Cara BlocK Windows Update dengan Mikrotik Firewall RAW

Pada labs kali ini kita akan mencoba untuk memblok aktifitas Windows Update pada Windows 10 dengan menggunakan firewall Mikrotik. Seperti telah kita ketahui bahwa Microsoft rajin sekali melakukan update pada sistem operasi Windows 10. Apabila Windows update ini sedang berjalan, maka akan memakan bandwidth internet yang cukup besar sehingga aktifitas yang menggunakan internet lainnya seperti browsing atau Skype Meeting akan terganggu.

Disini kita akan menggunakan fitur Firewall RAW. Firewall RAM di Mikrotik merupakan fitur yang mulai diperkenalkan pada Router OS versi 6.36rc21. Firewall RAW memungkinkan kita memilih untuk melewatkan atau mendrop paket sebelum connection tracking, sehingga menghemat load CPU.

Firewall RAW hanya bisa dilakukan pada chain prerouting (memproses packet yang masuk ke router) dan output ( digunakan untuk memproses paket yang berasal dari router dan meninggalkannya melalui salah satu interfaces).

Untuk memblok Windows Update, kita bisa menambahkan nama website yang akan diblok pada bagian parameter Content atau TLS host. Khusus untuk TLS host digunakan untuk blocking terhadap situs-situs yang sudah menggunakan fitur HTTPS. Disini saya mencoba untuk menggunakan TLS host seperti berikut :

/ip firewall raw
add action=drop chain=prerouting comment="Blok Windows Update" protocol=tcp tls-host=windowsupdate.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" protocol=tcp tls-host=download.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" protocol=tcp tls-host=test.stats.update.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" protocol=tcp tls-host=ntservicepack.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" protocol=tcp tls-host=*.download.windowsupdate.com
add action=drop chain=prerouting comment="Blok Windows Update" protocol=tcp tls-host=*.update.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" protocol=tcp tls-host=download.windowsupdate.com
add action=drop chain=prerouting comment="Blok Windows Update" protocol=tcp tls-host=*.windowsupdate.microsoft.com

Kemudian saya coba menjalankan windows update pada Windows 10 seperti tampak pada gambar dibawah.

Lalu cek, rule Blok Windows Update menggunakan Firewall Raw dengan Winbox, dan hasilnya terlihat seperti dibawah.

Sedangkan apabila menggunakan parameter Content, maka konfigurasinya kurang lebih seperti berikut:

/ip firewall raw
add action=drop chain=prerouting comment="Blok Windows Update" content=windowsupdate.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" content=.windowsupdate.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" content=.update.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" content=ntservicepack.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" content=download.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" content=.download.windowsupdate.com
add action=drop chain=prerouting comment="Blok Windows Update" content=test.stats.update.microsoft.com
add action=drop chain=prerouting comment="Blok Windows Update" content=.windowsupdate.com

Gambar dibawah adalah tampilan dari salah satu router mikrotik yang lain, yang menerapkan block windows update dengan script mikrotik firewall raw dengan mengisi parameter content.

Demikianlah salah satu cara memblok windows update dengan menggunakan mikrotik firewall. Apabila di tampilan firewall raw seperti diatas tidak ada aktifitas paket, sedangkan windows update di komputer tetap jalan, maka harus dicek lagi, kemungkinan website windows update sudah ada perubahan.

Referensi :

  • http://mikrotik.co.id/artikel_lihat.php?id=282
  • https://mum.mikrotik.com/presentations/ID17/presentation_4778_1509410534.pdf
  • https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus

Share This ..

Leave a Reply

Your email address will not be published. Required fields are marked *