Irawan Andry

SEJARAH SUSE LINUX

irawanandry — Thu, 03 Jun 2010 07:40:47 +0000

SUSE bermula di awal tahun 1990-an di mana Linux terdiri dari sekitar 50 keping disket dan dapat diunduh/diambil lewat internet, tetapi pengguna potensial yang memiliki koneksi internet tidaklah banyak. Kemudian S.u.S.E. GmbH menghimpun disket-disket Linux yang dapat dibeli (tanpa harus memiliki koneksi internet). SuSE tersebarluas oleh Suse GmbH dengan lokalisasi instalasi dalam bahasa Jerman dan dengan itu menciptakan distribusi dari banyak pengguna berbahasa Jerman. Alat instalasi dari Slackware diganti dengan YaST hasil pengembangan Suse GmbH sendiri. Mulai April 1994 Paket Suse-Linux Versi 1.0 mulai menggunakan CD, tidak lagi dalam disket (yang sudah mencapai 70 keping).

Versi pertama yang berdiri sendiri terlepas dari Slackware diterbitkan pada Mei 1996 dengan nama S.u.S.E. Linux, versi 4.2. Penomoran 4.2 dalam versi ini diakibatkan dari diskusi panjang di mana penomoran versi 1.1 ditolak dan angka 42 lebih disukai karena merupakan “jawaban dari segala pertanyaan terhadap segala pertanyaan” (Answer to Life, the Universe, and Everything) menurut roman karya Douglas Adams The Hitchhiker’s Guide to the Galaxy. Pada versi ini untuk pertama kalinya, dalam distribusi dengan 3 CD, disertai sebuah Live-Filesystem.

Mulai dari versi 4.2 angka penjualan Suse Linux meningkat tajam. Pengguna professional di pasar Linux menuntut produk yang sesuai, maka mulai versi 5 ditawarkan produk SuSE Business Linux. Konsep ini kemudian tetap dijual melalui SUSE Linux Enterprise Server (SLES), yang boleh diperoleh di samping siklus rilis dan pembaruan yang panjang dengan dukungan tawaran dan pelatihan yang beragam.

Suse Linux yang sampai pada versi itu hanya mendukung platform Intel i386, pada versi 6.1 mulai juga mendukung platform DEC, Alpha AXP dan platform PowerPC pada versi 6.3. Kedua distribusi memiliki pengaruh penting bagi pengembangan kualitatif Distribusi Suse Linux. Pada perkembangan berikutnya tersedia juga versi SuSE Linux untuk sistem AMD Athlon 64, Intel Itanium dan IBM 390 (Z-Series).

Mulai versi 7.0 sampai dengan 9.1 tersedia dua versi Suse Linux: Personal dan Professional. Di samping itu tersedia juga versi bagi pelajar. Paket pembaruan dengan harga yang pantas untuk versi Professional juga tersedia tanpa cetakan buku pedoman administrasi. Pada 4 November 2003, Novell mengumumkan bahwa mereka akan mengakuisisi SuSE.^[3] Akuisisi ini diselesaikan pada Januari 2004.^[4] SuSE 9.1 merupakan versi pertama di bawah Novell. Salah satu perubahan yang terjadi adalah mulai Juni 2004, di samping instalasi melalui FTP, CD untuk instalasi dasar tersedia di internet. Juga pada edisi Professional dipasarkan dengan keping DVD kedua yang berisi perangkat lunak untuk sistem 64-Bit (AMD64 dan Intel 64) (versi 64-Bit SuSE 9.0 dijual terpisah). Pada April 2004 YaST ditempatkan di bawah Lisensi Publik Umum GNU. Pada 4 Agustus 2005, juru bicara dan direktur hubungan masyarakat Bruce Lowry mengumumkan bahwa pengembangan SUSE Professional akan lebih terbuka dan bersama dalam proyek komunitas openSUSE berupaya meraih perhatian yang lebih luas dari pengguna dan pengembang . Lebih terbuka dengan memungkinkan pengguna dan pengembang untuk menguji dan membantu mengembangkannya. Sebelumnya segala pengembangan dilakukan hanya oleh SUSE dan versi 10.0 adalah versi pertama dengan pengujian beta oleh publik. Sebagai bagian dari perubahan, akses ke Server-YaST menjadi pelengkap bagi pengguna SUSE Linux.

Maskot dari SUSE secara umum dikenali sebagai gecko (tokek) dan disebut sebagai Geeko, namun sebenarnya adalah seekor kameleon (Chamaeleonidae).

Dasar-Dasar IPtables

irawanandry — Thu, 29 Apr 2010 06:50:02 +0000

Firewall adalah sebuah bagian dari sistem komputer atau jaringan yang didesain untuk memblok atau mengijinkan sebuah jaringan lain untuk mengakses jaringan kita. Firewall bisa berbentuk hardware atau software atau pun kombinasi dari keduanya. Firewall digunakan untuk melindungi jaringan kita dari jaringan-jaringan yang berpotensi menimbulkan bahaya ke dalam sistem kita. Seluruh pesan yang masuk atau meninggalkan jaringan kita melalui firewall akan dicek setiap pesan dan memblok setiap pesan yang tidak memenuhi kriteria yang telah kita tetapkan di dalam firewall. Gambar dibawah merupakan ilustrasi tentang bagaimana firewall bekerja.

Firewall merupakan perangkat jaringan yang berada di dalam kategori perangkat Layer 3 (Network layer) dan Layer 4 (Transport layer) dari protocol 7 OSI layer. Seperti diketahui, layer 3 adalah layer yang mengurus masalah pengalamatan IP, dan layer 4 adalah menangani permasalahan port-port komunikasi (TCP/UDP). Pada kebanyakan firewall, filtering belum bisa dilakukan pada level data link layer atau layer 2 pada 7 OSI layer. Jadi dengan demikian, sistem pengalamatan MAC dan frame-frame data belum bisa difilter. Maka dari itu, kebanyakan firewall pada umumnya melakukan filtering dan pembatasan berdasarkan pada alamat IP dan nomor port komunikasi yang ingin dituju atau diterimanya.

