Modul Praktikum Jaringan Komputer 2 Firewall / Shorewall 3.0.

x

REVISI2011

Disusun Oleh:

H. Agung Hernawan

Teknik Informatika Fakultas Sains dan Teknologi Universitas Sanata Dharma 2011

Modul Praktikum Jaringan Komputer 2 Firewall / Shorewall 3.0.x

(Agung Hernawan, Maret 2011)

PENDAHULUAN:

• Praktikum ini: diskenariokan pada organisasi terkoneksi dengan internet dedicated dan mendapatkan IP sebanyak 8 IP (/29)

• Pada oraganisasi tersebut perlu dibuat suatu firewall (dengan paket filtering) agar bisa menyaring paket-paket yang keluar dan masuk; dari dan ke; lokal (& dmz) dan internet.

• Fungsi firewall selain sebagai paket filtering, melakukan fungsi SNAT/Masqurade pada client agar bisa terkoneksi ke internet.

• Firewa111 juga akan berfungsi melakukan DNATlPort Forwarding, One-to-One NAT, dan Proxy ARP ke server-server yang ada pada organisasi tersebut

• Akan dikenalkan pula IP Accounting untung menghitung paket-paket yang lewat melalui firewall

• Sistem Operasi yang dipakai adalah Linux dengan Distro Fedora Core.

• Umumnya untuk melakukan fungsi firewall adalah dengan IP Tables, tetapi mengingat kerumitannya dan bahwa praktikum ini ditujukan untuk pengenalan fungsi-fungsi firewall, maka sengaja dipilih paket Shorewall, yang sebenarnya semacam 'interpreter/compiler' ke dalam IP Tables

TUJUAN:

• Mahasiswa memahami fungsi-fungsi sebuah firewall

• Mahasiswa dapat mengimplementasikan firewall dengan Linux Fedora Core dan paket Shorewall

• Mahasiswa mampu mengimplementasikan firewall dengan paket filtering, Masqurade, DNAT, One-to-One NAT, dan IP Accounting

BAHAN/ALAT:

Pada masing-masing meja praktikum diseidkan 4 buah PC yang berfungsi sebagai :

• PC Router, sistem operasi Linux, minimal dengan 2 buah NIC

• PC Firewall, sistem operasi Linux, minimal dengan 3 buah NIC

• PC Server, sistem operasi Linux, minimal dengan 1 buah NIC

• PC Client, sistem operasi Windows, minimal dengan 1 buah NIC

PAKET SOFTWARE:

• Linux: shorewall, server web (httpd), ftp sever (vsftpd), text browser (lynx), utilitas file (me), paket sniffer (tcp dump)

• Windows: ssh client (putty), scp client (wincp), browser (IE), tracert / winmtr

W AKTU & PERTEMUAN :

• Setiap pertemuan di rancang untuk waktu 4 jam pertemuan. Jadi kalau untuk 1 SKS /2 JP, maka akan ada 6 kali pertemuan (termasuk ujian)

PERTEMUAN 1 I

PERSIAPAN:

1. Setup Jaringan 'Internet'

• Agar seakan-akan ada Internet pada praktikum ini, maka disimulasikan setiap meja praktikum merupakan suatu organisasi. Organisasi 1 meja praktikum terkonseksi satu sarna lain sehingga membentuk Internet.

• Agar lebih membantu praktikan, disediakan suatu organisasi yang berupa "Server Internet", yang bisa diakses oleh praktikan.

• Diagram Network 'Internet' adalah sbb :

I nternet Server 203.0.113.100

Meja 2 1--------,

I I

Meja 1

I I I

I I

I

I Firewall J

~-------

Meja: 1 2 3

MejaRoute: 101 102 103

20

120

Seting IP pada me sin PC Router:

• ethO = 198.18.Meja.6 129

• eth1 = 203.0.113.MejaRoute 1 24

• TUGAS 1.1:

(Kumpulkan Tabel Routingnya)

Buat tabel routing pada PC Router tersebut dan ditaruh di letc/sysconfig/staticroutes agar bisa mengakses ke semua Meja.

