Firewall adalah sebuah sistem atau
perangkat yang terdapat dalam berbagai sistem operasi misalkan windows dan
linux yang berfungsi sebagai filter untuk mengizinkan lalu lintas jaringan yang
dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak
aman.
Untuk di windows firewall terletak
di Control Panel dan di System and Security dan cara mengaktifkannya dan
menonaktifkannya-pun sudah banyak yang tahu, tapi bagaimana di Linux ?
Anda tidak usah bingung, dibawah
adalah command untuk mengatur firewall anda.
Pertama silahkan buka terminal
Ubuntu anda dan silahkan ketik :
Untuk menonaktifkan firewall :
sudo ufw disable
Untuk mengaktifkan firewall :
sudo ufw enable
Untuk mengecek status firewall :
sudo ufw status
Untuk mengatur default policy Deny :
sudo ufw default deny
Untuk mengatur default policy Allow
:
sudo ufw default allow
Catatan
UFW adalah Uncomplicated Firewall
Secara default, policy akan di set
Deny jika anda mengaktifkan ufw dan akan diset Allow jika menonaktifkan ufw.
Konfigurasi Firewall
sederhana menggunakan Shorewall
Shorewall adalah salah satu tools firewall pada linux yang berbasiskan iptables. Shorewall terdapat konsep “zone” yang memudahkan kita untuk menentukan policy firewall, daripada kita melakukan konfigurasi secara manual dengan iptables. Misalnya network anda adalah spt gambar dibawah ini :
maka untukmemudahkan kita, asumsikan
saja ada 3 zona yang dapat di definisikan, yaitu :
1. LAN, yaitu jaringan lokal, kita
definisikan sebagai zona lok
2. Internet, yaitu koneksi kita ke
internet, kita definisikn sebagai zona net
3. Komputer Firewall kita secara
otomatis bernama zona $FW
Berikut ini adalah step-by-step
konfigurasi yang diterapkan
Install shorewall dari repository
terdekat
root@sman20:~# apt-get install
shorewall shorewall-doc
Kopi konfigurasi dari template yg
ada
root@sman20:~# cd
/usr/share/doc/shorewall-common/default-config
root@sman20:~# cp zones
/etc/shorewall/
root@sman20:~# cp interfaces
/etc/shorewall/
root@sman20:~# cp policy
/etc/shorewall/
root@sman20:~# cp rules
/etc/shorewall/
Setting Shorewall sebagai berikut :
a. konfigurasi zona
root@sman20:~# vim /etc/shorewall/zones
fw firewall
lok ipv4
net ipv4
b. konfigurasi interface
root@sman20:~# vim
/etc/shorewall/interfaces
lok eth0 detect tcpflags,nosmurfs
net eth1 detect tcpflags,nosmurfs
c. konfigurasi policy
root@sman20:~# vim
/etc/shorewall/policy
$FW all ACCEPT
lok $FW DROP info
lok net DROP info
net $FW DROP info
net lok DROP info
d. konfigurasi rules
root@sman20:~# vim
/etc/shorewall/rules
ACCEPT lok $FW tcp 80
ACCEPT net $FW tcp 80
ACCEPT lok $FW tcp 53
ACCEPT lok $FW udp 53
Testing konfigurasi sebelum
menjalankannya
root@sman20:~# shorewall check
root@sman20:~# shorewall start
Coba me-restart shorewall untuk
memastikan tidak ada error
root@sman20:~# shorewall restart
root@sman20:~# shorewall safe-restart
Setting Shorewall agar automatis
berjalan sewaktu booting
root@sman20:~# vim
/etc/default/shorewall
startup=1
Happy securing your self with
firewall…
reference :
shorewall
shorewall-nat
shorewall-accounting
shorewall-hosts
shorewall-interfaces
shorewall-routestopped
shorewall.conf
shorewall-masq
shorewall-policy
shorewall-rules
shorewall-zones
Setting PC Router dan Firewall pada LINUX
Artikel ini hanyalah sepenggal
catatan kecil (referensi pribadi) yang di susun kembali
berdasarkan sumber-sumber lain dari
internet, hasil diskusi dengan paman Google dan
bibi Yahoo :-). Dengan harapan
diposting disini untuk mengingat-ingat kembali dan
bisa pula menjadi referensi bagi
semuanya terutama buat eKa yang meminta
postingan ini melalui Shoutbox
beberapa hari yang lalu. Dan khususnya bagi siswa
saya TKJ yang sedang belajar LINUX
dan menghadapi Lomba Kegiatan Siswa
(LKS).
Sebenarnya sudah banyak website/blog
yang ngulik masalah ini secara tuntas, sebut
saja Forum Linux, Info Linux, Gudang
Linux, DiskusiWeb, Linux Online dll. Akan
tetapi disini saya cuma membahas
bagaimana menjadikan Linux yang kita miliki
sebagai gateway yang akan
menghubungkan jaringan lokal (LAN) ke dunia luar
(Internet). Dimana, sistem Linux ini
akan dijadikan sebagai PC Router dengan
konfigurasi Ip_forwarding, dan
NAT+MASQUERADE dengan settingan standard
yang sederhana. Sementara untuk
penggunaan Firewall, URL Filter, Squid serta Delay
Pools (manajemen bandwidth) akan
dibahas pada postingan berikutnya.
