Jumadi Francisco Simangunsong Web Blog

blocking situs with squid

jumadifran — Wed, 27 Aug 2008 05:06:18 +0000

Secara umum ada dua (2) teknik menangkal situs porno, yaitu:

• Memasang filter di PC pengguna.
• Memasang filter di server yang tersambung ke Internet.Teknik yang pertama, memasang filter pada PC pengguna, biasanya dilakukan oleh para orang tua di PC di rumah agar anak-anak tidak melakukan surfing ke situs yang tidak di inginkan. Daftar lengkap filter maupun browser yang cocok untuk anak untuk aplikasi rumah tersebut dapat dilihat pada

http://www.yahooligans.com | parent’s guide | browser’s for kids.
http://www.yahooligans.com | parent’s guide | blocking and filtering.

Beberapa filter yang cukup terkenal seperti

Net Nanny, http://www.netnanny.com/
I Way Patrol, http://www.iwaypatrol.com/
Dll…

Tentunya teknik memfilter seperti ini hanya dapat dilakukan bagi orang tua di rumah kepada anak-nya yang belum begitu tahu Internet.

Bagi sekolah yang terdapat fasilitas internet, tentunya teknik-teknik di atas sulit di terapkan. Cara paling effisien untuk menangkal situs porno adalah dengan memasang filter pada server proxy yang digunakan di WARNET / di kantor yang digunakan mengakses Internet secara bersama-sama dari sebuah Local Area Network (LAN).

Teknik ke dua (2), memasang filter situs porno tidaklah sukar. Beberapa software komersial untuk melakukan filter konten, antara lain adalah:

http://www.cyberpatrol.com
http://www.websense.com
http://www.languard.com
http://www.n2h2.com
http://www.rulespace.com
http://www.surfcontrol.com
http://www.xdetect.com

Mungkin yang justru paling sukar adalah memperoleh daftar lengkap situs-situs yang perlu di blokir. Daftar tersebut diperlukan agar filter tahu situs mana saja yang perlu di blokir. Daftar ratusan ribu situs yang perlu di blokir dapat di ambil secara gratis, antara lain di:

http://www.squidguard.org/blacklist/
ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/adult.tar.gz
ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/publicite.tar.gz

bagi sekolah atu perkantoran, alternatif open source (Linux) mungkin menjadi menarik karena tidak membajak software. Pada Linux, salah satu software proxy yang paling populer adalah squid (http://www.squid-cache.org) yang biasanya dapat di install sekaligus bersamaan dengan instalasi Linux (baik Mandrake maupun RedHat).

Untuk melakukan proses filtering pada squid tidaklah sukar, kita cukup menambahkan beberapa kalimat pada file /etc/squid/squid.conf. Misalnya,

acl sex url_regex “/etc/squid/sex”
acl notsex url_regex “/etc/squid/notsex”

http_access allow notsex
http_access deny sex

buatlah file

/etc/squid/sex
/etc/squid/notsex

contoh isi /etc/squid/notsex:
.*.msexchange.*
.*.msexcel.*
.*freetown.*
.*geek-girls.*
.*scsext.*

untuk memasukan daftar blacklist yang di peroleh dari squidguard dll, dapat dimasukan dengan mudah ke daftar di atas tampak di bawah ini adalah daftar Access Control List (ACL) di /etc/squid/squid.conf yang telah saya buat di server saya di rumah, yaitu:

acl sex url_regex “/etc/squid/sex”
acl notsex url_regex “/etc/squid/notsex”
acl aggressive url_regex “/etc/squid/blacklists/aggressive/urls”
acl drugs url_regex “/etc/squid/blacklists/drugs/urls”
acl porn url_regex “/etc/squid/blacklists/porn/urls”
acl ads url_regex “/etc/squid/blacklists/ads/urls”
acl audio-video url_regex “/etc/squid/blacklists/audio-video/urls”
acl gambling url_regex “/etc/squid/blacklists/gambling/urls”
acl warez url_regex “/etc/squid/blacklists/warez/urls”
acl adult url_regex “/etc/squid/adult/urls”

acl dom_adult dstdomain “/etc/squid/adult/domains”
acl dom_aggressive dstdomain “/etc/squid/blacklists/aggressive/domains”
acl dom_drugs dstdomain “/etc/squid/blacklists/drugs/domains”
acl dom_porn dstdomain “/etc/squid/blacklists/porn/domains”
acl dom_violence dstdomain “/etc/squid/blacklists/violence/domains”
acl dom_ads dstdomain “/etc/squid/blacklists/ads/domains”
acl dom_audio-video dstdomain “/etc/squid/blacklists/audio-video/domains”
acl dom_gambling dstdomain “/etc/squid/blacklists/gambling/domains”
acl dom_proxy dstdomain “/etc/squid/blacklists/proxy/domains”
acl dom_warez dstdomain “/etc/squid/blacklists/warez/domains”

