solusi tugas studi kasus iptables three-legged network firewall
Post on 26-Jun-2015
629 Views
Preview:
DESCRIPTION
TRANSCRIPT
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 1 http://www.stmikbumigora.ac.id
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
pada matakuliah Praktikum Sistem Keamanan Jaringan (S1 Teknik Informatika)
Oleh I Putu Hariyadi <putu.hariyadi@stmikbumigora.ac.id>
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 2 http://www.stmikbumigora.ac.id
Berdasarkan topologi jaringan seperti terlihat pada gambar diatas, lakukan konfigurasi kebijakan keamanan dengan ketentuan berikut pada Router Linux
CentOS yang memiliki default POLICY untuk chain pada tabel filter adalah DROP:
1. Konfigurasi IPTables Tabel Filter untuk mengijinkan hanya Client A untuk dapat mengakses layanan Server FTP di Network B.
2. Konfigurasi IPTables Tabel Filter untuk mengijinkan hanya Client B untuk dapat mengakses layanan Server Web di Network B.
3. Konfigurasi IPTables Tabel Filter untuk menolak ping dari Network A ke Network B, sebaliknya ping dari Network B ke Network A diijinkan.
4. Konfigurasi NAT untuk mengijinkan hanya Client A yang dapat mengakses Internet.
5. Konfigurasi DNAT untuk mengijinkan pengguna di Internet mengakses Server Web di Network B yang menggunakan alamat IP Private 192.168.2.254
menggunakan alamat IP Publik dari interface eth1 yang digunakan oleh router Linux CentOS yaitu 202.203.204.1.
SOLUSI KONFIGURASI PADA MASING-MASING PERANGKAT
A. Konfigurasi Server Linux Intranet
1. Masuk ke terminal, klik kanan pada desktop > pilih terminal.
Berpindah user ke user root:
$ su -
2. Berpindah ke lokasi direktori yg memuat file konfigurasi interface jaringan
# cd /etc/sysconfig/network-scripts
3. Menampilkan informasi di direktori mana saat ini berada
# pwd
4. Melihat isi direktori tsb:
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 3 http://www.stmikbumigora.ac.id
# ls
5. Mengatur konfigurasi interface jaringan eth0
# nano ifcfg-eth0
DEVICE=eth0 <-- nama pengenal device oleh Linux
BOOTPROTO=none <-- metode alokasi IP, none/static/dhcp
IPADDR=192.168.2.253 <-- mengatur alamat IP
NETWORK=192.168.2.0 <-- mengatur alamat jaringan
NETMASK=255.255.255.0 <-- mengatur alamat subnetmask
BROADCAST=192.168.2.255 <-- mengatur alamat broadcast
GATEWAY=192.168.2.1
ONBOOT=yes <-- mengatur agar langsung diaktifkan interfacenya ketika booting pertama kali
HWADDR= <-- Alamat MAC Address (JGN DIUBAH)
Menyimpan perubahan konfigurasi: CTRL-O > Enter
Keluar dari editor nano: CTRL-X
6. Mengatur konfigurasi interface jaringan eth1
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 4 http://www.stmikbumigora.ac.id
# nano ifcfg-eth1
DEVICE=eth1 <-- nama pengenal device oleh Linux
BOOTPROTO=none <-- metode alokasi IP, none/static/dhcp
IPADDR=192.168.2.254 <-- mengatur alamat IP
NETWORK=192.168.2.0 <-- mengatur alamat jaringan
NETMASK=255.255.255.0 <-- mengatur alamat subnetmask
BROADCAST=192.168.2.255 <-- mengatur alamat broadcast
GATEWAY=192.168.2.1
ONBOOT=yes <-- mengatur agar langsung diaktifkan interfacenya ketika booting pertama kali
HWADDR= <-- Alamat MAC Address (JGN DIUBAH)
Menyimpan perubahan konfigurasi: CTRL-O > Enter
Keluar dari editor nano: CTRL-X
Jika memiliki eth2 maka lakukan penonaktifan interface dg cara:
# nano ifcfg-eth2
ONBOOT=no
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 5 http://www.stmikbumigora.ac.id
Menyimpan perubahan konfigurasi: CTRL-O > Enter
Keluar dari editor nano: CTRL-X
7. Merestart service jaringan
# service network restart
8. Menampilkan informasi pengalamatan IP yang digunakan oleh interface
# ifconfig
9. Menguji apakah protokol TCP/IP telah terinstall dg baik atau belum
# ping localhost
atau
# ping 127.0.0.1
Untuk menghentikan ping gunakan CTRL-C
10. Menampilkan status service HTTP
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 6 http://www.stmikbumigora.ac.id
# service httpd status
Jika belum aktif, silakan diaktifkan menggunakan perintah:
# service httpd start
Verifikasi kembali status servicenya menggunakan perintah:
# service httpd status
11. Menampilkan status service FTP
# service vsftpd status
Jika belum aktif, silakan diaktifkan menggunakan perintah:
# service vsftpd start
Verifikasi kembali status servicenya menggunakan perintah:
# service vsftpd status
Catatan:
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 7 http://www.stmikbumigora.ac.id
jika belum terinstall lakukan instalasi terlebih dahulu paket tersebut menggunakan perintah berikut:
# cd /media/C<tekan tab>/C<tekan tab>
# rpm -ivh vsftpd<tekan tab>
Mengaktifkan service vsftpd
# service vsftpd start
Verifikasi kembali status servicenya menggunakan perintah:
# service vsftpd status
apabila diminta login atur agar vsftpd mendukung anonymous
# nano /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
CTRL+O untuk menyimpan
CTRL+X untuk keluar
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 8 http://www.stmikbumigora.ac.id
merestart service vsftpd
# service vsftpd restart
12. Menonaktifkan firewall yg telah ada di linux
# service iptables stop
13. Memverifikasi layanan http telah berjalan melalui browser http://192.168.2.254
14. Memverifikasi layanan ftp telah berjalan melalui browser ftp://192.168.2.253
B. Konfigurasi Server Linux Internet
1. Masuk ke terminal, klik kanan pada desktop > pilih terminal.
Berpindah user ke user root:
$ su -
2. Berpindah ke lokasi direktori yg memuat file konfigurasi interface jaringan
# cd /etc/sysconfig/network-scripts
3. Menampilkan informasi di direktori mana saat ini berada
# pwd
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 9 http://www.stmikbumigora.ac.id
4. Melihat isi direktori tsb:
# ls
5. Mengatur konfigurasi interface jaringan eth0
# nano ifcfg-eth0
DEVICE=eth0 <-- nama pengenal device oleh Linux
BOOTPROTO=none <-- metode alokasi IP, none/static/dhcp
IPADDR=202.203.204.254 <-- mengatur alamat IP
NETWORK=202.203.204.0 <-- mengatur alamat jaringan
NETMASK=255.255.255.0 <-- mengatur alamat subnetmask
BROADCAST=202.203.204.255 <-- mengatur alamat broadcast
ONBOOT=yes <-- mengatur agar langsung diaktifkan interfacenya ketika booting pertama kali
HWADDR= <-- Alamat MAC Address (JGN DIUBAH)
Menyimpan perubahan konfigurasi: CTRL-O > Enter
Keluar dari editor nano: CTRL-X
Jika memiliki eth1 maka nonaktifkan interface tersebut menggunakan cara:
# nano ifcfg-eth1
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 10 http://www.stmikbumigora.ac.id
ONBOOT=no
Menyimpan perubahan konfigurasi: CTRL-O > Enter
Keluar dari editor nano: CTRL-X
Jika memiliki eth2 maka nonaktifkan interface tersebut menggunakan cara:
# nano ifcfg-eth2
ONBOOT=no
Menyimpan perubahan konfigurasi: CTRL-O > Enter
Keluar dari editor nano: CTRL-X
6. Merestart service jaringan
# service network restart
7. Menampilkan informasi pengalamatan IP yang digunakan oleh interface
# ifconfig
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 11 http://www.stmikbumigora.ac.id
8. Menguji apakah protokol TCP/IP telah terinstall dg baik atau belum
# ping localhost
atau
# ping 127.0.0.1
Untuk menghentikan ping gunakan CTRL-C
9. Menampilkan status service HTTP
# service httpd status
Jika belum aktif, silakan diaktifkan menggunakan perintah:
# service httpd start
Verifikasi kembali status servicenya menggunakan perintah:
# service httpd status
10. Menonaktifkan firewall yg telah ada di linux
# service iptables stop
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 12 http://www.stmikbumigora.ac.id
13. Memverifikasi layanan http telah berjalan melalui browser http://202.203.204.254
C. Client Windows 7 menggunakan alamat IP: 192.168.1.2/24
1. Pada taskbar pojok kanan bawah pilih gambar komputer -> Open Network & Sharing Center -> Change Adapter Setting -> Klik dua kali pada VMNet1 ->
Properties -> Pilih Internet Protocol TCP/IPv4 -> Properties -> Pilih Use statically IP Addresss dan atur bbrp parameter berikut:
IP: 192.168.1.2
SM: 255.255.255.0
GW: 192.168.1.1
Klik tombol OK->OK->Close.