• Pastikan IP fowarding di-set ENABLED (net.ipv4.ip_forward = 1), dengan mengedit file letc/sysct1.conf (karena sebagai Router)

Seting IP pada me sin Firewall :

• ethO = 198. 18.Meja.2 1 29

• TUGAS 1.2:

(Kumpulkan seting ethO, ethl, & eth2 yang ada gateway-nya) Tambahkan gateway dari PC Firewall, kemana ?

• Pastikan IP fowarding di-set DISABLED (net.ipv4.ip_forward = 0), dengan mengedit file letc/sysct1.conf (karena Firewall, bukan sebagai Router)

PASTlKAN

• Dari me sin Firewall bisa mem-ping ke Internet Server 203.0.113.100

• Dari me sin Firewall bisa mem-ping ke meja tetangga (untuk mewujudkan ini, maka router dari masing-masing meja harus benar)

2. Setup Jaringan 'Lokal Organisasi'

Tambahkan pada setiap meja dengan client dan server yang terhubung dengan mesin Firewall. Pada Firewall tambahkan Eth1 (network 192.168.10.0/24) dihubungkan ke PC client. Pada Firewall tambahakn Eth2 (network 10.1.1.0/24) dihubungkan ke PC Server. Konfigurasi me sin-me sin pada meja anda menjadi sbb :

Mesin Firewall

fw

172.16.0.2/24 (eth 1)

dmz

10.1..12/.24 (eth 2)

203.0.113.MejaRoute /24 (eth 1)

Meja: MejaRoute:
1 101
2 102
3 103
20 120 10.1.1.3/24 (eth 0)

Mesin Server

198.18.Meja.2/29 (eth 0)

Server Internet

Tambahkan pada Firewall :

• eth1 = 172.16.0.2 1 24

• eth2 = 10.1.1.2/24

• Pastikan IP fowarding OFF (net.ipv4.ip_forward = 0), dengan mengedit file 1 etcl sysctl. conf

Konfigurasi PC Client :

• IP = 172.16.0.3/24

• TUGAS 1.3:

(Kumpulkan seting ethO yang ada gateway-nya) Tambahkan gateway dari PC Client, kemana ?

Konfigurasi PC Server:

• DMZ = 10.1.1.3/24

• TUGAS 1.4:

(Kumpulkan seting ethO yang ada gateway-nya) Tambahkan gateway dari PC Server, kemana ?

PASTlKAN

• Dari me sin Firewall bisa mem-ping Client dan Server.

TUGAS 1.5: (Kumpulkan alaswannya)

• Kenapa dari Client dan Server TIDAK BISA mem-ping PC Router?

3. Setup Service: WWW & FTP

Hidupkan service WWW & FTP pada mesin-mesin :

• Internet (dengan Apache 1 httpd)

• Server (dengan Apache 1 httpd)

• Local (dengan lIS)

Buat Halaman Test (index.htm) yang berisi kata 'Test <Nama Mesin>'

'Be creative .... "

Untuk Linux cara menghidupkan web service adalah :

• Edit /var/www/html/index.htm (kalau belum ada filenya buat dulu dengan touch /var/www/html/index.htrn)

• service httpd start (option lain: stop, restart, status)

• Cek dengan cara browsing dengan (kalau lynx belum ada install dulu) lynx (IP pada masing-masing mesin secara lokal)

• Supaya service naik ketika di boot dapat dilakukan dengan menset melalui ntsysv

Untuk Linux cara menghidupkan web service adalah :

• service vsftpd start (option lain: stop, restart, status)

• Cek dengan cara browsing dengan

ftp (IP pada masing-masing mesin secara lokal)

• Supaya service naik ketika di boot dapat dilakukan dengan menset melalui ntsysv

Untuk Windows menghidupkan werb dan ftp :

• Jalankan (edit dulu index.htm untuk web service & buat home directory untuk ftp) melalui lIS manager (Kalau belum ada install dulu IISnya melalui add/remove program» windows komponen