http_access deny sex
http_access deny adult
http_access deny aggressive
http_access deny drugs
http_access deny porn
http_access deny ads
http_access deny audio-video
http_access deny gambling
http_access deny warez

http_access deny dom_adult
http_access deny dom_aggressive
http_access deny dom_drugs
http_access deny dom_porn
http_access deny dom_violence
http_access deny dom_ads
http_access deny dom_audio-video
http_access deny dom_gambling
http_access deny dom_proxy
http_access deny dom_warez

manajemen bandiwdt dengan squid

jumadifran — Wed, 27 Aug 2008 05:02:15 +0000

Berikut langkah-langkah pengkonfigurasian manajemen bandwidth di squid:
1. Pertama-tama periksa apakah squid telah berjalan di server dan telah dikonfiguraisi sebagai mesin proxy server.
2. Sebelum memulai memanajemen bandwidth di squid, kita jelaskan dulu komponen-komponen manajement bandwidth di squid :

delay_pools
Opsi ini untuk menspesifikasi berapa jumlah pool yang digunakan untuk membatasi jumlah bandwidth dari ACL. Opsi ini akan dirangkaikan bersama opsi delay_class dan delay_parameters yang akan dibahas di bawah ini.

delay_class
Opsi ini menspesifikasikan kelompok dari masing-masing pool yang telah didefinisikan pada opsi delay-pools. Ada tiga class yang didukung Squid, antara lain:
• class 1: Semua akses dibatasi dengan single bucket, artinya hanya bisa mendefinisikan overall bandwidth untuk suatu ACL saja, tidak bisa mendefinisikan bandwidth dengan lebih mendetail
• class 2: Semua akses dibatasi dengan single agregate dengan dua parameter bandwidth. Parameter pertama mendefinisikan berapa bandwidth maksimal yang didapatkan ACL, parameter kedua mendefinisikan berapa bandwidth overall untuk ACL yang spesifik yang ada pada network tersebut.
• class 3: Kelompok yang definisi bandwidth-nya paling mendetail. Parameter pertama mendefinisikan berapa bandwidth maksimal yang didapatkan ACL, parameter kedua mendefinisikan berapa bandwidth normal yang didapatkan ACL secara umum, dan parameter yang ketiga adalah mendefinisikan bandwidth yang didapatkan ACL jika mengakses ACL-ACL tertentu yang spesifik, misalnya file mp3.

delay_parameters
Opsi ini menspesifikasikan rumus bandwidth yang akan didapatkan oleh ACL yang akan memasuki delay_pool. Misalnya ada entry berikut ini pada delay_parameters:
delay_parameters 1 -1/-1 2100/4000
Angka 1 berarti rumus ini berlaku untuk pool 1. Angka -1/-1 berarti bandwidth maksimal yang diberikan Squid adalah tidak terbatas untuk pool ini.

Angka 2100/4000 berarti bandwidth yang didapatkan oleh ACL setelah masuk ke pool ini. Angka ini berada dalam kelipatan 8 b, sehingga untuk mendapatkan nilai bandwidth yang sebenarnya harus dikalikan delapan. Angka 2100 adalah bandwidth yang didapatkan ACL pada masa-masa normal. Jika dikalikan 8, maka bandwidth normal yang akan didapatkan ACL sekitar 18 Kbps. Angka 4000 adalah bandwidth maksimal yang didapatkan ACL pada masa-masa jalur sedang kosong. Jika dikalikan 8, maka bandwidth yang didapatkan sekitar 32 Kbps.

delay_access
Opsi ini mendefinisikan siapa-siapa ACL yang akan dimasukkan ke pool tertentu untuk mendapatkan “perlambatan” bandwidth. Bentuk umumnya adalah seperti ini:
delay_access 1 allow labprog
Opsi di atas berarti kita memasukkan ACL labprog ke dalam pool 1.

3. Jika sudah mengerti komponen-komponen delay pool, kita mulai konfigurasi delay pool .
Di umpamakan kita mempunyai bandwidth dari ISP sebesar 512kb, dan kita membuat rule seperti berikut ini:
- Batas kecepatan koneksi overall adalah 256 Kbps. per-network adalah 64 kbps. Sedangkan per-user/host dibatasi 2 Kbps jika digunakan untuk download file bertipe exe, mp3, vqf, tar.gz, gz, rpm, zip, rar, avi, mpeg, mpe, mpg, qt, ram, rm, iso, raw, dan wav. Jika tidak, maka koneksi perhost HANYA mengikuti aturan per-Network saja.