Pastikan interface Local Area Connection dinonaktifkan (disable)
2. Masuk ke command prompt. Verifikasi pengalamatan IP menggunakan perintah:
c:\>ipconfig
D. Konfigurasi Router Linux
1. Masuk ke terminal, klik kanan pada desktop > pilih terminal.
Berpindah user ke user root:
$ su -
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 13 http://www.stmikbumigora.ac.id
2. Berpindah ke lokasi direktori yg memuat file konfigurasi interface jaringan
# cd /etc/sysconfig/network-scripts
3. Menampilkan informasi di direktori mana saat ini berada
# pwd
4. Melihat isi direktori tsb:
# ls
5. Mengatur konfigurasi interface jaringan eth0
# nano ifcfg-eth0
DEVICE=eth0 <-- nama pengenal device oleh Linux
BOOTPROTO=none <-- metode alokasi IP, none/static/dhcp
IPADDR=192.168.1.1 <-- mengatur alamat IP
NETWORK=192.168.1.0 <-- mengatur alamat jaringan
NETMASK=255.255.255.0 <-- mengatur alamat subnetmask
BROADCAST=192.168.1.255 <-- mengatur alamat broadcast
ONBOOT=yes <-- mengatur agar langsung diaktifkan interfacenya ketika booting pertama kali
HWADDR= <-- Alamat MAC Address (JGN DIUBAH)
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 14 http://www.stmikbumigora.ac.id
Menyimpan perubahan konfigurasi: CTRL-O > Enter
Keluar dari editor nano: CTRL-X
6. Mengatur konfigurasi interface jaringan eth1
# nano ifcfg-eth1
DEVICE=eth1 <-- nama pengenal device oleh Linux
BOOTPROTO=none <-- metode alokasi IP, none/static/dhcp
IPADDR=202.203.204.1 <-- mengatur alamat IP
NETWORK=202.203.204.0 <-- mengatur alamat jaringan
NETMASK=255.255.255.0 <-- mengatur alamat subnetmask
BROADCAST=202.203.204.255 <-- mengatur alamat broadcast
ONBOOT=yes <-- mengatur agar langsung diaktifkan interfacenya ketika booting pertama kali
HWADDR= <-- Alamat MAC Address (JGN DIUBAH)
Menyimpan perubahan konfigurasi: CTRL-O > Enter
Keluar dari editor nano: CTRL-X
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 15 http://www.stmikbumigora.ac.id
7. Mengatur konfigurasi interface jaringan eth1
# nano ifcfg-eth2
DEVICE=eth2 <-- nama pengenal device oleh Linux
BOOTPROTO=none <-- metode alokasi IP, none/static/dhcp
IPADDR=192.168.2.1 <-- mengatur alamat IP
NETWORK=192.168.2.0 <-- mengatur alamat jaringan
NETMASK=255.255.255.0 <-- mengatur alamat subnetmask
BROADCAST=192.168.2.255 <-- mengatur alamat broadcast
ONBOOT=yes <-- mengatur agar langsung diaktifkan interfacenya ketika booting pertama kali
HWADDR= <-- Alamat MAC Address (JGN DIUBAH)
Menyimpan perubahan konfigurasi: CTRL-O > Enter
Keluar dari editor nano: CTRL-X
8. Mengaktifkan IP Forwarding
# nano /etc/sysctl.conf
net.ipv4.ip_forward = 0 <-- ubah menjadi 1 agar aktif fitur forwarding
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 16 http://www.stmikbumigora.ac.id
Menyimpan perubahan konfigurasi: CTRL-O > Enter
Keluar dari editor nano: CTRL-X
9. Merestart service jaringan
# service network restart
10. Menampilkan informasi pengalamatan IP yang digunakan oleh interface
# ifconfig
11. Menonaktifkan firewall yg telah ada di linux
# service iptables stop
12. Menghapus isi file /etc/sysconfig/iptables yang menyimpan konfigurasi permanen iptables