• Cek dengan cara browsing dengan IE (pada me sin Windows). ke IP pada masing-masing me sin secara lokal untuk http:// dan ftp:!1

PERTEMUAN 2 I

CATATAN:

• Instal shorewall jika belum ada:

rpm -ivh lusrlsrc/shorewa1l3. O. 6-I.noarch.rpm

• Kabalu belum ada backup, buat backup dulu letc/shorewall menjadi letc/shorewall.asli

• J adi mengulang praktikum dari awal, cukup mengcopy Backup (dari letc/shorewall.asli ke letc/shorewall)

• Pada saat mengedit file konfigurasi shorewall, baris-baris tambahan HARUSBERADADIATAS:

#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

• Ingat CASE SENSITIF

• Selama Praktikum Pastikan SERVICE HTTP & FTP HIDUP DI SEMUA MESIN (Firewall, Server, Router)

4. Setup Shorewall : interface, zone, routestopped, policy

Menghubungkan masing-masing zone pada interface-nya dengan mengedit letc/shorewall/interface

Keterangan :

• Pada net diberi option routefiiter,norfc1918 maksudnya adalah pada zona tersebut akan memfilter IP Privat (10. *. *. *, 172.16. *. * sid 172.31. *. * dan 192.168. *. *) tidak boleh ada I lewat pada zone

#ZONE INTERFACE BROADCAST OPTION
net ethO detect routefilter,norfc1918
loc ethl detect
dmz eth2 detect
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Mendefiniskan tipe masing-masing zone dengan cara edit letc/shorewall/zones Keterangan :

• zona fw adalah zona dipakai untuk menunjuk IP-IP yang terdapat pada mesin firewall

#ZONE TYPE #

OPTIONS

IN OPTIONS

OUT OPTIONS

fw

firewall ipv4 ipv4 ipv4

LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

net loc dmz #LAST

Setup interface man saja yang akan di-routing-kan, ketika shorewall stop, dengan mengedit letc/shorewall/routestopped

#INTERFACE HOST(S) ethO

ethl

eth2

#LAST LINE

ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Buat aturan umum hubungan antar zone dengan mengedit /etc/shorewall/policy yang akan dipakai sebagai posisi "default" selama praktikum

Keterangan :

• File ini menentukan apa yang harus dikerjakan (ACCEPT, DROP, REJECT) jika ada komunikasi dari SOURCE menuju DEST.

• Filtering dilakukan pada level IP

• Firewall akan memfilter sesuai dengan Policy dilakukan dari atas ke bawah, (mengikuti pola if ... else) oleh sebab itu URUTAN masing-masing source/dest SANGAT MENENTUKAN

• Kolom LOG LEVEL boleh diisi jika kita menghendaki ada informasi disimpan dalam sebuah log.

DO NOT REMOVE

#SOURCE DEST POLICY LOG LEVEL
fw all ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE LIMIT:BURST

5. Start Shorewall

Mesin Shorewall mempunyai beberapa option, antara lain:

• shorewall start (untuk memulai)

• shorewall stop (untuk mengakhiri)

• shorewall clear (untuk menghilangkan aturan)

• shorewall restart (untuk men-stop dan menstart, jika kondisinya sudah start)

Agar bisa start pertama kali harus diedit /etc/shorewall/shorewall.conf, agar STARTUP _ENABLED=NO diubah menjadi YES :

#####################################################################

# S TAR T U PEN A B LED

##################################################################### #

# Once you have configured Shorewall, you may change the setting of # this variable to 'Yes'

#

#STARTUP ENABLED=NO STARTUP ENABLED=YES

Setelah itu jalankan Shorewall lewat prompt # shorewall start

PASTlKAN

• Setiap kali start / restart shorewall berlangsung sukses (tidak ada Error ditengah jalan) yang ditandari dengan keterangan

Shorewall (re)started processing /etc/shorewall/start

TUGAS 2.1 (Kumpulkan reportnya)

Cek koneksi dengan cara meng-ping & browsing & FTP :

• Mesin Firewall ~ Mesin Client

• Mesin Firewall ~ Mesin Server

• Mesin Firewall ~ Mesin Router

• (Mesin Firewall ~ Mesin Router)

CATATAN: Periksan dan pastikan pada mesin Firewall sudah dipasang h diaktifkan ap'likasi webserver (http'd) dan ftp'server (vsftp'd) sebelumnya.

