Pelatihan Administrasi Jaringan Komputer Berbasis Perangkat Lunak Free & Open Source (Ubuntu Linux)

(1)

Pelatihan Administrasi Jaringan

Komputer Berbasis Perangkat Lunak

Free & Open Source

(Ubuntu Linux)

PUSDIKLAT Keuangan Umum Kementrian

Keuangan RI Keuangan RI 20-24 Februari 2012, Jakarta

Modul 4

Pusdiklat Keuangan Umum Kementerian Keuangan

(2)

Instruktur

 Nama : Henry Saptono, LPIC-1  Yahoo : boypyt

 Gmail : boypyt

 Tgl Lahir : 7 September  Status : Menikah

 Kota : Depok , Jawa BaratPusdiklat

Keuangan

Umum

Kementerian

(3)

HTTP Proxy Server

(4)

Apakah Proxy itu ?



Proxy adalah sistem komputer yang berfungsi

sebagai perantara atau perwakilan dari setiap

permintaan layanan TCP/IP (service) yang

diminta oleh komputer komputer klien. Diantara

layanan layanan TCP/IP tersebut diantaranya,

layanan akses web (http), email (smtp dan

pop3), ftp dan lain lain.



Proxy dapat dikatakan sebagai firewall level

aplikasi , karen setiap permintaan dari klien pada

jaringan lokal diwakili oleh proxy maka proxy

dapat memilih atau menyeleksi permintaan

mana saja yang diperbolehkan.

Pusdiklat

Keuangan

Umum

Kementerian

(5)

Jenis jenis Proxy

Berdasrakan jenis layanan TCP/IP yang tesedia, maka terdapat berbagai macam jenis proxy, diantaranya:

 HTTP Proxy  FTP Proxy  SMTP Proxy  DNS Proxy  dll. Pusdiklat Keuangan Umum Kementerian Keuangan

(6)

HTTP Proxy

 Optimasi dan efisiensi bandwith lebih tepat sasarannya pada layanan HTTP

 Diperlukan HTTP Proxy yang juga berfungsi sebagai HTTP Cache server

 Contoh aplikasi proxy http: squid, wwwofl, apache(mod_proxy) dll. Pusdiklat Keuangan Umum Kementerian Keuangan

(7)

Ilustrasi Proxy

(8)

Squid Proxy Server

 Squid adalah aplikasi HTTP Proxy server yang

populer, banyak digunakan dalam jaringan komputer, guna melakukan web caching dan web filtering.

 Sebagian besar sistem Linux telah menyertakan squid kedalam distribusinya.

 Official web pengembangan squid proxy server di http://www.squid-cache.org_Pusdiklat

Keuangan

Umum

Kementerian

(9)

Instalasi Squid

Gunakan perintah berikut ini untuk instalasi squid pada komputer linux ubuntu Anda:

# sudo apt-get install squid3

Pusdiklat

Keuangan

Umum

Kementerian

(10)

Mengaktifkan squid

 Untuk mengaktifkan service squid proxy server ketik perintah berikut:

# sudo /etc/init.d/squid3 start



Untuk mematikan ketik perintah berikut:

# sudo /etc/init.d/squid3 stop

Pusdiklat

Keuangan

Umum

Kementerian

(11)

Pengujian Squid

Untuk menguji squid proxy server gunakanlah web

browser seperti firefox atau yang lainnya., kemudian atur agar koneksinya melalui proxy server , atur proxy secara manual, melalui menu Edit → Preferences , kemudian pilih tab Advanced → Network →

Connection → Settings. Kemudian isilah proxy http dengan nomor IP dari komputer proxy Anda, dan

tentukan nomor portnya dengan nomor 3128.

Selanjutnya coab akses suatu web site di internet, maka secara default Proxy akan menolak dan memberi

pesan 'Access Denied', jika muncul pesan tersebut artinta komunikasi antar web browser dengan squid proxy server telah berjalan.

Pusdiklat

Keuangan

Umum

Kementerian

(12)

File Log Squid

Setiap akses web yang dilakukan oleh klien klien

dalam jaringan lokal akan dicatat dalam sebuah file log yaitu file /var/log/squid3/access.log.

File log ini akan berguna untuk membuat laporan statistik akses web, dan troubleshooting.

Untuk mengamati aktifitas akses web yg dilakukan klien dapat Anda amati melalui file log access.log, seperti berikut ini:

# tail -f /var/log/squid3/access.log Pusdiklat Keuangan Umum Kementerian Keuangan

(13)

Acces Control List

 Untuk mengijinkan atau menolak permintaan akses web dari klien klien dalam jaringan , dapat dilakukan dengan terlebih dahulu mendefinisikan access

control list.

