Dalam mengatur server Proxy dan jaringan di bawahnya agar aman dari jangkauan tangan-tangan jahil manusia cyber. Pada Linux hadir dengan beberapa software yang dapat digunakan untuk membuat firewall atau dinding pengaman jaringan dan NAT. Yaitu dengan menggunakan IPTABLES untuk kebutuhan tersebut. IPTABLES adalah modul di Linux yang memberikan dukungan langsung terhadap kernel Linux mulai versi 2.4 untuk keamanan sistem serta beberapa keperluan jaringan lainnya. IPTABLES juga dapat digunakan untuk melakukan seleksi terhadap paket-paket yang datang baik input, outp ut maupun forward berdasarkan IP address, identitas jaringan, nomor port, source (asal). destination (tujuan), protokol yang digunakan bahkan berdasarkan tipe koneksi terhadap setiap paket (data) yang diinginkan. IPTABLES dapat melakukan perhitungan terhadap paket dan menerapkan prioritas trafik berdasar jenis layanan. IPTABLES dapat digunakan untuk mendefinisikan sekumpulan aturan keamanan berbasis port untuk mengamankan host-host tertentu. IPTABLES juga dapat dimanfaatkan untuk membangun sebuah router atau gateway, tentunya hanya untuk sistem operasi Linux. Iptables memiliki table yang berfungsi untuk menentukan arah putaran paket data. Dimana table tersebut ada 3 yaitu :
Konfigurasi IPTABLES paling sederhana setidaknya menangani 3 kumpulan aturan yang disebut chain. Chain tersebut antara lain:
Sebelum kita melakukan konfigurasi firewall maka pertama kali kita harus mengetahui rule yang akan kita pakai.Hal ini sebagai acuan, apakah jaringan kita dapat meneruskan paket yang datang atau tidak atau memblok semua paket yang akan masuk ke dalam jaringan kita.Dibawah ini merupakan tabel rule yang kita pakai acuan untuk mengkonfigurasi firewall antara lain. # iptables -t <TABLE> -I <CHAIN> -p <Protokol> -s <IPasal/Netmask> -d <IPtujuan/Netmask> -j <ACCEPT/DROP>Keterangan: | Nama Rule | Simbol | Keterangan | |-------------------|--------|------------------------------------------------------------------------------------------------------------------| | TABLE | -t | TABLE, bisa diisikan dengan filter, nat, atau mangle | | CHAIN | -l | CHAIN, apabila tablenya filter bisa diisikan INPUT, OUTPUT, atau FORWARD | | PROTOKOL | -p | Protokol, bisa diisikan tcp, udp, icmp atau all | | IP asal/Netmask | -s | IPasal, bisa diisikan dengan ip address asal paket (source) | | IP tujuan/Netmask | -d | IPtujuan, bisa diisikan dengan ip address tujuan paket (destination) | | ACCEPT/DROP | -j | ACCEPT/DROP, bila ingin mengijinkan data lewat isikan dengan ACCEPT. Bila tidak mengijinkan isikan dengan DROP |1. NAT dan IPtablesNetwork Address Translation (NAT) dapat dikerjakan oleh kernel Linux versi 2.4 dengan salah satu dari dua cara berikut:
Salah satu versi dari SNAT adalah IP Masquerade, yang mengijinkan beberapa workstation atau host terkoneksi ke Internet tanpa harus memiliki IP address yang dapat dikenal di jaringan eksternal, Internet. Server yang berfungsi sebagai gateway menyediakan suatu masquerader menggunakan IPTABLES untuk membuat host-host lokal dikenal di jaringan internet dimana IP address yang tercatat adalah IP address gateway, bukan IP address host jaringan lokal. Proses masquerade paket IP dikerjakan menggunakan substitusi address dan nomor port. IP address paket dari jaringan lokal diubah berdasarkan pada tujuannya. Berikut adalah aturan sederhananya:
IP Masquerade menggunakan port forwarding untuk mengubah suatu IP address paket. Pada saat sebuah paket sampai dari jaringan eksternal, alamat portnya diperiksa dan dibandingkan terhadap isi tabel masquerade. Jika port yang dibandingkan ditemukan, IP address yang terdapat di dalam header paket diubah dan paket dikirim ke IP address yang telah di-demasquerade. Ada 3 hal yang harus diperhatikan dalam implementasi NAT:
Jika Anda telah selesai membangun sebuah jaringan lokal dilihat dari topologinya, artinya secara fisik Anda telah menyelesaikan jaringan tersebut dan jaringan lokal Anda telah berfungsi dengan baik, implementasi IP Masquerade hanya memerlukan dua langkah berikut: 1. Gunakan IPTABLES untuk mensetup suatu aturan masqueradeContoh berikut memasquerade paket-pake jaringan lokal (192.168.0.0/24) yang keluar menuju intemet atau jaringan eksternal melalui interface ppp0 (koneksi dial-up): IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 --j MASQUERADEJika Anda terkoneksi ke jaringan eksternal tidak melalui koneksi dial-up, misalnya menggunakan koneksi wireless radio link, maka contoh perintah IP masquerade di atas menjadi: iptables -t nat -A POSTROUTING --o eth1 --s 192.168.0.0/24 --j SNAT -tosource 64.110.100.141Dimana koneksi ke jaringan eksternal melalui interface eth1 dan IP address NAT yang digunakan adalah 64.110.100.141. Anda juga dapat menulis; IPTABLES -t nat -A POSTROUTING -o eth1 --j MASQUERADEyang berarti memasquerade semua paket yang keluar melalui Eth1. Ini dilakukan jika Anda tidak memperoleh IP NAT dari ISP, hanya 1 IP publik yang dimiliki yaitu yang terpasang pada Eth1. Jangan lupa menjalankan perintah service IPTABLES save agar semua aturan yang dibuat tersimpan dan dijalankan pada saat sistem di-reboot. 2. Sisipkan modul-modul kernel untuk menangani protokol-protokol tertentumodprobe -a ip_conntrack_ftp ip_net_ftp modprobe -a ip_conntrack_irc ip_net_ircAnda dapat membangun sebuah destination NAT yang akan me-redirect secara transparan semua paket yang datang dari host-host jaringan lokal yang dikirim oleh web browser yang masuk melalui interface eth2 (ethernet card ke-3 pada mesin masquerader) ke suatu server proxy dengan menerapkan aturan berikut: iptables -t nat -A PREROUTING -p tcp --port 80 -i eth2 -j DNAT --to 192.168.0.254dimana IP address 192.168.0.254 adalah alamat server proxy. 2. KesimpulanIbarat sebuah rumah yang memiliki pagar sebagai pelindungnya, baik dari kayu, tembok beton, kawat berduri ataupun kombinasi beberapa jenis pagar, maka tak pula mengherankan apabila sebuah komputer yang merupakan sebuah tempat vital dalam komunikasi data yang menyimpan semua harta dan benda yang kita miliki juga patut kita lindungi. Yaitu dengan menggunakan firewall. Firewall merupakan suatu cara atau mekanisme yang diterapkan baik terhadap hardware, software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. IP address sebagai sarana pengalamatan di Internet semakin menjadi barang mewah dan ekslusif. Tidak sembarang orang sekarang ini bisa mendapatkan IP address yang valid dengan mudah. Oleh karena itulah dibutuhkan suatu mekanisme yang dapat menghemat IP address. Logika sederhana untuk penghematan IP address ialah dengan meng-share suatu nomor IP address valid ke beberapa client IP lainnya. Atau dengan kata lain beberapa komputer bisa mengakses Internet walau kita hanya memiliki satu IP address yang valid. Salah satu Mekanisme itu disediakan oleh Network Address Translation (NAT). 3. SOAL
 Assalamulaikum Wr. Wb. Pada kesempatan kali ini saya akan share tentang firewall yang biasa digunakan pada debian server, yaitu iptables. Dengan adanya firewall pada server kita ini membuat server kita aman dari serangan-serangan dari luar maupun untuk filtering packet-packet data tertentu. nah untuk lebih lengkapnya yuk kita pahami penjelasan berikut. A. Pengertian Firewall adalah suatu aturan yang diterapkan baik terhadap hardware, software atau pun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan melakukan filterisasi, membatasi, ataupun menolak suatu koneksi pada jaringan yang dilindunginya dengan jaringan luar. Tipe-tipe firewall dibedakan berdasarkan mekanisme atau cara kerja firewall :
IPTABLES adalah salah satu firewall yang ada di linux, kegunaan iptables antara lain :
