Kamu lagi di luar, tiba-tiba ada masalah di router jaringan, dan harus akses dari jarak jauh. Solusi pertama yang terlintas: buka port SSH atau Winbox langsung ke internet. Praktis — tapi berisiko.
Port yang terbuka ke publik bisa ditemukan siapa saja. Bot port scanning otomatis akan mendeteksinya dalam hitungan menit, dan dari sana berbagai percobaan masuk bisa datang kapan saja: brute force, eksploitasi kerentanan, credential stuffing. Belum lagi kalau perangkat yang perlu diakses ada banyak — berarti makin banyak port yang harus dijaga.
Ada cara yang lebih proper: Jumphost. Satu server yang dijadikan satu-satunya pintu masuk ke jaringan internal. Semua akses ke perangkat di dalam disalurkan lewat satu titik ini — lebih mudah dikontrol, dimonitor, dan diamankan.
Dikombinasikan dengan Port Forwarding dan tunnel opsional seperti WireGuard atau OpenVPN, hasilnya adalah akses remote yang tetap nyaman tanpa harus mengorbankan keamanan.
Apa Itu Jump Host?
disebut juga bastion host atau jump server — adalah sebuah server yang difungsikan sebagai satu-satunya titik masuk yang sah ke dalam jaringan internal. Alih-alih mengekspos semua perangkat internal ke internet, kamu cukup membuka akses ke jumphost saja. Dari jumphost inilah semua koneksi selanjutnya ke perangkat internal disalurkan.
Analoginya seperti sistem keamanan di gedung perkantoran bertingkat. Tamu dari luar tidak bisa langsung naik ke lantai manapun sesuka hati — mereka harus melapor ke lobi terlebih dahulu, menunjukkan identitas, mendapatkan izin, baru kemudian diarahkan ke lantai yang dituju. Lobi itulah yang berperan sebagai jumphost dalam analogi ini.
Dalam konteks jaringan, alurnya seperti ini:
Jumphost bisa diakses langsung tanpa VPN sekalipun, selama port SSH-nya bisa dijangkau dari internet. Tapi untuk keamanan ekstra — terutama kalau sering akses dari jaringan publik seperti WiFi kafe atau hotel — bisa ditambahkan lapisan tunnel terenkripsi di antara laptop dan jumphost.
Perangkat-perangkat internal — R1, R2, R3 dalam lab ini — tidak perlu punya akses langsung dari internet sama sekali. Mereka hanya perlu bisa berkomunikasi dengan jumphost di jaringan lokal. Semua traffic masuk dari luar disaring dan dilewatkan melalui satu pintu yang terkontrol.
Bagaimana Cara Aksesnya?
Ada beberapa cara yang bisa digunakan untuk mengakses perangkat internal melalui jumphost. Di antaranya SSH Local Port Forwarding, SSH ProxyJump, ProxyCommand, SSH Agent Forwarding, hingga Dynamic Port Forwarding yang menjadikan jumphost sebagai SOCKS proxy. Masing-masing punya karakteristik dan skenario penggunaan yang berbeda.
Dalam blog ini, kita akan fokus pada dua cara yang paling umum dan relevan untuk skenario lab ini SSH Local Port Forwarding.
SSH Local Port Forwarding
SSH Local Port Forwarding bekerja dengan cara meneruskan port tertentu di laptop ke port perangkat target, melalui jumphost sebagai perantara. Koneksi ke target tidak dilakukan secara langsung melainkan diarahkan lewat port lokal yang sudah dibuka di laptop terlebih dahulu. ada banyak cara juga untuk Local Port Forwarding di saat ini bisa lewat CLI atau dari aplikasi SSH seperti Putty, Secure CRT atau MobaXTerm
Untuk mengakses R1 (10.10.10.6) lewat jumphost, perintahnya seperti ini:
Step 1 — Buka tunnel dari laptop ke R1 melalui jumphost:
ssh -L port lokal (berapa saja):ip perangkat internal: port service nya (misal 8291) user jump host@ip jumhost (ip tunnel/ip public) (opsional jika port ssh bukan bawan -p port ssh custom)
contohnya
ssh -L 2222:10.10.10.11:8291 ubuntu@175.73.152.52 -p 8388
Step 2 — Di terminal lain, akses service ke R1 lewat port lokal yang sudah dibuka:
Cara ini bekerja dengan baik untuk satu perangkat. Tapi kalau ada tiga router yang perlu diakses sekaligus, harus membuka tiga tunnel dengan port yang berbeda-beda — misalnya 2222 untuk R1, 2223 untuk R2, dan 2224 untuk R3. Masing-masing tunnel juga harus tetap terbuka selama sesi berlangsung. karana itu aplikasi modern ssh mempunyai fitur untuk port forward banyak ip sekaligus
Secure CRT
Buat SSH ke jumphost (bisa IP dari Tunneling)
Klik Session Manager lalu pilih Session yang kita buat tadi lalu klik kanan paling bawah klik properties
Pilih Port Forwarding
lalu add isi sesuai keinginan
ok lalu kita connect ke ssh jump host dan coba connect ke service winbox
SIP dengan ini kita berhasil SSH Local Port Forwarding Secure CRT kita bisa menambahkan Port Forward sebanyaknya sesuai kebutuhan. namun di sini wajib terkoneksi terlebih dahulu ke jump host lewat ssh nya. di MobaXterm fitur ini lebih simpel karana apikasi akan otomatis SSH dan port forward di backgroud tampa kita manual connect ke jump host ssh nya.
MobaXterm
Pertama kita siapkan user untuk login ke jump host nya di setting configuration
pilih passwords management lalu Credentials
lalu new dan isi sesuai user jump host
jika sudah kembali ke main menu dan pilih tunneling
kita New SSH Tunnel pilih Local port forward
isi sesuai kebutuhan
Forwarded port (port pc kita yang akan dijadikan forwarder)
SSH Server (IP jump host)
SHH login (user yang kita buat tadi)
SSH port (port ssh jump host)
Remote server (IP perangkat internal)
Remote port (port service perangkat internal)
kurang lebih akan seperti ini
lalu start tunnel nya
kita diamkan di background bisa sambil remote Server Lainnya dan kita coba Akses Service nya
Itulah cara kerja SSH Local Port Forwarding untuk mengakses perangkat internal melalui jumphost. Metode ini cukup fleksibel dan didukung hampir semua SSH client — baik GUI seperti MobaXterm dan SecureCRT, maupun via CLI langsung. Untuk kebutuhan lab dengan beberapa router seperti setup ini, port forwarding sudah lebih dari cukup untuk mengamankan akses remote tanpa harus mengekspos perangkat internal langsung ke internet.