 Format penulisan ACL pada file konfigurasi squid (/etc/squid3/squid.conf ) sbb:

acl <nama> <tipe> <string/file>

 Contoh untuk mengijinkan akses web dari jaringan lokal 192.168.1.0/24, sbb: acl mynetwork src 192.168.1.0/24 Pusdiklat Keuangan Umum Kementerian Keuangan

(14)

Ijin http akses

 Setelah mendefinisikan access control list, barulah

Anda tentukan bagaimana ijin akses http untuk setiap acl yang telah didefinisikan. Format penulisan ijin

akses http dalam file konfigurasi squid (/etc/squid3/squid.conf) sbb:

http_access <allow|deny> <acl_name>

 Contoh jika acl mynetwork akan dijinkan maka penulisannya sbb:

http_access allow mynetwork

Pusdiklat

Keuangan

Umum

Kementerian

(15)

ACL Berdasarkan Source

Pengaturan acl :

acl lan src 192.168.1.0/24

acl bozz src “/etc/squid3/ip_bozz”

Pengaturan http_access

http_access allow bozz http_access allow mylan

Isi /etc/squid3/ip_bozz : 192.168.1.123/32 Pusdiklat Keuangan Umum Kementerian Keuangan

(16)

ACL Berdasarkan Domain

Pengaturan acl :

acl no_site dstdomain “/etc/squid3/no_site” acl lan src 192.168.1.0/24

Pengaturan http_access :

http_access deny no_site http_access allow lan

Pengaturan /etc/squid3/no_site : Pusdiklat Keuangan Umum Kementerian Keuangan

(17)

ACL Berdasarkan

Destination

Pengaturan acl :

acl no_dst dst “/etc/squid3/no_dst” acl lan src 192.168.1.0/24

http_access deny no_dst http_access allow lan

Pengaturan /etc/squid3/no_dst 64.64.64.64 65.65.65.65 Pusdiklat Keuangan Umum Kementerian Keuangan

(18)

ACL Berdasarkan Path URL

Pengaturan acl :

acl no_path urlpath_regex -i “/etc/squid3/no_path” acl lan src 192.168.1.0/24

http_access deny no_path http_access allow lan

Pengaturan /etc/squid3/no_path \.mp3$ Pusdiklat Keuangan Umum Kementerian Keuangan

(19)

ACL Berdasarkan Waktu

Pengaturan acl :

acl jam_kerja time MTWHF 08:00-17:30

acl mylan src 192.168.1.0/24

http_access deny mylan !jam_kerja

_Pusdiklat

Keuangan

Umum

Kementerian

(20)

Transparent Proxy



Digunakan untuk mengarahkan secara

otomatis client internet di jaringan untuk

memakai proxy server.



Hanya berlaku port 80 atau aplikasi HTTP.



Tidak bisa menerapkan proses autentikasi.

Pusdiklat

Keuangan

Umum

Kementerian

(21)

Transparent Proxy

Pengaturan di /etc/squid3/squid.conf

http_port 3128 transparent

Sesudah diatur di refresh :

#sudo /etc/init.d/squid3 restart

Pengaturan Firewall :

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

Pusdiklat

Keuangan

Umum

Kementerian

(22)

Firewall

(23)

Linux sebagai Sistem Operasi

yang mendukung Jaringan

 Sistem operasi linux memiliki ragam bentuk fungsi-fungsi “ dukungan jaringan (Networking Support)”, diantaranya sbb:

− _{Routing (IP Forwarding)} − _{Firewall (Netfilter)}

− _{QoS (Quality Of Service)} − _Tunneling

− _IPsec(vpn)

− _{LVS, dan lain -lain}

Pusdiklat

Keuangan

Umum

Kementerian

(24)

Firewall

 Mekanisme untuk melakukan Paket Filtering, Paket Investigasi, dan Paket manipulasi.

 Diimplementasikan pada level “Kernel Space” yang berupa modul atau built in

 Secara logik sebagai node khusus dalam jaringan komputer Pusdiklat Keuangan Umum Kementerian Keuangan

(25)

Tool Administrasi Firewall

Tool administrasi firewall (netfilter) di linux disediakan secara default dalam bentuk

perintah (command) 'iptables' Pusdiklat

Keuangan

Umum

Kementerian

(26)

Iptables

 netfilter/iptables terdiri dari 3 tabel: filter, nat, mangle

 Perintah 'iptables' digunakan untuk mengelola, memaintain, menginspeksi rule-rule IP packet filter dalam kernel linux.