Bisakah ping & browsing & FTP dilakukan (MENGAPA ?):

• Mesin Client ~ Mesin Firewall

• Mesin Server ~ Mesin Firewall

• Mesin Router ~ Mesin Firewall

Hentikan shorewallnya : # shorewall stop

Kemudian ujikalgi dengan perintah ping & browsing & FTP seperti di atas tadi (MENGAPA ?)

TUGAS2.2

(Kumpulkan /etc/shorewall/policy)

Bagaimana cara agar dari Loc (Mesin Client) bisa mengakses Firewall & DMZ (Mesin Server) ?

Bagaimana cara agar dari DMZ (Mesin Server) bisa mengakses Firewall ?

PERTEMUAN 3 I

CATATAN: Periksan dan pastikan pada mesin Firewall sudah dipasang h diaktifkan ap'likasi webserver (http'd) dan ftp'server (vsftp'd) sebelumnya.

6. Edit Shorewall : rules Edit letc/shorewall/ruies Keterangan :

• File ini mengatur komunikasi - melalui ACTION (ACCEPT, REJECT, DROP, REDIRECT, dsb) - antara SOUCEIDEST.

• BEDANYA DENGAN POLICY pada bagian ini bisa mengatur I memfilter port

o Pada rules bisa lebih spesifik lagi kita bisa mengatur pada level protokol komunikasi pada kolom PROTO PORT (iemp, udp, tep, all).

o Nomer port baik DEST I SOURCE PORT(S) pun bisa ditentukan seeara lebih spesifik.

o Bisa menentukan DEST/SOURCE IP dalam bentuk Host (single IP) bukan Network (sekumpulan IP)

• Firewall akan meneoeokan paket yang lewat dengan aturan yang ada di Rules dimulai dari atas ke bawah, jadi URUTAN SANGAT PENTING.

• Firewal akan melihat aturan dengan urutan dari Rules dulu dan kalau tidak ada yang coeok, akan DILANJUTKAN melihat aturan pada Policy.

Pastikan isi kembali ke Rosisi "default" letc/shorewall/p'olic)j

#SOURCE DEST POLICY LOG LEVEL
fw all ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE LIMIT:BURST

DO NOT REMOVE

Restart Shorewall

# shorewall restart

TUGAS 3.1 (Kumpulkan reportnya) Bisakah (MENGAPA ?)

• Ping dari Mesin Lokal ~ Mesin Firewall

• Browsing dari Mesin Lokal ~ Mesin Firewall

• FTP dari Mesin Lokal ~ Mesin Firewall

Edit lete/shorewall lrules

#ACTION SOURCE DEST PROTO DEST SOURCE
# PORT PORT(S)
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
#
!ACCEPT loe fw ic::!!flP
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE DO NOT REMOVE Restart Shorewall

# shorewall restart

TUGAS3.2 (Kumpulkan reportnya)

Bisakah (MENGAPA ?)

• Ping dari Mesin Client ~ Mesin Firewall

• Browsing dari Mesin Client ~ Mesin Firewall

• FTP dari Mesin Client ~ Mesin Firewall

#ACTION SOURCE DEST PROTO DEST SOURCE
# PORT PORT(S) DEST
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
# DROP loe fw icmp

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE

DO NOT REMOVE

Restart Shorewall

# shorewall restart

TUGAS3.3 (Kumpulkan reportnya)

Apa yang terjadi ketika ACCEPT diubah menjadi DROP? • coba Ping dari Mesin Lokal ~ Mesin Firewall 0

edit /etc/shorewall/rules dan lihat apa yang terjadi ketika dubah menjadi IREJEC1i:

#ACTION #

SOURCE

DEST

PROTO PORT

DEST PORT(S)