Penyelesaian:

Edit file /etc/squid/squid.conf
#vi /etc/squid/squid.confLalu tambahkan contoh konfigurasi ini:
# Sebelum kita melakukan pembatasan, kita perlu mendefinisikan ACL network # # yang kita perlukan terlebih dahulu. ACL yang didefinisikan pada host bridge
# seperti di bawah ini:acl lokal src 192.168.1.0/24# Kemudian kita membatasi maksimum download dengan tag di bawah ini:
# Batas kecepatan koneksi overall adalah 256 Kbps. per-network adalah
# 64 kbps. Sedangkan per-user/host dibatasi 2 Kbps jika digunakan untuk
# download file bertipe exe, mp3, vqf, tar.gz, gz, rpm, zip, rar, avi,
# mpeg, mpe, mpg, qt, ram, rm, iso, raw, dan wav. Jika tidak, maka
# koneksi perhost HANYA mengikuti aturan per-Network saja.

acl filegede url_regex -i \.exe
acl filegede url_regex -i \.mp3
acl filegede url_regex -i \.vqf
acl filegede url_regex -i \.gz
acl filegede url_regex -i \.rpm
acl filegede url_regex -i \.zip
acl filegede url_regex -i \.rar
acl filegede url_regex -i \.avi
acl filegede url_regex -i \.mpeg
acl filegede url_regex -i \.mpe
acl filegede url_regex -i \.mpg
acl filegede url_regex -i \.qt
acl filegede url_regex -i \.ram
acl filegede url_regex -i \.rm
acl filegede url_regex -i \.iso
acl filegede url_regex -i \.raw
acl filegede url_regex -i \.wav

# Kita buat dulu ACL untuk mendefinisikan file-file di atas dengan menggunakan # regularexpression. Kemudian kita mendefinisikan 2 delay pool untuk
# menampung bandwidth.
# Satu pool masuk dalam kategori class 2 untuk mendefinisikan aturan overall
# 256 Kbps dan per-network 64 Kbps. Satu pool lainnya masuk kategori class 3
# untuk mendefinisikan aturan tambahan jika user mendownload file-file yang
#didefinisikan dalam ACL url_regex dengan bandwidth maksimal 2 Kbps.

delay_pools 2
delay_class 1 3
delay_parameters 1 32000/32000 8000/8000 250/250
delay_access 1 allow lokal filegede
delay_access 1 deny all
delay_class 2 2
delay_parameters 2 32000/32000 8000/8000
delay_access 2 allow lokal
delay_access 2 deny all

Jika sudah selesai, simpan hasil konfigurasi dan restart squid

#/etc/init.d/squid restart

Virtual Host

jumadifran — Fri, 22 Aug 2008 04:37:14 +0000

Jika kita membuat web server, terkadang kita sanga butuh virtual server karena satu server kita alokasikan

untuk beberapa server web. untuk mensettingnya. kita bisa tambahkan di /etc/httpd/conf/httpd.con
NameVirtualHost *:80

ServerAdmin jumadifran@sample.com
DocumentRoot /var/www/html/parsoburan
ServerName www.sample.com

ServerAdmin jumadifran@sample.com
DocumentRoot /var/www/html/jumadifran
ServerName jumadifran.sample.com

ServerAdmin jumadifran@sample.com
DocumentRoot /var/www/html/forum
ServerName forum.sample.com

#——————–

simpan filenya dan restart httpd server

membuat sebuah script untuk menciptakan user

jumadifran — Fri, 22 Aug 2008 04:32:14 +0000

kadang kita harus mengcreate user yang banyak dilinux kita, tapi kalau kita create satu2 mungkin akan mubajir dong

kalau ada 100 user wah bisa berabe dehh, nah disini ada script gimana caranya membuat user otomatis, dengan passwordnya yang default

1. buat sebuah file .txt yang berisi daftar user example daftaruser.txt isinya

admin
admin2
admin3

2. buat sebuah file script misalnya cretaeuserotomatis yang berisi

#!/bin/sh
for i in `more daftaruser.txt`
do
adduser $i
echo “testpassword” | passwd –stdin “$i”
echo “password change”
done

3. ganti mode file createuserotomatis menjadi chmod 755 createuserotomatis

4. jalankan filenya dengan cara ./createuserotomatis

keterangan: tiap baris di file daftaruset itu akan dianggap jadi satu user, dan menset password defaultnya “testpassword”

semoga membantu

DHCP Server

jumadifran — Fri, 22 Aug 2008 04:24:38 +0000

mungkin bagi sebagian dhcp itu uda sering, tapi ini aku coba buat gimana buat dhcp server dimana client yang

dilayani hanya client yang MAC Addressnya terfilter, jadi ga smua yang dhcp diberikan ipnya1.

buka file /etc/dhcpd.conf

isinya

#class ini untuk range mac address

lass “client_accepted”
{
match if substring (hardware,1,9) = “00:1A:19:”;
}

#====== class ini untuk mendefenisikan mac address tertentu
class “client2_accepted”
{
match if hardware = “00:C0:9F:24:D7:09″;
}

option routers 99.9.9.125;
option domain-name-servers 99.9.9.125;
ddns-update-style ad-hoc;
subnet 99.9.9.0 netmask 255.255.255.0
{
min-lease-time 600;
max-lease-time 600;
default-lease-time 600;

pool
{
allow members of “client2_accepted”;
range 99.9.9.240 99.9.9.150;
option routers 99.9.9.125;
option domain-name-servers 99.9.9.125;
}
#==================================

simpan filenya, kemudian jalankan dhcp serpernya

instalasi SNMP dan MRTG

jumadifran — Thu, 24 Jul 2008 07:03:07 +0000

1. Instalasi SNMP
Source untuk snmp, biasanya telah tersedia pada CD distro Redhat anda
[root@probiotik hanny]#rpm -Uvh ucd-snmp-4.2.1-7.i386.rpm \
> ucd-snmp-devel-4.2.1-7.i386.rpm \
> ucd-snmp-utils-4.2.1-7.i386.rpm

