IPTABLES
Apa itu iptables?
iptables adalah suatu tools dalam sistem operasi linux yang berfungsi
sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic)
lalulintas data. Secara sederhana digambarkan sebagai pengatur
lalulintas data. Dengan iptables inilah kita akan mengatur semua
lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari
komputer, ataupun traffic yang sekedar melewati komputer kita.
Gimana perintahnya?
iptables [–t tables] [option] [rule] [target]
Contohnya:
iptables –P FORWARD ACCEPT
Apa saja yang bisa dilakukan dengan iptables?
Dengan kemampuan tools iptables ini, kita bisa melakukan banyak hal
dengan iptables. Yang paling penting adalah bahwa dengan iptables ini
kita bisa membuat aturan (rule), untuk arus lalulintas data. Aturan
aturan itu dapat mencakup banyak hal, seperti besar data yang boleh
lewat, jenis paket/datagram yang dapat diterima, mengatur trafic
berdasar asal dan tujuan data, forwarding, nat, redirecting, pengelolaan
port, dan firewall.
- Bagaimana gambaran lalulintas dalam sistem jaringan.
Lalu lintas dalam sistem jaringan digambarkan sebagai berikut
Gambar 1. Lalu lintas data dalam sistem
Keterangan:
1. Data masuk ke dalam sistem komputer bisa melalui banyak jalan,
biasanya melalui network interface. Bisa berupa card dan dapat pula
berupa wifi lan atau yang lain. Setelah masuk sistem, maka data tersebut
akan segera masuk ke dalam decission maker, yang menentukan bahwa data
itu akan di proses ke dalam komputer (input) atau akan di lewatkan
(forward).
2. Setelah data masuk jika data tersebut mendapatkan rantai FORWARD maka
akan segera masuk dalam aturan dalam rule FORWARD tersebut.
3. Jika data masuk ke dalam rantai input, maka data akan mengalami rule
Perlakuan apa saja yang dialami data oleh iptables?
Perlakuan yang dialami oleh data/paket data oleh iptables digambarkan melalui tabel. Macam tabelnya adalah:
1. Filter : tabel default yang ada dalam penggunaan iptables
2. NAT : tabel ini digunakan untuk fungsi NAT, redirect, redirect port
3. Mangle : tabel ini berfungsi sebagai penghalus proses pengaturan paket
Bagaimana kita bisa peroleh informasi tentang iptables tersebut di dalam sistem operasi linux?
Kita bisa peroleh info tentang iptables, dengan cara mengetikkan:
man iptables
atau
iptables –help
Perintah man adalah untuk mendapatkan manual penggunaaan dari
iptables ini. Sedangkan help adalah untuk mendapatkan informasi help
dari iptables tersebut.
OPTION
Option terdiri dari command, dan parameter serta opsi tambahan
COMMAND
Command dan rule yang dipasang pada iptables (firewall) memiliki
ketentuan. Pada dasarnya iptables pada komputer dianggap sebagai TABEL
IP sesuai dengan namanya. System hanya akan menjalan rule yang ada pada
tabel. Sedangkan rule yang sudah ada pada iptables juga dapat di hapus
atau di replace dengan rule lain. Berikut beberapa command untuk
penambahan, penghapusan dan operasi sejenisnya yang akan diperlakukan
terhadap rule.
Daftar Perintah berikut keterangan
-A atau –append Melakukan penambahan rule
-D atau –delete Melakukan penghapusan rule
-R atau –replace Melakukan replacing rule
-L atau –list Menampilkan ke display, daftar iptables
-F atau –flush Menghapus daftar iptables/pengosongan
-I atau –insert Melakukan penyisipan rule
-N atau –new-chain Melakukan penambahan chain baru
-X atau –delete-chain Melakukan penghapusan chain
-P atau –policy Memberikan rule standard
-E atau –rename Memberikan penggantian nama
-h atau –help Menampilkan fasilitas help
Parameter
Parameter iptables digunakan sebagai pelengkap yang diperlukan untuk tujuan spesifikasi rule tersebut
Parameter berikut Keterangan
-p, –protocol (proto) Parameter ini untuk menentukan perlakuan terhadap protokol
-s, –source (address) –-src Parameter untuk menentukan asal paket
-d, –destination (address) –-dst Parameter untuk menentukan tujuan paket
-j, –jump (target)
-g, –goto (chain)
-i, –in-interface Masuk melalui interface (eth0, eth1 dst)
-o, –out-interface
[!] -f, –fragment
-c, –set-counters
Parameter berikut Keterangan
–sport
–source-port Menentukan port asal
–dport
–destination-port Menentukan port tujuan
–tcp-flags Menentukan perlakuan datagram
–syn
Selanjutnya apa itu yang disebut dengan chain?
