1. Instalasi Linux Server (Ubuntu 12.04 LTS) Masukkan CD Ubuntu Server 120.04 LTS
1
www.itmediacenter.web.id | www.nicesoftmedia.com
2
www.itmediacenter.web.id | www.nicesoftmedia.com
3
www.itmediacenter.web.id | www.nicesoftmedia.com
4
www.itmediacenter.web.id | www.nicesoftmedia.com
5
www.itmediacenter.web.id | www.nicesoftmedia.com
2. Administrasi Firewall + Internet Gateway Ubuntu Server
Masuk ke user root (Administrator) Ketik: #sudo su Isiskan passwordnya #passwd root #sudo su - root
Mengganti IP Addres Network Interface #vim /etc/network/interfaces
Kemudian simpan (tekan esc, tekan Shift : qw) Restart /etc/init.d/networking restart
IP Forwarding # vim /etc/sysctl.conf Kemudian perlua ada perubahan pada file /etc/sysctl.conf
Hilangkan atnda # pada awal baris Network Address Translation #vim /etc/rc.local Kemudian ketik perintah di bawah ini gar IP local di NAT ke Publikd iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 0/0 -j MASQUERADE exit 0
IPTABLES -T NAT -L
UBAH PORT TELNET /ETC/SSH/SSHD_CONFIG SERVICE SSHD RESTART
6
www.itmediacenter.web.id | www.nicesoftmedia.com
3. Install Webmin #wget http://prdownloads.sourceforge.net/webadmin/webmin_1.680_all.deb #dpkg -i webmin_1.670_all.deb #apt-get -f install #Kemudian masuk ke browser ketik: https://192.168.2.254:10000 pada firefox browser 4. FIREWALL/ FILTERING iptables -A INPUT -i eth0 -p tcp --dport 23 -j REJECT iptables -A FORWARD -i eth0 -p tcp --dport 23 -j REJECT iptables -A INPUT -i eth0 -p tcp --dport 22 -j REJECT iptables -A INPUT -i eth0 -p tcp --dport 2100:2200 -j REJECT iptables -A FORWARD -i eth0 -p tcp --dport 2100:2200 -j REJECT iptables -A INPUT -i eth1 -s 192.168.2.50 -j REJECT iptables -A FORWARD -i eth1 -s 192.168.2.50 -j REJECT
Membatasi Masuk ke Server Linux dengan IP tertentu, Tetap akses ke internet tetap bisa iptables -A INPUT -i eth1 -m iprange --src-range 192.168.2.250-192.168.2.253 -j REJECT iptables -A INPUT -i eth1 -m iprange ! --src-range 192.168.2.1-192.168.2.100 -j REJECT ___________________________________________________________________ Memblok port 5000 s/d 6000 masuk ke eth0 dari internet iptables -A INPUT -i eth0 -m iprange --src-range 192.168.2.9-192.168.2.10 -p tcp --dport 5000:6000 -j REJECT iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.2.9-192.168.2.10 -p tcp --dport 5000:6000 -j REJECT iptables -A INPUT -i eth1 -m iprange ! --src-range 192.168.2.250-192.168.2.253 -p tcp --dport 22 -j REJECT iptables -A FORWARD -i eth1 -m iprange ! --src-range 192.168.2.250-192.168.2.253 -p tcp --dport 22 -j REJECT iptables -A INPUT -i eth0 -m iprange ! --src-range 192.168.2.250-192.168.2.253 -p tcp --dport 10000 -j REJECT iptables -A FORWARD -i eth0 -m iprange ! --src-range 192.168.2.250-192.168.2.253 -p tcp --dport 10000 -j REJECT
SEKARANG MENOLAK PORT-PORT YANG DARI INTERNET (eth0) MENUJU ->LAN TCP (BOLEH : 22,21,80,443) iptables -A INPUT -p tcp -i iptables -A INPUT -p tcp -i iptables -A INPUT -p tcp -i iptables -A INPUT -p tcp -i iptables -A INPUT -p tcp -i
eth0 eth0 eth0 eth0 eth0
--dport --dport --dport --dport --dport
1:20 -j REJECT 23:79 -j REJECT 81:442 -j REJECT 444:999 -j REJECT 10001:60000 -j REJECT
#UDP (BOLEH: 53 dan 10000-60000) iptables -A INPUT -p udp -i eth0 --dport 1:52 -j REJECT iptables -A INPUT -p udp -i eth0 --dport 54:999 -j REJECT
#FORWARD (BOLEH: 80,443,5000:6000) iptables iptables iptables iptables
-A -A -A -A
FORWARD FORWARD FORWARD FORWARD
-p -p -p -p
tcp tcp tcp tcp
-i -i -i -i
eth1 eth1 eth1 eth1
-o -o -o -o
eth0 eth0 eth0 eth0
--dport --dport --dport --dport
