Penulis Artikel : Ahmad Lukman Hakim
Dengan cara Port Knocking kita dapat memblokir akses (SSH, Telnet, Mac Telnet, WinBox, dan Protocol lain) dari serangan Hacking atau Brute . MikroTik hanya mengizinkan Administrator mikrotik itu sendiri yang dapat mengkonfigurasi dan memonitoring.
Langsung saja, silahkan copast script dibawah ini ke MikroTik anda:
/ip firewall filter
add action=add-src-to-address-list address-list=ICMP address-list-timeout=1m chain=input \
disabled=no protocol=icmp
add action=add-src-to-address-list address-list="ICMP + Http" address-list-timeout=1m chain=input
disabled=no dst-port=80 protocol=tcp src-address-list=ICMP
add action=drop chain=input disabled=no dst-port=22,23,8291 protocol=tcp \
src-address-list="!ICMP + Http"
Penjelasan:add action=add-src-to-address-list address-list=ICMP address-list-timeout=1m chain=input \
disabled=no protocol=icmp
Rule pertama ini: menandai jika ada seseorang (admin) dari interface apapun mengetuk (knock) / melakukan ping ke protocol icmp akan masuk kedalam address list MikroTik dengan nama "ICMP" dan lama waktunya (time-out) adalah 1 menit.
add action=add-src-to-address-list address-list="ICMP + Http" address-list-timeout=1m chain=input
disabled=no dst-port=80 protocol=tcp src-address-list=ICMP
Rule kedua ini: seseorang (admin) yang telah berada di address list dengan nama "ICMP" membuka port 80, kemudian akan ditandai kedalam address list lagi dengan nama "ICMP + Http" dgn lama waktu (time out) 1 menit.
Rule kedua ini merupakan hubungan dari rule pertama tadi, yang penting selama 1 menit tadi harus dilanjutkan untuk mengeksekusi rule yang kedua ini, dan rule kedua ini juga menggunakan waktu 1 menit untuk dilanjutkan kerule yang ketiga. :D
add action=drop chain=input disabled=no dst-port=22,23,8291 protocol=tcp \
src-address-list="!ICMP + Http"
Rule ketiga: memblok port 22,23,8291 kecuali yang telah berada di Address List dengan nama "ICMP + Http"
Kesimpulan:
Secara logika, port knock ini merupakan tindakan khusus untuk masuk kedalam MikroTik, yaitu ada syarat-syaratnya, misal tadi yang telah dibahas diatas, kita harus melakukan ping maupun membuka port 80 dulu dengan selang waktu 1 menit, baru bisa masuk kedalam MikroTik.
Sumber: wiki.mikrotik.com