Agar port SSH pada mikrotik kita tidak dibobol orang lain maka perlu adanya tambahan setting firewall pada mikrotik.
Berikut adalah perintah yang harus dijalankan melalui terminal mikrotik
- Blokir arus yang akan masuk apabila port tujuan adalah SSH (port 22) dan alamat IP asal termasuk ke dalam daftar blacklist.
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="block ssh brute forcers" disabled=no
- Masukkan alamat IP ke dalam daftar blacklist apabila alamat IP tersebut sudah 4x gagal masuk melalui port SSH.
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="add ssh brute forcers ip to blacklist" disabled=no
- Masukkan alamat IP ke dalam daftar banned stage 3 apabila alamat IP tersebut sudah 3x gagal masuk melalui port SSH.
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="add ssh brute forcers ip to stage3" disabled=no
- Masukkan alamat IP ke dalam daftar banned stage 2 apabila alamat IP tersebut sudah 2x gagal masuk melalui port SSH.
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="add ssh brute forcers ip to stage2" disabled=no
- Masukkan alamat IP ke dalam daftar banned stage 1 apabila alamat IP tersebut sudah 1x gagal masuk melalui port SSH.
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="add ssh brute forcers ip to stage1" disabled=no
- Langkah yang terakhir adalah memblokir semua aktivitas melalui port 22 yang dilakukan oleh IP yang terkena blacklist.
/ip firewall filter add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute downstream" disabled=no