solusi tugas studi kasus iptables three-legged network firewall

Solusi Tugas Studi Kasus IPTables Three-Legged Network Firewall

Copyright © 2014 STMIK Bumigora Mataram http://www.stmikbumigora.ac.id


pada matakuliah Praktikum Sistem Keamanan Jaringan (S1 Teknik Informatika)

Oleh I Putu Hariyadi <[email protected]>

mailto:[email protected]



Berdasarkan topologi jaringan seperti terlihat pada gambar diatas, lakukan konfigurasi kebijakan keamanan dengan ketentuan berikut pada Router Linux

CentOS yang memiliki default POLICY untuk chain pada tabel filter adalah DROP:

1. Konfigurasi IPTables Tabel Filter untuk mengijinkan hanya Client A untuk dapat mengakses layanan Server FTP di Network B.

2. Konfigurasi IPTables Tabel Filter untuk mengijinkan hanya Client B untuk dapat mengakses layanan Server Web di Network B.

3. Konfigurasi IPTables Tabel Filter untuk menolak ping dari Network A ke Network B, sebaliknya ping dari Network B ke Network A diijinkan.

4. Konfigurasi NAT untuk mengijinkan hanya Client A yang dapat mengakses Internet.

5. Konfigurasi DNAT untuk mengijinkan pengguna di Internet mengakses Server Web di Network B yang menggunakan alamat IP Private 192.168.2.254

menggunakan alamat IP Publik dari interface eth1 yang digunakan oleh router Linux CentOS yaitu 202.203.204.1.

SOLUSI KONFIGURASI PADA MASING-MASING PERANGKAT

A. Konfigurasi Server Linux Intranet

1. Masuk ke terminal, klik kanan pada desktop > pilih terminal.

Berpindah user ke user root:

$ su -

2. Berpindah ke lokasi direktori yg memuat file konfigurasi interface jaringan

# cd /etc/sysconfig/network-scripts

3. Menampilkan informasi di direktori mana saat ini berada

# pwd

4. Melihat isi direktori tsb:



# ls

5. Mengatur konfigurasi interface jaringan eth0

# nano ifcfg-eth0

DEVICE=eth0 <-- nama pengenal device oleh Linux

BOOTPROTO=none <-- metode alokasi IP, none/static/dhcp

IPADDR=192.168.2.253 <-- mengatur alamat IP

NETWORK=192.168.2.0 <-- mengatur alamat jaringan

NETMASK=255.255.255.0 <-- mengatur alamat subnetmask

BROADCAST=192.168.2.255 <-- mengatur alamat broadcast

GATEWAY=192.168.2.1

ONBOOT=yes <-- mengatur agar langsung diaktifkan interfacenya ketika booting pertama kali

HWADDR= <-- Alamat MAC Address (JGN DIUBAH)

Menyimpan perubahan konfigurasi: CTRL-O > Enter

Keluar dari editor nano: CTRL-X




# nano ifcfg-eth1







GATEWAY=192.168.2.1





Jika memiliki eth2 maka lakukan penonaktifan interface dg cara:

# nano ifcfg-eth2

ONBOOT=no





7. Merestart service jaringan

# service network restart

8. Menampilkan informasi pengalamatan IP yang digunakan oleh interface

# ifconfig

9. Menguji apakah protokol TCP/IP telah terinstall dg baik atau belum

# ping localhost

atau

# ping 127.0.0.1

Untuk menghentikan ping gunakan CTRL-C

10. Menampilkan status service HTTP



# service httpd status

Jika belum aktif, silakan diaktifkan menggunakan perintah:

# service httpd start

Verifikasi kembali status servicenya menggunakan perintah:


11. Menampilkan status service FTP

# service vsftpd status


# service vsftpd start



Catatan:



jika belum terinstall lakukan instalasi terlebih dahulu paket tersebut menggunakan perintah berikut:

# cd /media/C<tekan tab>/C<tekan tab>

# rpm -ivh vsftpd<tekan tab>

Mengaktifkan service vsftpd

# service vsftpd start



apabila diminta login atur agar vsftpd mendukung anonymous

# nano /etc/vsftpd/vsftpd.conf

anonymous_enable=YES

CTRL+O untuk menyimpan

CTRL+X untuk keluar



merestart service vsftpd

# service vsftpd restart

12. Menonaktifkan firewall yg telah ada di linux

# service iptables stop

13. Memverifikasi layanan http telah berjalan melalui browser http://192.168.2.254

14. Memverifikasi layanan ftp telah berjalan melalui browser ftp://192.168.2.253

B. Konfigurasi Server Linux Internet



$ su -




# pwd




# ls


# nano ifcfg-eth0











Jika memiliki eth1 maka nonaktifkan interface tersebut menggunakan cara:

# nano ifcfg-eth1



ONBOOT=no



Jika memiliki eth2 maka nonaktifkan interface tersebut menggunakan cara:

# nano ifcfg-eth2

ONBOOT=no






# ifconfig




# ping localhost

atau

# ping 127.0.0.1


9. Menampilkan status service HTTP



# service httpd start







13. Memverifikasi layanan http telah berjalan melalui browser http://202.203.204.254

C. Client Windows 7 menggunakan alamat IP: 192.168.1.2/24

1. Pada taskbar pojok kanan bawah pilih gambar komputer -> Open Network & Sharing Center -> Change Adapter Setting -> Klik dua kali pada VMNet1 ->

Properties -> Pilih Internet Protocol TCP/IPv4 -> Properties -> Pilih Use statically IP Addresss dan atur bbrp parameter berikut:

IP: 192.168.1.2

SM: 255.255.255.0

GW: 192.168.1.1

Klik tombol OK->OK->Close.

Pastikan interface Local Area Connection dinonaktifkan (disable)

2. Masuk ke command prompt. Verifikasi pengalamatan IP menggunakan perintah:

c:\>ipconfig

D. Konfigurasi Router Linux



$ su -






# pwd


# ls


# nano ifcfg-eth0














# nano ifcfg-eth1














# nano ifcfg-eth2











8. Mengaktifkan IP Forwarding

# nano /etc/sysctl.conf

net.ipv4.ip_forward = 0 <-- ubah menjadi 1 agar aktif fitur forwarding








# ifconfig



12. Menghapus isi file /etc/sysconfig/iptables yang menyimpan konfigurasi permanen iptables

# > /etc/sysconfig/iptables




# ping localhost

atau

# ping 127.0.0.1


14. Verifikasi koneksi dari Router Linux ke Client Windows 7

# ping 192.168.1.2


15. Verifikasi koneksi dari Router Linux ke Server Linux Internet

# ping 202.203.204.254


16. Verifikasi koneksi dari Router Linux ke Server Linux Intranet

# ping 192.168.2.253

# ping 192.168.2.254




17. Menonaktifkan service httpd dan vsftpd

# service httpd stop

# service vsftpd stop

18. mengakses server internet layanan http melalui browser http://202.203.204.254

19. mengakses server intranet layanan http melalui browser http://192.168.2.254

20. mengakses server intranet layanan ftp melalui browser ftp://192.168.2.253

E. SOLUSI KONFIGURASI IPTABLES DI ROUTER LINUX CENTOS

1. Konfigurasi IPTables Tabel Filter untuk mengijinkan hanya Client A untuk dapat mengakses layanan Server FTP di Network B dengan default

POLICY untuk chain pada tabel filter adalah DROP.

a. Mengatur Default Policy untuk IPTables table Filter menjadi DROP

# iptables -P INPUT DROP

# iptables -P OUTPUT DROP



# iptables -P FORWARD DROP

b. mengatur client A (192.168.1.2) dapat mengakses layanan FTP di Network B pada alamat 192.168.2.253

Koneksi FTP dari client ke Server

# iptables -A FORWARD -s 192.168.1.2 -d 192.168.2.253 -m state --state NEW -p tcp --dport 20:21 -j ACCEPT

Koneksi FTP dari Server ke Client

# iptables -A FORWARD -d 192.168.1.2 -s 192.168.2.253 -m state --state NEW -p tcp --sport 20:21 -j ACCEPT

c. Mengaktifkan modul iptables connection tracking

# nano /etc/sysconfig/iptables-config

cari parameter dg nama IPTABLES_MODULES berikut:

IPTABLES_MODULES="ip_conntrack_netbios_ns"

lengkapi parameter sehingga menjadi nilai berikut:

IPTABLES_MODULES="ip_conntrack_netbios_ns ip_conntrack ip_conntrack_ftp"



CTRL-O simpan perubahan

CTRL-X keluar dari editor

d. Mengaktifkan dukungan ip_conntrack_ftp pada file /etc/modprobe.conf

# nano /etc/modprobe.conf

tambahkan parameter berikut paling bawah:

options ip_conntrack_ftp ports=21,12345

CTRL-O simpan perubahan

CTRL-X keluar dari editor

e. Mengijinkan koneksi dg status ESTABLISHED,RELATED

# iptables -I FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

f. Menyimpan konfigurasi iptables

# service iptables save



g. Merestart service iptables

# service iptables restart

h. Menampilkan informasi status iptables

# service iptables status | more

Cek dari Client Windows 7 melalui browser dengan mengakses alamat berikut:

ftp://192.168.2.253 (pastikan sukses)

2. Konfigurasi IPTables Tabel Filter untuk mengijinkan hanya Client B untuk dapat mengakses layanan Server Web di Network B.

Mengijinkan HTTP Request

# iptables -A FORWARD -s 192.168.1.3 -d 192.168.2.254 -m state --state NEW -p tcp --dport 80 -j ACCEPT

Mengijinkan HTTP Response

# iptables -A FORWARD -d 192.168.1.3 -s 192.168.2.254 -m state --state NEW -p tcp --sport 80 -j ACCEPT



Menyimpan iptables scr permanen


Menampilkan informasi status iptables


Cara mengecek adalah melalui windows 7

- Ubah IP menjadi 192.168.1.3

- Buka browser akses ke http://192.168.2.254 (harus sukses). Setelah sukses ubah kembali IP menjadi 192.168.1.2

3. Konfigurasi IPTables Tabel Filter untuk menolak ping dari Network A ke Network B, sebaliknya ping dari Network B ke Network A diijinkan.

Ping Request dari network B ke network A diijinkan

# iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -p icmp -j ACCEPT

Ping hanya Response (reply) dari network A ke network diijinkan

# iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -p icmp

--icmp-type echo-reply -j ACCEPT







Cara mengecek:

- pindah server Linux Intranet

# ping 192.168.1.2 (harus sukses)

- pindah ke windows 7

c:\> ping 192.168.2.253 (harus gagal)

4. Konfigurasi NAT untuk mengijinkan hanya Client A yang dapat mengakses Internet (Sharing IP publik mirip router Linux menggunakan Source NAT

(SNAT) pada chain POSTROUTING).

# iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 -j SNAT --to-source 202.203.204.1

Mengijinkan koneksi baru yang dibentuk dg alamat sumber 192.168.1.2 ke Internet



# iptables -A FORWARD -s 192.168.1.2 -o eth1 -m state --state NEW -j ACCEPT





Cara mengecek:

- pindah ke windows 7, dan lakukan browsing dg membuka browser dan mengakses ke alamat http://202.203.204.254 (harus sukses)

5. Konfigurasi DNAT untuk mengijinkan pengguna di Internet mengakses Server Web di Network B yang menggunakan alamat IP Private

192.168.2.254 menggunakan alamat IP Publik dari interface eth1 yang digunakan oleh router R1 yaitu 202.203.204.1.

Ketika ada request dilakukan DNAT

# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.254:80

Ketika di response oleh Server Intranet Linux maka dilakukan SNAT

# iptables -t nat -A POSTROUTING -s 192.168.2.254 -o eth1 -j SNAT --to-source 202.203.204.1



Mengijinkan akses HTTP ke Server dg alamat 192.168.2.254 yg diterima di eth1

#iptables -A FORWARD -i eth1 -p tcp --dport 80 -d 192.168.2.254 -j ACCEPT





Cara mengecek:

- pindah ke server Internet dan lakukan browsing dengan membuka browser dan mengakses ke alamat http://202.203.204.1 (harus sukses)

solusi tugas studi kasus iptables three-legged network firewall

Education