Chain/rantai digambarkan sebagai jalur aliran data. Chains yang diperlukan untuk iptables ini antara lain:
Chain berikut Keterangan
-FORWARD Route packet akan di FORWARD tanpa di proses lanjut di local
-INPUT Route packet masuk ke dalam proses lokal sistem
-OUTPUT Route packet keluar dari local sistem
-PREROUTING Chain yang digunakan untuk keperluan perlakuan sebelum packet masuk route. Biasanya dipakai untuk proses NAT
-POSTROUTING Chain yang digunakan untuk keperluan perlakuan sesudah packet masuk route. Biasanya dipakai untuk proses NAT
-Chain PREROUTING dan POSTROUTING dimaksudkan sebagai jalur data sebelum dan sesudah data tersebut masuk ke dalam route.
-PREROUTING: data sebelum masuk jalur route, akan di kenakan rule
-POSTROUTING: data sebelum masuk akan dikenakan route
Apakah target itu?
Target adalah tujuan perlakuan terhadap rule. Pada target ini terletak
keputusan, paket data mau diapakan, apakah mau di tolak, atau diteruskan
atau diolah terlebih dahulu. Berikut daftar table target iptables
Target berikut Keterangan
ACCEPT Rantai paket tersebut diterima dalam rule
DROP Rantai paket tersebut “dijatuhkan”
REJECT Rantai paket tersebut ditolak seperti DROP
DNAT Rantai paket di “destination nat” kan ke address lain
SNAT Rantai paket di arahkan ke source nat tertentu
REDIRECT Rantai paket di redirect ke suatu addres dan port tertentu
MASQUERADE Bekerja seperti SNAT tapi tidak memerlukan source
REJECT Bekerja seperti DROP
Contoh beberapa kasus untuk iptables
Misalkan terdapat sebuah jaringan komputer menggunakan koneksi internet dengan IP ADDRESS publik
222.124.132.91 (eth0)
Server gateway memiliki 3 anak jaringan (jaringan lokal) dengan dibedakan subnet
192.168.0.0/24 (eth1)
192.168.1.0/24 (eth2)
192.168.10.0/24 (eth3)
Kondisi dalam jaringan, eth3 tidak diperbolehkan melakukan akses ke
internet tetapi diperbolehkan masuk ke jaringan lokal lainnya melalui
protokol http. Sedangkan eth1 dan eth2 diperbolehkan melakukan akses ke
internet. Pada IP ADDRESS 192.168.1.10 terdapat webserver, dan pada IP
Address 192.168.1.12 terdapat koleksi intranet yang akan dipublish ke
internet. Disamping itu, koneksi internet 1 mega tersebut akan di share,
untuk semua komputer di eth2 akan dibatasi pemakaiannya maksimal
10kbps. Berikut contoh sederhana routin firewallnya
#/bin/bash
#blok semua address (default), pada dasarnya semua akses di blok
iptables –P INPUT –j DROP
#bersihkan table
iptables –F
iptables –t nat –F
iptables –t mangle -F
#perkecualian dengan syarat tertentu
iptables -A INPUT -d 192.168.1.0/24 -m limit –limit 10/s –limit-burst 20 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m limit –limit 10/s –limit-burst 20 -j ACCEPT
iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –j MASQUERADE
iptables –t nat –A POSTROUTING –s 192.168.1.0/24 –j MASQUERADE
#forward webserver dan intranet
iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to 192.168.0.10:80
iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 88 -j DNAT –to 192.168.0.12:80
#redirect ke squid
iptables –t nat –A PREROUTING –s 192.168.10.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128
iptables –t nat –A PREROUTING –s 192.168.10.1/24 -p tcp –dport 80 -j REDIRECT –to-port 3128
=========================================================================================
untuk lebih lengkapnya, silakan
kesini dan
disini
Semoga bermanfaat
