Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Pelatihan Administrasi Jaringan Komputer Berbasis Perangkat Lunak Free & Open Source (Ubuntu Linux)
Modul 4
PUSDIKLAT Keuangan Umum Kementrian Keuangan RI 20-24 Februari 2012, Jakarta
Instruktur Nama
: Henry Saptono, LPIC-1
Yahoo
: boypyt
Gmail
: boypyt
Tgl Lahir
: 7 September
Status
: Menikah
Kota
: Depok , Jawa Barat
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
HTTP Proxy Server
Apakah Proxy itu ? Proxy adalah sistem komputer yang berfungsi sebagai perantara atau perwakilan dari setiap permintaan layanan TCP/IP (service) yang diminta oleh komputer komputer klien. Diantara layanan layanan TCP/IP tersebut diantaranya, layanan akses web (http), email (smtp dan pop3), ftp dan lain lain. Proxy dapat dikatakan sebagai firewall level aplikasi , karen setiap permintaan dari klien pada jaringan lokal diwakili oleh proxy maka proxy dapat memilih atau menyeleksi permintaan mana saja yang diperbolehkan. Proxy dapat melakukan mekanisme caching Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Jenis jenis Proxy Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Berdasrakan jenis layanan TCP/IP yang tesedia, maka terdapat berbagai macam jenis proxy, diantaranya:
HTTP Proxy
FTP Proxy
SMTP Proxy
DNS Proxy
dll.
HTTP Proxy
Optimasi dan efisiensi bandwith lebih tepat sasarannya pada layanan HTTP Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Diperlukan HTTP Proxy yang juga berfungsi sebagai HTTP Cache server Contoh aplikasi proxy http: squid, wwwofl, apache(mod_proxy) dll.
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Ilustrasi Proxy
Squid Proxy Server
Squid adalah aplikasi HTTP Proxy server yang populer, banyak digunakan dalam jaringan komputer, guna melakukan web caching dan web filtering. Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Sebagian besar sistem Linux telah menyertakan squid kedalam distribusinya. Official web pengembangan squid proxy server di http://www.squid-cache.org
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Instalasi Squid
Gunakan perintah berikut ini untuk instalasi squid pada komputer linux ubuntu Anda:
# sudo apt-get install squid3
Mengaktifkan squid Untuk mengaktifkan service squid proxy server ketik perintah berikut: Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
# sudo /etc/init.d/squid3 start Untuk mematikan ketik perintah berikut: # sudo /etc/init.d/squid3 stop
Pengujian Squid Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Untuk menguji squid proxy server gunakanlah web browser seperti firefox atau yang lainnya., kemudian atur agar koneksinya melalui proxy server , atur proxy secara manual, melalui menu Edit → Preferences , kemudian pilih tab Advanced → Network → Connection → Settings. Kemudian isilah proxy http dengan nomor IP dari komputer proxy Anda, dan tentukan nomor portnya dengan nomor 3128. Selanjutnya coab akses suatu web site di internet, maka secara default Proxy akan menolak dan memberi pesan 'Access Denied', jika muncul pesan tersebut artinta komunikasi antar web browser dengan squid
File Log Squid Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Setiap akses web yang dilakukan oleh klien klien dalam jaringan lokal akan dicatat dalam sebuah file log yaitu file /var/log/squid3/access.log. File log ini akan berguna untuk membuat laporan statistik akses web, dan troubleshooting. Untuk mengamati aktifitas akses web yg dilakukan klien dapat Anda amati melalui file log access.log, seperti berikut ini: # tail -f /var/log/squid3/access.log
Acces Control List
Untuk mengijinkan atau menolak permintaan akses web dari klien klien dalam jaringan , dapat dilakukan dengan terlebih dahulu mendefinisikan access control list. Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Format penulisan ACL pada file konfigurasi squid (/etc/squid3/squid.conf ) sbb:
acl
<string/file>
Contoh untuk mengijinkan akses web dari jaringan lokal 192.168.1.0/24, sbb:
acl mynetwork src 192.168.1.0/24
Ijin http akses