Firewall yang sederhana biasanya tidak memiliki kemampuan melakukan filtering terhadap paket berdasarkan isi dari paket tersebut. Sebagai contoh, firewall tidak memiliki kemampuan melakukan filtering terhadap e-mail bervirus yang kita download atau terhadap halaman web yang tidak pantas untuk dibuka. Yang bisa dilakukan firewall adalah melakukan blokir terhadap alamat IP dari mail server yang mengirimkan virus atau alamat halaman web yang dilarang untuk dibuka. Dengan kata lain, firewall merupakan sistem pertahanan yang paling depan untuk jaringan Anda.

Sintaks Iptables

Secara umum, sintaks iptables dapat dituliskan seperti berikut:

# iptables [-t table] command [match] [target/jump]

Penjelasan dari sintaks di atas dapat dijelaskan di bawah ini:

1. Table

IPTables memiliki beberapa buah tabel yaitu NAT, MANGLE, dan FILTER. Penjelasannya adalah:
a. Table Mangle: tabel yang bertanggung jawab untuk melakukan penghalusan (mangle) paket seperti merubah quality of service (QOS), TTL, dan MARK di header TCP. Biasanya tabel ini jarang digunakan di lingkungan SOHO.b. Table Filter: yaitu tabel yang bertanggung jawab untuk pemfilteran paket. Tabel ini mempunyai 3 rantai (chain) yaitu:
1. Rantai Forward yaitu rantai yang memfilter paket-paket yang akan ke server yang dilindungi oleh firewall. Rantai ini digunakan ketika paket-paket datang dari IP Publik dan bukan dari IP lokal.
2. Rantai Input: yaitu rantai yang memfilter paket-paket yang ditujukan ke firewall.
3. Rantai Output: yaitu rantai yang memfilter paket-paket yang berasal dari firewall.

c. Tabel NAT: yaitu rantai yang bertanggung jawab untuk melakukan Network Address Translation (NAT). NAT yaitu mengganti field asal atau alamat tujuan dari sebuah paket. Pada tabel ini terdapat 2 rantai, yaitu:
1. Rantai Pre-Routing: Merubah paket-paket NAT dimana alamat tujuan dari paket-paket tersebut terjadi perubahan. Biasanya dikenal dengan destination NAT atau DNAT.
2. Rantai Post-Routing: Merubah paket-paket NAT dimana alamat sumber dari paket-paket tersebut terjadi perubahan. Biasanya dikenal dengan source NAT atau SNAT.

Alur kerja IPTables dapat dilihat pada gambar di bawah ini:

Jalannya sebuah paket melalui gambar diatas bisa dicontohkan sebagai berikut:
1. Perjalanan Paket yang diforward ke host yang lain
a. Paket berada pada jaringan fisik (Network) dan masuk ke interface jaringan
b. Paket masuk ke rantai PREROUTING pada tabel MANGLE dan tabel NAT
c. Paket mengalami Routing apakah akan diproses oleh host lokal atau diteruskan ke host lain
d. Paket masuk ke rantai FORWARD pada tabel MANGLE dan tabel FILTER
e. Paket masuk ke rantai POSTROUTING pada tabel MANGLE dan tabel NAT
f. Paket keluar menuju ke interface jaringan
g. Paket kembali pada jaringan fisik (Network)2. Perjalanan paket yang ditujukan bagi host lokal
a. Paket berada pada jaringan fisik (Network) dan masuk ke interface jaringan
b. Paket masuk ke rantai PREROUTING pada tabel MANGLE dan tabel NAT
c. Paket mengalami Routing
d. Paket masuk ke rantai INPUT pada tabel MANGLE dan tabel FILTER untuk mengalami proses penyaringan
e. Paket akan masuk ke proses lokal (Local Process)

3. Perjalanan paket yang berasal dari host lokal
a. Aplikasi lokal menghasilkan paket data yang akan dikirimkan melalui jaringan
b. Paket masuk ke rantai OUTPUT pada tabel MANGLE, lalu ke tabel NAT, kemudian ke tabel FILTER
c. Paket mengalami Routing
d. Paket masuk ke rantai POSTROUTING pada tabel MANGLE dan tabel NAT
e. Paket keluar menuju ke interface jaringan
f. Paket kembali pada jaringan fisik (Network)

2. command

command pada baris perintah iptables yang akan memberitahu apa yang harus dilakukan terhadap lanjutan sintaks perintah. Berikut adalah beberapa command pada iptables:

command	Deskripsi
-A (–append)	Menambah aturan pada akhir rantai sehingga akan dieksekusi terakhir
-D (–delete)	Menghapus sebuah aturan pada rantai yang dilakukan dengan cara menyebutkan secara lengkap perintah yang ingin dihapus atau dengan menyebutkan nomor baris dimana perintah akan dihapus
-I (–insert)	Memasukkan aturan pada sebuah baris rantai. Berbeda dengan perintah append, perintah insert akan menempati baris yang dimaksud dan aturan awal yang menempati baris tersebut akan digeser ke bawah
-L (–list)	Menampilkan semua aturan pada sebuah tabel. Perintah ini akan dikombinasikan dengan opsi -v (verbose), -n (numeric), -x (exact), dan –line-number
-F (–flush)	Mengosongkan aturan pada sebuah chain
-N (–new-chain)	Membuat rantai baru
-X (–delete-chain)	Menghapus rantai yang disebutkan
-E (–rename-chain)	Merubah suatu nama rantai
-P (–policy)	Membuat kebijakan default pada sebuah rantai
-p (–protocol)	Mengecek tipe protokol tertentu. Tanda inverse(!) berarti kecuali. Misalnya protocol ! tcp berarti kecuali tcp
-s (–source)	Mencocokkan paket berdasarkan alamat IP asal. Bisa berbentuk alamat tunggal (mis:192.168.0.1) atau alamat network (mis:192.168.0.0/255.255.255.0 atau 192.168.0.0/24)
-d (–destination)	Mencocokkan paket berdasarkan alamat tujuan
-i (–in-interface)	Mencocokkan paket berdasarkan interface dimana paket datang dan berlaku pada rantai INPUT, FORWARD, dan PREROUTING
-o (–out-interface)	Mencocokkan paket berdasarkan interface dimana paket keluar dan berlaku pada rantai OUTPUT, FORWARD, dan POSTROUTING
–sport (–source-port)	Mencocokkan paket berdasarkan port asal(bisa dilihat di /etc/services). Perintah ini bisa digunakan untuk range port tertentu. Misal range antara port 22 sampai 80 bisa ditulis –sport 22-80. Jika –sport :80 berarti paket dengan port 0-80. Jika –sport 1024: berarti paket dengan port asal 1024-65535
–dport (–destination-port)	Mencocokkan paket berdasarkan port tujuan. Penggunaannya sama dengan –sport
–syn	Memeriksa apakah flag SYN di set dan ACK dan FIN tidak di set. Perintah ini sama dengan kita menggunakan match –tcp-flags SYN,ACK,FIN SYN. Paket dengan perintah tersebut digunakan untuk melakukan request koneksi TCP yang baru terhadap server
-m mac -mac-source	Melakukan pencocokan paket berdasarkan MAC source address
-m multiport –source-port	Mendefinisikan port atau port range lebih dari satu
-j (–jump)	Perlakuan yang diberikan terhadap paket-paket yang memenuhi kriteria. Setelah perintah ini ada beberapa opsi yaitu: ACCEPT: akan mengijinkan paket DROP: akan menolak paket REJECT: akan menolak paket. Berbeda dengan DROP, REJECT akan memberitahukan error kesalahan kepada user pengirim sedangkan DROP tidak memberitahukan error kesalahan. Opsi untuk REJECT adalah icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-proto-unreachable, icmp-net-prohibited, dan icmp-host-prohibited. Namun untuk menggunakan opsi-opsi tersebut harus diawali dengan –reject-with RETURN: akan membuat paket berhenti melintasi aturan-aturan pada rantai dimana paket tersebut menemui target RETURN MIRROR: fungsi utamanya adalah membalik source address dan destination address. Misalnya PC A menjalankan target RETURN kemudian komputer B melakukan koneksi http ke komputer A, maka yang muncul adalah pada browser adalah website komputer B itu sendiri LOG: digunakan untuk menentukan tingkat log. Tingkatan log yang bisa digunakan adalah debug, info, notice,warning, err, crit, alert dan emerg. perintah -j LOG –log-prefix digunakan untuk memberikan string yang tertulis pada awalan log, sehingga memudahkan pembacaan log tersebut. SNAT Target: Berguna untuk melakukan perubahan alamat asal dari paket (Source Network Address Translation). Target ini berlaku untuk tabel NAT pada rantai POSTROUTING, dan hanya disinilah rantai POSTROUTING. Jika paket pertama dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya dalam koneksi tersebut juga akan mengalami hal yang sama DNAT Target: Digunakan untuk melakukan translasi field alamat tujuan (Destination Network Address Translation) pada header dari paket-paket yang memenuhi kriteria match. DNAT hanya bekerja untuk tabel NAT pada rantai PREROUTING dan OUTPUT atau rantai buatan yang dipanggil oleh kedua rantai tersebut MASQUARADE Target: Target ini bekerja dengan cara yang hampir sama seperti target SNAT, tetapi target ini tidak memerlukan option –to-source. Target ini memang ini didesain untuk bekerja pada komputer dengan koneksi yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP yang berubah-ubah. Target ini hanya bekerja untuk tabel NAT pada rantai POSTROUTING REDIRECT Target: Digunakan untuk mengalihkan jurusan (redirect) paket ke mesin itu sendiri. Target ini umumnya digunakan untuk mengarahkan paket yang menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi hal ini sangat berguna untuk membangun sebuah sistem jaringan yang menggunakan transparent proxy. Contohnya kita ingin mengalihkan semua koneksi yang menuju port http untuk memasuki aplikasi http proxy misalnya squid. Target ini hanya bekerja untuk tabel NAT pada rantai PREROUTING dan OUTPUT atau pada rantai buatan yang dipanggil dari kedua rantai tersebut.

Memang banyak sekali dan bisa menjadi sangat sangat kompleks teknik konfigurasi iptables. Pada kesempatan ini kita hanya mencoba melakukan konfigurasi firewall / iptables yang sederhana saja.

V. Connection Tracking

iptables mengandung sebuah modul yang mengijinkan para administrator untuk memeriksa dan membatasi service-service yang tersedia pada sebuah jaringan internal menggunakan sebuah metode yang disebut connection tracking. Fitur ini merupakan fitur baru di dalam firewall yang ditambahkan sejak kernel 2.4.x. Kemampuan dari connection tracking adalah untuk menyimpan dan menjaga informasi koneksi seperti koneksi baru atau koneksi yang sudah ada yang disertai dengan jenis protokol, alamat IP asal dan alamat IP tujuan. Dengan menggunakan fitur ini, para administrator dapat menolak atau mengijinkan berbagai macam koneksi. Connection tracking mempunyai beberapa keadaan:

- NEW –> Sebuah klien mereques koneksi melalui firewall. Maksudnya server1 menghubungi server2 dengan mengirimkan paket SYN (Synchronize)
- RELATED –> Sebuah koneksi yang mereques sebuah reques baru tetapi masih merupakan bagian dari koneksi yang sudah ada. Maksudnya server2 menerima paket SYN dari server 1 dan kemudian merespon dengan sebuah paket SYN-ACK (Synchronize-Acknowledgment)
- ESTABLISHED –> Sebuah koneksi yang merupakan bagian dari koneksi yang sudah ada. Maksudnya server 1 menerima paket SYN-ACK dan kemudian merespon dengan paket ACK (Acknowledgment).
- INVALID –> Sebuah keadaan dimana tidak ada keadaan seperti 3 keadaan di atasUntuk lebih jelasnya perhatikan contoh dibawah ini:
Misalnya kita ingin menggunakan service ftp pada IP=132.456.78.9, maka pada saat kita mengetikkan

# ftp 132.456.78.9

perintah tersebut akan membuka koneksi baru (NEW)
Lalu pada saat kita ingin mengambil sebuah file dari IP tersebut, misalnya paket yang bernama file.tar.gz, maka pada saat kita mengetikkan:

ftp> get file.tar.gz

itu berarti kita telah membuat keadaan koneksi ESTABLISHED.
Jika kita menggunakan sebuah koneksi ftp pasif, dimana port koneksi clien adalah 20 tetapi port transfer menggunakan port 1024 atau yang lebih besar, maka pada saat kita mengetikkan

ftp> pass
Passive mode on

kita harus menggunakan keadaan koneksi RELATED pada firewall jika kita mengijinkan akses ftp secara pasif.

Fungsi lain dari connection tracking yaitu ketika kita sudah mendefinisikan sebuah rule di chain tertentu, maka trafik network yang terkait dengan rule tersebut tidak perlu disebutkan lagi. Misalnya kita ingin menolak ssh dari sebuah IP, maka kita cukup mendefinisikan rule tersebut di chain INPUT saja, yang di outputnya tidak perlu lagi. Caranya adalah:

# iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -I OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Di bawah ini adalah contoh iptables untuk mengijinkan service ssh dengan IP 132.456.78.9 masuk dan keluar serta hanya mengijinkan koneksi baru dan establlished untuk service ssh tersebut.

# iptables -A INPUT -p tcp -s 0/0 --sport 513:65535 -d 64.67.33.76 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -p tcp -s 132.456.78.9--sport 22 -d 0/0 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT

VI. Contoh-Contoh

Ada dua pendekatan di dalam Iptables yaitu pendekatan positif dan pendekatan negatif. Pendekatan positif yaitu dimana seluruh port ditutup sedangkan pendekatan negatif yaitu dimana seluruh port dibuka. Untuk melihat apakah sistem iptables kita menggunakan pendekatan positif atau negatif (namun, pada umumnya linux secara default menggunakan pendekatan negatif) ketikkan iptables -L dan lihat kata setelah kata POLICY. Jika ada kata ACCEPT maka berarti pendekatan yang digunakan adalah negatif. Di tutorial ini kita akan menggunakan pendekatan negatif. Berikut adalah contoh-contohnya:1. Memblok paket yang datang dari sebuah IP

# iptables -I INPUT -s 192.168.0.149 -j REJECT

Peritah di atas digunakan untuk memblok paket dari IP 192.168.0.149. Ada 2 opsi yang digunakan sebenarnya yaitu DROP dan REJECT. Perbedaan dari keduanya adalah kalau REJECT, perintah ini akan memblok paket namun akan memberitahukan bahwa paket tersebut ditolak. Sedangkan kalau DROP, perintah ini akan memblok paket namun tidak diberitahu apakah paket tersebut ditolak atau tidak.2. Menghapus iptables

#  iptables -D INPUT 3

Menghapus iptables pada tabel input di baris ke 3

# iptables -F

Menghapus seluruh iptables

# iptables -F FORWARD

Menghapus seluruh iptables yang hanya berada di tabel forward3. Menutup Port

# iptables -A INPUT -p tcp  --dport 22 -j REJECT

Perintah di atas memblok port 22 yang biasa digunakan untuk ssh

# iptables -A INPUT -p tcp -i eth0 --dport 23 -j REJECT

Perintah di atas memblok port 22 yang biasa digunakan untuk telnet

# iptables -I INPUT -s 192.168.0.250 -p tcp --dport 23 -j REJECT

Perintah di atas untuk memblok service telnet dari IP 192.168.0.250

4. Melihat tabel iptables

# iptables -L

Perintah di atas digunakan untuk melihat daftar (list) iptables

#  iptables -L --line-number

Perintah di atas digunakan untuk melihat daftar (list) iptables dan disertai dengan nomor baris

# iptables -L -v --line-number

Perintah di atas digunakan untuk melihat daftar (list) iptables dan disertai dengan nomor baris serta dengan mode verbose

 # iptables -L -v --line-number -t nat

Perintah di atas digunakan untuk melihat daftar (list) iptables dan disertai dengan nomor baris dengan mode verbose serta menampilkan tabel NAT

5. Mengubah Policy

# iptables -P INPUT DROP

Mengubah chain INPUT menjadi DROP

# iptables -P OUTPUT DROP

Mengubah chain OUTPUT menjadi DROP

# iptables -P FORWARD DROP

Mengubah chain FORWARD menjadi DROP

6. Lain-Lain

# iptables -A INPUT -m mac -mac-source 00-14-85-47-85-E5

Memblok komputer yang mempunyai mac address 00-14-85-47-85-E5

# iptables -A INPUT -p tcp -m multiport --source-port 22,53,80

Memblok port-port 22,53, dan 80

7. Menggunakan Log

Untuk menggunakan log di dalam iptables, maka kita harus menambahkan skrip di file file syslog.conf pada folder /etc. Di dalam skrip tersebut, tambahkan skrip sebagai berikut:

kern.*                                                  /var/log/firewall.log

Setelah itu, simpan file tersebut dan restart syslog dengan cara:

# service syslog restart

Dengan demikian, segala hal yang terjadi pada iptables akan dicatat di /var/log/firewall.logPenentuan posisi log juga berpengaruh terhadap pencatatan log itu sendiri. Sebaiknya posisi log ditempatkan di baris paling atas karena akan mencatat segala yang terjadi pada paket-paket sebelum paket-paket tersebut diperlakukan sesuai dengan rule yang ada di dalam iptables. Untuk lebih jelasnya, perhatikan contoh berikut. Kita akan membuat server linux di vmware dengan 2 ethernet. eth0 dengan IP 192.168.0.248 dan eth1 dengan IP 192.168.2.2. Lalu di iptables kita buat aturan sebagai berikut:

# iptables -P INPUT DROP
# iptables -I INPUT -s 192.168.0.1 -d 192.168.0.248 -j ACCEPT
# iptables -A INPUT -p ALL -m state --state NEW -j LOG --log-prefix "IPTABLES: (INPUT-REJECT)"
# iptables -A INPUT -i eth1 -j REJECT

Perintah pertama dapat dijelaskan bahwa policy default untuk rantai INPUT adalah DROP yang berarti akan memblok seluruh inputan. Perintah iptables kedua akan menerima inputan dari IP 192.168.0.1 dengan tujuan IP 192.168.0.248. Perintah iptables ketiga akan mencatat seluruh inputan yang mencoba masuk ke server selain yang sudah ditentukan. Perintah iptables keempat akan memblok seluruh inputan yang menuju eth1 atau yang ber- IP 192.168.2.2. Sekarang coba ping 192.168.0.248 dari komputer yang ber-IP 192.168.0.1, dan akan terlihat hasil sebagai berikut:

Dan kalau kita lihat di log firewall di /var/log/firewall akan terlihat tidak ada aktivitas apa-apa di dalam file tersebut. Tetapi pada saat kita menge-ping 192.168.2.2, maka akan terlihat gambar seperti di bawah ini:

Itu berarti IP tersebut di blok. Sekarang lihat di log firewall, seharusnya akan terlihat gambar berikut ini:

Contoh yang lain lagi misalnya kita mempunyai IP publik yang ada di eth1 dan kita ingin memblok seluruh IP publik yang ada untuk mengakses IP publik kita, namun kita juga ingin mengetahui IP-IP mana saja yang mengakses IP Publik kita maka sintaksnya seperti berikut:

# iptables -I INPUT -p All -i eth1 -s ! 192.168.0.0/24 -m state --state NEW -j LOG --log-prefix "IPTABLES: (INPUT-REJECT) "
# iptables -A INPUT -i eth1 -s ! 192.168.0.0/24 -j REJECT

Sintaks di atas dapat dijelaskan bahwa seluruh IP akan ditolak namun hanya IP-IP publik saja yang akan di catat dalam log.

8. Membackup dan merestore iptables

Jika kita sudah mengatur konfigurasi iptables, maka sebaiknya kita langsung menyimpan iptables tersebut. Karena jika tidak, konfigurasi iptables kita akan hilang jika server kita restart atau kita menggunakan perintah restart iptables dan kita harus menyusunnya kembali. Berikut adalah langkah-langkah untuk menyimpan iptables:

 # service iptables save

Maka perintah-perintah iptables akan disimpan di file iptables pada folder /etc/sysconfig. Jika misalnya kita sudah menyimpan iptables yang sudah kita konfigurasi sebelumnya, maka jika server kita restart atau iptables kita restart maka iptables kita bisa terestore secara otomatis. Untuk merestore iptables yang sudah kita simpan sebelumnya, maka ketikkan perintah:

 # service iptables restart

maka iptables yang sudah kita simpan akan terestore kembali.

VII. Catatan Untuk membuat IPtables

Jika kita ingin membuat sebuah rule di iptables, maka kita harus mengerti tujuan dari rule yang kita buat sendiri. Setelah itu, kita baru membuat rule-rule tersebut menurut sintaks yang sudah ditetapkan iptables. Jika sudah, kita harus melakukan beberapa pengujian. Uji apakah port-port yang ditutup masih dapat diakses atau tidak. Jika port yang sudah ditutup sudah tidak dapat diakses, berarti aturan yang kita terapkan sudah berjalan dengan baik. Begitu juga dengan port atau service yang dibuka oleh iptables. Jika semua berjalan sesuai dengan apa yang kita inginkan maka sebaiknya segera disimpan iptables tersebut.Iptables sendiri merupakan tools yang sangat kompleks dan memiliki banyak kemampuan. Pada intinya, sesuaikan saja kebutuhan yang ingin kita terapkan dalam jaringan kita, kemudian gunakan option IPtables yang sesuai dengan kebutuhan kita.