SOURCE DEST

#

REJECT loe fw icmp

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE

DO NOT REMOVE

Restart Shorewall

# shorewall restart

TUGAS3.4 (Kumpulkan reportnya)

Apa yang terjadi ketika diubah menjadi REJECT? • coba Ping dari Mesin Lokal ~ Mesin Firewall 0

;rUGAS 3.5:

(Kumpulkan letc/shorewall/policy & letc/shorewall/rules)

~~~~--------~

Edit /etc/shorewall/rules Qadi letc/shorewall/Rolicy' tidak diubah alias tetap

kondisi "default") agar bisa ping:

• Mesin Client ~ Mesin Firewall

• Mesin Server ~ Mesin Firewall

• Mesin Router ~ Mesin Firewall

• Mesin Client ~ Mesin Serveli

7. Edit Shorewall (Lanjut) : rules

Coba dari mesin Lokallakukan Browsing (dengan lIE) & SSH (dengan PUTTY) ~ mesin Firewall (BISA ?)

Buat rules agar bisa men-SSH (PROTO: tcp dan DIEST PORT: 22) & membuka lWeD Server (PROTO: tcp dan DIEST PORT : 22) Mesin Firewall dari Mesin Lokal dengan menambahkan pada /etc/shorewall/rules

#ACTION SOURCE DEST PROTO DEST SOURCE
# PORT PORT(S) DEST
... rules lain
!ACCEPT loc fw tcp 80
!ACCEPT loc fw tcp 22 ... rules lain

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Restart Shorewall

# shorewall restart

Test dari me sin Lokallakukan Browsing (dengan lIE) & SSH (dengan PUTTY) ~ mesin Firewall (BISA ?)

;rUGAS 3.6:

(Kump'ulkan letc/shorewall/p'olicy' & letc/shorewall/rules)

Edit /etc/shorewall/rules agar bisa men-SSH :

Mesin Client ~ Mesin Firewall Mesin Client ~ Mesin Routef Mesin Client ~ Mesin Servef

~~~--~~~~~--~

Edit /etc/shorewall/rules agar dari Mesin Client ~ Mesin Server

• Akses HTTR

•

8. Edit Shorewall (Lanjut) : rules

Keterangan :

• Kadang diperlukan agar suatu mesin hanya boleh diakes dari satu me sin I IP saja, bukan seluruh network. Misalkan diinginkan Server hanya bisa di ssh dari komputer dengan IP 172.16.0.3 (tidak oleh IP lain dalam network] 172.16.0.0 124~.

• Kalau dipakai aturan pada policy, maka berlaku untuk satu zone I network.

Masalah ini bias dilakukan dengan membuat aturan pada rules dengan menspesifikan pada level ip (contoh = loc: 172.16.0.3) berarti menunjuk host I computer dengan IP 172.16.0.3 yang berada di zona loco

Ubah rules SSH tadi menjadi

#ACTION #

SOURCE

DEST PROTO PORT

DEST PORT(S)

SOURCE DEST

10c:172.16.0.3

fw

tcp

22

!ACCEPT

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Restart Shorewall

# shorewall restart

Test meng-SSH Mesin Lokal (jalankan putty.exe) ~ Mesin Firewall (BISA ?)

Ubah IP Mesin Lokal menjadi 172.16.0.3 kemudian test meng-SSH Mesin Lokal (jalankan putty.exe) ~ Mesin Firewall (BISA ? APA KESIMPULANNYA ?)

TUGAS 3.7:

(Kumpulkan letc/shorewall/policy & letc/shorewall/rules)

• Edit /etc/shorewall/rules agar Mesin Firewall bisa di-ssh dari Net hanya jika IP 203.0.103.100.