Setelah mendefinisikan access control list, barulah Anda tentukan bagaimana ijin akses http untuk setiap acl yang telah didefinisikan. Format penulisan ijin akses http dalam file konfigurasi squid (/etc/squid3/squid.conf) sbb: Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
http_access Contoh jika acl mynetwork akan dijinkan maka penulisannya sbb: http_access allow mynetwork
ACL Berdasarkan Source Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Pengaturan acl :
acl lan src 192.168.1.0/24 acl bozz src “/etc/squid3/ip_bozz”
Pengaturan http_access http_access allow bozz http_access allow mylan
Isi /etc/squid3/ip_bozz : 192.168.1.123/32
ACL Berdasarkan Domain Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Pengaturan acl :
acl no_site dstdomain “/etc/squid3/no_site” acl lan src 192.168.1.0/24
Pengaturan http_access : http_access deny no_site http_access allow lan
Pengaturan /etc/squid3/no_site : .youtube.com .myspace.com
Pengaturan acl :
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
ACL Berdasarkan Destination acl no_dst dst “/etc/squid3/no_dst” acl lan src 192.168.1.0/24 Pengaturan http_access : http_access deny no_dst http_access allow lan
Pengaturan /etc/squid3/no_dst 64.64.64.64 65.65.65.65
ACL Berdasarkan Path URL Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Pengaturan acl :
acl no_path urlpath_regex -i “/etc/squid3/no_path” acl lan src 192.168.1.0/24
Pengaturan http_access : http_access deny no_path http_access allow lan
Pengaturan /etc/squid3/no_path \.mp3$ nude
ACL Berdasarkan Waktu Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Pengaturan acl :
acl jam_kerja time MTWHF 08:00-17:30 acl mylan src 192.168.1.0/24 Pengaturan http_access :
http_access deny mylan !jam_kerja
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Transparent Proxy
Digunakan untuk mengarahkan secara otomatis client internet di jaringan untuk memakai proxy server. Hanya berlaku port 80 atau aplikasi HTTP. Tidak bisa menerapkan proses autentikasi.
Transparent Proxy Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Pengaturan di /etc/squid3/squid.conf
http_port 3128 transparent Sesudah diatur di refresh :
#sudo /etc/init.d/squid3 restart Pengaturan Firewall :
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Firewall
Linux sebagai Sistem Operasi yang mendukung Jaringan Sistem operasi linux memiliki ragam bentuk fungsifungsi “ dukungan jaringan (Networking Support)”, diantaranya sbb: Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
−
Routing (IP Forwarding)
−
Firewall (Netfilter)
−
QoS (Quality Of Service)
−
Tunneling
−
IPsec(vpn)
−
LVS, dan lain -lain
Firewall
Mekanisme untuk melakukan Paket Filtering, Paket Investigasi, dan Paket manipulasi. Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Diimplementasikan pada level “Kernel Space” yang berupa modul atau built in Secara logik sebagai node khusus dalam jaringan komputer
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Tool Administrasi Firewall
Tool administrasi firewall (netfilter) di linux disediakan secara default dalam bentuk perintah (command) 'iptables'
Iptables
netfilter/iptables terdiri dari 3 tabel: filter, nat, mangle Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Perintah 'iptables' digunakan untuk mengelola, memaintain, menginspeksi rule-rule IP packet filter dalam kernel linux.
Tabel Filter Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
filter: This is the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets destined to local sockets), FORWARD (for packets being routed through the box), and OUTPUT (for locally-generated packets).
Tabel nat Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
nat: This table is consulted when a packet that creates a new connection is encountered. It consists of three built-ins: PREROUTING (for altering packets as soon as they come in), OUTPUT (for alteringlocally-generated packets before routing), and POSTROUTING (for altering packets as they are about to go out).