Dasar-Dasar IPtables 2

Anda pasti pernah mendengar yang disebut dengan firewall pada jaringan komputer, klo kita jadikan bahasa
indonesia berarti tembok api. Aneh dan Lucu, tetapi punya fungsi yang penting untuk melindungi jaringan
intranet dari serangan hacker maupun akses ilegal.
Selain meningkatkan keamanan firewall berguna untuk mengatur akses internet yang boleh dipakai
pengguna, misalkan pak Joko bisa pakai yahoo messenger dan pak Ali ngga bisa pakai Yahoo Messenger.
Nah untuk mengatur akses tadi kita memakai aplikasi firewall linux yaitu iptables.
Firewall adalah perangkat komputer yang kita fungsikan sebagai router untuk memisahkan jaringan intranet
dan internet. Firewall memiliki dua kartu jaringan, eth0 berhubungan langsung dengan internet dan eth1
tersambung dengan jaringan LAN / Intranet
Pada Mastering Firewall IPTables Seri – 1 ini kita membahas prinsip dasar firewall iptables, mengelola akses
internet berdasarkan alamat IP,port aplikasi dan MAC address. Firewall IPTables packet filtering memiliki tiga
aturan (policy), yaitu:
INPUT
Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelola
komputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa SSH
ke firewall dan yang lain tidak boleh.
OUTPUT
Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset,
karena bisa membatasi kemampuan firewall itu sendiri.
FORWARD
Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward
paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat
IP Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut dengan TARGET, yaitu
status yang menentukkan koneksi di iptables diizinkan lewat atau tidak. TARGET ada tiga macam yaitu:
ACCEPT
Akses diterima dan diizinkan melewati firewall
REJECT
Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung terputus, biasanya terdapat
pesan “Connection Refused”. Target Reject tidak menghabiskan bandwidth internet karena akses langsung
ditolak, hal ini berbeda dengan DROP.
DROP
Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga pengguna tidak mengetahui kalau
koneksinya dibatasi oleh firewall, pengguna melihat seakan – akan server yang dihubungi mengalami
permasalahan teknis. Pada koneksi internet yang sibuk dengan trafik tinggi Target Drop sebaiknya jangan
digunakan.
Berikut ini contoh penggunaan firewall iptables untuk mengelolak akses internet.
Policy INPUT
IP Firewall = 192.168.1.1
IP Administrator = 192.168.1.100
IP Umum = 192.168.1.200
1. Membatasi port number
iptables -A INPUT -i eth1 -s 192.168.1.200 -d 192.168.1.1 -p tcp -dport 22-j REJECT
Contoh di atas melarang komputer klien dengan IP 192.168.1.200 mengakses port 22 (ssh) firewall yang
memiliki IP 192.168.1.1
Policy FORWARD
1. Membatasi orang mengakses port aplikasi P2P (Limewire, GnuTella & Bearshare)
iptables -A FORWARD -p tcp -dport 6340:6350 -j REJECT
iptables -A FORWARD -p -dport 6340:6350 -j REJECT
-p tcp (koneksi menggunakan protokol TCP)
-p udp (koneksi menggunakan protokol UDP)
-dport 6340:6350 (melarang akses port 6340 sampai dengan 6350)
2. Membatasi koneksi satu alamat IP
iptables -A FORWARD -s 192.168.1.99 -d 0/0 -j REJECT
-d 0/0 berarti ke semua tujuan
3. Membatasi koneksi berdasarkan range IP
iptables -A FORWARD -m iprange -src-range 192.168.1.100-192.168.1.150 -d 0/0 -j REJECT
4. Membatasi koneksi internet berdasarkan MAC Address
iptables -A FORWARD -m mac -mac-source 00:30:18:AC:14:41 -d 0/0 -j REJECT
Network Address Translation
Pada bagian ini kita membahas mengenai Network Address Translation, biasa disebut dengan NAT. Fungsi
utama dari NAT adalah untuk melakukan translasi alamat dari satu alamat ke alamat IP yang lain, biasanya
dipakai pada internet gateway. Selain melakukan translasi alamat IP, iptables juga bisa melakukan NAT
alamat Port aplikasi, bisa disebut juga dengan Port Address Translation (PAT). PAT digunakan untuk
membangun beberapa server seperti mail, web, database maupun datacenter yang diakses melalui internet
hanya dengan satu alamat IP publik.
Tabel NAT
Selain sebagai IP Filtering / Firewall, iptables juga bisa difungsikan untuk translasi alamat, ditandai dengan
opsi -t nat pada perintah iptables.
iptables -t nat ..
prinsip dasar NAT di bagi menjadi dua bagian, yang pertama adalah POSTROUTING, yaitu melakukan NAT
paket data yang keluar dari firewall, kebanyakan postrouting dipakai untuk translasi alamat IP. Yang kedua
adalah PREROUTING, untuk melakukan NAT paket data yang memasuki firewall, kebanyakan digunakan
untuk transparency proxy server dan membangun beberapa server dengan satu IP publik.
POSTROUTING
Translasi alamat yang keluar dari firewall, berarti kita melihat paket data yang keluar dari kartu LAN.
iptables -t NAT -A POSTROUTING -o eth0 -s 192.168.1.0/24 -d 0/0 -j SNAT -to 202.154.6.55
iptables -t NAT -A POSTROUTING -o eth0 -s 192.168.1.0/24 -d 0/0 -j MASQUERADE
contoh diatas berarti jaringan subnet 192.168.1.0/24 jika menghubungi web server yang berada di internet
dikenali dari IP 202.154.6.55. Target MASQUERADE berarti IP NAT disesuaikan dengan alamat IP kartu LAN
eth0, jika IP eth0 dirubah kita tidak perlu merubah settingan
iptables.
PREROUTING
Translasi alamat yang memasuki kartu jaringan, kita juga bisa membelokkan paket data ke port tertentu
untuk membangun server internet hanya dengan satu IP publik.
iptables -t nat -A PREROUTING – eth0 -p tcp -dport 25 -j DNAT -to 192.168.1.20:25
iptables -t nat -A PREROUTING – eth0 -p tcp -dport 110 -j DNAT -to 192.168.1.20:110
iptables -t nat -A PREROUTING – eth0 -p tcp -dport 80 -j DNAT -to 192.168.1.30:80
Pada contoh diatas kita mempunyai 2 server, 192.168.1.20 (mail server) dan 192.168.1.30 (web server).
Koneksi dari internet ke port 25 dan 110 secara otomatis diarahkan ke alamat IP 192.168.1.20 (IP Lokal /
LAN). Akses port 80 (web server) diarahkan ke IP lokal 192.168.1.30
List NAT
Untuk melihat NAT yang baru saja kita setting menggunakan perintah:
iptables -t nat -L -v
[root@gw ~]# iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 1833K packets, 141M bytes)
pkts bytes target prot opt in out source
destination
199K 9636K REDIRECT tcp – eth2 any anywhere anywhere tcp dpt:http redir ports 3128
Menghapus NAT
iptables -t nat -F
iptables -t nat -Z

Virtual Local Area Network

irawanandry — Tue, 23 Mar 2010 04:54:06 +0000

Apa Itu Vlan (Virtual Local Area Network)

PENGANTAR

Pemanfaatan teknologi jaringan komputer sebagai media komunikasi data hingga saat ini semakin meningkat. Kebutuhan atas penggunaan bersama resources yang ada dalam jaringan baik software maupun hardware telah mengakibatkan timbulnya berbagai pengembangan teknologi jaringan itu sendiri. Seiring dengan semakin tingginya tingkat kebutuhan dan semakin banyaknya pengguna jaringan yang menginginkan suatu bentuk jaringan yang dapat memberikan hasil maksimal baik dari segi efisiensi maupun peningkatan keamanan jaringan itu sendiri.