1.1 Kemudian Gandakan snmp.conf anda :
[root@probiotik hanny]#cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.default

Ganti isi dari /etc/snmp/snmpd.conf dengan :
[root@probiotik hanny]#vi /etc/snmp/snmpd.conf

#—-isi dari snmp———-
com2sec public default public
group public v1 public
group public v2c public
group public usm public
view all included .1
access public “” any noauth exact all none none
#————————–
1.2 Lalu jalankan snmp
[root@probiotik hanny]#/etc/rc.d/init.d/snmpd start

1.3 Cek port snmp anda
[root@probiotik hanny]#netstat -pln | grep snmpd
tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN 687/snmpd
udp 0 0 0.0.0.0:161 0.0.0.0:* 687/snmpd

Bila terdapat tcp dan udp seperti nampak di atas, snmp anda berjalan!!

2. Instalasi MRTG
Anda bisa download pada site
http://www.rpmfind.net/linux/rpm2html/search.php?query=mrtg&submit=Search+…
(sesuaikan dengan distro anda)

[root@probiotik hanny]#rpm -ivh mrtg-xx-x.src.rpm

2.1 Membuat cfgmaker mrtg
- Anda mempunyai ip address misal 202.1.1.1
- Anda mempunyai webserver pada /usr/local/apache/htdocs

[root@probiotik hanny]#cfgmaker –global “WorkDir: /usr/local/apache/htdocs/mrtg” \
> –global “Options[_]: growright,bits” \
> public@202.1.1.1 > /etc/mrtg/202.1.1.1.cfg

Keterangan dari command cfgmaker:
- /usr/local/apache/htdocs/mrtg adalah letak dari halaman web mrtg yang anda inginkan.
- public@202.1.1.1 adalah akses pada nama snmpd yg telah anda buat, dan ip address snmpd tsb.
- /etc/mrtg/202.1.1.1.cfg adalah letak config dari public@ip_address yang anda inginkan.

2.2 Tambahkan isi dari /etc/mrtg/202.1.1.1.cfg
[root@probiotik hanny]#vi /etc/mrtg/202.1.1.1.cfg

#————–tambahan————
#Agar auto start
RunAsDaemon:Yes
#Agar uptodate setiap 5 menit
Interval:5
#Agar auto resfresh pada browser
Refresh:300
#————————————

2.3 Membuat Indemaker
[root@probiotik hanny]#indexmaker –output=/usr/local/apache/htdocs/mrtg/index.html \
> /etc/mrtg/202.1.1.1.cfg

2.4. Jalankan daemon mrtg
[root@probiotik hanny]#mrtg /etc/mrtg/202.1.1.1.cfg

2.5 Cek daemon daemon RunAsDaemon
[root@probiotik hanny]#netstat -pln | grep perl
udp 10368 0 0.0.0.0:32769 0.0.0.0:* 744/perl

Bila terdapat udp seperti nampak di atas, mrtg anda berjalan!!

Tambahkan script pada /etc/rc.local
[root@probiotik hanny]#vi /etc/rc.local

/bin/rm /etc/mrtg/*.pid
mrtg /etc/mrtg/202.1.1.1.cfg
/etc/rc.d/init.d/snmpd start

Lihat hasilnya dengan browser anda
http://web.atau.ip.anda/mrtg/index.html

Lain-lain :
Mas bagaimana kalau saya ada 2 atau 3 komputer, saya pingin install mrtg,
apa harus di install semuanya ? Tidak, cukup satu saja yang dibuat web mrtg, lainnya cuman install snmp

Misal:
komputer 1 : Install SNMP dan MRTG
komputer 2 dan 3 : Install SNMP

Pada komputer 1 lakukan :

[root@probiotik hanny]# cfgmaker –global “WorkDir: /usr/local/apache/htdocs/mrtg” \
> –global “Options[_]: growright,bits” \
> public@ip_komputer_satu > /etc/mrtg/ip_komputer_satu.cfg

[root@probiotik hanny]#cfgmaker –global “WorkDir: /usr/local/apache/htdocs/mrtg” \
> –global “Options[_]: growright,bits” \
> public@ip_komputer_dua > /etc/mrtg/ip_komputer_dua.cfg

