1. FIREWAL 1) Instal Sistem Operasi Linux Ubuntu server 2) Konfigurasi IP (eth0Inrernet; eth1Lan) 3) Pastikan Internet sudah terkoneksi 4) Update && upgrade Kemudaian edit /etc/sysctl.conf, hapus tanda pagar yg di tulisan #net.ipv4.ip_forward=1 dan (Simpan) Ctl+0; keluar ctrl+x Kemudian Sekarang Kita NAT, edit file rc.local pico /etc/rc.local di atas exit 0 kita tuliskan iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (Simpam) Catan: -o eth0 yg keluar melalui eth0 -j MASQUERADE berarti di nat ke ip eth0 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (o kecil) Kemudian aktifkan dengan mengetikan: # sysctl -p Sekarang Kita Bahasa Firewall Catan:
INPUT = filter trafik yang masuk ke firewall OUTPUT = filter trafik yg keluar dari firewall (tdk pernah di pakai) FORWARD = menyaring trafik yg melintasi firewall Yang di pakai INPUT dan FORWARD A INPUT -i eth1-->Artinya berarti menyaring trafik yg memasuki eth1 Dalam hal ini kita eth1 (LAN), eth0 (internet)
Bahas FORWARD -A FORWARD -i eth1 (menyaring trafik yang masuk dari eth1 dan keluar dari semua interface) -A FORWARD -i eth1 -o eth0 (menyaring trafik yang hanya melintasi dari eth1 dan keluar melalui eth0) Target Filter ada 3 Macam: 1. ACCEPT berarti mengizinkan koneksi 2. DROP menerima koneksi tapi paket di buang 3. REJECT berarti koneksi di tolak Secara Default Mengijinkan Semua Koenksi # iptables -L Cara Block Range IP: $IN -m iprange --src-range 192.168.2.51-192.168.2.60 -j REJECT $FW -m iprange --src-range 192.168.2.51-192.168.2.60 -j REJECT Scrip ini biasanya di ketik di file firewall1 Caranya: #pico /usr/sbin/firewall1 Isinya sebagai berikut:
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 1
################# ISI FIREWALL1 ################## iptables -F iptables -Z iptables -N DILARANG iptables -t nat -F PREROUTING iptables -t nat -Z PREROUTING #variabel export IN="iptables -A INPUT" export FW="iptables -A FORWARD" export LAN1="192.168.2.10-192.168.2.20" export LAN2="192.168.2.21-192.168.2.50" export HRD="192.168.2.8" export GUDANG="192.168.2.9" export LAN3="192.168.2.61-192.168.2.100" export LAN4="192.168.2.101-192.168.2.253" export BLOK="iptables -A DILARANG" export TRANS="iptables -t nat -A PREROUTING -i eth1" ############ RULE FIREWAL ############################## #DEFINISI IP LAN2 #$IN -m iprange --src-range $LAN1 -j DILARANG #$FW -m iprange --src-range $LAN1 -j DILARANG #$IN -m iprange --src-range $LAN2 -j DILARANG #$FW -m iprange --src-range $LAN2 -j DILARANG #### di proses ke chain DILARANG #BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK $BLOK
Facebook dan youtube (Chain DILARANG) -m string --string "facebook.com" --algo bm -j REJECT -m string --string "fbcdn" --algo bm -j REJECT -m string --string "fbcdn.net" --algo bm -j REJECT -m string --string "fbcdn-sphotos" --algo bm -j REJECT -m string --string "fbcdn-profile" --algo bm -j REJECT -m string --string "fbcdn-photo" --algo bm -j REJECT -m string --string "fbcdn-creative" --algo bm -j REJECT -m string --string "fbstatic" --algo bm -j REJECT -m string --string "www.facebook.com" --algo bm -j REJECT -m string --string "youtube.com" --algo bm -j REJECT -m string --string "www.youtube.com" --algo bm -j REJECT -m string --string "youtube-ui" --algo bm -j REJECT -m string --string "ytimg" --algo bm -j REJECT -m string --string "ytstatic" --algo bm -j REJECT -m string --string "googlevideo.com" --algo bm -j REJECT -m string --string "video-stats.l.google.com" --algo bm -j REJECT -m string --string "youtube-nocookie.com" --algo bm -j REJECT -m string --string "youtubeeducation.com" --algo bm -j REJECT
#Blok LAN3 (Allow YM (5000:6000), IANA PORT 1-1024) $IN -m iprange --src-range $LAN3 -p tcp --dport 80 -j REJECT $FW -m iprange --src-range $LAN3 -p tcp --dport 80 -j REJECT $IN -m iprange --src-range $LAN3 -p tcp --dport 443 -j REJECT $FW -m iprange --src-range $LAN3 -p tcp --dport 443 -j REJECT #####LAN3 BLOK PORT 1025:4999#### $IN -m iprange --src-range $LAN3 -p tcp --dport 1025:4999 -j REJECT $FW -m iprange --src-range $LAN3 -p tcp --dport 1025:4999 -j REJECT $IN -m iprange --src-range $LAN3 -p tcp --dport 6001:10000 -j REJECT $FW -m iprange --src-range $LAN3 -p tcp --dport 6001:10000 -j REJECT #Blok LAN4 Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 2
$IN -m iprange --src-range $LAN4 -j REJECT $FW -m iprange --src-range $LAN4 -j REJECT ###### $TRANS $TRANS $TRANS
TRANSPARENT PROXY ####################### -m iprange --src-range $LAN1 -p tcp --dport 80 -j REDIRECT --to-port 3128 -m iprange --src-range $LAN2 -p tcp --dport 80 -j REDIRECT --to-port 3128 -s $HRD -p tcp --dport 80 -j REDIRECT --to-port 3128