Berlandaskan pada keinginan-keinginan tersebut, maka upaya-upaya penyempurnaan terus dilakukan oleh berbagai pihak. Dengan memanfaatkan berbagai tekhnik khususnya teknik subnetting dan penggunaan hardware yang lebih baik (antara lain switch) maka muncullah konsep Virtual Local Area Network (VLAN) yang diharapkan dapat memberikan hasil yang lebih baik dibanding Local area Network (LAN).

PENGERTIAN

VLAN merupakan suatu model jaringan yang tidak terbatas pada lokasi fisik seperti LAN , hal ini mengakibatkan suatu network dapat dikonfigurasi secara
virtual tanpa harus menuruti lokasi fisik peralatan. Penggunaan VLAN akan membuat pengaturan jaringan menjadi sangat fleksibel dimana dapat dibuat
segmen yang bergantung pada organisasi atau departemen, tanpa bergantung pada lokasi workstation seperti pada gambar dibawah ini

Gambar Jaringan VLAN

Original Picture From ABhe “Forum Mikrotik.com”

BAGAIMANA VLAN BEKERJA

VLAN diklasifikasikan berdasarkan metode (tipe) yang digunakan untuk mengklasifikasikannya, baik menggunakan port, MAC addresses dsb. Semua
informasi yang mengandung penandaan/pengalamatan suatu vlan (tagging) di simpan dalam suatu database (tabel), jika penandaannya berdasarkan
port yang digunakan maka database harus mengindikasikan port-port yang digunakan oleh VLAN. Untuk mengaturnya maka biasanya digunakan
switch/bridge yang manageable atau yang bisa di atur. Switch/bridge inilah yang bertanggung jawab menyimpan semua informasi dan konfigurasi
suatu VLAN dan dipastikan semua switch/bridge memiliki informasi yang sama.
Switch akan menentukan kemana data-data akan diteruskan dan sebagainya atau dapat pula digunakan suatu software pengalamatan (bridging software)
yang berfungsi mencatat/menandai suatu VLAN beserta workstation yang didalamnya.untuk menghubungkan antar VLAN dibutuhkan router.

TIPE TIPE VLAN

Keanggotaan dalam suatu VLAN dapat di klasifikasikan berdasarkan port
yang di gunakan , MAC address, tipe protokol.

1. Berdasarkan Port

Keanggotaan pada suatu VLAN dapat di dasarkan pada port yang di gunakan oleh
VLAN tersebut. Sebagai contoh, pada bridge/switch dengan 4 port, port 1, 2,
dan 4 merupakan VLAN 1 sedang port 3 dimiliki oleh VLAN 2, lihat tabel:

Tabel port dan VLAN

Port 1 2 3 4
VLAN 2 2 1 2

Kelemahannya adalah user tidak bisa untuk berpindah pindah, apabila harus
berpindah maka Network administrator harus mengkonfigurasikan ulang.

2. Berdasarkan MAC Address

Keanggotaan suatu VLAN didasarkan pada MAC address dari setiap workstation /komputer yang dimiliki oleh user. Switch mendeteksi/mencatat semua MAC
address yang dimiliki oleh setiap Virtual LAN. MAC address merupakan suatu bagian yang dimiliki oleh NIC (Network Interface Card) di setiap workstation.
Kelebihannya apabila user berpindah pindah maka dia akan tetap terkonfigurasi sebagai anggota dari VLAN tersebut.Sedangkan kekurangannya bahwa setiap mesin harus di konfigurasikan secara manual , dan untuk jaringan yang memiliki ratusan workstation maka tipe ini kurang efissien untuk dilakukan.

Tabel MAC address dan VLAN

MAC address 132516617738 272389579355 536666337777 24444125556
VLAN 1 2 2 1

3. Berdasarkan tipe protokol yang digunakan
Keanggotaan VLAN juga bisa berdasarkan protocol yang digunakan, lihat tabel

Tabel Protokol dan VLAN

Protokol IP IPX
VLAN 1 2

4. Berdasarkan Alamat Subnet IP
Subnet IP address pada suatu jaringan juga dapat digunakan untuk mengklasifikasi
suatu VLAN

Tabel IP Subnet dan VLAN

IP subnet 22.3.24 46.20.45
VLAN 1 2

Konfigurasi ini tidak berhubungan dengan routing pada jaringan dan juga tidak mempermasalahkan funggsi router.IP address digunakan untuk memetakan keanggotaan VLAN.Keuntungannya seorang user tidak perlu mengkonfigurasikan ulang alamatnya di jaringan apabila berpindah tempat, hanya saja karena bekerja di layer yang lebih tinggi maka akan sedikit lebih lambat untuk meneruskan paket di banding
menggunakan MAC addresses.

5. Berdasarkan aplikasi atau kombinasi lain
Sangat dimungkinkan untuk menentukan suatu VLAN berdasarkan aplikasi yang dijalankan, atau kombinasi dari semua tipe di atas untuk diterapkan pada suatu
jaringan. Misalkan: aplikasi FTP (file transfer protocol) hanya bias digunakan oleh VLAN 1 dan Telnet hanya bisa digunakan pada VLAN 2.