# > /etc/sysconfig/iptables
13. Menguji apakah protokol TCP/IP telah terinstall dg baik atau belum
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 17 http://www.stmikbumigora.ac.id
# ping localhost
atau
# ping 127.0.0.1
Untuk menghentikan ping gunakan CTRL-C
14. Verifikasi koneksi dari Router Linux ke Client Windows 7
# ping 192.168.1.2
Untuk menghentikan ping gunakan CTRL-C
15. Verifikasi koneksi dari Router Linux ke Server Linux Internet
# ping 202.203.204.254
Untuk menghentikan ping gunakan CTRL-C
16. Verifikasi koneksi dari Router Linux ke Server Linux Intranet
# ping 192.168.2.253
# ping 192.168.2.254
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 18 http://www.stmikbumigora.ac.id
Untuk menghentikan ping gunakan CTRL-C
17. Menonaktifkan service httpd dan vsftpd
# service httpd stop
# service vsftpd stop
18. mengakses server internet layanan http melalui browser http://202.203.204.254
19. mengakses server intranet layanan http melalui browser http://192.168.2.254
20. mengakses server intranet layanan ftp melalui browser ftp://192.168.2.253
E. SOLUSI KONFIGURASI IPTABLES DI ROUTER LINUX CENTOS
1. Konfigurasi IPTables Tabel Filter untuk mengijinkan hanya Client A untuk dapat mengakses layanan Server FTP di Network B dengan default
POLICY untuk chain pada tabel filter adalah DROP.
a. Mengatur Default Policy untuk IPTables table Filter menjadi DROP
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 19 http://www.stmikbumigora.ac.id
# iptables -P FORWARD DROP
b. mengatur client A (192.168.1.2) dapat mengakses layanan FTP di Network B pada alamat 192.168.2.253
Koneksi FTP dari client ke Server
# iptables -A FORWARD -s 192.168.1.2 -d 192.168.2.253 -m state --state NEW -p tcp --dport 20:21 -j ACCEPT
Koneksi FTP dari Server ke Client
# iptables -A FORWARD -d 192.168.1.2 -s 192.168.2.253 -m state --state NEW -p tcp --sport 20:21 -j ACCEPT
c. Mengaktifkan modul iptables connection tracking
# nano /etc/sysconfig/iptables-config
cari parameter dg nama IPTABLES_MODULES berikut:
IPTABLES_MODULES="ip_conntrack_netbios_ns"
lengkapi parameter sehingga menjadi nilai berikut:
IPTABLES_MODULES="ip_conntrack_netbios_ns ip_conntrack ip_conntrack_ftp"
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 20 http://www.stmikbumigora.ac.id
CTRL-O simpan perubahan
CTRL-X keluar dari editor
d. Mengaktifkan dukungan ip_conntrack_ftp pada file /etc/modprobe.conf
# nano /etc/modprobe.conf
tambahkan parameter berikut paling bawah:
options ip_conntrack_ftp ports=21,12345
CTRL-O simpan perubahan
CTRL-X keluar dari editor
e. Mengijinkan koneksi dg status ESTABLISHED,RELATED
# iptables -I FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
f. Menyimpan konfigurasi iptables
# service iptables save
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 21 http://www.stmikbumigora.ac.id
g. Merestart service iptables
# service iptables restart
h. Menampilkan informasi status iptables
# service iptables status | more
Cek dari Client Windows 7 melalui browser dengan mengakses alamat berikut:
ftp://192.168.2.253 (pastikan sukses)
2. Konfigurasi IPTables Tabel Filter untuk mengijinkan hanya Client B untuk dapat mengakses layanan Server Web di Network B.