#### TRANSPARENT DANSGUARDIAN ##### ###INI DIPAKAI JIKA SQUID TIDAK DIJALANKAN### #$TRANS -m iprange --src-range $LAN1 -p tcp --dport 80 -j REDIRECT --to-port 8080 #$TRANS -m iprange --src-range $LAN2 -p tcp --dport 80 -j REDIRECT --to-port 8080
###################################### END FIREWALL ########################################### Kemudian Buat Juga firewall2 #pico /usr/sbin/firewall2 ######### ISI FILE FIREWALL2 ############# #########BLOK PORT 23 DARI eth0 Public/Internet########## iptables -A INPUT -i eth0 -p tcp --dport 23 -j REJECT iptables -A FORWARD -i eth0 -p tcp --dport 23 -j REJECT iptables -A INPUT -i eth0 -p tcp --dport 2100:2200 -j REJECT iptables -A FORWARD -i eth0 -p tcp --dport 2100:2200 -j REJECT ######### IJINKAN PORT-PORT YG LEWAT ##### #DNS $IN -p udp --dport 53 -j ACCEPT $FW -p udp --dport 53 -j ACCEPT #SSH $IN -p tcp --dport 22 -j ACCEPT $FW -p tcp --dport 22 -j ACCEPT #TEAMVIEWER $IN -p tcp --dport 5938 -j ACCEPT $FW -p tcp --dport 5938 -j ACCEPT #HTTP $IN -p tcp --dport 80 -j ACCEPT $FW -p tcp --dport 443 -j ACCEPT #HTTPS $IN -p tcp --dport 443 -j ACCEPT $FW -p tcp --dport 443 - ACCEPT
ok skr kita pelajari nat / port forwarding port forwarding biasa di gunakan apabila kita memiliki satu ip publik untuk beberapa server ip lokal misalkan web server dan mail server yg di nat adalah interface yg memiliki ip publik misalkan eth0
budi_santosa24: kita arahkan ke ip lokal budi_santosa24: misalkan web server 192.168.2.100 (port 80) budi_santosa24: mail server 192.168.2.150 (port 25 & 110) budi_santosa24: kita buat rule nya Setelah Firewall2 dibuat, (SIMPAN); ketik # chmod 777 /usr/sbin/firewall2 (artinya bisa dieksekusi) Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 3
#pico /usr/sbin/nat1 ############## ISI SCRIPT, NAT1 ############# #hapus rule sebelumnya iptables -t nat -F PREROUTING iptables -t nat -Z PREROUTING #variabel export NAT="iptables -t nat -A PREROUTING -i eth0" #Web Server $NAT -p tcp --dport 80 -j DNAT --to 192.168.2.100:80 #artinya: berarti request ke port 80 eth0 diarahkan ke 192.168.2.100 port 80 #SMTP $NAT -p tcp --dport 25 -j DNAT --to 192.168.2.150:25 #POP# $NAT -p tcp --dport 110 -j DNAT --to 192.168.2.150:110 #TRANSPARENT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
(Simpan dan kelaur) kita rubah agar bisa di eksekusi #chmod 777 /usr/sbin/nat1 Untuk jalankannya Ketik #nat 1 kemudian ketik di rc.local #pico /etc/rc.local ############## ISI SCRIPT RC.LOCAL ############# # By default this script does nothing. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE /usr/sbin/nat1 /usr/sbin/firewall1 /usr/sbin/firewall2 exit 0
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 4
1.2 IPTABLES Iptables selain berfungsi sebagai network filter atau firewall juga bisa untuk port forwading. Port forwarding yaitu memproses masukan ke port tertentu kemudian diteruskan ke komputer lain dengan nomor port yang sama. Teknik untuk port forwarding disebut Port Address Translation (PAT) yang dilakukan oleh module Network Address Translation (NAT) PREROUTING iptables. Setiap permintaan masuk ke port 23 pada ethertnet 0 (eth0) bisa kita alihkan ke komputer tujuan 192.168.1.100 port 23. Jadi untuk membuat port forwarding diperlukan dua buah kartu jaringan, linux berfungsi sebagai router internet, kartu jaringan 0 (eth0) terhubung ke modem ADSL dan kartu jaringan 1 (eth1) ke arah komputer klien atau server. Pada tutorial kali ini akan kita bahas port forwarding satu alamat IP untuk beberapa server linux. Sebelumnya kita harus konfigurasi dulu modem ADSL, setiap request yang masuk ke port berapa pun (port 0 – 60000) diarahkan ke komputer 192.168.0.2. Dari komputer 192.168.0.2 inilah port forwarding kita lakukan. vim /etc/rc.local iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 3306 -j DNAT –to 192.168.1.12:3306 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to 192.168.1.10:80 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 25 -j DNAT –to 192.168.1.13 :25 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 110 -j DNAT –to 192.168.1.13:110 iptables -t nat -A PREROUTING -i eth0 -p udp –dport 1194 -j DNAT –to 192.168.1.50:1194
Iptables merupakan aplikasi bawaan linux yang berfungsi sebagai firewall yang biasanya terpasang bersama internet gateway. Firewall sangat berguna untuk mengendalikan trafik dan akses internet. Kita bisa membatasi klien yang terkoneksi ke internet, port aplikasi yang menggunakan internet dan mengatur berdasarkan mac address. Firewall iptables memiliki tiga policy:
INPUT: untuk filtering trafik yang memasuki firewall OUTPUT: untuk filtering trafik yang keluar dari firewall FORWARD: untuk filtering trafik yang melintasi firewall langsung ke internet
Yang biasa dipakai adalah policy INPUT dan FORWARD, digunakan secara berpasangan. Policy INPUT melakukan filtering trafik paket data yang masuk ke firewall, sedangkan FORWARDyang melintasi firewall. Perintah linux yang digunakan: Membatasi komputer dengan IP 192.168.1.100 iptables -A INPUT -s 192.168.1.100 -j REJECT iptables -A FORWARD -s 192.168.1.100 -j REJECT Membatasi komputer dengan IP 192.168.1.20-192.168.1.34 iptables -A INPUT -m iprange –src-range 192.168.1.20-192.168.1.34 -j REJECT iptables -A FORWARD -m iprange –src-range 192.168.1.20-192.168.1.34 -j REJECT
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 5