PERTEMUAN 4 I

9. Masgurade (SNAT)

• Agar dari Mesin dengan IP Privat dapat mengakses Internet maka harus dilakukan pembungkusan dengan IP Public oleh firewall. Biasa di kenal dengan SNAT atau Masqurade (pada linux) dan Internet Conection Sharing 1 ICS (pada windows)

• Pada shorewall, hal ini dilakukan dengan cara mengedit Vetc/shorewall/masg

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

#INTERFACE SUBNET ADDRESS PROTO PORTS(S)

ethO 172.16.0.0,24

Berarti network 172.16.0.0/24 akan dibungkus dengan IP pada ethO

Atau bisa juga subnetnya diisi dengan interface (yang berarti seluruh network pada eth1 dibungkus dengan IP pada ethO)

#INTERFACE

SUBNET

ADDRESS

PROTO PORTS(S)

ethO eth1

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

dan jangan lupa menambahkan pada policy agar dari loc boleh keluar mengakses net, sehingga Vetc/shorewall/ROlicyj menjadi

... policy lain

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE

DO NOT REMOVE

#SOURCE

DEST

POLICY

LOG LEVEL LIMIT:BURST

loe net ACCEPT

Restart Shorewall

# shorewall restart

Bisakah dari Mesin Client (MENGAPA ?):

• Ping ke Mesin Router 1 Server Internet

• Browsing ke Mesin Router 1 Server Internet

CATATAN (kala" rna" dicoba):

Untuk mencek pembungkusan kerjakan langkah-langkah dibawah ini :

• Jalankan wireshark tap pada eth1 Firewall, lakukan ping dari Mesin Lokal ke Mesin Router terus menerus. Amati dan catat dari mana source IP dan destination IP

• Ulangi langkah diatas tapi tap pada ethO Firewall. Lakukan ping lagi dari Mesin Lokal ke Mesin Firewall. Amati dan catat dari mana source IP dan destination IP

• Bandingkan dua percobaan di atas. Dari me sin manakah (Lokal atau Firewall) ping itu berasal menurut Mesin Router (MENGAPA ?)

;rUGAS 4.1:

(Kumpulkan letc/shorewall/masq & letc/shorewall/rules)

~~~--~--~----,

Edit /etc/shorewall/masq dan letc/shorewall/ruies agar dari mesin dmz agali

bisa mengakses Interne~

10. Port Forwarding (DNAT)

• Dengan SNAT, maka dari IP Privat bisa mengakses/keluar ke IP Public.

• Menjadi masalah ketika pihak luar (IP Public) mau mengakses server-serveli ~ang ada di belakang firewall (dengan IP Privat)

• Untuk mengatasi masalah ini bisa digunakan teknik port forwarding (DNAT), yaitu setiap kali ada trafik masuk ke source pada proto port yang telah ditentukan, akan diteruskan ke dest

• Paket yang akan diforward hanya paket yang berasal dari luar (net) tidak dari dalam (loc)

Tambahkan DNAT (taruh di baris Raling atas~ untuk server di loc dengan mengedit Vetc/shorewall/ruies

... rules lain

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

#ACTION SOURCE DEST PROTO DEST PORT(S)

~DN=A~T~------n-e~t---------drn~z-:~1~O~.1~.~1~.~3~--~t-c-p--------~8~O

Restart Shorewall

# shorewall restart

TUGAS 4.2: (Kumpulkan reportnya)

• Dari Mesin Router coba browsing (dengan lynk) ke alamat http://198.18.Meja.2 (APA YANG MUNCUL ?)

• Dari Mesin Client coba browsing (dengan IE) ke alamat http://198.18.Meja.2 (KENAPA ?)

Percobaan 2 (boleh di skip):

(Catatan : ini adalah salah satu cara kalau kita ingin mempunyai 2 buah server web, sementara IP kita Cuma satu saja - 198. 18.Meja.2, terpaksa satu server web memakai port standart 80 dan lainnya memakai port 81 misalnya)

Mem-forward protokol tcp port 81 (web service yang digeser) IP Public ke mesin LokalIP 172.16.0.3 yang ada di DMZ

• Kita geser service WWW yang adal di me sin client dari defaultnya port 80 ke port 81, dengan j alan mengedit option pada Apache I lIS.

• Pastikan jalan dengan membrowsing dengan IE http://127.0.0.1:81.

• Tambahkan DNAT ke arah Mesin Lokal untuk port 81 dengan jalan mengedit /etc/shorewall/rules

#ACTION DNAT

SOURCE net

DEST dmz:10.1.1.3

PROTO tcp

DEST PORT(S) 80

net

10c:172.16.0.3

tcp

81

DNAT

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Restart Shorewall

# shorewall restart

IfUGAS 4.3 (bleh diskip):

(Kumpulkan report & letc/shorewall/rules)

• Dari Mesin Router coba browsing (dengan lynk) ke alamat http://198.18.Meja.2:81 (APA YANG MUNCUL?)

• Edit /etc/shorewall/rules dengan teknik DNAT agar dari net bisa meng FTP mesin Server di DMZ

11. One-to-one NAT

• Teknik Masquarade (SNAT) & port forewarding (DNAT), konsepnya satu IP Public dipakai untuk mebungkus beberapa IP Privat.

--------------------------~

Pada One-to-One NAT satu IP Public dip'akai untuk membungkus satu IP.

Privat

• Dengan one-to-one NAT IP Privat yang keluar otomatis dibungkus dengan IP Public ketika keluar. Sebaliknya setiap trafik yang masuk ke IP Public otomatis diforward ke IP Privat.

• Paket yang akan diforward hanya paket yang berasal dari luar (net) tidak dari dalam (loc)

Karena Mesin Server di DMZ mau dipakai untuk eksperimen One-to-One NAT, maka dicabut dulu aturan DNAT untuk dmz, dengan mengedit /etc/shorewall/rules (tambahi remark # di depan rulenya)

#ACTION # DNAT # DNAT

SOURCE net

DEST dmz:10.1.1.2

PROTO tcp

DEST PORT(S) 80

#LAST LINE

ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Juga hap.us Masqurade untuk dmz (karena akan dipakai One-to-One NAT) dengan mengedit letc/shorewall/masq (tambahi remark # di depan rulenya)

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE

DO NOT REMOVE

#INTERFACE

SUBNET

ADDRESS

PROTO PORTS(S)

# ethO

eth2

Baru setelah itu Clitambahkan One-to-one NAT. untuk mesin Server dengan IP 10.1.1.3 yang akan direlasikan ke IP Public 198.18.Meja.3 dengan jalan mengedit Vetcl shorewall/nat

#EXTERNAL INTERFACE INTERNAL ALL INTERFACES LOCAL

198.18.Meja.3 ethO 10.1.1.3 no no

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Tambah aturan khusus untuk membuka dari port WWW & ICMP ke arah dmz dari net dengan mengedit letc/shorewall/ruies

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE

DO NOT REMOVE

#ACTION

SOURCE

DEST

PROTO

DEST PORT(S)

!ACCEPT !ACCEPT

net net

dmz dmz

tcp ic::!!flP

80

Restart Shorewall

# shorewall restart

coba dari komputer di net :

