filter firewall
TRANSCRIPT
Iptables Firewall
Firewall berfungsi sebagai pengatur lalu lintas traffic jaringan komputer. Ia membolehkan sebuah traffic data jaringan, serta melarang traffic yang lain. Ia bahkan bisa memanipulasi traffic tersebut. Lazimnya, firewall berada pada gateway.
Fungsi utama Firewall:
Filter: Sesuai dengan namanya filter berfungsi untuk menyaring mana yang boleh lewat dan mana yang ditolak.
NAT (Network Address Translation): Sesuai dengan namanya NAT berfungsi untuk melakukan translasi (perubahan) atau manipulasi pada traffic data jaringan.
Fungsi-fungsi di atas dalam iptables firewall disebut TABLES.
Version 1.0 linuxslides.blogspot.com
ChainChain adalah kategori atau klasifikasi jalur dari traffic data jaringan yang berlalu-lalang. Beberapa diantaranya adalah:
Internal net. External net.eth0 eth1
PREROUTING POSTROUTING
INPUT
OUTPUT
INPUT
OUTPUT
FORWARD
INPUT : Traffic yang masuk ke sebuah mesin firewallOUTPUT : Traffic yang keluar dari sebuah mesin firewallFORWARD : Traffic yang melewati/diteruskan oleh mesin firewallPREROUTING : Traffic sebelum masuk ke mesin firewall/routerPOSTROUTING : Traffic sesudah melewati mesin firewall/router
Chain INPUT, OUTPUT dan FORWARD digunakan dalam table FILTERChain PREROUTING dan POSTROUTING digunakan dalam table NAT
Firewall(gateway)
Version 1.0 linuxslides.blogspot.com
Host vs Network Firewall
Internet eth0
INPUT
OUTPUT
Internet LANeth0 eth1
Firewall(gateway)
Firewall(host)
FORWARD
PREROUTINGPOSTROUTING
Host firewall hanya melindungi diri sendiri
Network firewall melindungi LAN dibelakangnya
Version 1.0 linuxslides.blogspot.com
Indentifikasi Traffic
● Protocol (TCP, UDP, ICMP)● Source address● Destination address● Source port● Destination port● Input interface● Output interface
Version 1.0 linuxslides.blogspot.com
Indentifikasi Traffic
Port22
INPUT
OUTPUT
SSH Server
192.168.0.1192.168.0.2
Port(acak)
protocol = TCPsrc addr = 192.168.0.2dst addr = 192.168.0.1src port = –dst port = 22
protocol = TCPsrc addr = 192.168.0.1dst addr = 192.168.0.2src port = 22dst port = –
Firewall(host)
SSH Client
Version 1.0 linuxslides.blogspot.com
Indentifikasi Traffic
protocol = TCPinput interface = eth0src addr = 192.168.0.0/24dst addr = www.facebook.comsrc port = –dst port = 80
www.facebook.com LAN192.168.0.0/24eth0
Firewall(gateway)
FORWARD
PREROUTINGPOSTROUTING
Untuk chain PREROUTING dan POSTROUTING perlakuannya sama dengan chain FORWARD
Version 1.0 linuxslides.blogspot.com
ChainChain adalah kategori atau klasifikasi jalur dari traffic data jaringan yang berlalu-lalang. Beberapa diantaranya adalah:
Internal net. External net.eth0 eth1
PREROUTING POSTROUTING
INPUT
OUTPUT
INPUT
OUTPUT
FORWARD
INPUT : Traffic yang masuk ke sebuah mesin firewallOUTPUT : Traffic yang keluar dari sebuah mesin firewallFORWARD : Traffic yang melewati/diteruskan oleh mesin firewallPREROUTING : Traffic sebelum masuk ke mesin firewall/routerPOSTROUTING : Traffic sesudah melewati mesin firewall/router
Chain INPUT, OUTPUT dan FORWARD digunakan dalam table FILTERChain PREROUTING dan POSTROUTING digunakan dalam table NAT
Firewall(gateway)
Version 1.0 linuxslides.blogspot.com
Struktur Aturan Chain
1. ATURAN UMUM, menerima atau menolak semua traffic
2. ATURAN KHUSUS, mengecualikan traffic tertentu berdasarkan:
a) IP address (source/destination)
b) Port (source/destination)
c) Protocol (TCP, UDP, ICMP)
CONTOH:
● Tolak semua traffic yang masuk/input (ATURAN UMUM), kecuali trafic dari IP address 192.168.0.2 (ATURAN KHUSUS).