Membatasi berdasarkan MAC Address iptables -A INPUT -m mac –mac-source 00:15:4e:30:2d:40 -j REJECT iptables -A FORWARD -m mac –mac-source 00:15:4e:30:2d:40 -j REJECT Anti duplikasi MAC Address (koneksi ke internet dihentikan apabila ada MAC Address
00:15:4e:30:2c:41 tidak samadengan IP 192.168.1.78) iptables -A INPUT -m mac –mac-source 00:15:4e:30:2c:41 -s ! 192.168.1.78 -j REJECT iptables -A FORWARD -m mac –mac-source 00:15:4e:30:2c:41 -s ! 192.168.1.78 -j REJECT
Membatasi berdasarkan port aplikasi iptables -A FORWARD -p tcp -d 0/0 –dport 5000:6000 -j REJECT (Port yahoo messenger) iptables -A FORWARD -p tcp -d 0/0 –dport 4634:5000 -j REJECT (Port P2P) iptables -A FORWARD -p udp -d 0/0 –dport 10000:60000 -j REJECT (Port Torrent / Skype)
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 6
2. CONFIGURASI SQUID #sudo apt-get update && upgrade -y
#apt-get install squid #apt-get install squid squidclient squid-cgi #apt-get install ccze #apt-get install links
#cp /etc/squid3/squid.conf /etc/squid3/squid.conf.ori #grep –v “^#” squid.conf | sed –e ‘/^$/d’ >hasil.txt
Squid secara default berkomunikasi dengan klien melalui port 3128 yang ditunjukan file Konfigurasi pico /etc/squid/squid.conf visible_hostname gw.ardelindo.com http_port 3128 transparent # 512 / 2 = 256 # cache_mem = ½ memory fisik (RAM) cache_mem 128 MB cache_swap_low 94 cache_swap_high 96 maximum_object_size 1000096 KB maximum_object_size_in_memory 8000 KB ipcache_size 1024 ipcache_low 90 ipcache_high 95 cache_replacement_policy lru memory_replacement_policy lru #cache_dir ufs tempat_direktori kapasitas level 1 level 2 cache_dir ufs /var/spool/squid 100 16 256 pid_filename /var/run/squid.pid debug_options ALL,1 cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log dns_nameservers 202.134.1.10 202.134.0.155 Access Control List acl LAN1 src 192.168.0.0/255.255.255.0 acl LAN2 src 10.0.0.0/255.255.0.0 Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 7
acl admin src 192.168.0.100/255.255.255.255 acl admin2 src “/etc/squid/admin2” acl multimedia urlpath_regex “/etc/squid/multimedia” acl situs url_regex “/etc/squid/situs” acl pagi time 08:0012:00 acl istirahat time 12:0013:00 acl siang time 13:0018:00 # operator http_access allow admin http_access allow admin2 http_access deny pagi multimedia http_access deny situs http_access allow LAN1 http_access deny pagi LAN2 http_access deny all
# File: vim /etc/squid/multimedia \.iso$ \.mp3$ \.3gp$
# File: vim /etc/squid/situs youtube friendster hi5 flickr photobucket liveconnector
# File: vim /etc/squid/admin2 192.168.0.34 192.168.0.37 192.168.0.200
## BLOK PORT 23 TELNET dari eth0 / public ## iptables –t nat –A INPUT –i eth0 iptables –t nat –A FORWARD –i eth0 iptables –t nat –A INPUT –i eth0 iptables –t nat –A FORWARD -p tcp
-p tcp -p tcp -p tcp --dport
--dport 23 –j REJECT --dport 23 –j REJECT --dport 2100:2200 –j REJECT 2100:2200 –j REJECT
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 8
IPTABLES POSTROUTING iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Iptables –t nat –A POSTROUTING –s 192.168.2.0/24 –d 0/0 –j MASQUERADE
PREROUTING iptables –t nat –A PREROUTING –i eth1 –p tcp –dport 80 –j REDIRECT –to-port 3128
iptables –t nat –A PREROUTING
–p tcp –dport 80 –j REDIRECT –to-port 3128
iptables –t nat –A PREROUTING
–p tcp –s 192.168.2.0/24 –dport 80 –j REDIRECT –to-
port 3128 iptables –t nat –A PREROUTING
–p tcp –dport 80 –j REDIRECT –to-port 3128
Isi File Squid.Conf #pico /etc/squid3/squid.conf #===== SQUID FILE BY: JONI HASUGIAN====# http_port 3128 transparent icp_port 0 prefer_direct off cache_mem 128 MB cache_swap_low 90 cache_swap_high 95 max_filedesc 8192 maximum_object_size 128 MB minimum_object_size 0 KB maximum_object_size_in_memory 128 KB ipcache_size 1024 ipcache_low 90 ipcache_high 95 cache_replacement_policy heap LFUDA memory_replacement_policy heap GDSF cache_replacement_policy lru memory_replacement_policy lru cache_dir aufs /var/spool/squid3 1000 16 256 cache_dir aufs /cache1 40000 94 256 access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log pid_filename /var/run/squid3.pid emulate_httpd_log off hosts_file /etc/hosts half_closed_clients off acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 9
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 #acl kantor src 192.168.2.0/24 acl lan1 src 192.168.2.10 192.168.2.30/32 acl lan2 src 192.168.2.31 192.168.2.50/32 acl hrd src 192.168.2.8 acl serverku
src 192.168.2.254/32
acl blokweb dstdomain "/etc/squid3/web.txt" acl blokkata url_regex -i "/etc/squid3/kata.txt" acl multi urlpath_regex "/etc/squid3/multi.txt" #acl weblarang url_regex "/etc/squid3/situs" #acl multimedia urlpath_regex "/etc/squid3/multimedia" acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl
SSL_ports port 443 563 873 # https snews rsync Safe_ports port 80 # http Safe_ports port 20 21 # ftp Safe_ports port 70 # gopher Safe_ports port 210 # wais Safe_ports port 1025-65535 # unregistered ports Safe_ports port 631 # cups Safe_ports port 10000 # webmin Safe_ports port 901 # SWAT Safe_ports port 280 # http-mgmt Safe_ports port 488 # gss-http Safe_ports port 591 # filemaker Safe_ports port 777 # multiling http Safe_ports port 873 # rsync Safe_ports port 110 # POP3 Safe_ports port 25 # SMTP Safe_ports port 2095 2096 # webmail from cpanel Safe_ports port 2082 2083 # cpanel CONNECT method CONNECT
http_access allow manager localhost http_access deny manager http_access allow localhost http_access deny blokweb http_access deny blokkata http_access allow serverku #http_access allow kantor http_access allow lan1 http_access allow lan2 http_access allow hrd #http_access deny weblarang http_access deny multi http_access deny !Safe_ports http_access deny CONNECT !SSL_ports icp_access deny all http_access deny all # UNTUK DELAY POOLS #===================== Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 10
acl download urlpath_regex -i ftp$ \.exe$ \.mp3$ \.mp4$ \.flv$ \.mp4$ \.rar$ \.avi$ \.mpg$ \.mpeg$ \.iso$ \.wav$ \.mov$ \.dat$ \.iso$ \.mid$ \.midi$ delay_pools 3 delay_class 1 2 delay_class 2 2 delay_class 3 2 delay_parameters 1 -1/-1 6000/1000000 delay_access 1 allow lan1 delay_access 1 deny all delay_parameters 2 -1/-1 3000/1000000 delay_access 2 allow lan2 delay_access 2 deny all delay_parameters 3 -1/-1 2000/1000000 delay_access 3 allow hrd delay_access 3 deny all reply_body_max_size 30 MB cache_mgr
[email protected] visible_hostname nagoyahill.com cache_effective_user proxy coredump_dir /var/spool/squid3 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Packages(.gz)*)$ 0 refresh_pattern . 0 20% 4320
20%
Modul Internet Gateway&Firewall -Joni /HP:081372270180
2880
Page 11
ISI FILE FIREWALL1 #pico /usr/sbin/firewall1 #chmod 777 /usr/sbin/firewall1 #firewall1
(jangan lupa ketik di /etc/r c.locl /usr/sbin/firewall1
iptables -F iptables -Z iptables -N DILARANG iptables -t nat -F PREROUTING iptables -t nat -Z PREROUTING
#variabel export IN="iptables -A INPUT" export FW="iptables -A FORWARD" export LAN1="192.168.2.10-192.168.2.30" export LAN2="192.168.2.31-192.168.2.50" export HRD="192.168.2.8" #export GUDANG="192.168.2.9" export LAN3="192.168.2.61-192.168.2.100" export LAN4="192.168.2.101-192.168.2.253" export BLOK="iptables -A DILARANG" export TRANS="iptables -t nat -A PREROUTING -i eth1"
############ RULE FIREWAL ##############################
#DEFINISI IP LAN2 $IN -m iprange --src-range $LAN1 -j DILARANG $FW -m iprange --src-range $LAN1 -j DILARANG $IN -m iprange --src-range $LAN2 -j DILARANG $FW -m iprange --src-range $LAN2 -j DILARANG #### di proses ke chain DILARANG
#BLOK Facebook dan youtube (Chain DILARANG)
$BLOK -m string --string "facebook.com" --algo bm -j REJECT $BLOK -m string --string "fbcdn" --algo bm -j REJECT $BLOK -m string --string "fbcdn.net" --algo bm -j REJECT $BLOK -m string --string "fbcdn-sphotos" --algo bm -j REJECT Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 12
$BLOK -m string --string "fbcdn-profile" --algo bm -j REJECT $BLOK -m string --string "fbcdn-photo" --algo bm -j REJECT $BLOK -m string --string "fbcdn-creative" --algo bm -j REJECT $BLOK -m string --string "fbstatic" --algo bm -j REJECT $BLOK -m string --string "www.facebook.com" --algo bm -j REJECT $BLOK -m string --string "youtube.com" --algo bm -j REJECT $BLOK -m string --string "www.youtube.com" --algo bm -j REJECT $BLOK -m string --string "youtube-ui" --algo bm -j REJECT $BLOK -m string --string "ytimg" --algo bm -j REJECT $BLOK -m string --string "ytstatic" --algo bm -j REJECT $BLOK -m string --string "googlevideo.com" --algo bm -j REJECT $BLOK -m string --string "video-stats.l.google.com" --algo bm -j REJECT $BLOK -m string --string "youtube-nocookie.com" --algo bm -j REJECT $BLOK -m string --string "youtubeeducation.com" --algo bm -j REJECT
#Blok LAN3 (Allow YM (5000:6000), IANA PORT 1-1024) $IN -m iprange --src-range $LAN3 -p tcp --dport 80 -j REJECT $FW -m iprange --src-range $LAN3 -p tcp --dport 80 -j REJECT
$IN -m iprange --src-range $LAN3 -p tcp --dport 443 -j REJECT $FW -m iprange --src-range $LAN3 -p tcp --dport 443 -j REJECT
#####LAN3 BLOK PORT 1025:4999#### $IN -m iprange --src-range $LAN3 -p tcp --dport 1025:4999 -j REJECT $FW -m iprange --src-range $LAN3 -p tcp --dport 1025:4999 -j REJECT
$IN -m iprange --src-range $LAN3 -p tcp --dport 6001:10000 -j REJECT $FW -m iprange --src-range $LAN3 -p tcp --dport 6001:10000 -j REJECT
#Blok LAN4 $IN -m iprange --src-range $LAN4 -j REJECT $FW -m iprange --src-range $LAN4 -j REJECT
###### TRANSPARENT PROXY ####################### $TRANS -m iprange --src-range $LAN1 -p tcp --dport 80 -j REDIRECT --to-port 3128 $TRANS -m iprange --src-range $LAN2 -p tcp --dport 80 -j REDIRECT --to-port 3128 $TRANS -s $HRD -p tcp --dport 80 -j REDIRECT --to-port 3128
#### TRANSPARENT DANSGUARDIAN ##### ###INI DIPAKAI JIKA SQUID TIDAK DIJALANKAN### #$TRANS -m iprange --src-range $LAN1 -p tcp --dport 80 -j REDIRECT --to-port 8080 Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 13
#$TRANS -m iprange --src-range $LAN2 -p tcp --dport 80 -j REDIRECT --to-port 8080
