Cara Port Forwarding di Mikrotik & Router Lain (Panduan Lengkap 2025)
Cara Melakukan Port Forwarding di Router (MikroTik & Umum)
Panduan langkah‑demi‑langkah untuk membuka akses layanan di jaringan lokal dengan aman, lengkap contoh rule dan tips keamanan.
Apa itu Port Forwarding?
Port forwarding adalah teknik mengarahkan koneksi dari internet (WAN) ke perangkat tertentu di jaringan lokal (LAN). Contoh penggunaan: akses CCTV, NAS, server game, RDP, hingga OLT.
Contoh Skenario
- Akses kamera IP via IPPublik:8080 ke 192.168.1.10:80
- RDP kantor dari luar: IPPublik:3390 ke 192.168.1.20:3389
Port Umum
| Layanan | Port | Proto |
|---|---|---|
| HTTP | 80 | TCP |
| HTTPS | 443 | TCP |
| RDP | 3389 | TCP |
| SSH | 22 | TCP |
| Game (umum) | 27015, 3074, dll. | TCP/UDP |
Catatan: Pastikan koneksi internet Anda menggunakan IP publik (bukan CGNAT). Tanyakan ke ISP bila ragu.
Persiapan Sebelum Mulai
- Catat IP lokal perangkat target (misal 192.168.1.10).
- Tentukan port layanan internal (misal HTTP 80).
- Pilih port publik yang aman/unik (misal 8080 bukannya 80 langsung).
- Bila perlu, buat DHCP reservation agar IP perangkat tetap.
Port Forwarding di MikroTik (Winbox/WebFig & CLI)
Langkah via Winbox/WebFig
- Buka IP → Firewall → NAT → klik +.
- Tab General: Chain dstnat, Protocol tcp, Dst. Port 8080.
- Tab Action: Action dst-nat, To Address 192.168.1.10, To Ports 80.
- Apply → OK.
Contoh via CLI (Terminal)
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8080 \ \
action=dst-nat to-addresses=192.168.1.10 to-ports=80 comment="Forward HTTP ke kamera"Opsional: Agar perangkat bisa akses internet dengan IP statis, pastikan ada masquerade:
/ip firewall nat add chain=srcnat action=masquerade out-interface-list=WANFilter Rule disarankan: Batasi sumber yang boleh akses port publik 8080 (contoh hanya dari kantor pusat):
/ip firewall filter add chain=input protocol=tcp dst-port=8080 src-address=203.0.113.0/24 action=accept comment="Allow kantor pusat"
/ip firewall filter add chain=input protocol=tcp dst-port=8080 action=drop comment="Drop lainnya"Port Forwarding di Router Umum (TP‑Link, Huawei, ZTE, dll.)
- Login ke halaman admin (umumnya 192.168.1.1 atau 192.168.0.1).
- Buka menu NAT / Port Forwarding / Virtual Server.
- Tambah rule baru: Service/External Port 8080, Internal IP 192.168.1.10, Internal Port 80, Protocol TCP.
- Simpan, lalu reboot jika diminta.
Uji & Troubleshooting
Uji dari Internet
- Akses http://IP_PUBLIK:8080 dari jaringan berbeda (4G/5G).
- Gunakan layanan cek port terbuka (mis. port checker tepercaya).
Checklist Jika Gagal
- Apakah ISP Anda menggunakan CGNAT? Minta IP publik ke ISP.
- Pastikan layanan di perangkat target memang aktif di port internal.
- Pastikan tidak ada double NAT (dua router berantai) tanpa aturan yang benar.
- Matikan sementara firewall di PC target untuk pengujian.
Keamanan: Hindari mengekspos layanan sensitif (RDP/Winbox/WebFig) langsung ke internet. Lebih aman gunakan VPN atau port knocking.
Tips Keamanan Penting
- Gunakan port publik non-standar (mis. 8080, 8888, 50080).
- Tambahkan Firewall Filter untuk membatasi sumber IP.
- Aktifkan VPN (WireGuard/L2TP/IPsec) dan akses layanan melalui VPN.
- Update firmware router & nonaktifkan layanan admin dari WAN.
FAQ Singkat
Apakah bisa tanpa IP publik?
Bisa menggunakan tunneling/reverse proxy atau minta IP publik ke ISP. Port forwarding klasik butuh IP publik.
Apa bedanya dst-nat dan src-nat?
dst-nat meneruskan koneksi masuk ke IP/port di LAN. src-nat/masquerade mengganti alamat sumber untuk koneksi keluar.
Bagaimana kalau ada dua router (double NAT)?
Buat port forward di router paling depan (yang punya IP publik), atau gunakan DMZ/bridge ke router kedua, atau atur port forward berantai.