dhcp server (
Dynamic Host Configuration Protocol )
Sesudah kita konfigurasikan sebagai gateway ( Bagian I ) kita pasang dhcp server yang memberikan ip
otomatis ke pada klien yang di seting di
dhcp adalah eth1, subnet nya disesuaikan dengan eth1.
ifconfig eth1
apt-get install
dhcpd
nano
/etc/default/udhcpd
#comment the following line to enable
#DHCPD_ENABLED=”no”
Tanda # di buang dan “no” diganti dengan “yes”
Kemudian mengkonfigurasi udhcpd.conf
nano /etc/udhcpd.conf
start dan end diganti
start 192.168.20.20
end 192.168.20.254
#The interface that udhcpd will use
interface eth1
opt dns 8.8.8.8 202.46.1.2
option subnet 255.255.255.0
opt router 192.168.20.1
opt wins 192.16 8.20.1
option domain belajar-linux.web.id
option lease 864000
# 10 days of seconds
riswandi: ok sip
Kemudian ke bawah yg default di kasih tanda # ( pagar) didepannya
untuk menon aktifkannya.
ada nanti parameter yg persis sama konfigurasi setelah #Examles
Kemudian simpan dan keluar. Kemudian direstart dhcpnya
service dhcpd
restart
atau
/etc/init.d/udhcpd restart
ps ax
untuk cek apakah dhcp nya berjalan. Kalau uda muncul dconf-service
berarti uda berjalan.
Sekarang uda bisa di coba komputer klien akan dapat ip 20.20 - 20.254
Keterangan :
opt wins untuk wins server, kalau linux kita jadikan wins server dari
samba atau wins seperti dns tapi buat
nama komputer ms windows di samba nanti kita tinggal aktifkan wins support = yes otomatis samba jadi wins server
opt lease 864000 ( lama waktu penyewaan ip 864000 detik atau 10
hari )
Konfigurasikan
linux sebagai firewall
Secara default firewall di linux menerima semua koneksi ACCEPT jadi yang kita REJECT saja yg di tuliskan.
firewall punya tiga policy
-
INPUT
-
OUTPUT
-
FORWARD
INPUT memfilter koneksi yang masuk ke firewall
OUTPUT mengatur koneksi yang keluar dari firewall (jarang dipakai)
FORWARD memfilter koneksi yang melintasi firewall
Kemudian ada target yaitu tujuan dan sumber (source) kita berikan
tindakan, target nya ACCEPT, DROP dan REJECT.
ACCEPT menerima koneksi
DROP menerima tadi kemudian paket data di buang
REJECT koneksi ditolak
perintah konfigurasi firewall secara default hilang apabila
komputer direstart, maka kita harus tulis di script misalkan kita buat script
nano
/usr/sbin/firewall
isinya pertama untuk menghapus rule firewall sebelum nya
iptables -F
iptables -Z
kemudian baru kita tulis rule nya
misalkan kita melarang ip 192.168.20.20 mengakses internet
iptables -A INPUT -i eth1 -s 192.168.20.20. -j REJECT
iptables -A FORWARD -i eth1 -s 192.168.20.20 -j REJECT
Di INPUT dan FORWARD di definisikan.
-A
INPUT berarti trafik masuk
-i
eth1 melalui eth1
-s
192.168.20.20 berarti alamat komputer asal, alamat ip komputer klien maksud nya
-j
REJECT berarti di tolak
yang
FORWARD juga sama
kemudian kita melarang orang menggunakan YM
iptables -A FORWARD -p tcp --dport 5000:6000 -j REJECT
-A FORWARD berarti trafik yang
melintasi
-p tcp berarti protokol tcp
--dport 5000:6000 berarti destination port
5000 sampai 6000
-j REJECT ditolak
Kemudian jika kita melarang berdasarkan mac address
iptables -A INPUT -m mac --mac-source f6:29:52:46:70a -j REJECT
iptables -A FORWARD -m mac --mac-source f6:29:52:46:70a -j REJECT
yang di larang memakai open proxy
iptables -A FORWARD -p tcp --dport 8080 -j REJECT
jadi yg ke port 8080 di reject
kalau melarang range ip
iptables -A INPUT -m iprange --src-range
192.168.20.50-192.168.20.75 -j REJECT
iptables -A FORWARD -m iprange --src-range
192.168.20.50-192.168.20.75 -j REJECT
-m iprange berarti memakai modul iprange
--src-range berarti komputer ip 20.50 - 20.75
-j REJECT ditolak
kalau satu subnet
-s 192.168.20.0/24
di INPUT sama FORWARD
simpan dan keluar
chmod 775 /usr/sbin/firewall
kemudian jalankan nya
firewall
iptables -L –v ( untuk cek apakah sudah berjalan )
misalkan saya mau blok lewat mac address
kita nmap dulu untuk dapatkan mac address ( nmap –sP
192.168.20.0/24 )
komputer yg mac address nya di tulis ngga bisa ke internet
agar saat booting script firewallnya dijalankan scrip di tuliskan
di rc.local jadi di linux autoexec nya adalah rc.local
nano /etc/rc.local
jadi rc.local di tulis script atau di link ke /usr/sbin/firewall
mas
/usr/sbin/firewall (
lokasi penulisan scrip )
diatas exit 0
keterangan option :
-p = protocol
-s = source
-i = interface input
keterangan nya bisa lihat di man iptables
link tutorial untuk iptables
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
NAT/port
forwarding
Port forwarding biasanya dipergunakan apabila kita memiliki satu
ip publik kemudian di forward ke ip local jadi kita memiliki beberapa server ip
lokal dengan satu ip public.
Anggap saja ip di eth0 adalah ip public kemudian web server di
komputer lokal dengan ip 192.168.20.20.
Maka request dari internet ke port 80 eth0 kita forward ke ip
192.168.20.20 port 80
internet ---> (port 80) eth0
-----> 192.168.20.20 (port 80)
teknik ini dinamakan port forwarding
kebanyakan perangkat (modem,router) sekarang support port
forwarding
Karena trafik masuk maka harus kita definisikan interface nya
-i eth0 (tempat ip publik)
-A PREROUTING (trafik masuk)
-p tcp (protokol tcp)
--dport 80 (destination port 80)
-j DNAT --to 192.168.20.20:80 (diarahkan ke ip 192.168.20.20 port
80)
perintah lengkapnya
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to 192.168.20.20:80
trafik masuk ke eth0 protokol tcp desti port 80 desti nat
192.168,20.20 port 80
kalau di setingan berbasis web di modem adsl atau router lebih
mudah prinsipnya sama tingal klik klik aja.
Kita definisikan interface atau ip wan nya kemudian di definisikan
tujuan ip lokal dan port nya
langsung jadi NAT/port forwading nya.
Misalkan kita punya mail server di ip 192.168.20.30 maka yang
dipakai port 25 dan 110 yang di nat.
iptables -t nat -A PREROUTING -i eth0
-p tcp --dport 25 -j DNAT --to 192.168.20.30:25
iptables -t nat -A PREROUTING -i eth0
-p tcp --dport 110 -j DNAT --to 192.168.20.30:110
Perintah nya tentu harus di tulis di script firewall biar ngga
hilang saat komputer restart
simpan kemudian keluar
jalankan firewall.
untuk lihat list iptables
iptables
-t nat -L -v
di chain PREROUTING
in eth0
dpt (destination port)
kalau yg POSTROUTING untuk nat gateway nya
Yang kemarin kita seting waktu buat router/gateway linux
perintahnya langsung di tulis dilangsung di rc.local
Selamat Mencoba !!!!
Tidak ada komentar:
Posting Komentar