Mengijinkan HTTP Request
# iptables -A FORWARD -s 192.168.1.3 -d 192.168.2.254 -m state --state NEW -p tcp --dport 80 -j ACCEPT
Mengijinkan HTTP Response
# iptables -A FORWARD -d 192.168.1.3 -s 192.168.2.254 -m state --state NEW -p tcp --sport 80 -j ACCEPT
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 22 http://www.stmikbumigora.ac.id
Menyimpan iptables scr permanen
# service iptables save
Menampilkan informasi status iptables
# service iptables status | more
Cara mengecek adalah melalui windows 7
- Ubah IP menjadi 192.168.1.3
- Buka browser akses ke http://192.168.2.254 (harus sukses). Setelah sukses ubah kembali IP menjadi 192.168.1.2
3. Konfigurasi IPTables Tabel Filter untuk menolak ping dari Network A ke Network B, sebaliknya ping dari Network B ke Network A diijinkan.
Ping Request dari network B ke network A diijinkan
# iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -p icmp -j ACCEPT
Ping hanya Response (reply) dari network A ke network diijinkan
# iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -p icmp
--icmp-type echo-reply -j ACCEPT
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 23 http://www.stmikbumigora.ac.id
Menyimpan iptables scr permanen
# service iptables save
Menampilkan informasi status iptables
# service iptables status | more
Cara mengecek:
- pindah server Linux Intranet
# ping 192.168.1.2 (harus sukses)
- pindah ke windows 7
c:\> ping 192.168.2.253 (harus gagal)
4. Konfigurasi NAT untuk mengijinkan hanya Client A yang dapat mengakses Internet (Sharing IP publik mirip router Linux menggunakan Source NAT
(SNAT) pada chain POSTROUTING).
# iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 -j SNAT --to-source 202.203.204.1
Mengijinkan koneksi baru yang dibentuk dg alamat sumber 192.168.1.2 ke Internet
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 24 http://www.stmikbumigora.ac.id
# iptables -A FORWARD -s 192.168.1.2 -o eth1 -m state --state NEW -j ACCEPT
Menyimpan iptables scr permanen
# service iptables save
Menampilkan informasi status iptables
# service iptables status | more
Cara mengecek:
- pindah ke windows 7, dan lakukan browsing dg membuka browser dan mengakses ke alamat http://202.203.204.254 (harus sukses)
5. Konfigurasi DNAT untuk mengijinkan pengguna di Internet mengakses Server Web di Network B yang menggunakan alamat IP Private
192.168.2.254 menggunakan alamat IP Publik dari interface eth1 yang digunakan oleh router R1 yaitu 202.203.204.1.
Ketika ada request dilakukan DNAT
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.254:80
Ketika di response oleh Server Intranet Linux maka dilakukan SNAT
# iptables -t nat -A POSTROUTING -s 192.168.2.254 -o eth1 -j SNAT --to-source 202.203.204.1
Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall
Copyright © 2014 STMIK Bumigora Mataram Page 25 http://www.stmikbumigora.ac.id
Mengijinkan akses HTTP ke Server dg alamat 192.168.2.254 yg diterima di eth1
#iptables -A FORWARD -i eth1 -p tcp --dport 80 -d 192.168.2.254 -j ACCEPT
Menyimpan iptables scr permanen
# service iptables save
Menampilkan informasi status iptables
# service iptables status | more
Cara mengecek:
- pindah ke server Internet dan lakukan browsing dengan membuka browser dan mengakses ke alamat http://202.203.204.1 (harus sukses)
top related