[root@probiotik hanny]#cfgmaker –global “WorkDir: /usr/local/apache/htdocs/mrtg” \
> –global “Options[_]: growright,bits” \
> public@ip_komputer_tiga > /etc/mrtg/ip_komputer_tiga.cfg

source dari asfik

belajar NAT dengan iptables

jumadifran — Thu, 24 Jul 2008 06:58:40 +0000

Belajar yuukkk kukuruyuk, bikin sharing internet menggunakan iptables pada OS linux, ada yang mae nemenin ga..(nmeninn belajr mksunyyee …:-)) . supaya saya ga lupa maka saya buat artikel ini. Moga bisa bermanfaat buat yang baca…

Mari kita mulai

1. Install atau pasang 2 LAN card di komputer anda (komputer ini sekaligus

akan berperan sebagai router)

2. Sebelumnya Minta IP public ke ISP lengkap dengan netmask,broadcast dan dns nya

3. kemudian Edit file berikut ini dengan editor kesayangan anda.

(ini yg langsung konek ke ISP)

[root@cenos ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0

BOOTPROTO=none

BROADCAST=xx.xx.xx.xx

HWADDR=00:50:BA:88:72:D4

IPADDR=xx.xx.xx.xx

NETMASK=xx.xx.xx.xx

NETWORK=xx.xx.xx.0

ONBOOT=yes

TYPE=Ethernet

USERCTL=no

IPV6INIT=no

PEERDNS=yes

GATEWAY=xx.xx.xx.x

4. kemudian Edit file berikut ini dengan editor kesayangan anda.

[root@cenos ~]# vi Edit file /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1
BOOTPROTO=static
BROADCAST=192.168.108.255
HWADDR=00:18:FE:FB:1B:8B
IPADDR=192.168.108.1
NETMASK=255.255.255.0
NETWORK=192.168.108.0
ONBOOT=yes

silahkan diganti menyesuaikan dengan ip yg akan anda gunakan.

5. Edit file /etc/hosts

[root@cenos ~]# vi /etc/hosts

127.0.0.1 router localhost.localdomain localhost

6. Edit file /etc/sysconfig/network

[root@cenos ~]# /etc/sysconfig/network

NETWORKING=yes

HOSTNAME=router

GATEWAY=xx.xx.xx.xx # tanyakan ke ISP anda brp ip gatewaynya

7. Edit file /etc/resolv.conf

[root@cenos ~]# vi /etc/resolv.conf

nameserver xx.xx.xx.xx # IP ini dari ISP

nameserver xx.xx.xx.xx # IP ini juga dari ISP

8. Edit /etc/sysconfig/iptables

[root@cenos ~]# vi /etc/sysconfig/iptables

iptables –flush

iptables –table nat –flush

iptables –delete-chain

iptables –table nat –delete-chain

iptables –table nat –append POSTROUTING –out-interface eth0 -j MASQUERADE

iptables –append FORWARD –in-interface eth1 -j ACCEPT

9. Edit file /etc/sysctl.conf

[root@cenos ~]# vi /etc/sysctl.conf

ubahlah

net.ipv4.ip_forward = 0

menjadi

net.ipv4.ip_forward = 1

10. Cobalah Ping ke gateway atau ke google

[root@cenos ~]# ping 192.168.108.1

PING 192.168.108.1 (192.168.108.1) 56(84) bytes of data.

64 bytes from 192.168.108.1: icmp_seq=1 ttl=64 time=0.293 ms

64 bytes from 192.168.108.1: icmp_seq=2 ttl=64 time=0.287 ms

64 bytes from 192.168.108.1: icmp_seq=3 ttl=64 time=0.106 ms

— 192.168.108.1 ping statistics —

3 packets transmitted, 3 received, 0% packet loss, time 1998ms

rtt min/avg/max/mdev = 0.106/0.228/0.293/0.088 ms

kalo ping ke gateway anda dan google berhasil berarti sukses dan sekarang silahkan configurasi client dan dengan ip 192.168.5.2 sampai 254 dan gatewaynya ke 192.168.5.1 dan DNSnya ke IP ISP yg di set di file /etc/resolv.conf tadi.

Met Mencoba

http://cenos.web.id

http://www.laluvirtual.web.id

Belajar IP Tables

jumadifran — Thu, 24 Jul 2008 06:57:39 +0000

Pada kernel linux yang baru, terdapat fasilitas netfilter dan iptables yang menggantikan ipchains dengan penambahan beberapa fasilitas diantaranya pemberian tanda pada setiap paket yang difilter, penambahan table NAT dan mangle.

Table-table ini mempunyai fungsi sendiri-sendiri, sesuai dengan namanya, table NAT menangani semua keperluan mengenai Network Addresss Translation, termasuk juga port redirection dan IP Masquerading, sedangkan untuk table Mangle bisa digunakan untuk memberikan tanda pada sebuah paket, dan selanjutnya untuk diolah atau ditransmisikan pada kondisi tertentu.