Kemudian ketik di /etc/rc.local #pico /etc/rc.local #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # By default this script does nothing. #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 0/0 -j MASQUERADE
#########ini di nonaktifkan (#) karena sudah dijalankan di file firewall1######### #/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #/sbin/iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --toport 3128
#/usr/sbin/nat1 ##############Untuk Menjalan Firewall1 Yg Dibuat /usr/sbin/firewall ########### /usr/sbin/firewall1 exit 0
3. DANSGUARDIAN #apt-get install dansguardian
Port dansguardian 8080; Dansguardian memiliki 2 Jenis List a) Exception = Pengecualian, atai sites, ip, file, kata-kata yg dijinkan lewat jika di ketik didalam file tersebut, jika dimasukkan dalam file exceptionlist maka tidak akan diblokir (secara default exceptionlist masih ksong, harus kita masukkan secara manual /ketik ) a. -exceptionsitelist =Website yg di ijinkan b. --exceptionphraselist=Kata-kata yg boleh di akses, missal, cewek, sex,pukimak, juid c. -exceptioniplist=Ip yang bisa akses Internet
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 14
b) Bannedlist, =Semua sites, Ip, file extension, kata-kata, jika dimasukkan akan di blokir,tetapi jika file atau extension tertentu bisa di download buat tanda pagar (#) diawal baris. -bannedsitelist =Website yg tidak bias di akses -bannedphraselist=Kata-kata yg boleh di bias akses, missal, cewek, sex,pukimak, juid -bannediplist=Ip Tidak bias akses Internet
Miasl. #zip #doc #xls Artinya jika dimasukkan di bannedextensionlist, akan tetap bias didownload; Tetapi jika dalam bannedlist zip doc xls Berarti file tersebut tidak bias didownload
Kemudian configurasi dansguardian #pico /etc/dansguardian/dansguardian.conf
Cari file loglocation = “/var/log/dansguardian.log” Cari lagi file accessaddress …. Ubah Menjadi Accessaddress= “http://192.168.2.254/cgi-bin..... Simpan Buat transparen proxy di /etc/rc.local iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
Atau…. Klo di file /usr/sbin/firewall1 Ketik export LAN1="192.168.2.10-192.168.2.20" export TRANS="iptables -t nat -A PREROUTING -i eth1" #$TRANS -m iprange --src-range $LAN1 -p tcp --dport 80 -j REDIRECT --to-port 8080
Artinya $LAN1 ->yg bias melalui port 8080 (dansguardian); missal range ip $LAN1 192.168.2.10-192.168.2.50 Kemudain testing #firewall1 #tail –f
/var/log/dansguardian/access.log
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 15
4. MONITOR SERVER #apt-get install nmap #nmap –sP 192.168.2.0/24 #scan IP #nmap –sS 192.168.2.10 #scan port #nmap –sS 192.168.2.0/24 –O #scan Sistem Operasi ##nmap –sS mail.upbatam.ac.id #apt-get install ngrep FungsinyaPantau trafic #ngrep ‘’ port 5050 –d eth1 #ngrep ‘’
–d eth1 1> logngrep.txt
#apt-get install iftop #iftop –i eth1 –pP
#apt-get install traceroute #traceroute www.kompas.com
#nslookup mail.upbatam.ac.id
#apt-get install whois #whois 180.241.204.37
#apt-get install bmon #bmon
#netstat –nr #iptables –L –t nat
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 16
5. SAMBA / DATA CENTER 1. Install Paket samaba dan paket pendukung lainnya #sudo #sudo #sudo #sudo
apt-get apt-get apt-get apt-get
update && upgrade -y install samba samba-common install samba samba-doc, libkrb53, winbind, smbclient quota
2. Bacup file samba #cp /etc/samba/smb.conf /etc/samba/smb.conf.ori a. Buat folder Share di /Home FINANCE HRD KEUANGAN #mkdir /home/FINANCE #mkdir /home/HRD #mkdir /home/KEUANGAN #mkdir /home/UMUM b. Buat Permission Folder #chmod 777 /home/FINANCE #chmod 777 /home/HRD #chmod 777 /home/KEUNGAN #chmod 777 /home/UMUM
c. Daftarkan kepemilikina user terhadap folder #chown joni /home/UMUM #chown lena /home/KEUANGAN
Catatan: a. 777 berarti : Atribut file : -rwx-rwx-rwx Atribut folder : drwxdrwxdrwx (d untuk menunjukkan direktori) Baik Owner, Group dan Public mempunyai hak akses penuh (baca, tulis, eksekusi). BERBAHAYA jika untuk waktu lama, file atau direktori anda berada dalam posisi ini, karena rawan di-hacker. b. 644 berarti : Atribut file : -rw--r---r-Atribut folder : drw-dr--dr-- (d untuk menunjukkan direktori) Baik Owner hanya mempunyai hak akses baca dan tulis, sedangkan yang lainnya hanya bisa membaca saja. Gunakan akses ini untuk file configuration, file setting, ataupun file-file yang anda rasa penting berkaitan dengan akses sistem website anda. c. 755 berarti : Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 17
Atribut file : -rwx-r-x-r-x Atribut folder : drwxdr-xdr-x (d untuk menunjukkan direktori) Baik Owner mempunyai hak akses penuh, sedangkan yang lainnya hanya bisa membaca dan menjalankan saja. Biasa digunakan untuk akses folder atau direktori. d. 444 berarti Atribut file : -r---r---r-Atribut folder : dr--dr--dr-- (d untuk menunjukkan direktori) Semua user hanya bisa membaca saja tanpa bisa mengubah ataupun memasuki file tersebut. INI SANGAT MANJUR untuk menghalangi hacker.
