Ada banyak cara yang harus dilakukan di dalam menjaga keamanan network dan server, namun kali ini kita akan konsentrasi membahas dari sisi firewall pada server berbasis Operating System Linux. Firewal, suatu istilah yang mungkin sudah tidak asing lagi bagi kita. Firewall memiliki fungsi untuk melakukan proses penyaringan/filtering traffik network dan mengatur akses network. Salah satu metode melakukan firewall adalah menggunakan IPTABLES. Dalam tulisan ini kita akan membahas melakukan penyaringan trafik network yang menuju pada service-service di server ( INPUT ) . Di dalam konsep networking, semua service networking (seperti web, ftp, mail, dns, dll) berjalan melalui jalur2 yang kita namakan ‘port’. Service-service pada server yang akan kita filtering pada bahasan kali ini meliputi :
Gambar 1. Filtering Paket Masuk Dalam melakukan penerapan firewall iptables , ada beberapa metode yang bisa kita lakukan yaitu : 1. Menutup semua port service, lalu membuka port-port service yang kita butuhkan; Dengam metode ini, kita membuka port-port yang sudah kita definiskan lalu menutup semua port selain yang telah kita definsikan. Contoh : iptables –A INPUT –s 0/0 –p tcp –dport 21 –j ACCEPT iptables –A INPUT –s 0/0 –p tcp –dport 22 –j ACCEPT iptables –A INPUT –s 0/0 –p tcp –dport 23 –j ACCEPT iptables –A INPUT –s 0/0 –p tcp –dport 80 –j ACCEPT iptables –A INPUT –s 0/0 -j DROP Pada contoh di atas kita melakukan filtering unntuk memberikan akses jaringan ke server melalui port 21,22,23 dan 80. Selain port tersebut akses jaringan di tutup. Untuk melihat konfigurasi iptables yang telah kita buat, ketik perintah iptables –nL Gambar 2. List iptables2. Membuka semua port service, lalu menutup port-port yang tidak kita butuhkan; Dengam metode ini, kita menutup port-port yang sudah kita definiskan lalu membuka akses jaringan pada port selain port yang telah kita definiskan sebelumnya. Contoh : iptables –A INPUT –s 0/0 –p tcp –dport 21 –j DROP iptables –A INPUT –s 0/0 –p tcp –dport 22 –j DROP iptables –A INPUT –s 0/0 –p tcp –dport 23 –j DROP iptables –A INPUT –s 0/0 –p tcp –dport 80 –j DROP iptables –A INPUT –s 0/0 -j ACCEPT Berbeda dengan contoh sebelumnya , pada contoh ini kita melakukan filtering untuk menutup akses jaringan ke server pada port 21,22,23 dan 80. Selain port tersebut, akses jaringan ke server di perbolehkan. Untuk memelihat konfigurasi iptables yang telah kita buat, ketik perintah iptables –nL Gambar 3. List iptables 2 3. Menutup semua akses network ke port berdasarkan sumber paket ( ip source ), lalu memberikan akses ke sumber paket (ip source ) tertentu pada port service Pada point ini, kita akan melakukan filtering berdasarakan port dan juga source paket ( ip source ), dimana kita mendefiniskan ip source yang bisa akses ke port server. Contoh : iptables –A INPUT –s 192.168.1.1/32 –p tcp –dport 21 –j ACCEPT iptables –A INPUT –s 192.168.1.5/32 –p tcp –dport 22 –j ACCEPT iptables –A INPUT –s 192.168.1.0/24 –p tcp –dport 23 –j ACCEPT iptables –A INPUT –s 0/0 –p tcp –dport 80 –j ACCEPT iptables –A INPUT –s 0/0 –j DROP Pada contoh di atas kita melaukan filtering sebagai berikut : a. iptables –A INPUT –s 192.168.1.1/32 –p tcp –dport 21 –j ACCEPT Memperbolehkan akses untuk ip address 192.168.1.1 untuk akses ke port 21 pada server b. iptables –A INPUT –s 192.168.1.5/32 –p tcp –dport 22 –j ACCEPT Memperbolehkan akses untuk ip address 192.168.1.5 untuk akses ke port 22 pada server c. iptables –A INPUT –s 192.168.1.0/24 –p tcp –dport 23 –j ACCEPT Memperbolehkan akses untuk network 192.168.1.0/24 untuk akses ke port 23 pada server d. iptables –A INPUT –s 0/0 –p tcp –dport 80 –j ACCEPT Memperbolehkan seluruh network bisa mengakses port 80 pada server kita e. iptables –A INPUT –s 0/0 –j DROP Menutup semua akses ke semua port pada server selain yang sudah kita definiskan pada rule sebelumnya. Untuk memelihat konfigurasi iptables yang telah kita buat, ketik perintah iptables –nL Gambar 4. Konfigutasi iptables 34. Membuka semua akses netwotk ke port berdasarkan sumber paket ( ip source ), lalu menutup akses ke sumber paket yang didefinisikan ( ip source ). Pada point ini, kita akan melakukan filtering berdasarakan port dan juga source paket ( ip source ), dimana kita mendefiniskan ip source yang bisa akses keport server. Contoh : iptables –A INPUT –s 192.168.1.1/32 –p tcp –dport 21 –j DROP iptables –A INPUT –s 192.168.1.5/32 –p tcp –dport 22 –j DROP iptables –A INPUT –s 192.168.1.0/24 –p tcp –dport 23 –j DROP iptables –A INPUT –s 192.168.1.0/24 –p tcp –dport 80 –j DROP iptables –A INPUT –s 192.168.1.0/24 –j ACCEPT Pada contoh di atas kita melaukan filtering sebagai berikut : a. iptables –A INPUT –s 192.168.1.1/32 –p tcp –dport 21 –j DROP Menutup akses untuk ip address 192.168.1.1 untuk akses ke port 21 pada server b. Iptables –A INPUT –s 192.168.1.5/32 –p tcp –dport 22 –j DROP Menutup akses untuk ip address 192.168.1.5 untuk akses ke port 22 pada server c. Iptables –A INPUT –s 192.168.1.0/24 –p tcp –dport 23 –j DROP Menutup akses untuk network 192.168.1.0/24 untuk akses ke port 23 pada server d. Iptables –A INPUT –s 192.168.1.0/24 –p tcp –dport 80 –j ACCEPT Menututp seluruh network 192.168.1.0/24 bisa mengakses port 80 pada server kita e. iptables –A INPUT –s 192.168.1.24/0 –j ACCEPT Membolehkan semua akses ke semua port pada server selain port yang kita filtering pada rule sebelumnya. Untuk memelihat konfigurasi iptables yang telah kita buat, ketik perintah iptables –nL Gambar 5. Konfigurasi iptables 4 Masih banyak hal yang bisa kita lakukan untuk melakukan pembatasan akses terhadap server selain contoh-contoh yang sudah ditulisakan di atas. Tuisan ini hanya memberikan pengantar untuk pemahaman dasar melakukan filtering terhadap akses jaringan yang masuk pada server kita. Semoga bermanfaat, terimaksih. 21.04
Pengertian Perintah Firewall Iptables pada Debian Server Assalamu'alaikum Wr. Wb. Hay teman sudah paham kah kalian tentang firewall iptables pada debian? Jika belum ayo kita bahas. A. Pengertian Firewall adalah sebuah sistem keamanan jaringan yang memonitor dan mengontrol lalu lintas jaringan yang masuk dan keluar berdasarkan aturan keamanan yang telah ditentukan. Firewall biasanya menetapkan penghalang antara dipercaya, jaringan internal yang aman dan jaringan lain di luar, seperti Internet, yang diasumsikan tidak aman atau terpercaya. Firewall sering dikategorikan sebagai firewall jaringan atau berbasis host firewall. Jaringan firewall adalah alat perangkat lunak yang berjalan pada perangkat keras tujuan umum atau hardware berbasis peralatan komputer firewall lalu lintas filter antara dua atau lebih jaringan berbasis host firewall menyediakan lapisan perangkat lunak pada satu host yang mengontrol lalu lintas jaringan masuk dan keluar dari itu mesin tunggal. Peralatan Firewall juga dapat menawarkan fungsi lain ke jaringan internal mereka melindungi seperti bertindak sebagai DHCP atau VPN server untuk jaringan tersebut. Tipe-tipe firewall dibedakan berdasarkan mekanisme atau cara kerja firewall : -Packet filtering gateway : bertugas melakukan filterisasi terhadap paket-paket yang datang dari luar jaringan yang dilindunginya. -Application level gateway : juga disebut proxy firewall, mekanisme tidak hanya berdasarkan sumber, tujuan dan atribut paket tapi bisa mencapai isi (content) paket tersebut. -Circuit level gateway : bekerja pada bagian Transport Control Protocol (TCP) Layer pada lapisan TCP/IP. Firewall