Pembahasan mengenai table Mangle ini tidak dibahas disini, karena hal tersebut menyimpang dari topik kita, yaitu Network Address Translation (NAT).
Seperti dibicarakan sebelumnya. terjadi perubahan juga pada implementasi IP Masquerading, yang semula diletakkan di table filter, namun pada iptables, IP Masqurading diletakkan pada table tersendiri yaitu NAT. Oleh karena itu penulis hanya menambahkan pengimplementasian IP Masquerading pada kernel 2.4.xx, sedangkan untuk hak ciptanya masih dipegang sdr. Agus Hartanto .

Jika anda belum mengetahui apakah IP Masquerade itu, dan apa kegunaannya, silahkan lihat tulisan terdahulu yaitu NAT dengan linux hasil karya sdr. Agus, karena dalam artikel ini tidak dijelaskan lagi secara detail mengenai hal tersebut, takut nanti dituduh menyontek ide orang lain , penulis juga masih menggunakan gambaran yang dikemukakan oleh tulisan sdr. Agus karena iptables pada dasarnya mirip dengan ipchains dan agar pembaca lebih mudah memahaminya. Pembahasan pada contoh-contoh yang dikemukakan menggunakan RedHat linux sebagai acuan, sehingga mungkin ada perbedaan letak file jika anda menggunakan distro lain selain RedHat.

1. Persiapan

Untuk koneksi ke internet menggunakan IP Masquerade, minimal harus ada sebuah mesin linux dalam jaringan yang tersambung ke internet dan mempunyai sedikitnya satu real/official IP, selain itu tentu saja kernel linux juga harus mendukung IP Masquerade. Adapun program untuk mengaktifkan IP Masquerade pada kernel 2.4.x adalah menggunakan iptables, meskipun sebenarnya ipchains dan ipfwadm juga tersedia, namun iptables mempunyai kinekerja lebih cepat dibandingkan dengan pendahulunya, dan mempunyai tingkat keamanan lebih tinggi, seperti pembatasan jumlah paket yang masuk.

iptables secara default telah tersedia pada kernel 2.4.x, namun apabila anda ingin mengkompilasinya secara terpisah, program tersebut dapat anda cari dan download melalui netfilter.samba.org, atau melalui site site linux archive lainnya seperti freshmeat.

Untuk langkah awal, komputer-komputer yang terkoneksi ke jaringan internal, sebaiknya diberi alamat menggunakan IP private dan diletakkan dalam satu netmask dengan komputer yang menjadi gateway.

Contoh :

ISP ppp0 router.linux-kita.com
client1 192.168.1.2
client2 192.168.1.3
client3 192.168.1.4
server 192.168.1.1
netmask 255.255.255.0

Untuk keperluan IP-Masquerade, kernel anda harus mendukung beberapa driver dibawah ini :

* Enable loadable module support
CONFIG_MODULES
- Mengijinkan anda untuk memanggil komponen kernel
dalam bentuk modul

* Networking support
CONFIG_NET

* Network firewalls
CONFIG_FIREWALL

* TCP/IP networking
CONFIG_INET

* Netfilter Support
CONFIG_NETFILTER

* Netfilter: Connection Tracking
CONFIG_IP_NF_CONNTRACK

* Netfilter: Iptables Style support
CONNFIG_IP_NF_IPTABLES

* Netfilter: Filter Packets
CONFIG_IP_NF_FILTER

* Netfilter: Reject Packets
CONFIG_IP_NF_TARGET_REJECT

* Netfilter: NAT Support
CONFIG_IP_NF_NAT
CONFIG_IP_NF_NAT_NEEDED

* Netfilter: IP Masquerading
CONFIG_IP_NF_TARGET_MASQUERADE

* Netfilter: Redirection
CONFIG_IP_NF_TARGET_REDIRECT

* Netfilter: IRC NAT Support
CONFIG_IP_NF_NAT_IRC

* Netfilter: Table Mangle
CONFIG_IP_NF_MANGLE

* Netfilter: Log target support
CONFIG_IP_NF_TARGET_LOG

* Netfilter: Ipchains Style Support
CONFIG_IP_NF_COMPAT_IPCHAINS

* Netfilter: Ipfwadm Style Support
CONFIG_IP_NF_COMPAT_IPFWADM

* Dummy net driver support
CONFIG_DUMMY

Pada kernel 2.4.x yang terpasang pada redhat, option-option di atas sudah diaktifkan dalam bentuk modul, sehingga anda tidak perlu mengkompile ulang kernel lagi, yang tentu sangat melelahkan bagi yang belum terbiasa . Dan untuk menggunakan modul-modul tersebut, anda tidak perlu memanggilnya terlebih dahulu menggunakan modprobe, namun anda hanya perlu menjalankan iptables, dan secara otomatis, modul yang diperlukan akan diload ke dalam memory oleh iptables.

