ADMINISTRASI SERVER
MEMBANGUN SERVER INTRANET DENGAN LINUX
DEBIAN 6
OLEH :
BAB I
INSTALASI DEBIAN 6
INSTALASI DEBIAN 6Masukkan CD Instalasi debian 6, restart PC lalu setting BIOS agar first boot yang dipakai adalah dari CDROM.
seperti gambar pertama berikut.
Choose language Pilih Other lalu tekan Enter
Choose Language Pilih Indonesia lalu tekan Enter
Select a Keyboard to use Pilih American English lalu tekan Enter
Configure the Network pilih continue
Configure the network isi hostname trus tekan continue
Re-enter password to verify isi ulang password yang di ketik tadi
Configure the clock Pilih Makassar lalu tekan Enter
Partition disks
pilih SCSI3 (0,0,0) (sda) tekan enter
Pilih pri/log dan tekan enter
Pilih creat a new partition dan tekan enter
Tentukan berapa besar ukuran untuk partisi yang akan digunakan. Pertama-tama, saya akan membuat untuk root systemnya, karena harddisk yang bisa saya gunakan disini hanya 26,5 GB, maka saya akan memakai 20 GB saja untuk rootnya. Untuk pembaca sekalian, jika memiliki harddisk yang lebih besar, dapat ditentukan lebih besar pula tergantung keperluan, tapi setidaknya 5 GB yang digunakkan minimalnya.
Pilih Primary. Tekan Enter.
Pilih Beginning. Artinya dimana kita akan meletakkan partisi berikut pada freespace yang ada di awal, atau di akhir. Jika sudah tekan Enter.
Karena kita akan membuat root system atau tempat dimana system utama dari pada system operasi akan ditempatkan. Use as, pilih file system Ext 3 dan mount pointnya / yang artinya root. Pilih done setting up the partition jika sudah selesai.
Selanjutnya kita akan membuat swap partitionnya. Pilih freespace yang ada, lalu tekan Enter.
Pilih Create a new partition. Tekan Enter.
Use as, pilih swap area
Configure the package manager Pilih No lalu tekan Enter
Software selection Pilih pada Desktop environment kemudian tekan tombol Spasi untuk menghilangkan symbol * , sehingga symbol * yang tersisa hanya pada Standard System. Lalu tekan tombol Tab sampai pada Continue lalu tekan Enter
Install the GRUB boot loader on hardisk Pilih Yes lalu tekan Enter
Finish the installation Pilih Continue lalu tekan Enter Server kemudian akan restart karena proses install system sudah selesai
BAB II
KONFIGURASI ROUTER
Pertama-tama yang perlu kita lakukan untuk dapat melakukan konfigurasi sitem ataupun editing file di system kita harus masuk sebagai root atau super user.
Kemudian kita setting IP Address dari pada PC server kita dengan cara mengedit file interfaces yang dapat dilakukan dengan perintah nano /etc/network/interfaces
Silakan ketik seperti gambar di bawah ini : Ip eth0 menurut ISP Anda
Silakan konfigurasi pada nano /etc/sysctl.conf dan Hilangkan tanda # pada net.ipv4.ip_forward=1. Lihat gambar!
Masuk ke nano /etc/resolv.conf disini buat nameservernya
Edit file rc.local. Ketikkan nano /etc/rc.local. Tambahkan baris berikut.
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 0/0 -j MASQUERADE
Silakan setting ip di client dengan cara masuk ke control panel – network and network conection
BAB III
DHCP SERVER
INSTALASI PAKET DHCP SERVER
Masukan cd debian 6 selanjutnya
install dhcp, kita dapat mengetikkan ataupun menggunakan perintah apt-get install dhcp3-serverKita selanjutnya akan melakukkan konfigurasi langsung dengan cara mengetikkan perintah nano /etc/dhcp/dhcpd.conf
Maka, akan tampil form dari pada konfigurasi dhcp3-server namun, kita harus mencari syntak yang sama seperti berikut (A slightly different….”).
Keterangan :
Subnet = network ip dari pada ip yang akan kita berikan ke client.
