Rabu, 19 Juni 2013

07.50 - 1 comment

Belajar Lebih jauh IPTABLES

Soal pendahuluan

  1. Apakah yang dimaksud dengan IPTABLES?
  2. Bagaimana aturan penulisan dalam IPTABLES?
  3.  IPTABLES mempunyai berapa table? Sebutkan dan jelaskan!
  4.  Pada table Filter, terdapat 3 jenis chain, sebutkan dan jelaskan perbedaannya!
  5. Sebutkan dan jelaskan 3 jenis NAT!
  6.  Apa yang membedakan Mangle dengan table yang lain? Jelaskan!
  7.   Apa tujuan dari penggunaan Chain Prerouting dengan Chain Postrouting? Jelaskan!
  8.  Dalam penulisan IPTABLES, pada bagian Target, terdapat special property. Sebutkan dan jelaskan apa saja special property tersebut! (minimal 4)
  9.   Beberapa special property dari bagian Target adalah DROP dan REJECT, jelaskan dan sebutkan perbedaannya!
  10. Jelaskan contoh IPTABLES berikut ini:
  11.  iptable –A FORWARD –s 0/0 –i eth0 –d 192.168.1.58 –o eth1 –p TCP --sport 1024:65535 –m multiport --dports 80, 443 –j ACCEPT
JJawaban :
1.      IPTABLES berfungsi sebagai pengatur semua lalu lintas dalam computer baik yang masuk ke computer, ke luar computer maupun lalu lintas yang hanya sekedar melewati computer.
2.      Aturan penulisan IPTABLES
iptables -t [table] perintah [chain] parameter target
contoh :
iptables -t filter -A INPUT -s 192.168.1.1 -j DROP
3.      Dalam Iptables terdapat tiga daftar table bawaan yaitu :
1)      Filter
Ini adalah tabel default, mengandung INPUT, OUPUT, dan FORWARD (biasa di sebut chain INPUT, chain OUTPUT, dan chain FORWARD)
2)      Nat
digunakan untuk membuat gateway, SNAT untuk mengubah alamat IP pengirim, biasanya dijadikan gateway menuju ke internet, DNAT kebalikan dari SNAT
3)      Mangle
digunakan untuk menandai paket-paket untuk digunakan di proses-proses selanjutnya
4.      INPUT
Paket akan dikirimkan secara lokal
OUTPUT
Paket dikirimkan dari mesin dan oleh mesin sendiri yang akan mengunjungi chain ini
FORWARD
Semua paket yang telah di routing dan tidak untuk pengiriman secara lokal akan menelusuri chain ini\
5.      Jenis NAT
1)      Static NAT
Jenis NAT ini merupakan pemborosan IP address terdaftar, karena setiap IP address yang tidak terdaftar (un-registered IP) dipetakan kepada satu IP address terdaftar. Static NAT ini juga tidak seaman jenis NAT lainnya, karena setiap komputer secara permanen diasosiasikan kepada address terdaftar tertentu, sehingga memberikan kesempatan kepada para penyusup dari Internet untuk menuju langsung kepada komputer tertentu pada jaringan private anda menggunakan address terdaftar tersebut.

2)      Dynamic NAT
Dynamic Network Address Translation dimaksudkan untuk suatu keadaan dimana anda mempunyai IP address terdaftar yang lebih sedikit dari jumlah IP address un-registered. Dynamic NAT menterjemahkan setiap komputer dengan IP tak terdaftar kepada salah satu IP address terdaftar untuk connect ke internet. Hal ini agak menyulitkan para penyusup untuk menembus komputer didalam jaringan anda karena IP address terdaftar yang diasosiasikan ke komputer selalu berubah secara dinamis, tidak seperti pada NAT statis yang dipetakan sama. Kekurangan utama dari dynamis NAT ini adalah bahwa jika jumlah IP address terdaftar sudah terpakai semuanya, maka untuk komputer yang berusaha connect ke Internet tidak lagi bisa karena IP address terdaftar sudah terpakai semuanya.
3)      Masquerading NAT
Masquerading NAT ini menterjemahkan semua IP address tak terdaftar pada jaringan anda dipetakan kepada satu IP address terdaftar. Agar banyak client bisa mengakses Internet secara bersamaan, router NAT menggunakan nomor port untuk bisa membedakan antara paket-2 yang dihasilkan oleh atau ditujukan komputer-2 yang berbeda. Solusi Masquerading ini memberikan keamanan paling bagus dari jenis-2 NAT sebelumnya, kenapa? Karena asosiasi antara client dengan IP tak terdaftar dengan kombinasi IP address terdaftar dan nomor port didalam router NAT hanya berlangsung sesaat terjadi satu kesempatan koneksi saja, setelah itu dilepas.