1:21 -j REJECT 23:79 -j REJECT 81:442 -j REJECT 444:4999 -j REJECT
#SEKARANG BLOK TORRENT DARI LAN PORT 10000-6000 udp iptables -A FORWARD -p udp -i eth1 -o eth0 --dport 10000:60000 -j REJECT -------------------------------------------------------------------------------------------------------------iptables -A INPUT -i eth1 -m iprange -- src-range 192.168.2.10-192.168.2.50 -j REJECT iptables -A FORWARD -i eth1 -m iprange -- src-range 192.168.2.10-192.168.2.50 -j REJECT
Memblokir Akses internet, (port 80,443,1025:4999, 6001:10000) dari IP: 192.168.2.250 s/d 192.168.2.253, hanya bias Outlook, YM, IANA Port
The Internet Assigned Numbers Authority (IANA) iptables -A INPUT -m iprange --src-range 192.168.2.250-192.168.2.253 -p tcp --dport 80 -j REJECT iptables -A FORWARD -m iprange --src-range 192.168.2.250-192.168.2.253 -p tcp --dport 80 -j REJECT iptables -A INPUT -m iprange --src-range 192.168.2.250-192.168.2.253 -p tcp --dport 443 -j REJECT iptables -A FORWARD -m iprange --src-range 192.168.2.250-192.168.2.253 -p tcp --dport 443 -j REJECT iptables -A INPUT -m iprange --src-range 192.168.2.250-192.168.2.253 -p tcp --dport 1025:4999 -j REJECT iptables -A FORWARD -m iprange --src-range 192.168.2.250-192.168.2.253 -p tcp --dport 1025:4999 -j REJECT
7
www.itmediacenter.web.id | www.nicesoftmedia.com
Blokir situs www.detik.com, www.kompas.com iptables -A FORWARD -s 0/0 -d www.detik.com -j REJECT iptables -A FORWARD -s 0/0 -d www.kompas.com -j REJECT
Blokir YOUTUBE iptables iptables iptables iptables
-A -A -A -A
INPUT -m iprange ! FORWARD -m iprange INPUT -m iprange ! FORWARD -m iprange
--src-range 192.168.2.10-192.168.2.20 -m string --string "www.youtube.com" --algo bm -j REJECT ! --src-range 192.168.2.10-192.168.2.20 -m string --string "www.youtube.com" --algo bm -j REJECT --src-range 192.168.2.10-192.168.2.20 -m string --string "youtube.com" --algo bm -j REJECT ! --src-range 192.168.2.10-192.168.2.20 -m string --string "youtube.com" --algo bm -j REJECT
_______________________________________________________________________________________________________________________
Memblok Komputer masuk ke server berdasrkan MAC-Address iptables -A INPUT -m mac --mac-source f6:29:52:46:70:ba -j REJECT iptables -A FORWARD -m mac --mac-source f6:29:52:46:70:ba -j REJECT
Membatasi berdasarkan port aplikasi iptables -A FORWARD -p tcp -d 0/0 –dport 5000:6000 -j REJECT (Port yahoo messenger) iptables -A FORWARD -p tcp -d 0/0 –dport 4634:5000 -j REJECT (Port P2P) iptables -A FORWARD -p udp -d 0/0 –dport 10000:60000 -j REJECT (Port Torrent / Skype)
Blokir PORT 80 (HTTP) iptables -A INPUT -m iprange -- src-range 192.168.2.61-192.168.2.70 -p tcp --dport 80 -j REJECT iptables -A FORWARD -m iprange -- src-range 192.168.2.61-192.168.2.70 -p tcp --dport 80 -j REJECT iptables -A INPUT -m iprange -- src-range 192.168.2.61-192.168.2.70 -p tcp --dport 80 -j REJECT iptables -A FORWARD -m iprange -- src-range 192.168.2.61-192.168.2.70 -p tcp --dport 80 -j REJECT ____________________________________________________________________________________________________
SEKARANG KITA BAHAS ARAH SEBALIKNYA, yt dari Luar/Internet Menuju LAN di dalam LAN Ada server mysql yg menjalankan port 3306 tcp dan kita larang yg dari internet ke LAN mengakses port 3306 tcp tersebut, bagaimana caranya, ini dia. Berarti : -i eth0 -o eth1
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 3306 -j REJECT Sekarang kita ke NAT POSTROUTIN G melakukan nat KELUAR PREROUTING melakukan nat MASUK postrouting selalu –o -o eth1 -o eth0, sedangkan prerouting selalu –i -i eth0 -i eth1 Misalnya: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE -j MASQUERADE = berarti alamat ip keluar di rubah menjadi alamat ip public
