Iptables NAT

Table NAT (network address translation) dalam iptables berfungsi untuk melakukan translasi dan manipulasi traffic network. Beberapa contoh aplikasinya antara lain adalah: SNAT/DNAT: Perubahan IP Private LAN lokal menjadi IP Public agar dapat mengakses internet. Hal ini juga dikenal dengan istilah internet connection sharing. IP Masquerading: Sama seperti SNAT/DNAT, tapi hanya digunakan pada koneksi internet IP Dynamic (dial-up) Transparent Proxy: Dimana client tidak harus menentukan proxy secara manual di browser. Firewall akan secara otomatis membelokkan traffic yang menuju ke internet, dipaksa menuju ke port proxy.
Version 1.0 linuxslides.blogspot.com

SNAT dan DNAT

SNAT dan DNAT sering digunakan untuk koneksi internet SNAT (source NAT) untuk merubah IP Private (LAN) ke IP Public DNAT (destination NAT) untuk merubah IP Public (LAN) ke IP Private Kedua-duanya digunakan secara bersamasama

Version 1.0 linuxslides.blogspot.com

Source NAT (SNAT)
Firewall (gateway)
POSTROUTING PREROUTING

internet

X

src addr:192.168.0.10 src addr:192.168.0.10

LAN
192.168.0.0/24

eth1 202.169.12.1

eth0 192.168.0.1

IP lokal tidak dikenali/ditolak di internet

Version 1.0 linuxslides.blogspot.com

Source NAT (SNAT)
Firewall (gateway)
POSTROUTING PREROUTING

internet

src addr:202.169.12.1 src addr:192.168.0.10

LAN
192.168.0.0/24

eth1 202.169.12.1

eth0 192.168.0.1

Setelah di-SNAT jadi IP Public, baru bisa dikenali di internet

# iptables -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 202.169.12.1

Version 1.0 linuxslides.blogspot.com

Destination NAT (DNAT)
Firewall (gateway)

internet dst addr:202.169.12.1

PREROUTING dst addr:202.169.12.1

eth1 202.169.12.1

X

POSTROUTING

LAN
eth0 192.168.0.1 192.168.0.0/24

IP Public tidak dikenali/ditolak di LAN (tujuan seharusnya ke 192.168.0.0/24)

Version 1.0 linuxslides.blogspot.com

Destination NAT (DNAT)
Firewall (gateway)

internet dst addr:202.169.12.1

PREROUTING dst addr:192.168.0.10

POSTROUTING

LAN
eth0 192.168.0.1 192.168.0.0/24

eth1 202.169.12.1

Setelah di-DNAT jadi IP Private, baru bisa dikenali di LAN

# iptables -A PREROUTING -d 202.169.12.1 -j DNAT --to 192.168.0.0/24

Version 1.0 linuxslides.blogspot.com

SNAT dan DNAT

POSTROUTING

PREROUTING

internet

SNAT src addr:202.169.12.1 src addr:192.168.0.10 dst addr:192.168.0.10 DNAT PREROUTING POSTROUTING

LAN
192.168.0.0/24

dst addr:202.169.12.1

# iptables -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 202.169.12.1 # iptables -A PREROUTING -d 202.169.12.1 -j DNAT --to 192.168.0.0/24

Version 1.0 linuxslides.blogspot.com

IP Masquerading

IP Masquerading adalah policy iptables yang melakukan SNAT dan DNAT secara otomatis Tidak perlu membuat dua rule yang terpisah Hanya digunakan pada IP Dynamic (IP untuk koneksi internet), seperti koneksi internet dialup Jika IP Static, gunakan dua rule SNAT dan DNAT seperti sebelumnya

● ●

Version 1.0 linuxslides.blogspot.com

IP Masquerading

POSTROUTING

PREROUTING

internet

MASQ src addr:202.169.12.1 src addr:192.168.0.10

LAN
192.168.0.0/24

eth1

eth0

# iptables -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

Version 1.0 linuxslides.blogspot.com

Transparent Proxy

Rule iptables untuk memaksa membelokkan traffic web dari LAN agar mengakses proxy Lebih efisien karena client tidak perlu setting proxy di browser satu per satu Harus edit ulang /etc/squid/squid.conf ubah baris http_port hingga menjadi:
http_port 3128 transparent

Version 1.0 linuxslides.blogspot.com

Transparent Proxy

POSTROUTING

PREROUTING

internet
eth1

dst port: 80 (web)

LAN
192.168.0.0/24

eth0 Port proxy 3218

# iptables -A PREROUTING -t tcp --dport 80 -i eth0 -j REDIRECT --to-port 3128

Version 1.0 linuxslides.blogspot.com

Lab: Iptables NAT

Buatlah router LAN baru yang dihubungkan ke router LAN yang sudah terkoneksi ke internet. Setting NAT/MASQUERADING pada router LAN baru tersebut, dan pastikan client bisa mengakses internet. Setting Transparent Proxy pada router LAN baru sehingga client bisa otomatis akses proxy tanpa perlu mendefinisikannya secara manual.

Version 1.0 linuxslides.blogspot.com

Sign up to vote on this title
UsefulNot useful