Port knocking adalah cara keren buat bikin layanan di router kamu lebih aman dengan menyembunyikannya di balik urutan akses port. Berikut ini cara gampang buat setting port knocking di router MikroTik kamu.
Apa Itu Port Knocking?
Port knocking itu seperti semacam kode rahasia. Kamu harus mengakses port-port tertentu secara berurutan supaya IP kamu diizinkan untuk mengakses layanan di router. Kalau urutan yang benar terdeteksi, IP kamu akan dipindahkan ke daftar khusus yang diperbolehkan.
Cara Setting Port Knocking
Syarat Awal:
- Router MikroTik kamu harus sudah di-set untuk menolak semua koneksi dari WAN.
1. Buat Aturan Knock Pertama
Pertama, tambahin aturan firewall untuk ngatur port knocks:
-
Aturan Knock Pertama
- Dengerin di port
888
dan tambahin IP yang akses port ini ke daftar alamat888
/ip firewall filter add action=add-src-to-address-list address-list=888 address-list-timeout=30s chain=input dst-port=888 in-interface-list=WAN protocol=tcp
- Dengerin di port
-
Aturan Knock Kedua
- Dengerin di port
555
dan tambahin IP yang akses port ini ke daftar alamat555
, tapi cuma kalau IP-nya ada di daftar888
/ip firewall filter add action=add-src-to-address-list address-list=555 address-list-timeout=30s chain=input dst-port=555 in-interface-list=WAN protocol=tcp src-address-list=888
- Dengerin di port
-
Aturan Knock Terakhir
- Dengerin di port
222
dan tambahin IP yang akses port ini ke daftar alamatsecured
, cuma kalau IP-nya ada di daftar555
.
/ip firewall filter add action=add-src-to-address-list address-list=secured address-list-timeout=30m chain=input dst-port=222 in-interface-list=WAN protocol=tcp src-address-list=555
- Dengerin di port
-
Izinkan Akses dari Daftar Secured
- Izinin trafik dari IP yang ada di daftar
secured
.
/ip firewall filter add action=accept chain=input in-interface-list=WAN src-address-list=secured
- Izinin trafik dari IP yang ada di daftar
2. Cara Port Knocking
Buat melakukan port knocking, kamu bisa pakai klien port-knocking atau skrip bash sederhana dengan nmap
. Contohnya, kamu bisa pakai:
for x in 888,555,222; do nmap -p $x -Pn <IP_ROUTER_KAMU>; done
Ganti <IP_ROUTER_KAMU>
dengan alamat IP publik router kamu.
3. Atur Blacklist
Tambahkan blacklist supaya bisa ngindarin risiko port knock yang salah atau upaya jahat.
-
Aturan Drop untuk IP Blacklist
- Aturan ini bakal nge-drop trafik dari IP yang ada di blacklist.
/ip firewall filter add action=drop chain=input disabled=yes in-interface-list=WAN src-address-list=blacklist
-
Tambahkan IP Mencurigakan ke Blacklist
- Blacklist IP yang coba akses port berbahaya.
/ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=1000m chain=input disabled=yes dst-port=666 in-interface-list=WAN protocol=tcp
-
Aturan Blacklist untuk Port Non-Knock
- Blacklist IP yang coba akses port selain port knock tanpa ada di daftar
secured
.
/ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=1m chain=input disabled=yes dst-port=21,22,23,8291,10000-60000 in-interface-list=WAN protocol=tcp src-address-list=!secured
- Aturan ini awalnya dinonaktifkan. Aktifkan setelah kamu punya akses alternatif atau dalam mode aman supaya gak terkunci keluar.
- Blacklist IP yang coba akses port selain port knock tanpa ada di daftar
Kesimpulan
Port knocking itu cara efektif buat nyembunyiin layanan di balik urutan port supaya nggak gampang kena serangan otomatis. Dengan langkah-langkah ini, kamu bisa ngatur port knocking di router MikroTik kamu dan bikin jaringan kamu lebih aman.