5. Network Address Translation (NAT) POSTROUTING iptables -t nat -A POSTROUTING -d 192.168.20.30 -j SNAT --to 192.168.20.1 iptables -t nat -A POSTROUTING -d 192.168.20.23 -j SNAT --to 192.168.20.22 PREROUTING iptables -t iptables -t iptables -t iptables -t
nat nat nat nat
-A -A -A -A
PREROUTING PREROUTING PREROUTING PREROUTING
-i -i -i -i
eth0 eth0 eth0 eth0
-p -p -p -p
tcp tcp tcp tcp
--dport --dport --dport --dport
2244 -j DNAT --to 192.168.20.20:22 25 -j DNAT --to 192.168.20.50:25 110 -j DNAT --to 192.168.20.50:110 80 -j DNAT --to 192.168.20.100:80
6. Anti duplikasi MAC Address Koneksi ke internet dihentikan apabila ada MAC Address 00:15:4e:30:2c:41 tidak samadengan IP 192.168.1.78) iptables -A INPUT -m mac --mac-source 00:15:4e:30:2c:41 ! -s 192.168.2.10 -j REJECT iptables -A INPUT -m mac --mac-source 48:0F:CF:26:DE:96 ! -s 192.168.2.11 -j REJECT
8
www.itmediacenter.web.id | www.nicesoftmedia.com
7. Server Monitoring…!!! #apt-get install nmap #nmap –sP 192.168.2.0/24 #scan IP #nmap –sS 192.168.2.10 #scan port #nmap –sS 192.168.2.0/24 –O #scan Sistem Operasi #nmap –sS mail.upbatam.ac.id #apt-get install ngrep Fungsinya Pantau trafic #ngrep ; port 5050 –d eth1 #ngrep ; –d eth1 1> logngrep.txt #apt-get install iftop #iftop –i eth1 –pP #apt-get install traceroute #traceroute www.kompas.com #nslookup mail.upbatam.ac.id #apt-get install whois #whois 180.241.204.37 whois 113.212.163.132 nmap –sS mail.upbatam.ac.id #apt-get install bmon #bmon #netstat –nr
8. Manajemen IPTABLES # iptables -t nat –L #iptables –L #iptables –F #iptables –Z
9. Konfigurasi Ubuntu Server 12.04 Sebagai DHCP Server Install paket DHCP server apt-get install isc-dhcp-server vim /etc/default/isc-dhcp-server
9
www.itmediacenter.web.id | www.nicesoftmedia.com
Pada gambar tampak INTERFACES=”eth0”, ganti menjadi eth1, jika DHCP Servernya sebagai Internet Gateway, karena eth0 adalah IN/Public # vim /etc/dhcp/dhcpd.conf
Kemudian edit file tersebut sesuai dengna kebutuhan, berikut ini contoh isi file konfigurasi Ubuntu server untuk dhcp server
Kemudian simpan (Ctrl+O) dan keluar (Ctrl+Z) Restart DHCP Servernya #/etc/init.d/isc-dhcp-server start #service isc-dhcp-server restart
10. Cara mengganti link repository #vim /etc/apt/sources.list Setelah itu, masukan File Repostory berikut tepat paling atas : deb deb deb deb
http://kambing.ui.ac.id/ubuntu/ http://kambing.ui.ac.id/ubuntu/ http://kambing.ui.ac.id/ubuntu/ http://kambing.ui.ac.id/ubuntu/
precise-proposed main restricted universe multiverse precise-security main restricted universe multiverse precise-updates main restricted universe multiverse precise main restricted universe multiverse
11. File Transfer Protokol Instalasi FTP Server # apt-get install proftpd-basic #/etc/init.d/proftpd restart Konfigurasi ProFTPD #vim /etc/proftpd/proftpd.conf Cari baris defaultRoot, hilangkan tanda pagar pada awal baris DefaultRoot
Penambahan User FTP adduser didik adduser doni adduser ahmad
10
www.itmediacenter.web.id | www.nicesoftmedia.com
Sekarang testing FTP, melalui browsing….. ftp://192.168.2.254 atau ftp://pbit-batam.com 192.168.2.254= IP Server ftp / linux Catatan: POSTROUTING, yaitu melakukan NAT paket data yang keluar dari firewall, kebanyakan postrouting dipakai untuk translasi alamat IP. PREROUTING, yaitu untuk melakukan NAT paket data yang memasuki firewall, kebanyakan digunakan untuk transparency proxy server dan membangun beberapa server dengan satu IP publik.