● Izinkan semua traffic yang keluar/output (ATURAN UMUM), kecuali yang menuju ke port 80 (ATURAN KHUSUS).
Version 1.0 linuxslides.blogspot.com
Table, Chain, Aturan Umum dan Khusus
IptablesFirewall
Tables NAT
Mangle
Filter
INPUT
OUTPUT
FORWARD
Aturan UMUM
Aturan KHUSUS
PREROUTING
POSTROUTING
OUTPUTAturan UMUM
Aturan KHUSUS
Version 1.0 linuxslides.blogspot.com
Melihat chain table NAT
Melihat aturan firewall (table NAT):$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)target prot opt source destination
Chain POSTROUTING (policy ACCEPT)target prot opt source destination
Chain OUTPUT (policy ACCEPT)target prot opt source destination
Version 1.0 linuxslides.blogspot.com
Melihat chain table filter
Melihat aturan firewall (table filter):$ sudo iptables -t filter -Latau$ sudo iptables -L
Chain INPUT (policy ACCEPT)target prot opt source destination
Chain FORWARD (policy ACCEPT)target prot opt source destination
Chain OUTPUT (policy ACCEPT)target prot opt source destination
Version 1.0 linuxslides.blogspot.com
Melihat chain table filter
Melihat aturan firewall (table filter):$ sudo iptables -t filter -Latau$ sudo iptables -L
Chain INPUT (policy ACCEPT)target prot opt source destination <Aturan Khusus: KOSONG>
Chain FORWARD (policy ACCEPT)target prot opt source destination <Aturan Khusus: KOSONG>
Chain OUTPUT (policy ACCEPT)target prot opt source destination <Aturan Khusus: KOSONG>
Aturan umumchain INPUT
Aturan umumchain FORWARD
Aturan umumchain OUTPUT
Version 1.0 linuxslides.blogspot.com
Melihat chain table filter
Melihat aturan firewall (table filter):$ sudo iptables -t filter -Latau$ sudo iptables -L
Chain INPUT (policy ACCEPT)target prot opt source destination DROP all -- 192.168.2.1 0.0.0.0/0
Chain FORWARD (policy ACCEPT)target prot opt source destination <Aturan Khusus: KOSONG>
Chain OUTPUT (policy ACCEPT)target prot opt source destination <Aturan Khusus: KOSONG>
Aturan umumchain INPUT
Aturan khususTolak/DROP IP ini
Version 1.0 linuxslides.blogspot.com
Mengubah Aturan Umum
Mengubah aturan umum table filter chain INPUT menjadi DROP:$ sudo iptables -P INPUT DROPLihat hasilnya:$ sudo iptables -L
Chain INPUT (policy DROP)target prot opt source destination
Chain FORWARD (policy ACCEPT)target prot opt source destination
Chain OUTPUT (policy ACCEPT)target prot opt source destination
Aturan umumchain INPUT:
DROP
Version 1.0 linuxslides.blogspot.com
Menambah Aturan Khusus
Menambahkan (-A = add) aturan khusus yang membolehkan IP tertentu masuk, dan melarang selainnya:$ sudo iptables -P INPUT DROP$ sudo iptables -A INPUT -s 192.168.X.X -j ACCEPTLihat hasilnya:$ sudo iptables -L
Chain INPUT (policy DROP)target prot opt source destination ACCEPT all -- 192.168.X.X 0.0.0.0/0
Chain FORWARD (policy ACCEPT)target prot opt source destination
Chain OUTPUT (policy ACCEPT)target prot opt source destination
Version 1.0 linuxslides.blogspot.com
Menghapus Aturan Khusus
Lihat dulu no urut dari rule chain yang akan dihapus:$ sudo iptables -nL --line-numberChain INPUT (policy ACCEPT)num target prot opt source destination 1 ACCEPT all -- 192.168.2.2 0.0.0.0/0 ... Menghapus aturan khusus yang pertama pada chain INPUT:$ sudo iptables -D INPUT 1Lihat hasilnya:$ sudo iptables -LChain INPUT (policy ACCEPT)num target prot opt source destination <kosong>
