- pake winbox aja biar gampang.
- masuk ke IP > DHCP Server
- pilih konfigurasi DHCP yang digunakan untuk hotspot anda, kalo' saya, menggunakan settingan default DHCP aja
- di sini saya cuma mengganti waktu sewa IP menjadi 1 hari
- dan yang paling penting, aktifkan opsi Add ARP for Leases, opsi ini untuk mencegah ARP Spoofing oleh NetCut
lebih aman lagi, drop semua paket ICMP pada firewall, jadi tambahin aja (soalnya pernah baca, kalo NetCut itu menggunakan ICMP untuk apanyaaa gitu, eh satu lagi, kalo rule ini diterapkan, jangan bingung ya, soalnya ping pasti ga bisa !!!!)
/ip firewall filter add action=accept chain=input protocol=icmp disabled=no comment="default configuration anti netcut, defaultnya accept"
anti confliker
/ ip firewall filter
add chain=forward protocol=udp src-port=135-139 action=drop comment=";;Block W32.Kido - Conficker" disabled=no
add chain=forward protocol=udp dst-port=135-139 action=drop comment="" disabled=no
add chain=forward protocol=udp src-port=445 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=445 action=drop comment="" disabled=no
add chain=forward protocol=tcp src-port=135-139 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=135-139 action=drop comment="" disabled=no
add chain=forward protocol=tcp src-port=445 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=445 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=4691 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=5933 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=5355 action=drop comment="Block LLMNR" disabled=no
add chain=forward protocol=udp dst-port=4647 action=drop comment="" disabled=no
add action=drop chain=forward comment="SMTP Deny" disabled=no protocol=tcp src-port=25
add action=drop chain=forward comment="" disabled=no dst-port=25 protocol=tcp
Melindungi FTP Server Mikrotik Anda
/ ip firewall filter add chain=input in-interface=hotspot protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="FTP Blacklist"
/ ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m comment="accept 10 incorrect logins per minute"
/ ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h comment="add to blacklist"
Ingat, urutan diatas harus tepat...tidak boleh tertukar-tukar...
Mari kita bahas satu persatu dari rule-rule diatas...
/ ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop
Rule pertama ini akan melakukan filtering untuk traffik yang berasal dari ether1 (silahkan dirubah sesuai kebutuhan), protocol TCP dengan port 21...dan IP asal traffik dicocokkan dengan addr-list ftp_blacklist (yang akan dicreate di rule berikutnya).... bila cocok / positif maka action drop akan dilakukan... Bila ada yang melakukan brute force attack untuk pertama kalinya, rule pertama ini tidak melakukan apa2...Namun apabila IP-nya telah tercatat, maka akan langsung di Drop.
-------------------------------------
# accept 10 incorrect logins per minute
/ ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
Rule ini bertindak sebagai pengawas, apakah dari IP tertentu telah melakukan Login secara Incorrect sebanyak 9 kali dalam jangka waktu 1 menit....Jadi bila masih dalam batasan 9 kali dalam 1 menit maka masih akan diaccept...Nah apabila telah melampaui 9 kali, maka rule ini tidak akan apply dan akan lanjut ke rule setelahnya yakni...
-------------------------------------
#add to blacklist
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=blacklist address-list-timeout=3h
Rule ini akan menambahkan IP sang penyerang ke dalam addr-list bernama ftp_blacklist...hanya itu yang dilakukan rule ini...
Nah, pada saat percobaan yang ke-11 serangan ini akan di Drop oleh Rule yang Pertama....