• ping ke 198. 18.Meja.2

• browsing ke alamat http://198.18.Meja.3 (APA YANG TAMPIL ?)

;rUGAS 4.4:

(Kum~ulkan

Dari Mesin Router coba browsing (dengan ke alamat

http://198.18.Meja.3 (APA YANG MUNCUL?)

~-------------------,

Dari Mesin Client coba browsing (dengan IE) ke alamat http://198.18.Meja.3

(KENAPA ?)

il2. Proxy ARP (boleh dis kip aja)

• Proxy ARP konsepnya mirip dengan One-to-One NAT, hanya saja kerjanya di level MAC

• Jadi mesin secara fisik berada di DMZ (atau loc), namun MAC-nya seakanakan ada di net.

• Oleh sebab itu seting IP me sin yang dipasang dengan cara Proxy ARP, seting networknya mengikuti aturan net.

~-------------------------------------------,

Untuk itu ubah PC Server di DMZ sehingga satu netwok net (mis IP =

198.18.Meja.4), masking & gateway sesuaikan

• Dengan teknik Proxy ARP, maka me sin Server yang ada di DMZ seakan-akan ada di net. Oleh sebab itu baik dari net maupun mesin client yang ada di loc sama2 dapat mengaksesnya (bandingkan dengan teknik DNAT (tugas 4.2) dan One-to-One NAT (tugas 4.4)

Karena akan melakukan percobaan Proxy ARP sebelumnya matikan One-to-One NAT. untuk server dmz IP 10.1.1.3 dengan mengedit Vetc/shorewall/nat

#EXTERNAL INTERFACE INTERNAL ALL INTERFACES LOCAL

# 198.18.Meja.3 ethO 10.1.1.2 no no

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Kemudian tambahkan IPROXY ARP untuk eth2 (dmz~ dengan mengedit Vetcl shorewall/RrOxJ:aq~:

#ADDRESS INTERFACE EXTERNAL HAVEROUTE PERSISTENT

198.18.Meja.4 eth2 ethO no yes

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Restart Shorewall

# shorewall restart

TUGAS 4.5: (Kumpulkan reportnya)

• Dari Mesin Router coba browsing (dengan lynk) ke alamat http://19.18.MejaA (APA YANG MUNCUL ?)

• Dari Mesin Client coba browsing (dengan IE) ke alamat http://19.18.MejaA (KENAPA ?)

TUGAS 4.6:

(Kumpulkan letc/shorewall/rules, nat & proxyarp)

Asumsikan Anda punya 2 Server tambahan yang ada di dmz untuk server WWW & FTIP, bagaimanakah aturannya jika, dengan:

1. One-to-One NAT (lIP 198.18.Meja.3)

2. IProxy ARP (lIP 198.18.MejaA)

PERTEMUAN 5 I

13. Accounting

• Selain untuk memfilter paket yang lewat, firewall juga bisa dimanfaatkan untuk menghitung paket yang lewat (Accounting)

• Hasil perhitungan akan disimpan pada suatu variabel, yang akan menghitung (counter) semua trafik yang lewat.

Percobaan 1:

• Menghitung traffic dari / ke ethO dari / ke eth 1, protocol yang akan dihitung adalah ICMP dan akan disimpan pada variabel c _ping

Edit / etc/ shorewall/ accounting

c_ping:COUNT ethl icmp

c_ping:COUNT ethO ic~

DONE c ping

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

CHAIN SOURCE

DESTINATION

PROTOCOL

DEST SOURCE

Restart Shorewall

# shorewall restart

TUGAS 5.1: (Kumpulkan reportnya)

Lihat isi variable c _ping dan catat angka2nya (pkts & bytes) # shorewall -x show c_ping

Lakukan aktifitas ping dari komputer lokal. Setelah itu lihat isi variabel c _ping dan catat angka2nya (pkts & bytes) (BERUBAH?)

# shorewall -x show c_ping

Untuk meng-nol-kan lagi counter dengan perintah # shorewall reset

Coba setelah dicek lagi, apakah lihat isi variabel c _ping angka2nya (pkts & bytes) (BERUBAH ?)

# shorewall -x show c_ping

Percobaan 2:

• Menghitung traffic dari dan ke Mesin Client yang ber IP 172.16.0.3 yang ada di network eth1 pada firewall (loc) pada semua protocol, dan akan disimpan pada variabel c _user

Edit / etc/ shorewall/ accounting

#ACTION

CHAIN SOURCE

DESTINATION

PROTOCOL

DEST

SOURCE

c_ping:COUNT ethl

c_ping:COUNT

DONE c_ping

ethO

icmp icmp

c user:COUNT

ethl:172.16.0.3

ethl:172.16.0.3 -

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Restart Shorewall

# shorewall restart

Untuk melihat trafik yang tersimpan pada variable c _user dan catat angka2nya (pkts & bytes)

# shorewall -x show c user

Lakukan aktifitas dari Mesin Client dari 192.168.0.2 (mis browsing, ping ke Router, dsb), beberapa kali, lalu cek lagi dan catat angka2nya (pkts & bytes)

# shorewall -x show c user

ifUGAS 5.2:

• Bagaimana cara menghitung semua jenis traffik antara NET ~ DMZ

• Bagaimana cara menghitung traffik SSH dari LOC ~ DMZ