungan trusted network tanpa NAT

Masalah yang Diselesaikan

Tanpa konfigurasi block subscriber:

  • Subscriber PPPoE dapat saling ping
  • Risiko scanning dan eksploit meningkat
  • Malware dapat menyebar antar pengguna
  • Jaringan PPPoE berperilaku seperti LAN besar
  • Potensi abuse dan masalah keamanan meningkat

Dengan konfigurasi ini:

  • Setiap subscriber terisolasi
  • Keamanan jaringan meningkat
  • Operasional jaringan lebih terkendali
  • Perilaku jaringan sesuai standar ISP

Konsep Teknis

Pada MikroTik, setiap koneksi PPPoE direpresentasikan sebagai interface logis (pppoe-out). Secara default, trafik dari satu interface PPPoE dapat diteruskan ke interface PPPoE lainnya melalui chain forward.

Konfigurasi Block PPPoE Subscriber to Subscriber bekerja dengan:

  • Mendeteksi trafik masuk dari interface PPPoE
  • Mendeteksi trafik keluar menuju interface PPPoE lain
  • Menjatuhkan (drop) trafik tersebut

Dengan pendekatan ini, subscriber tidak dapat berkomunikasi satu sama lain.

Arsitektur Implementasi

  1. Subscriber PPPoE terhubung ke router
  2. Router memberikan IP dari pool PPPoE
  3. Firewall memblokir trafik antar interface PPPoE
  4. Trafik ke internet tetap diizinkan

Pendekatan ini bersifat sederhana, efektif, dan mudah dirawat.

Metode Implementasi

Metode 1 – Menggunakan Interface List (Direkomendasikan)

Metode ini paling fleksibel dan direkomendasikan untuk jaringan produksi.

1. Membuat Interface List PPPoE

/interface list
add name=PPPOE-USERS comment="[WIKI] Semua interface subscriber PPPoE"

2. Menambahkan Interface PPPoE ke Interface List

/interface list member
add list=PPPOE-USERS interface=pppoe-out1

Jika terdapat banyak PPPoE server, pastikan semua interface PPPoE dimasukkan ke list ini.

3. Firewall Rule Block Subscriber ke Subscriber

/ip firewall filter
add chain=forward in-interface-list=PPPOE-USERS out-interface-list=PPPOE-USERS \
    action=drop comment="[WIKI] Block PPPoE subscriber ke subscriber"

Metode 2 – Menggunakan Address List (Alternatif)

Metode ini dapat digunakan jika struktur interface tidak memungkinkan penggunaan interface list.

1. Menandai IP Pool PPPoE

/ip firewall address-list
add list=PPPOE-SUBSCRIBERS address=10.10.10.0/24 comment="[WIKI] Pool IP PPPoE"

2. Drop Trafik Antar Subscriber

/ip firewall filter
add chain=forward src-address-list=PPPOE-SUBSCRIBERS \
    dst-address-list=PPPOE-SUBSCRIBERS action=drop \
    comment="[WIKI] Block PPPoE subscriber ke subscriber"

Urutan Firewall Rule

Urutan rule sangat penting agar koneksi tidak terganggu:

  1. Accept established, related
  2. (Jika digunakan) fasttrack rule
  3. Block PPPoE subscriber ke subscriber
  4. Rule firewall lain (QoS, limit, dll)

Catatan: Jangan meletakkan rule ini pada chain input.

Dampak terhadap Pengguna

Dengan konfigurasi ini:

  • Akses internet tetap normal
  • Subscriber tidak dapat saling mengakses
  • Sharing lokal dan scanning diblokir
  • Jaringan terasa lebih aman dan profesional

Konfigurasi ini sesuai dengan praktik jaringan ISP komersial.

Troubleshooting

Subscriber tidak bisa internet

  • Periksa urutan firewall rule
  • Pastikan NAT masquerade aktif
  • Pastikan interface PPPoE sudah masuk ke interface list

Subscriber masih bisa ping subscriber lain

  • Periksa tidak ada rule accept di atas rule drop
  • Pastikan interface PPPoE yang benar digunakan

Best Practice

  • Selalu isolasi subscriber PPPoE
  • Kombinasikan dengan:
    • Drop invalid connection
    • Connection limit TCP/UDP per user
    • DNS rate limiting
  • Dokumentasikan setiap perubahan firewall

Status Implementasi

  • ✔ Digunakan di lingkungan produksi
  • ✔ Aman untuk jaringan multi-user
  • ✔ Direkomendasikan untuk jaringan desa dan ISP

Referensi Internal

  • Wiki: Connection Limit TCP & UDP per Pengguna
  • Wiki: Drop Invalid Input & Forward
  • Wiki: DNS Rate Limiting

Dokumen ini merupakan bagian dari dokumentasi internal jaringan dan dapat disesuaikan sesuai kebutuhan implementasi.

Diperoleh dari "https://wiki.kicap-karan.com/index.php?title=Block_PPPoE_Subscriber_To_Subscriber_Di_MikroTik&oldid=91"