Netmask = network dari pada client kita juga namun cara penulisan yang digunakkan adalah sama
seperti penulisan subnetmask.
Range = merupakan jarak ataupun batasan yang akan kita gunakan untuk ip yang akan diberikkan
kepada client. Yang pertama merupakkan start ipnya dan yang kedua merupakan end ipnya.
Option domain-name-servers = ip dari dns yang akan digunakan oleh client. Option domain-name = nama dari dns yang akan dipakai oleh client nantinya. Option routers = gateway dari client.
Option broadcast-address = merupakan broadcast ip dari ip yang diberikan ke client.
Default-lease-time = merupakan waktu default yang dapat digunakan oleh suatu pc atau client
Setelah itu simpan dengan tekan ctrl + x dan y enter dan restart dengan perintah /etc/init.d/isc-dhcp-server restart
BAB IV
PROXY SERVER
Instalasi Squid
Silakan masukan cd debian 6 kemudian
ketikkan apt-get install squidSelanjutnya edit file squid.conf dengan cara ketikkan nano /etc/squid/squid.conf
Tekan ctrl + w di keyboard, masukan key word http_port 3128 dan tambahkan transparent sehingga menjadi seperti ini:
Jika sudah selesai, simpan dengan cara menekan ctrl + O dan exit ctrl + X. Restart squid dengan cara service squid restart
Untuk mengecek dapat dilihat langsung dari client yaitu dengan mengakses situs yang diblok tadi. Hasilnya lihat gambar!
Selesai.
CARA BLOK KATA cara blok kata
tmbah dibawah acl blok situs dstdomain
acl blokkata url_regex -i "/etc/squid/blokkata.txt"
di access deny
http_access deny blokkata
buat blok katanya di nano /etc/squid/blokkata.txt contoh :
games SEDANGKAN
UNTUK MEMPERBOLEHKAN SATU SITUS YANG BISA DIAKSES SEDANGKAN YANG LAINNYA TIDAK
ubah pada http_access deny bloksitus menjadi http_access allow bloksitusDAN DIBAWAHNYA TAMBAH http_access deny all
BAB V
WEB SERVER
INSTALASI PAKET WEB SERVER
Jadi disini saya menggunakan aplikasi apache2 php5 php5-mysql mysql-server mysql-client -paket tersebut, silakan masukkan cd installasinya terlebih dahulu, kemudia gunakan perintah berikut untuk menginstallnya. apt-get install apache2 php5 php5-mysql mysql-server mysql-client
Maka akan muncul menu seperti ini. Disini kita diminta untuk mengisi root password untuk mysql servernya. Silakan isikan passwordnya. Jika sudah, tekan Enter.
Jika proses installasi paket-paket tersebut telah selesai, maka untuk mempermudah proses pengaksesan dari pada file-file yang diperlukan, kita akan masuk ke direktori apache2 terlebih dahulu dengan cara cd /etc/apache2
Sekarang kita akan masuk ke direktori sites-available dengan perintah cd sites-available/. Lihat gambar.
Jika sudah selesai, simpan dengan cara menekan ctrl + O dan exit ctrl + X.
Untuk mengaktifkan konfigurasi tadi menjadi defaultnya, ketikkan perintah berikut a2ensite margi jika sudah, ketikkan lagi untuk mendisable defaultnya a2dissite default
Sekarang kita akan membuat direktori sesuai dengan apa yang dikonfigurasi di file rangga tadi. Ini merupakan root direktori dari pada web server kita. Gunakan perintah mkdir –p /var/www/margi Lihat gambar.
Selanjutnya kita buat direktori untuk cgi-binnya. Gunakan perintah mkdir –p /var/www/cgi-bin
Sekarang kita akan membuat halaman utama dari pada web server kita. Gunakan perintah nano /var/www/margi/index.html
Ketikkan sesuatu didalam file tersebut sesuai keinginan anda. Ini akan muncul dihalaman utama ketika web kita diakses. Lihat gambar.