Pusdiklat

Keuangan

Umum

Kementerian

(27)

Tabel Filter

filter:

This is the default table (if no -t option is

passed). It contains the built-in chains INPUT (for packets destined to local sockets),

FORWARD (for packets being routed through the box), and OUTPUT (for locally-generated packets). _Pusdiklat

Keuangan

Umum

Kementerian

(28)

Tabel nat

nat:

This table is consulted when a packet that

creates a new connection is encountered. It consists of three built-ins: PREROUTING (for altering packets as soon as they come in),

OUTPUT (for alteringlocally-generated packets before routing), and POSTROUTING (for

altering packets as they are about to go out).Pusdiklat

Keuangan

Umum

Kementerian

(29)

Tabel mangle

mangle:

This table is used for specialized packet alteration. Until kernel 2.4.17 it had two built-in chains: PREROUTING (for altering incoming packets before routing) and OUTPUT (for altering locally-generated packets before routing). Since kernel 2.4.18, three other built-in chains are also supported: INPUT (for packets coming into the box itself), FORWARD (for altering packets being routed through the box),and POSTROUTING (for altering packets as they are about to go out). Pusdiklat

Keuangan

Umum

Kementerian

(30)

iptables - administration tool for IPv4 packet filtering and NAT

SYNOPSIS

iptables [-t table] -[AD] chain rule-specification [options]

iptables [-t table] -I chain [rulenum] rule-specification [options] iptables [-t table] -R chain rulenum rule-specification [options] iptables [-t table] -D chain rulenum [options]

iptables [-t table] -[LFZ] [chain] [options] iptables [-t table] -N chain

iptables [-t table] -X [chain]

iptables [-t table] -P chain target [options]

iptables [-t table] -E old-chain-name new-chain-namePusdiklat

Keuangan

Umum

Kementerian

(31)

Diagram netfilter/iptables

(32)

Contoh perintah iptables

Sebuah rule iptables dapat menspesifiksikan sumber paket (-s), tujuan paket (-d) , protokol (-p), dan port. Sebagai contoh , untuk memblok (deny) seuatu paket yang datang dari IP address

192.168.0.254 , sebgai berikut:

iptables -t filter -A INPUT -s 192.168.0.254 -j DROP

filter adalah default table jika option -t tidak disertakan.

Pusdiklat

Keuangan

Umum

Kementerian

(33)

Contoh perintah iptables

Jika tanda "!" disertakan didepan ip address sumber atau tujuan , ini menyatakan negasi dari ip address tersebut.

iptables -t filter -A OUTPUT -d ! 192.168.0.254 -j DROP

Rule diatas memblok semua paket dari local komputer firewall yang ditujukan ke semua ip address kecuali ke ip address 192.168.0.254.

Incoming atau Outgoing interface dapat di spesifikasikan sebagai berikut:

iptables -t filter -A INPUT -s 192.168.0.251 -i eth1 -j DROP

Pusdiklat

Keuangan

Umum

Kementerian

(34)

iptables dan NAT

Network Address Translation dapat ditampilkan oleh kernel 2.4

dalam bentuk satu dari dua buah cara , yaitu: source NAT (SNAT) dan destination NAT (DNAT).

DNAT sering digunakan untuk membelokkan (redirect) paket yang datang ke suatu interface dan diarahkan menjadi ke lokasi lain, seperti ke mesin proxy(squid proxy server).

SNAT digunakan untuk menyembunyikan source address dari

paket dengan cara memetakan ulang source address paket yang

keluar ke IP address komputer yang lain atau rentang address yang lain. Kernel 2.4 secara otomatis melakukan reverse-translate

semua paket-paket NAT yang dimaksud.

Pusdiklat

Keuangan

Umum

Kementerian

(35)

Ilustrasi DNAT

(36)

Ilustrasi SNAT

(37)

Contoh NAT

 Untuk mengimplementasikan ip masquerading lakukan hal-hal

sebagai berikut, :

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

 Untuk menerapkan REDIRECT untuk keperluan membelokkan

paket web secara transparan yang datang pada interface eth0 ke proxy server pada firewall itu sendiri, jalankan perintah

berikut:

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT –to-ports 3128 Pusdiklat Keuangan Umum Kementerian Keuangan

(38)

Contoh NAT

 Untuk menerapkan destination NAT untuk keperluan

membelokkan paket web secara transparan yang datang pada interface eth0 ke 192.168.0.1, jalankan perintah

berikut:

iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,443 -i eth0 -j DNAT --to-destination 192.168.0.1

 Untuk merubah source address melalui SNAT menjadi ip

address 192.168.0.33 dengan port 1024 sampai 65535, gunkan perintah berikut:

iptables -t nat -A POSTROUTING -p tcp -o eth1 -j SNAT --to

Pusdiklat

Keuangan

Umum

Kementerian

(39)

Sampai Jumpa

 Bug no.1 Ubuntu :

"

Microsoft has a majority market

share in the new desktop PC

marketplace. This is a bug, which

Ubuntu is designed to fix

"

_"

… , ---- by Mark Shuttleworth

Pusdiklat

Keuangan

Umum

Kementerian