akan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut sebagai TCP handshaking untuk menentukan apakah sesi hubungan tersebut diperbolehkan atau tidak. -Statefull multilayer inspection firewall : model ini adalah penggabungan dari ketiga firewall diatas, firewall ini bekerja pada lapisan aplikasi, lapisan TCP dan lapisan internet protocol IPTABLES adalah salah satu firewall yang ada di linux, kegunaan iptables antara lain : -Dapat melakukan perhitungan terhadap paket dan menerapkan prioritas trafik berdasarkan jenis layanan (servis) -Dapat di gunakan untuk mendefinisikan sekumpulan aturan keamanan berbasis port untuk mengamankan host-host tertentu -Dapat digunakan untuk membangun sebuah router atau gatewayB. Latar Belakang Karena saya belum begitu paham tentang perintah-perintah dalam Firewall Iptables maka saya akan membahasnya lebih detail.C. Maksud dan Tujuan Memahami perintah-perintah pada Firewall Iptables.D. Alat dan Bahan - Laptop - Jarigan Internet E. Pembahasan
IPTABLES adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data. Secara sederhana digambarkan sebagai pengatur lalulintas data. Dengan iptables inilah kita akan mengatur semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari komputer, ataupun traffic yang sekedar melewati komputer kita. Diagram Iptables
Firewall IPTables packet filtering memiliki beberapa aturan (policy), yaitu: - INPUT Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelolakomputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa SSHke firewall dan yang lain tidak boleh.- OUTPUT Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset,karena bisa membatasi kemampuan firewall itu sendiri.- FORWARD Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut dengan TARGET, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau tidak- POSTROUTING yaitu melakukan NAT paket data yang keluar dari firewall, kebanyakan postrouting dipakai untuk translasi alamat IP.- PREROUTING yaitu untuk melakukan NAT paket data yang memasuki firewall, kebanyakan digunakan untuk transparency proxy server dan membangun beberapa server dengan satu IP publik.Table pada iptables
Dalam Iptables terdapat tiga daftar table bawaan yaitu :
Struktur Penulisan IPTABLES : iptables -t [table] command [chain] parameter target contoh : iptables -t filter -A INPUT -s 192.168.1.1 -j DROPCommand pada iptables
Option Terdiri dari command, dan parameter serta opsi tambahan :
Parameter Membuat satu baris aturan pada iptables menjadi lebih spesifik -p : protocol Digunakan untuk mengecek tipe protokol tertentu. Contoh protokol yang umum adalah TCP, UDP, ICMP dan ALL. Daftar protokol bisa dilihat pada /etc/protocols. Tanda ! bisa digunakan, misal kita menghendaki semua protokol kecuali icmp, maka kita bisa menuliskan -p ! icmp yang berarti semua kecuali icmp. Contoh : iptables -A INPUT -p tcp … iptables -A INPUT -p ! tcp …-s : source Digunakan untuk mencocokkan paket berdasarkan alamat IP asal/sumber. Alamat di sini bisa berberntuk alamat tunggal seperti 192.168.1.1, atau suatu alamat network menggunakan netmask misal 192.168.1.0/255.255.255.0, atau bisa juga ditulis 192.168.1.0/24 yang artinya semua alamat 192.168.1.x. Kita juga bisa menggunakan inversi. Contoh : iptables -A INPUT -s 192.168.1.3 …-d : destination Digunakan untuk mecocokkan paket berdasarkan alamat tujuan. Penggunaannya sama dengan –s contoh : iptables -A INPUT -s 192.168.1.3 …-j : jump berguna untuk menentukan nasib paket, apakah paket akan diterima (ACCEPT), ditolak (DROP), dikembalikan (RETURN), dll contoh : iptables -A INPUT -j DROP-i : in-interface berguna untuk mencocokkan paket berdasarkan interface di mana paket datang. Match ini hanya berlaku pada chain INPUT, FORWARD contoh : iptables -A INPUT -i eth0-o : out-interface Berfungsi untuk mencocokkan paket berdasarkan interface di mana paket keluar. Penggunannya sama dengan -i. Berlaku untuk chain OUTPUT, FORWARD contoh : iptables -A OUTPUT -o eth1TARGET Target atau jump adalah perlakuan yang diberikan terhadap paket-paket yang memenuhi kriteria. Atau sebagai penentu nasib suatu paketACCEPT setiap paket akan diterima oleh firewall dan akan diteruskan ke tujuan dari paket tersebut contoh : iptables -A INPUT -p tcp -–dport 80 -j ACCEPTDROP akan membuang setiap paket yang diterima tanpa mengirimkan pesan ke pengirim paket contoh : iptables -A INPUT -p tcp -–dport 80 -j DROPRETURN akan menolak setiap paket yang diterima tapi firewall akan mengirimkan pesan ICMP errror kepada pengirim paket, defaultnya berupa port-unreachable pesan dapat dirubah misal icmp-net-unreachable, icmp-host-unreachable, icmp-proto-unreachable, icmp-net-prohibited, dll contoh : iptables -A INPUT -p tcp -–dport 80 -j REJECT –reject-with icmp-net-unreachableLOG Target Ada beberapa option yang bisa digunakan bersamaan dengan target ini. Yang pertama adalah yang digunakan untuk menentukan tingkat log. Tingkatan log yang bisa digunakan adalah debug, info, notice, warning, err, crit, alert dan emerg.Yang kedua adalah -j LOG –log-prefix yang digunakan untuk memberikan string yang tertulis pada awalan log, sehingga memudahkan pembacaan log tersebut. Contoh : iptables –A FORWARD –p tcp –j LOG –log-level debug iptables –A INPUT –p tcp –j LOG –log-prefix “INPUT Packets”SNAT Target Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source Network Address Translation). Target ini berlaku untuk tabel nat pada kolom POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket pertama dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya dalam koneksi tersebut juga akan mengalami hal yang sama. Contoh : iptables –t nat –A POSTROUTING –o eth0 –j SNAT –to-source 194.236.50.155-194.236.50.160:1024-32000
MASQUERADE Target Secara umum, target MASQUERADE bekerja dengan cara yang hampir sama seperti target SNAT, tetapi target ini tidak memerlukan option –to-source. MASQUERADE memang didesain untuk bekerja pada komputer dengan koneksi yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP yang berubah-ubah. Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel nat pada chain POSTROUTING. Contoh : iptables –t nat –A POSTROUTING –o eth0 -dport 80 –j MASQUERADEREDIRECT Target Target REDIRECT digunakan untuk mengalihkan jurusan (redirect) paket ke mesin itu sendiri. Target ini umumnya digunakan untuk mengarahkan paket yang menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi hal ini sangat berguna untuk membangun sebuah sistem jaringan yang menggunakan transparent proxy. Contohnya kita ingin mengalihkan semua koneksi yang menuju port http untuk memasuki aplikasi http proxy misalnya squid. Target ini hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau pada chain buatan yang dipanggil dari kedua chain tersebut. Contoh : iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT –to-port 3128 iptables -t nat -A PREROUTING -p tcp -d 0/0 –dport 80 -j REDIRECT –to-port 8080 G. Hasil yang didapatkanHasilnya dengan memahami konsep pada iptables kita dalam praktek menjadi lebih mudah menerapkan perintahny. H. Kesimpulan Sebelum kita melakukan sesuatu kita harus memahami terlebih dahulu apa yang akan kita praktekan. I. ReferensiEbook adm_iptables_praktis.pdf https://en.wikipedia.org/wiki/Firewall_(computing) Sekian semoga bermanfaat. Wassalamu'alaikum Wr. Wb.
About AdminThis is dummy text. It is not meant to be read. Accordingly, it is difficult to figure out when to end it. But then, this is dummy text. It is not meant to be read. Period. |