Tabel mangle mangle: Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
This table is used for specialized packet alteration. Until kernel 2.4.17 it had two built-in chains: PREROUTING (for altering incoming packets before routing) and OUTPUT (for altering locally-generated packets before routing). Since kernel 2.4.18, three other built-in chains are also supported: INPUT (for packets coming into the box itself), FORWARD (for altering packets being routed through the box),and POSTROUTING (for altering packets as they are about to go out).
SYNOPSIS
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
iptables - administration tool for IPv4 packet filtering and NAT
iptables [-t table] -[AD] chain rule-specification [options] iptables [-t table] -I chain [rulenum] rule-specification [options] iptables [-t table] -R chain rulenum rule-specification [options] iptables [-t table] -D chain rulenum [options] iptables [-t table] -[LFZ] [chain] [options] iptables [-t table] -N chain iptables [-t table] -X [chain] iptables [-t table] -P chain target [options] iptables [-t table] -E old-chain-name new-chain-name
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Diagram netfilter/iptables
Contoh perintah iptables Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Sebuah rule iptables dapat menspesifiksikan sumber paket (-s), tujuan paket (-d) , protokol (-p), dan port. Sebagai contoh , untuk memblok (deny) seuatu paket yang datang dari IP address 192.168.0.254 , sebgai berikut: iptables -t filter -A INPUT -s 192.168.0.254 -j DROP filter adalah default table jika option -t tidak disertakan.
Contoh perintah iptables Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Jika tanda "!" disertakan didepan ip address sumber atau tujuan , ini menyatakan negasi dari ip address tersebut. iptables -t filter -A OUTPUT -d ! 192.168.0.254 -j DROP Rule diatas memblok semua paket dari local komputer firewall yang ditujukan ke semua ip address kecuali ke ip address 192.168.0.254. Incoming atau Outgoing interface dapat di spesifikasikan sebagai berikut: iptables -t filter -A INPUT -s 192.168.0.251 -i eth1 -j DROP
iptables dan NAT Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Network Address Translation dapat ditampilkan oleh kernel 2.4 dalam bentuk satu dari dua buah cara , yaitu: source NAT (SNAT) dan destination NAT (DNAT). DNAT sering digunakan untuk membelokkan (redirect) paket yang datang ke suatu interface dan diarahkan menjadi ke lokasi lain, seperti ke mesin proxy(squid proxy server). SNAT digunakan untuk menyembunyikan source address dari paket dengan cara memetakan ulang source address paket yang keluar ke IP address komputer yang lain atau rentang address yang lain. Kernel 2.4 secara otomatis melakukan reverse-translate semua paket-paket NAT yang dimaksud.
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Ilustrasi DNAT
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
Ilustrasi SNAT
Contoh NAT Untuk mengimplementasikan ip masquerading lakukan hal-hal sebagai berikut, :
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
Untuk menerapkan REDIRECT untuk keperluan membelokkan paket web secara transparan yang datang pada interface eth0 ke proxy server pada firewall itu sendiri, jalankan perintah berikut: iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT –to-ports 3128
Contoh NAT Untuk menerapkan destination NAT untuk keperluan membelokkan paket web secara transparan yang datang pada interface eth0 ke 192.168.0.1, jalankan perintah berikut: Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,443 -i eth0 -j DNAT --to-destination 192.168.0.1
Untuk merubah source address melalui SNAT menjadi ip address 192.168.0.33 dengan port 1024 sampai 65535, gunkan perintah berikut: iptables -t nat -A POSTROUTING -p tcp -o eth1 -j SNAT --to 192.168.0.33:1024-65535
Sampai Jumpa Bug no.1 Ubuntu :
Pu Ke sd m ikl en at te Ke ria u n an Ke ga ua n ng Um an um
"Microsoft has a majority market share in the new desktop PC marketplace. This is a bug, which Ubuntu is designed to fix" … , ---- by Mark Shuttleworth