Menghapus semua aturan khusus di semua chain:$ sudo iptables -F
Version 1.0 linuxslides.blogspot.com
Menambah Aturan Khusus
Menambahkan (-A = add) aturan khusus yang membolehkan IP tertentu masuk, dan melarang selainnya:$ sudo iptables -P INPUT DROP$ sudo iptables -A INPUT -s 192.168.X.X -j ACCEPTLihat hasilnya:$ sudo iptables -L
Chain INPUT (policy DROP)target prot opt source destination ACCEPT all -- 192.168.X.X 0.0.0.0/0
Chain FORWARD (policy ACCEPT)target prot opt source destination
Chain OUTPUT (policy ACCEPT)target prot opt source destination
Version 1.0 linuxslides.blogspot.com
Lab
1. Buat aturan umum chain INPUT DROP
– Buat aturan khusus chain INPUT yang hanya menerima koneksi dari salah satu IP teman Anda
– Uji coba dengan ping (seharusnya hanya IP yang diizinkan yang bisa ping)
2. Buat aturan umum chain INPUT ACCEPT
– Buat aturan khusus chain INPUT yang hanya menolak (DROP/REJECT) koneksi dari salah satu IP teman Anda
– Uji coba dengan ping (seharusnya hanya IP yang ditolak tidak bisa ping)
3. Jelaskan perbedaan antara DROP dan REJECTVersion 1.0 linuxslides.blogspot.com
Format Aturan Khusus Iptables
Format penambahan aturan khusus (ditulis kesamping):
# iptables -A <chain> INPUT,OUTPUT, dll -p <proto> tcp,udp,icmp
-s <src-addr> 10.1.1.1, www.abc.com --sport <port> 80 (web), 22 (ssh), dll
-d <dst-addr> 10.2.2.2, www.xyz.com --dport <port> 80 (web), 22 (ssh), dll -i/-o <in/out-interface> eth0, eth1, dll -j <policy> REJECT, ACCEPT, DROP, dll
Untuk protocol, address dan port bisa ditambahkan notasi not (!) Contoh: ! 10.1.1.1 berarti selain IP 10.1.1.1
Version 1.0 linuxslides.blogspot.com
Contoh Kasus 1: Menolak SSH dari IP tertentu
Port22
INPUT SSH Server
192.168.0.1192.168.0.2
Port(acak)
protocol = TCPsrc addr = 192.168.0.2dst addr = 192.168.0.1src port = –dst port = 22
Firewall(host)
SSH Client
Set Aturan Umum ACCEPT:# iptables -P INPUT ACCEPT
Isilah titik-titik di bawah ini:# iptables -A ... -p ... -s ... -d ... --dport ... -j ...
Jawab:# iptables -A INPUT -p tcp -s 192.168.0.2 -d 192.168.0.1 --dport 22 -j REJECT
x
Version 1.0 linuxslides.blogspot.com
Contoh Kasus 2: Hanya Menerima SSH dari IP tertentu
Port22
INPUT SSH Server
192.168.0.1192.168.0.2
Port(acak)
protocol = TCPsrc addr = 192.168.0.2dst addr = 192.168.0.1src port = –dst port = 22
Firewall(host)
SSH Client
Set Aturan Umum ACCEPT:# iptables -P INPUT ACCEPT
Isilah titik-titik di bawah ini:# iptables -A ... -p ... -s ... -d ... --dport ... -j ...
Jawab:# iptables -A INPUT -p tcp -s ! 192.168.0.2 -d 192.168.0.1 --dport 22 -j REJECT
x
Version 1.0 linuxslides.blogspot.com
protocol = TCPinput interface = eth0src addr = 192.168.0.0/24dst addr = www.facebook.comsrc port = –dst port = 80
www.facebook.com LAN192.168.0.0/24eth0
Firewall(gateway)
FORWARD
Contoh Kasus 3: Menolak situs tertentu
x
Set Aturan Umum ACCEPT:# iptables -P FORWARD ACCEPT
Isilah titik-titik di bawah ini:# iptables -A ... -p ... -s ... -d ... --dport ... -j ...
Jawab:# iptables -A FORWARD -p tcp -d www.facebook.com --dport 80 -j REJECT
Version 1.0 linuxslides.blogspot.com