B. Latar Belakang Seiring dengan pesatnya perkembangan teknologi informasi dan komputerisasi, jaringan komputer tentu sangat bermanfaat, antara lain membuat seseorang dapat berkomunikasi dan berhubungan dengan orang lain tanpa mengenal lagi yang namanya jarak. Seseorang telekomputer dapat memiliki lebih dari satu perkerjaaan yang berbeda letak geografisnya dan dapat dilakukannya dengan baik. Namun, dampak dari perkembangan itu adalah semakin banyaknya permasalahan yang muncul dalam melindungi jaringan komputer dari gangguan luar seperti virus, spam, DOS, dll. Oleh karena itu, sebuah jaringan komputer pun perlu memiliki ’pagar’ layaknya sebuah rumah. ’Pagar’ yang dapat melindungi tempat vital dalam komunikasi data dan menyimpan komponen penting dalam jaringan komputer. Dalam istilah komputer, ’pagar’ tersebut sering disebut dengan istilah firewall. Sebuah sistem yang mengizinkan paket data lewat untuk paket yang dianggapnya aman dan menolaknya jika paket data tersebut dianggap tidak aman.C. Persiapan Software dan Hardware
IPTABLES adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data. Secara sederhana digambarkan sebagai pengatur lalulintas data. Dengan iptables inilah kita akan mengatur semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari komputer, ataupun traffic yang sekedar melewati komputer kita. Diagram Iptables
Firewall IPTables packet filtering memiliki beberapa aturan (policy), yaitu: - INPUT Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelolakomputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa SSHke firewall dan yang lain tidak boleh.- OUTPUT Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset,karena bisa membatasi kemampuan firewall itu sendiri.- FORWARD Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut dengan TARGET, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau tidak- POSTROUTING yaitu melakukan NAT paket data yang keluar dari firewall, kebanyakan postrouting dipakai untuk translasi alamat IP.- PREROUTING yaitu untuk melakukan NAT paket data yang memasuki firewall, kebanyakan digunakan untuk transparency proxy server dan membangun beberapa server dengan satu IP publik.Table pada iptables
Dalam Iptables terdapat tiga daftar table bawaan yaitu :
Struktur Penulisan IPTABLES : iptables -t [table] command [chain] parameter target contoh : iptables -t filter -A INPUT -s 192.168.1.1 -j DROPCommand pada iptables Command dan rule yang dipasang pada iptables (firewall) memiliki ketentuan. Pada dasarnya iptables pada komputer dianggap sebagai TABEL IP sesuai dengan namanya. System hanya akan menjalan rule yang ada pada tabel. Sedangkan rule yang sudah ada pada iptables juga dapat di hapus atau di replace dengan rule lain. Berikut beberapa command untuk penambahan, penghapusan dan operasi sejenisnya yang akan diperlakukan terhadap rule.
Option Terdiri dari command, dan parameter serta opsi tambahan :
Parameter Membuat satu baris aturan pada iptables menjadi lebih spesifik -p : protocol Digunakan untuk mengecek tipe protokol tertentu. Contoh protokol yang umum adalah TCP, UDP, ICMP dan ALL. Daftar protokol bisa dilihat pada /etc/protocols. Tanda ! bisa digunakan, misal kita menghendaki semua protokol kecuali icmp, maka kita bisa menuliskan -p ! icmp yang berarti semua kecuali icmp. Contoh : iptables -A INPUT -p tcp … iptables -A INPUT -p ! tcp …-s : source Digunakan untuk mencocokkan paket berdasarkan alamat IP asal/sumber. Alamat di sini bisa berberntuk alamat tunggal seperti 192.168.1.1, atau suatu alamat network menggunakan netmask misal 192.168.1.0/255.255.255.0, atau bisa juga ditulis 192.168.1.0/24 yang artinya semua alamat 192.168.1.x. Kita juga bisa menggunakan inversi. Contoh : iptables -A INPUT -s 192.168.1.3 …-d : destination Digunakan untuk mecocokkan paket berdasarkan alamat tujuan. Penggunaannya sama dengan –s contoh : iptables -A INPUT -s 192.168.1.3 …-j : jump berguna untuk menentukan nasib paket, apakah paket akan diterima (ACCEPT), ditolak (DROP), dikembalikan (RETURN), dll contoh : iptables -A INPUT -j