2. Mengaktifkan IP_FORWARDING

Untuk mengaktifkan ip_forward anda harus memberikan nilai 1 ke file /proc/sys/net/ipv4/ip_forward, contohnya dengan mengetikkan perintah di prompt linux :

[root@server /]# echo “1? > /proc/sys/net/ipv4/ip_forward

Ini sangat penting untuk diperhatikan, karena sejak Kernel 2.0.34 , kernel tidak mengaktifkannya secara default.

Atau cara lain, anda bisa menambahkan baris berikut pada file /etc/sysctl.conf:

net.ipv4.ip_forward = 1

dengan adanya baris tersebut maka script /etc/rc.d/init.d/network akan memberikan nilai 1 secara otomatis ke file /proc/sys/net/ipv4/ip_forward pada saat memulai linux.

3. Memanggil modul modul pendukung IP Masquerade

Seperti yang telah disebutkan diatas, pada kernel 2.4.x modul-modul yang tersedia tidak perlu dipanggil terlebih dahulu, anda hanya menjalankan iptables, dan secara otomatis, modul-modul yang diperlukan akan diload ke memory. Adapun beberapa modul netfilter yang terdapat pada kernel 2.4.x (terletak di direktori /lib/modules/2.4.x/kernel/net/ipv4/netfilter) adalah:

ipchains.o ip_nat_ftp.o iptable_nat.o ipt_mark.o ipt_owner.o ipt_TCPMSS.o
ip_conntrack_ftp.o ip_nat_irc.o ip_tables.o ipt_MARK.o ipt_REDIRECT.o ipt_tos.o
ip_conntrack_irc.o ip_queue.o ipt_limit.o ipt_MASQUERADE.o ipt_REJECT.o ipt_TOS.o
ip_conntrack.o iptable_filter.o ipt_LOG.o ipt_MIRROR.o ipt_state.o ipt_unclean.o
ipfwadm.o iptable_mangle.o ipt_mac.o ipt_multiport.o ipt_tcpmss.o

4. Mengkonfigurasikan Aturan dari IP Forwarding dan sedikit ttg Firewall

Untuk mengaktifkan IP Masquerade, anda harus memberikan perintah :

iptables -t nat -A POSTROUTING -s yyy.yyy.yyy.yyy./x -j MASQUERADE dengan table seperti diatas.

Untuk lebih jelasnya coba perhatikan contoh dibawah ini :

Anda mempunyai jaringan dengan alamat IP gateway linux 192.168.1.1 dan klien klien 192.168.1.2 s/d 192.168.0.4 dengan netmask 255.255.255.0 , dan anda ingin mengaktifkan IP Masquerading atas alamat alamat ini, maka anda harus mengetikkan perintah :

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE

Anda mempunyai alamat alamat IP spt diatas tapi anda ingin hanya klien dengan IP bernomer 192.168.1.5 dan 192.168.0.10 saja yang bisa mengakses internet, maka seharusnya anda hanya mengetikkan perintah :

iptables -t nat -A POSTROUTING -s 192.168.1.5/32 -d 0.0.0.0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.10/32 -d 0.0.0.0/0 -j MASQUERADE

Anda mempunyai alamat alamat IP spt diatas dan anda ingin semua klien bisa mengakses internet, kecuali IP 192.168.1.5 dan 192.168.1.10 saja yang tidak bisa mengakses internet, maka seharusnya anda mengetikkan perintah :

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE

untuk mengaktifkan masquerading. Baru kemudian kita cegat kedua komputer tersebut dengan perintah :

iptables -I INPUT -s 192.168.1.5/32 -d 0/0 -j DROP
iptables -I INPUT -s 192.168.1.10/32 -d 0/0 -j DROP

Administrasi fasilitas fasilitas tertentu
Kita bisa juga melakukan pencegatan terhadap paket paket yang akan masuk ke port tertentu, hal ini juga memungkinkan kita untuk mematikan atau menghidupkan beberapa fasilitas internet, misalnya anda ingin klien anda dengan alamat 192.168.1.5 tidak diperbolehkan untuk melakukan chatting, maka kita bisa men-deny, paket paket dari klien 192.168.1.5 yang akan menuju ke port IRC (contoh port nomer 6667).
Dibawah ini contoh untuk mencegat paket TCP dari klien dengan alamat 192.168.1.5 yang menuju ke port 6667 :

iptables -I INPUT -p tcp -s 192.168.1.5/32 -d 0/0 –destination-port 6667 -j DROP

Untuk membuka atau menghapus aturan aturan yang telah kita buat kita bisa mengganti option -I , -A dsb, misalnya dengan option -D sebagai contoh:

iptables -I INPUT -p tcp -s 192.168.1.5/32 -d 0/0 –destination-port 6667 -j DROP

dapat dihapus dengan perintah :

iptables -D INPUT -p tcp -s 192.168.1.5/32 -d 0/0 –destination-port 6667 -j DROP

Catatan option option iptables yg digunakan diatas

-A menambahkan rule
-I menyisipkan (insert) rule firewall ke baris paling atas
-D menghapus rule yg telah dibuat
-s source address
-d destination address
DROP Pada iptables tidak dikenal target DENY, sebagai pengganti menggunakan target DROP

Source : http://www.ghaza.li/

trick untuk ujian CCNA

jumadifran — Wed, 23 Jul 2008 06:38:35 +0000

Free CCNA tutorials: Interactive CCNA course. Free training courses

Listed below are some interactive CCNA tutorials. Each tutorial explains the key concepts in a concise and easy-to-read language. Each course includes a pre-assessment, course map and post-assessment.