Installasi ini sudah berhasil
dilakukan pada distro linux redhat 9.0 dan fedora core 6.0
(LINUX TEXT) dengan spesifikasi
komputer Intel PIII 866MHz, RAM 256, HDD
20GB, dan 2 buah Ethernet Card
(Intel PRO/100 S Desktop Adapter – Realtek
RTL8139/810x Familiy Fast Ethernet
NIC).
1. Sebelum Setting mintalah IP
publik ke ISP lengkap dengan netmask, broadcast dan
dns-nya. Kemudian tentukan juga IP
Lokal yang akan digunakan pada komputer
client. Misal : (eth0) IP :
192.168.1.2 NETMASK : 255.255.255.0 GATEWAY :
192.168.1.1 BROADCAST :
192.168.1.255 NETWORK : 192.168.1.0DNS1 :
202.134.0.155DNS2 : 202.134.2.5
DNS3 : 203.130.193.74
(eth1)IP : 192.168.10.254/24NETMASK
: 255.255.255.0BROADCAST :
192.168.10.255
NETWORK : 192.168.10.0
Catatan, loginlah ke mesin linux anda
dengan username sebagai ROOT. Untuk
melakukan perubahan tekan tomboll
(insert) dan untuk menyimpan perubahan tekan
escape : wq (write quit).
2. Settinglah IP pada ethernet-0.#
vi /etc/sysconfig/network-scripts/ifcfg-eth0ip static
DEVICE=eth0 BOOTPROTO=static
BROADCAST=192.168.1.255
IPADDR=192.168.1.2NETMASK=255.255.255.0NETWORK=192.168.1.0
ONBOOT=yes
dhcpDEVICE=eth0BOOTPROTO=dhcp
ONBOOT=yes
2. Settinglah IP MGW dan HostName,
serta DNS Resolver # vi
/etc/sysconfig/network
NETWORKING=yes HOSTNAME=router
GATEWAY=192.168.1.1
# vi /etc/resolv.confnameserver
202.134.0.155nameserver 202.134.2.5
nameserver 203.130.193.74
3. Settinglah IP pada ethernet-1# vi
/etc/sysconfig/network-scripts/ifcfg-
eth1DEVICE=eth1BOOTPROTO=staticBROADCAST=192.168.10.255IPADDR=19
2.168.10.254NETMASK=255.255.255.0NETWORK=192.168.10.0
ONBOOT=yes
Pastikan default gateway telah
mengarah ke IP gateway ISP, # route –nDan untuk
melihat IP masing-masing ethernet
cobalah command berikut :
# ifconfig|more
5. Setting IP Forwarding, agar paket
dari jaringan client dapat berjalan ke jaringan di
luarnya melalui gateway.# vi
/etc/sysctl.conf
rubah net.ipv4.ip_forward = 0
menjadi net.ipv4.ip_forward = 1
# chkconfig –level 2345 network on
# /etc/rc.d/init.d/network restart
Sekarang lakukan testing dengan
ngeping ke:# ping 192.168.1.1# ping 202.134.0.155
atau 202.134.2.5# ping
www.google.com
# ping 192.168.10.0/24
Jika hasilnya Reply berarti
settingnya sudah berhasil dan tinggal selangkah lagi.
6. Agar client atau jaringan lokal
(LAN) yang terhubung dengan sistem linux anda (ke
eth1) dapat mengakses internet, maka
settinglah MGW dengan menggunakan source
NAT IPTables dan Forwarding.#
/etc/init.d/iptables stop
# vi /etc/rc.d/rc.nat
–:– Tambahkan scripts berikut –:–#
!/bin/sh # flushIptables –FIptables –F –t nat#
Script iptables untuk Source NAT
sesuai dengan ip di eth0 dan eth1 (IP
Statik)/sbin/iptables -t nat -A
POSTROUTING -o eth0 -s 192.168.10.0/24 -j SNAT –
to-source 192.168.1.2# Script
iptables jika ip external eth0 merupakan
DHCP/sbin/iptables -t nat -A
POSTROUTING -o eth0 -s 192.168.10.0/24 -j
MASQUERADE# Script
Forwarding/sbin/iptables -t nat -A PREROUTING -i eth1 -s
192.168.10.0/24 -p tcp –dport 80 -j
REDIRECT –to-ports 3128/sbin/iptables -t nat -A
PREROUTING -i eth1 -s
192.168.10.0/24 -p udp –dport 80 -j REDIRECT –to-ports
3128/sbin/iptables -t nat -A
PREROUTING -i eth1 -s 192.168.10.0/24 -p tcp –dport
8080 -j REDIRECT –to-ports 3128
/sbin/iptables -t nat -A PREROUTING
-i eth1 -s 192.168.10/24 -p udp –dport 8080 -j
REDIRECT –to-ports 3128
# chmod +x /etc/rc.d/rc.nat
# iptables –L –t nat
7. Simpanlah semua hasil konfigurasi
di /etc/rc.local, sehingga Anda tidak perlu harus
melakukan command-command sebelumnya
setiap kali sistem di on-kan atau di-
restart. Lakukan langkah berikut #
vi /etc/rc.local:– Tambahkan script berikut –:#
Local system initialization script#
Put any local setup commands in
here:#/etc/rc.d/rc.nat#
echo “”
Sampai pada tahap ini, berarti Anda
sudah selesai membangun sebuah PC router
dengan penerapan ip forwarding dan
NAT+Masquerade, untuk mengujinya lakukan
test ping dari komputer client ke
DNS atau ke www.google.com. Jika hasilnya reply,
berarti internet sudah bisa di akses
dari client
Tidak ada komentar:
Posting Komentar