DROP-i : in-interface berguna untuk mencocokkan paket berdasarkan interface di mana paket datang. Match ini hanya berlaku pada chain INPUT, FORWARD contoh : iptables -A INPUT -i eth0-o : out-interface TARGET Target atau jump adalah perlakuan yang diberikan terhadap paket-paket yang memenuhi kriteria. Atau sebagai penentu nasib suatu paketACCEPT setiap paket akan diterima oleh firewall dan akan diteruskan ke tujuan dari paket tersebut contoh : iptables -A INPUT -p tcp -–dport 80 -j ACCEPTDROP akan membuang setiap paket yang diterima tanpa mengirimkan pesan ke pengirim paket contoh : iptables -A INPUT -p tcp -–dport 80 -j DROPRETURN akan menolak setiap paket yang diterima tapi firewall akan mengirimkan pesan ICMP errror kepada pengirim paket, defaultnya berupa port-unreachable pesan dapat dirubah misal icmp-net-unreachable, icmp-host-unreachable, icmp-proto-unreachable, icmp-net-prohibited, dll contoh : iptables -A INPUT -p tcp -–dport 80 -j REJECT –reject-with icmp-net-unreachableLOG Target Ada beberapa option yang bisa digunakan bersamaan dengan target ini. Yang pertama adalah yang digunakan untuk menentukan tingkat log. Tingkatan log yang bisa digunakan adalah debug, info, notice, warning, err, crit, alert dan emerg.Yang kedua adalah -j LOG –log-prefix yang digunakan untuk memberikan string yang tertulis pada awalan log, sehingga memudahkan pembacaan log tersebut. Contoh : iptables –A FORWARD –p tcp –j LOG –log-level debug iptables –A INPUT –p tcp –j LOG –log-prefix “INPUT Packets”SNAT Target Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source Network Address Translation). Target ini berlaku untuk tabel nat pada kolom POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket pertama dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya dalam koneksi tersebut juga akan mengalami hal yang sama. Contoh : iptables –t nat –A POSTROUTING –o eth0 –j SNAT –to-source 194.236.50.155-194.236.50.160:1024-32000
MASQUERADE Target Secara umum, target MASQUERADE bekerja dengan cara yang hampir sama seperti target SNAT, tetapi target ini tidak memerlukan option –to-source. MASQUERADE memang didesain untuk bekerja pada komputer dengan koneksi yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP yang berubah-ubah. Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel nat pada chain POSTROUTING. Contoh : iptables –t nat –A POSTROUTING –o eth0 -dport 80 –j MASQUERADEREDIRECT Target Target REDIRECT digunakan untuk mengalihkan jurusan (redirect) paket ke mesin itu sendiri. Target ini umumnya digunakan untuk mengarahkan paket yang menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi hal ini sangat berguna untuk membangun sebuah sistem jaringan yang menggunakan transparent proxy. Contohnya kita ingin mengalihkan semua koneksi yang menuju port http untuk memasuki aplikasi http proxy misalnya squid. Target ini hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau pada chain buatan yang dipanggil dari kedua chain tersebut. Contoh : iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT –to-port 3128 iptables -t nat -A PREROUTING -p tcp -d 0/0 –dport 80 -j REDIRECT –to-port 8080
Sumber : http://aoktox.blogspot.co.id/2014/02/pengertian-iptables-dan-nat.html http://siteblogforu.blogspot.co.id/2014/02/pengertian-iptables-postrouting.html https://sarangpenyamun.wordpress.com/2008/12/15/pengantar-iptables/ G. Hasil dan Kesimpulan Dengan adanya sebuah firewall pada komputer server kita, membuat komputer server kita aman dari serangan luar seperti virus, spam, DOS, dll. Selain itu dengan firewall ini kita dapat dengan mudah mengelola jaringan kita dengan membuat aturan-aturan tertentu untuk setiap hostnya.Sekian dari saya, mohon maaf sebesar-besarnya jika terdapat banyak kesalahan dalam postingan saya ^-^ Wassalamualikum Wr. Wb. Page 2 |
Aturan yang dapat diubah-ubah pada mangle iptables adalah
Pos Terkait
Copyright © 2024 idkuu.com Inc.