Subnetting
Layered Communication Models: OSI, TCP/IP & Cisco
IP Addressing Tutorial
Hex & Binary Tutorial

*CCNA Subnetting Tutorial (Click Here)

A short IP subnetting tutorial. Subnetting is explained with examples. Post assessment exercises after the course gives you hands on practice.By the end of this subnetting course, you should be able to:

Define subnet and subnet masks
Understand IP subnetting maths
Calculate Network address
Define private address
Subnet an IP network in a given scenario

*OSI & TCP-IP Tutorial (Click Here)

A short course on layered communication models including the OSI Reference Model, TCP/IP Model and the Cisco’s Three Layered Hierarchical Model. The broad course of objectives are:

Need for network layers
ISO OSI reference model & it’s 7 layers of network
TCP IP Model and it’s relation with 7 layer OSI model
Cisco 3 layer hierarchical model
Post assessment quiz on OSI

*IP Addressing Tutorial (Click Here)

Tutorial on understanding IP addressing. The broad course of objectives are:

Learn IP addressing fundamentals
Types of Addresses: Physical, IP & Port addresses
Relationship of OSI Layers and Addresses in TCP/IP
Special Addresses: Unicast, Multicast & Broadcast
Notations of IP Addressing
Classes of IP Addressing Explained
LoopBack & Private IP Address
Determining the Class of an Address
Extracting Net id and Host id
IP Address Decimal and Binary Conversions
Special Addresses
Sample Internet
IP Versions: Ipv6 and Advantages
DNS

*Binary & Hex Tutorial (Click Here)

Tutorial on understanding Decimal, Hex and Binary Number Systems. The broad course of objectives are:

Decimal Number System
Binary Numbers Tutorial Introduction
Binary Numbers and Internet
Convert Decimal to Binary
Converting Binary to Decimal
Similarity between Decimal and Binary Systems
Hexadecimal Tutorial Introduction
Hex to decimal conversion table
Hexadecimal Numbering System
Decimal to Hex conversion introduction
How to convert Decimal to Hex
How to convert hex to decimal
IP Addresses in Hexadecimal Notation

Akses GUI Linux Dari Windows

jumadifran — Wed, 23 Jul 2008 06:32:04 +0000

Buat anda yang masih “mendua” antara M$ Windows dan Linux, mungkin pernah bertanya-tanya: Bisakah X-Windows mesin linux saya di-remote dari mesin windows. jawabnya Bisa, salah satunya dengan XDMCP (X Display Manager Control Protocol).

Artikel ini di dasari oleh artikel Ardhian. Setelah saya mencoba sendiri dan ada sedikit perbedaan. Saya menggunakan CentOS linux v4.3 (with GNOME) dan Windows XP dengan tools XManager. Teknik yang akan saya uraikan ini harusnya cocok untuk Linux dari keluarga Redhat/ Fedora.

Demi berhasilnya teknik ini, ada baiknya anda mematika firewall/ iptables mesin linux anda pada saat configurasi dan testing. Jika sudah berhasil, aktifkan kembali firewall anda dengan menambahkan rule allow untuk port 177 (tcp/udp). Pastikan port ini tidak terexpose keluar network anda.

Step-by-step
1. Edit file /etc/rc.d/init.d/xfs. Ubah baris
daemon xfs –droppriv –daemon
menjadi
daemon xfs –droppriv –daemon –port 7100.
2. Edit file /etc/X11/xdm/Xaccess . Buang karakter “#” diawal baris
#* #any host can get a login window
menjadi
* #any host can get a login window.
3. Edit file /etc/X11/xdm/xdm-config dan edit baris
DisplayManager.requestPort: 0
menjadi
DisplayManager.requestPort: 1.
4. edit file /etc/X11/gdm/gdm.conf
cari section [xdmcp], edit baris Enable=false menjadi Enable=true
selain itu uncomment (buang karakter “#”) baris-baris berikut (hanya yang ada di dalam section[xdmcp] ) :
HonorIndirect=true
MaxPending=4
MaxPendingIndirect=4
MaxSessions=16
MaxWait=15
MaxWaitIndirect=15
DisplaysPerHost=2
PingIntervalSeconds=15
Port=177
Willing=/etc/X11/gdm/Xwilling
5. Restart XWindows anda (ketik perintah: service xfs restart atau reboot sekalian)
6. Linux anda sudah siap. Dengan menggunakan XManager, harusnya ada sudah bisa mengakses Linux anda (ga usah di ajarin yah?