12. Command a. b. c. d. e. f. g.
uname -a : menampilkan semua informasi sistem komputer uname -m : menampilkan tipe mesin / prosesor uname -n : menampilkan hostname uname -r : menampilkan rilis sistem operasi uname -s : menampilkan nama sistem operasi uname -p : menampilkan tipe prosesor uname -v : menampilkan versi sistem operasi a. who : menampilkan data semua user yang sedang login b. whoami : menampilkan pengguna saat ini pwd : untuk mengetahui di direktori mana posisi kita saat ini man : menampilkan bantuan untuk beberapa perintah apropos : menampilkan perintah apa saja yang ada dilihat dari fungsinya secara massal whatis : menampilkan informasi suatu fungsi whatis date : menampilkan informasi fungsi date ls : berfungsi untuk menampilkan isi dari suatu directory beserta atribut a. ls -a : folder yang tersembunyi b. ls -A : sama dengan -a, tetapi tidak menampilkan direktori c. ls -C : menampilkan direktori dengan output berbentuk kolom d. ls -d : menampilkan direktori saja, isi direktori tidak ditampilkan e. ls -f : menampilkan isi direktori tanpa diurutkan f. ls -I : menampilkan isi direktori secara lengkap, mulai dari hak akses, owner, group dan tanggal file atau direktori tersebut dibuat g. ls -1 : menampilkan isi direktori dengan format satu direktori per baris touch : untuk membuat file mkdir : untuk membuat folder cd : untuk pindah direktori cp : untuk menduplikasi file mv : untuk memindahkan file a. rm : untuk menghapus dokumen b. rmdir : untuk menghapus folder kosong c. rmdir -rf : untuk menghapus folder yang ada isinya more (namafile) : untuk melihat isi sebuah file a. cat > (namafile) : untuk membuat file b. cat namafile : untuk melihat isi file c. cat >> (namafile) : untuk menambahkan isi dari file yang sudah ada cut : untuk menampilkan isi file berdasarkan kolom find : untuk mencari file atau direktori grep : untuk mencari data dalam isi file ln : untuk membuat link ke suatu file / direktori locate : digunakan untuk mencari letak suatu file dir : fungsinya sama dengan ls tail : berlawanan dengan cut, tail berfungsi untuk menampilkan isi file sesuai barisnya wc : menampilkan jumlah baris, jumlah kata dan ukuran dari sebuah file sort : menampilkan isi file teks secara urut. logout : untuk keluar dari sistem user history : melihat perintah yang sudah dihentikan Catatan: Cara Mengaktifkan user root yg tidak bisa di remote pada Ubuntu 14,04. Pengalaman saya ketika menginstall ubuntu 14.04 yang mana setelah di install tidak bisa di remote ssh untuk user rootnya, setelah di oprek ternyata perlakukannya berbeda dengan ubuntu di bawahnya, oke langsung saja akan saya share caranya :
11
www.itmediacenter.web.id | www.nicesoftmedia.com
1. masuk dan edit ke sshd_config root@myserver:~# vim /etc/ssh/sshd_config 2. Ganti PermitRootLogin menjadi Yes seperti gambar di bawah ini :
3. Setelah itu reboot server
Sekian dan trimkasih! Joni Hasugian Admin
12
www.itmediacenter.web.id | www.nicesoftmedia.com