3. Membut User dan Group #adduser joni Password: xxxxxx (2 kali) Daftarkan user ke Samba #smbpasswd -a joni # smbpasswd -a lena # smbpasswd -a didi # smbpasswd -a dede Isikan password samba (2 kali setiap user) 4. Pengecekan pendaftaran user # pdbedit -l 5. Buat user di atas dan group akses # groupadd IT # gpasswd -a joni IT # gpasswd -a lena IT 6. Daftarkan Komputer ke samba #groupadd machine #useradd –g machin –s /sbin/false #passwd –l -pc$ #smbpasswd –a –m pc$
pc$
7. Install Webmin 8. #wget wget http://sourceforge.net/projects/webadmin/files/webmin/1.670/webmin_1.6 70_all.deb/download?use_mirror=jaist #dpkg –i w ebmin_1.670_all.deb #apt-get install –F Buka https://192.168.2.254:10000
9. Buat File samba #pico /etc/samba/smb.conf Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 18
Isinya seperti berikut ini; # Global parameters [global] log file = /var/log/samba/log.%m read raw = no write raw = no #security = share socket options = TCP_NODELAY SO_RCVBUF=8760 SO_SNDBUF=8760 logon drive = p: username map = /etc/samba/user.map hide dot files = yes domain master = Yes encrypt passwords = true keepalive = 0 logon home = \\PDC\%u dns proxy = No netbios name = myserver server string = Ubuntu File Server kernel oplocks = false #local master = Yes workgroup = PBIT-BATAM os level = 100 update encrypted = Yes preferred master = yes local master = yes max log size =7000 domain logons = Yes #oplocks = No # use sendfile = No #large readwrite = No #max xmit = 18675432 # add machine script = /usr/sbin/useradd -d /dev/null -g sambaclients -s /bin/false -M %u #security =share # vfs object = kavsamba5-smb-3.0.26a [homes] comment = Home Directories writeable = yes vfs object = kavsamba5-smb-3.0.26a directory mode = 0777 # ADDED BY KASPERSKY ANTI-VIRUS FOR SAMBA SERVERS 5.5 [printers] comment = All Printers path = /var/spool/samba printable = Yes browseable = No [FINANCE] guest account = lena writeable = yes path = /home/FINANCE write list = lena force directory mode = 777 Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 19
delete veto files = yes force create mode = 777 force user = lena valid users = lena veto files = rar/*.MP3/*.avi/*.AVI/*.AV/*.DAT/*.av/*.dat/*.wmv/*.wma/*.WMA/*.wav/*. WAV/*.3gp/*.3GP/*.mid/*.MID/*.M3U/*.m3u/*.mpg/*.MPG/*.mp4/*.MP4/ *.scr/*.SCR/*.cmd/*.pif/*.PIF/*.CMD/*.vob/*.VOB/*.exe/*.EXE/*.ba t/
create mode = 777 directory mode = 777 [UMUM] writeable = yes write list = joni,salman,andi,budi,ani,tini,lena path = /home/UMUM force directory mode = 777 delete veto files = yes force create mode = 777 valid users = joni,salamn,andi,budi,ani,tini,lena veto files = /*.mp3/*.MP3/*.avi/*.AVI/*.AV/*.DAT/*.av/*.dat/*.wmv/*.wma/*.WMA/*.wav /*.WAV/*.3gp/*.3GP/*.mid/*.MID create mode = 777 directory mode = 777 [HRD] writeable = yes path = /home/HRD write list = dina,tini,ani,joni,salman force directory mode = 777 delete veto files = yes force create mode = 777 valid users = dina,tini,ani,joni,salman create mode = 777 veto files = /*.mp3/*.MP3/*.avi/*.AVI/*.AV/*.DAT/*.av/*.dat/*.wmv/*.wma/*.WMA/*.wav /*.WAV/*.3gp/*.3GP/*.mid/*.MID/*.M3U/*.m3u/*.mpg/*.MPG/*.mp4/*.MP4/*.s cr/*.SCR/*.cmd/*.pif/*.PIF/*.CMD/*.vob/*.VOB/*.exe/*.EXE/*.bat/*.BAT/* .msi/*MSI directory mode = 777 [IT] guest account = joni writeable = yes invalid users = @IT path = /home/IT write list = joni,salman,@IT force directory mode = 777 force create mode = 777 delete veto files = yes valid users = joni,salman Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 20
create mode = 777 veto files = /*.mp3/*.MP3/*.avi/*.AVI/*.AV/*.DAT/*.av/*.dat/*.wmv/*.wma/*.WMA/*.wav /*.WAV/*.3gp/*.3GP/*.mid/*.MID/*.M3U/*.m3u/*.mpg/*.MPG/*.mp4/*.MP4/*.s cr/*.SCR/*.cmd/*.pif/*.PIF/*.CMD/*.vob/*.VOB/*.exe/*.EXE/*.bat/*.BAT/* .msi/*MSI directory mode = 777 [QA] guest account = anton comment = Data QA valid users = @QA path = /home/QA write list = @QA [GUDANG] comment = Data Gudang writeable = yes valid users = joni,@GUDANG write list = joni,@GUDANG path = /home/GUDANG [KEUANGAN] writeable = yes path = /home/KEUANGAN write list = lena,@batam comment = Data Keuangan valid users = lena,@batam create mode = 777 directory mode = 777 Kemudian restart sambanya #/etc/init.d/smbd restart #pico /etc/nsswitch.conf Tambahkan host : files wins dns Daftrarkan user root ke user samba #smbpasswd a- root (Masukkan password samba dua kali)
Kemudian buat file smb.user #pico /etc/samba/user.smb Ketikan root = administrator Kemudian restart sambanya lagi # service smbd restart
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 21
Kemudian cek #smbclient –L localhost –U%
Melihat daftar user untuk samba # pdbedit –L
10. Konfigurasi Ubuntu Server 12.04 Sebagai DHCP Server
Install paket DHCP server # apt-get install isc-dhcp-server
1. Tentukan interface apa yang akan melayani permintaan dhcp request dari komputer client (eth0, eth1, dst) pada tutorial ini saya menggunakan eth0 2. Alokasi (Pool) IP Address yang nantinya akan diberikan kepada setiap komputer client harus berada pada satu network dengan ubuntu server. Pada contoh ini saya akan mengalokasikan IP address 192.268.2.10 – 192.168.2.50 dengan netmask 255.255.255.0 sedangkan IP Ubuntu server 192.168.1.4 Jika sudah siap silahkan edit file /etc/default/isc-dhcp-server dengan menggunakan perintah : # pico /etc/default/isc-dhcp-server
Pada gambar tampak INTERFACES=”eth0”, ganti menjadi eth1, jika DHCP Servernya sebagai Internet Gateway, karena eth0 adalah IN/Public # pico /etc/dhcp/dhcpd.conf