6.      Mangle Table
Sesuai dengan namanya tabel ini digunakan untuk menggoyakkan paket – paket. Dengan kata lain kita dapat menggunakan pasangan mangle  yang digunakana untuk merubah TOS(Type of Services) dan seterusnya. Target pada tabel mangle adalah
-          TOS
-          TTL
MARK
7.      Tujuan
1)      Chain Prerouting : Digunakan untuk mengganti address ketika paket akan masuk ke dalam rute. Data sebelum masuk jalur rute, akan di kenakan rule
2)      Chain Postrouting : Digunakan untuk mengganti address ketika paket akan keluar dari rute. Data sebelum keluar akan dikenakan rute
8.      Target
ACCEPT
setiap paket akan diterima oleh firewall dan akan diteruskan ke tujuan dari paket tersebut
contoh : iptables -A INPUT -p tcp -–dport 80 -j ACCEPT
DROP
akan membuang setiap paket yang diterima tanpa mengirimkan pesan ke pengirim paket
contoh : iptables -A INPUT -p tcp -–dport 80 -j DROP
RETURN
akan menolak setiap paket yang diterima tapi firewall akan mengirimkan pesan ICMP errror kepada pengirim paket, defaultnya berupa port-unreachable pesan dapat dirubah misal icmp-net-unreachable, icmp-host-unreachable, icmp-proto-unreachable, icmp-net-prohibited, dll
contoh : iptables -A INPUT -p tcp -–dport 80 -j REJECT –reject-with icmp-net-unreachable
LOG Target
Ada beberapa option yang bisa digunakan bersamaan dengan target ini. Yang pertama adalah yang digunakan untuk menentukan tingkat log. Tingkatan log yang bisa digunakan adalah debug, info, notice, warning, err, crit, alert dan emerg.Yang kedua adalah -j LOG –log-prefix yang digunakan untuk memberikan string yang tertulis pada awalan log, sehingga memudahkan pembacaan log tersebut.
Contoh :
iptables –A FORWARD –p tcp –j LOG –log-level debug
iptables –A INPUT –p tcp –j LOG –log-prefix “INPUT Packets”
SNAT Target
Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source Network Address Translation). Target ini berlaku untuk tabel nat pada kolom POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket pertama dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya dalam koneksi tersebut juga akan mengalami hal yang sama.
Contoh : iptables –t nat –A POSTROUTING –o eth0 –j SNAT –to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT Target
Berkebalikan dengan SNAT, DNAT digunakan untuk melakukan translasi field alamat tujuan (Destination Network Address Translation) pada header dari paket-paket yang memenuhi kriteria match. DNAT hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau chain buatan yang dipanggil oleh kedua chain tersebut.
Contoh : iptables –t nat –A PREROUTING –p tcp –d 15.45.23.67 –dport 80 –j DNAT –to-destination 192.168.0.2
MASQUERADE Target
Secara umum, target MASQUERADE bekerja dengan cara yang hampir sama seperti target SNAT, tetapi target ini tidak memerlukan option –to-source. MASQUERADE memang didesain untuk bekerja pada komputer dengan koneksi yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP yang berubah-ubah.
Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel nat pada chain POSTROUTING.
Contoh : iptables –t nat –A POSTROUTING –o eth0 -dport 80 –j MASQUERADE
REDIRECT Target
Target REDIRECT digunakan untuk mengalihkan jurusan (redirect) paket ke mesin itu sendiri. Target ini umumnya digunakan untuk mengarahkan paket yang menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi hal ini sangat berguna untuk membangun sebuah sistem jaringan yang menggunakan transparent proxy. Contohnya kita ingin mengalihkan semua koneksi yang menuju port http untuk memasuki aplikasi http proxy misalnya squid. Target ini hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau pada chain buatan yang dipanggil dari kedua chain tersebut.
Contoh : iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT –to-port 3128
iptables -t nat -A PREROUTING -p tcp -d 0/0 –dport 80 -j REDIRECT –to-port 8080
9.      Perbedaan
1)      DROP : hanya akan membuang / menolak paket tersebut. Tetapi source tidak diberitahu bahwa paket telah ditolak.
2)      REJECT : paket yang diterima akan dibuang / ditolak, sedangkan source akan mendapat notifikasi bahwa paket telah ditolak.
10.   Iptables –A FORWARD –s 0/0 -1 eth0 –d 192.168.1.58 –o eth1 –p TCP –sport 1024:65535 –m multiport –dports 80,443 –j ACCEPT
-A FORWARD : menambahkan rule ke chain FORWARD dalam table 'filter' opsi ini adalah penentuan .
-s 0/0 : source address = semua ip address
-i eth0 : input interface = eth0
-d 192.168.1.58 : destination address = 192.168.1.58
-p TCP : protokol TCP
--sport 1024:65535 : source port adalah 1024 sampai 65535
-m multiport : untuk tujuan port dan hanya dapat digunakan bersama dengan -p tcp atau -p udp.
--dports 80,443 : destination port adalah 80 (http) dan 443 (https)
-j ACCEPT : terima paket yang cocok dengan rule ini.

Kelompok JARKOM E 19
-> M Russlan Hafiz
-> M Iqbal Rustamadji

1 komentar:

Posting Komentar