PERBEDAAN MENDASAR ANTARA LAN DAN VLAN

Perbedaan yang sangat jelas dari model jaringan Local Area Network dengan Virtual Local Area Network adalah bahwa bentuk jaringan dengan model Local
Area Network sangat bergantung pada letak/fisik dari workstation, serta penggunaan hub dan repeater sebagai perangkat jaringan yang memiliki beberapa
kelemahan. Sedangkan yang menjadi salah satu kelebihan dari model jaringan dengan VLAN adalah bahwa tiap-tiap workstation/user yang tergabung dalam
satu VLAN/bagian (organisasi, kelompok dsb) dapat tetap saling berhubungan walaupun terpisah secara fisik. Atau lebih jelas lagi akan dapat kita
lihat perbedaan LAN dan VLAN pada gambar dibawah ini.

Gambar konfigurasi LAN

[hub]-[1]-[1]-[1] <– lan 1/di lantai 1 | [x]–[hub]-[2]-[2]-[2] <– lan 2/di lantai 2 | [hub]-[3]-[3]-[3] <– lan 3/di lantai 3 Gambar konfigurasi VLAN

Original Picture From ABhe “Forum Mikrotik.com”

Terlihat jelas VLAN telah merubah batasan fisik yang selama ini tidak dapat diatasi oleh LAN. Keuntungan inilah yang diharapkan dapat memberikan
kemudahan-kemudahan baik secara teknis dan operasional.

perangkat WAN

irawanandry — Mon, 22 Mar 2010 01:14:09 +0000

ROUTER

Router adalah sebuah alat jaringan komputer yang mengirimkan paket data melalui sebuah jaringan atau Internet menuju tujuannya, melalui sebuah proses yang dikenal sebagai routing. Proses routing terjadi pada lapisan 3 (Lapisan jaringan seperti Internet Protocol) dari stack protokol tujuh-lapis OSI.

Fungsi Utama Router

May 31st, 2008

Router berfungsi utama sebagai penghubung antar dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan lainnya. Perbedaannya dengan Switch adalah kalau switch merupakan penghubung beberapa alat untuk membentuk suatu Local Area Network (LAN).

Router penggunaannya banyak dalam jaringan berbasis teknologi protokol TCP/IP, dan router jenis itu disebut juga dengan IP Router. Selain IP Router, ada lagi AppleTalk Router, dan masih ada beberapa jenis router lainnya. Internet merupakan contoh utama dari sebuah jaringan yang memiliki banyak router IP. Router juga dapat digunakan untuk menghubungkan banyak jaringan kecil ke sebuah jaringan yang lebih besar, yang disebut dengan internetwork, atau untuk membagi sebuah jaringan besar ke dalam beberapa subnetwork untuk meningkatkan kinerja dan juga mempermudah manajemennya. Router terkadang juga digunakan untuk mengoneksikan dua buah jaringan yang menggunakan media yang berbeda (seperti halnya router wireless yang pada umumnya selain ia dapat menghubungkan komputer dengan menggunakan radio, ia juga mendukung penghubungan komputer dengan kabel UTP), atau berbeda arsitektur jaringan, seperti halnya dari Ethernet ke Token Ring.

Router dapat digunakan juga untuk menghubungkan LAN ke sebuah layanan telekomunikasi seperti halnya telekomunikasi leased line atau Digital Subscriber Line (DSL). Router digunakan untuk menghubungkan LAN ke sebuah koneksi leased line seperti T1, atau T3, sering disebut sebagai access server. Sementara itu, router yang digunakan untuk menghubungkan jaringan lokal ke sebuah koneksi DSL disebut juga dengan DSL router. Router-router jenis tersebut umumnya memiliki fungsi firewall untuk melakukan penapisan paket berdasarkan alamat sumber dan alamat tujuan paket tersebut, meski beberapa router tidak memilikinya. Router yang memiliki fitur penapisan paket disebut juga dengan packet-filtering router. Fungsi router umumnya memblokir lalu lintas data yang dipancarkan secara broadcast sehingga dapat mencegah adanya broadcast storm yang mampu memperlambat kinerja jaringan.

MODEM

Modem berasal dari singkatan MOdulator DEModulator. Modulator merupakan bagian yang mengubah sinyal informasi kedalam sinyal pembawa (Carrier) dan siap untuk dikirimkan, sedangkan Demodulator adalah bagian yang memisahkan sinyal informasi (yang berisi data atau pesan) dari sinyal pembawa (carrier) yang diterima sehingga informasi tersebut dapat diterima dengan baik. Modem merupakan penggabungan kedua-duanya, artinya modem adalah alat komunikasi dua arah. Setiap perangkat komunikasi jarak jauh dua-arah umumnya menggunakan bagian yang disebut “modem”, seperti VSAT, Microwave Radio, dan lain sebagainya, namun umumnya istilah modem lebih dikenal sebagai Perangkat keras yang sering digunakan untuk komunikasi pada komputer.

Data dari komputer yang berbentuk sinyal digital diberikan kepada modem untuk diubah menjadi sinyal analog. Sinyal analog tersebut dapat dikirimkan melalui beberapa media telekomunikasi seperti telepon dan radio.

Setibanya di modem tujuan, sinyal analog tersebut diubah menjadi sinyal digital kembali dan dikirimkan kepada komputer. Terdapat dua jenis modem secara fisiknya, yaitu modem eksternal dan modem internal

CSU/DSU

jalur komunikasi membutuhkan sinyal dengan format yuang sesua.untuk jalur digital. sebuah Chanel Service Unit(CSU) dan Data Service Unit(SDU)dibutuhkan. keduanya sering digabungkan menjadi sebuah pernagkat yang disebut CSU/DSU

Communication server

communication server mengkonsentrasikan komunikasi pengguna dial-in dan remote akses ke LAN. communication server memiliki interface analog dan digital serta mampu melayani beberapa user sekaligus.

Hello world!

irawanandry — Sat, 20 Mar 2010 13:59:24 +0000

Welcome to WordPress.com. This is your first post. Edit or delete it and start blogging!