Kemudian edit file tersebut sesuai dengna kebutuhan, berikut ini contoh isi file konfigurasi ubuntu server untuk dhcp server default-lease-time 600; max-lease-time 7200; subnet 192.168.2.0 netmask 255.255.255.0 { range 192.168.2.10 192.168.2.50; option routers 192.168.2.254; option domain-name-servers 192.168.1.1; option domain-name "pbit-batam.com"; option netbios-name-servers 192.168.2.254; } # joni_IT Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 22
host laptop { hardware ethernet 00:1d:7d:7e:44:c8; fixed-address 192.168.3.38; }
Kemudian simpan (Ctrl+O) dan keluar (Ctrl+Z) Restart DHCP Servernta
#/etc/init.d/isc-dhcp-server start #service isc-dhcp-server restart a. MOUNT FOLDER #mount /dev/sda /mnt #mount /dev/sdb /mnt # mount /dev/sdb1 /media/hdd b. CARA PARTISI
Tergantung device, bisa sdb, sda, sdb1
#fdisk /dev/sdb1 c. MENGHAPUS FOLDER #rm -r -f /home/FINANCE #rm -R -f /home/FINANCE #rm -r -f /var/www/html/wiskul/
#df –h #cp /home/* /media/hdd
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 23
MAIL SERVER Zimbra Mail Server (ZCS) Mail server adalah program daemon yang bekerja menampung dan mendistribusikan email dalam jaringan. Protokol yang umum digunakannya antara lain adalah protokol SMTP, POP3 dan IMAP. SMTP (Simple Mail Transfer Protocol) digunakan sebagai standar untuk menampung dan mendistribusikan email, sedangkan POP3 (Post Office Protocol v3) dan IMAP (Internet Mail Application Protocol) digunakan agar user dapat mengambil dan membaca email secara remote, yaitu tidak perlu login ke dalam sistem shell mesin mail server, cukup menghubungi port tertentu dengan mail client yang mengimplementasikan protokol POP3 dan/atau IMAP. Lebih jelasnya, bila disebutkan ’mail server’, hal ini dapat menunjukkan pada daemondaemon yang bekerja dengan cara mengimplementasikan salah satu protokol di atas. Domain Name System DNS atau domain name system merupakan tulang pungggung system penamaan domain di internet. Fungsi utama dari sebuah serevr DNS adalah menerjemahkan namanama host (hostname) menjadi alamat IP atau sebeliknya sehingga nama sebuah host akan lebih mudah diingat oleh pengguna. Fungsi lain dari DNS adalah memberikan informasi tentang suatu host ke seluruh internet. Zimbra Zimbra adalah software open source untuk email server dan kolaborasi (groupware), yang menyediakan solusi email server yang powerful, penjadwalan, kalender grup, kontak dan manajemen penyimpanan dokumen via web. Zimbra server tersedia untuk Linux, Mac OS X dan platform virtualisasi Port-Port yang di Forward NO Port 53 110 465 993 26
Nama Port DNS POP SMTP(SSL) B(blackbery)B
Smtp
NO Port 25 443 995 7071 587
Nama Port SMTP HTPS SMTP (SSL) Admin Zimbra SMTP
Langkah-langkah Instalasi Zimbra 1. Pastika Server Linux sudah tersintall. Kemudian install paket-paket yang berhubungan dengan Zimbra itu senditi. #apt-get update & upgrade –y #apt-get install bind9 Untuk Versi ZCS-7-0.. #apt-get install sysstat sqlite3 libperl5.10 Sedangakan ZCS-8-0.. #apt-get install sysstat sqlite3 libperl5.14 libgmp3c2 2. Kemudian configures IP #pico /etc/network/interfaces Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 24
Catatan: Saat anda melakukan instalasi Zimbra, pastika setingan pada IP configurasi, pad dnsnameservers IP computer itu sendiri. Contoh domain-nameservers 192.168.4.10 3. Konfigurasi hosts #pico /etc/hosts
Catatan: Pastika saat instalasi Server Linux, hostnamenya: host, dan domain name:pbit-batam.com (contoh domain yang kita pake). 4. Konfiguras resolv.conf #pico /etc/resolv.conf
Catatan: Saat anda melakukan instalasi Zimbra, namservernya adalah nameserver local / IP computer itu sendiri, karena akan mengakibatkan kegagalan pada saat instalasi Zimbra itu sendiri . Jika sudah selesai instalasi zimbra baru kemudian seting resolv.conf-ya seperti setingan diatas. 5.Konfiguras ZONA DNS #cp /etc/bind/db.lokal /etc/bind/db.pbit-batam.com #pico /etc/bind/db.pbit-batam.com Hasilnya seperti berikut ini.
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 25
5. Seting main named.conf #pico /etc/bind/named.conf
6. Kemudian Install ZIMBRA
#tar xzvf zcs-7.0.0_GA_3077.UBUNTU10_64.20110127202143 Catatan: Pastikan file Zimbranya sudah dicopy didalam linux servernya #cd zcs-7.0.0_GA_3077.UBUNTU10_64.20110127202143 #./install.sh Catatan: Jika mau di uninstall, cukup ketik #./install.sh –u Di awal installasi kita harus menyetujui End User License Agreement ZCS untuk dapat melanjutkan instalasi.
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 26
Setelah itu pilih paket-paket apa saja yang harus di install selama proses instalasi ZCS, ketik Y untuk menginstal suatu paket. Beberapa paket yang harus kita install adalah zimbra-ldap,zimbra-logger, zimbramta, zimbra-snmp, zimbra-store, zimbra-apache, dan zimbra-spell.
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 27
Setelah memilih paket yang akan di install akan muncul pertanyaan konfirmasi yang harus di jawab dengan Y.
Instalasi akan berlangsung beberapa saat.
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 28
Berikutnya ZCS akan memeriksa konfigurasi server DNS yang digunakan apakah sudah sesuai dengan persyaratan atau belum. Jika terjadi kesalahan maka akan ditawarkan untuk melakukan modifikasi pada konfigurasi domain di DNS. Disini akan memeriksa DNS, dan akan ditanya, apakah domain nameserver change, maka tekan Y Ketik: pbit-batam.com Hasilnya tampak seperti dibahaw ini;
Instalasi paket-paket selesai, waktunya melakukan konfigurasi untuk user admin.
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 29
Dari main menu ketik 3 untuk memilih konfigurasi zimbra-store yang didalamnya untuk konfigurasi user admin. Berikutnya pilih 4. Kemudian ketikkan password adminya; missal: batam999@!a
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 30
Konfigurasi ZCS telah selesai, ketik a untuk menerapkan konfigurasi. Jawab yes untuk menyimpan data konfigurasi ke file. Lanjutkan instalasi dengan menjawab Y pada perubahan system. Jika ditanya :
Save and Configuration Data (Yes) Pilih Yes The system will be modified – continued (No) Plih Yes Berikut ZCS akan meminta konfirmasi untuk mengirimkan data instalasi ke pengembang Zimbra. Opsi ini tidak wajib, dapat dijawab No disini. Dan tunggu zimbra mengkonfigurasi sistem sampai selesai. Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 31
Finish…! Pengujian Instalasi Zimbra Hasil instalasi zimbra akan membentuk sebuah direktori /opt/zimbra, yang berisi file konfigurasi dan perintah. Untuk menguji hasil instalasi zimbra, dapat menjalankan perintah. #su zimbra #zmcontrol status #zmcontrol shutdown #zmcontrol stop #zmcontrol start Sekarang kita test… https://mail.pbit-batam.com:7071
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 32
6.Seting Main.Cf
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 33
#pico /opt/zimbra/postfix/conf/main.cf
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 34
Catatan: Jika tidak ingin membagi partisi, gunakan partisi root dan partisi swap saja. Jika menginginkan
partisi terpisah, pisahkan partisi untuk /opt karena Zimbra akan diinstall dipartisi ini. Pastikan partisi /opt atau partisi / (root partisi) memiliki kapasitas yang cukup besar Jangan lupa setting nama hostname untuk Zimbra, misalnya : mail Untuk fleksibilitas dan kemudahan sistem, lakukan instalasi paket : DNS Server dan OpenSS
2. Menangkal Spam dengan Fail2Ban Spam dengan Relay Access sangat menjengkelkan walaupun sudah di Reject oleh postfix Zimbra ZCS tetap saja ada koneksi. Hal ini sangat membebani kinerja server dan menghabiskan bandwidth saja. Cara jitu untuk mencegah spam Relay adalah dengan menggunakan Fail2Ban. Alamat IP Spammer yang terkoneksi dengan SMTP postfix kita di DROP otomatis oleh IPTables melalui trigger filter Fail2Ban. Kita gunakan Linux Ubuntu 12.04 server dengan Zimbra Mail Server. #apt-get install fail2ban Konfigurasi Fail2Ban untuk Postfix #pico /etc/il2ban/jail.conf Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 35
[ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6 bantime = 600
[postfix] enabled = true port = smtp,ssmtp filter = postfix logpath = /var/log/mail.log maxretry = 3 bantime = 3600
#pico /etc/fail2ban/filter.d/postfix.conf #kasi pagar yang default, paste di bawahnya #554 diganti menjadi * * #failregex = reject: RCPT from (.*)\[
\]: 554 failregex = reject: RCPT from (.*)\[\]: * *
Restart Fail2Ban #service fail2ban restart Lihat Log Iptables #iptables -L Chain fail2ban-postfix (1 references) target prot opt source destination DROP DROP DROP DROP DROP ####
all — 118-161-98-223.dynamic.hinet.net anywher all — 118-166-229-34.dynamic.hinet.net anywhere all — 114-45-25-187.dynamic.hinet.net anywhere all — 118-161-100-248.dynamic.hinet.net anywhere all — 118-161-102-71.dynamic.hinet.net anywhere IP Spammer drop semua oleh Fail2Ban #############
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 36
3. Backup Mail Server Pada umumnya, jika seorang system admin mau mengganti mail server dengan server yang baru atau sekedar mengupgrade
mail server, maka yang wajib dilakukan pertama kali adalah membackup terlebih dahulu isi mailbox para user di server. Hal ini dikarenakan agar data-data yang masih tersimpan di mail server lama bisa dipindahkan ke mesin mail server yang baru. Artikel kali ini akan menjelaskan tentang bagaimana caranya membackup dan merestore mailbox di Zimbra. A. Backup mailbox Zimbra memiliki cara yang mudah untuk membackup mailbox tersebut yaitu dengan cara:
# su - zimbra # cd /tmp # zmmailbox -z -m $ACCOUNT getRestURL '//?fmt=tgz' > $NAME.tgz Ubah $ACCOUNT menjadi nama user yang akan kita backup mailboxnya dan $NAME menjadi nama filenya. Misalnya kita ingin membackup user [email protected]@latihanlinux.co.cc dan filenya backupnya diberi nama arief.tgz, maka perintah tersebut menjadi: # zmmailbox -z -m joni\@latihanlinux.co.cc getRestURL '//?fmt=tgz' > arief.tgz Namun, bagaimana jika ternyata kita mempunyai akun yang banyak? Tentu kita akan sangat kelelahan untuk satu persatu menuliskan perintah tersebut. Maka dari itu kita perlu untuk membuat skrip agar memudahkan kita untuk membackup seluruh mailbox para user tersebut. Buka folder di /tmp lalu buat file backupmailbox.sh yang isinya seperti ini.
Ketik #pico /tpm/backupmailbox.sg Isinya sbb:
Kemudian simpan Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 37
Kemudian rubah file tersebut agar bisa dieksekusi dengan merubahnya menjadi mode eksekusi. Setelah itu jalankan file tersebut dengan perintah berikut:
#chmod 777 /tmp/backupmailbox.sh Maka file tersebut akan membackup seluruh Zimbra, danjalankan file tersebut dgn perintah
#./backupmailbox.sh Isi dalam folder /tmp kurang lebih seperti gambar berikut ini
B. Restore Zimbra Setelah berhasil membackup seluruh mailbox para user, tiba saatnya bagi kita untuk merestore hasil backup tadi. Buat terlebih dahulu folder test di folder /tmp dengan cara:
# mkdir /tmp/Hasilbackup Kemudian taruh file hasil backup mailbox zimbra ke dalam folder test tersebut. Setelah itu, buka folder /tmp kemudian buat file restorezimbra.sh terus masukkan script di bawah ini.
Rubah pada bagian DIR dengan letak folder hasil backup tadi. Kemudian untuk menjalankan file tersebut, ketik perintah di bawah ini: #chmod 777 /tmp/restoremailbox.sh Kemudian jalankan #./restoremailbox.sh
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 38
Mikrotik Untuk Mail Server
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 39
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 40
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 41
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 42
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 43
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 44
Modul Internet Gateway&Firewall -Joni /HP:081372270180
Page 45