<h1> WELCOME TO TKJ SMK TI BALI GLOBAL SINGARAJA </h1>
Simpan.
Selanjutnya agar pengunjung tahu bahwa web kita support dengan php, kita buat file dasarnya saja terlebih dahulu. Gunakan perintah nano /var/www/margi/info.php. didalam file tersebut, ketikkan
Selanjutnya kita akan coba akses web kita dari client melalui web browser. Dan hasilnya adalah sebagaimana berikut.
Selesai.
MENGAKTIFKAN HTTPS WEB SERVER
cara untuk mengaktifkan HTTPS pada web server Apache. Step by stepnya adalah sebagai berikut cd /etc/apache2/sites-available/
Masih berada di dalam direktori /etc/apache2/sites-available/, edit file default-ssl dengan perintah berikut :
# nano default-ssl
Setelah file tersebut terbuka, silahkan ganti semua baris AllowOverride
None menjadi AllowOverride All(gunakan fasilitas search CTRL + W).
Sekarang simpan dan restart apache2 dengan : service apache2 restart
Buktikan di mozila :BAB VI
DNS SERVER
INSTALASI PAKET DNS SERVER
bind9 sebagai aplikasinya.
Bind9 sudah terinclude langsung di cd installasinya. Jadi, sebelum menginstall, tinggal masukkan saja cd installasinya.
apt-get install bind9
Selanjutnya kita masuk ke konfigurasi untuk membuat DNS server. Edit file nano /etc/bind/named.conf.local
Setelah masuk ke file tersebut, kita buat zone master untuk DNS server yang akan kita buat, tambahkan beberapa informasi berikut :
Langkah selanjutnya adalah meng-copy file /etc/named.db.local ke file /etc/bind/db.margi.com Dengan perintah cp /etc/bind/db.local /etc/bind/db.margi.com
Selanjutnya edit file nano /etc/bind/db.margi.com
Silakan rubah seperti gambar berikut :
Konfigurasi nano /etc/bind/db.192
Selanjutnya edit file nano /etc/bind/db.192
Selanjutnya jangan lupa menyimpannya dan kembali lakukan restart pada bind9. Dengan perintah service bind9 restart
Langkah selanjutnya adalah dengan melakukan sedikit editing pada file nano /etc/resolv.conf
Selanjutnya ping margi.com
DNS berhasil.
BAB VII
MAIL SERVER
INSTALASI PAKET MAIL SERVER
Untuk menginstall paket-paket ini, perintah yang digunakan adalah apt-get install squirrelmail postfix courier-imap courier-pop courier-base. Lihat gambar!
Pada menu ini pilih internet site. Lihat gambar!
Saat proses installasi tersebut akan muncul menu berikut. Pilih No. lihat gambar!
Tunggu hingga proses terakhir selesai.
Jika proses installasi telah selesai, edit file main.cf dengan cara ketikkan nano /etc/postfix/main.cf Lihat gambar!
Buat konfigurasi sesuai dengan format gambar dibawah ini!
Masuk ke direktori skel dengan cara cd /etc/skel. Lihat gambar!
Buat direktori Maildir dengan cara mengetikkan maildirmake Maildir. Lihat gambar!
Selanjutnya kita edit alias untuk web mail kita yang nantinya dipergunakan untuk mengakses web mail kita. Untuk perintahnya ketikkan nano /etc/squirrelmail/apache.conf. lihat
Ganti /squirrelmail dengan yang lainnya tergantung keinginan kita. Lihat gambar! Disi diganti dengan mail
Sekarang kita edit konfigurasi dari squirrelmailnya dengan cara ketikkan squirrelmail –configure. Lihat gambar!
Ketikkan courier. Lihat gambar!
Tekan Q. Lihat gambar!
Ketikkan passwordnya dan isikan informasi-informasi yang diminta jika diperlukan. Lihat gambar!
Untuk konfigurasinya edit file apache2.conf dengan cara nano /etc/apache2/apache2.conf. lihat gambar!
Tambahkan syntak berikut dibaris terakhir dari file tersebut : include /etc/squirrelmail/apache.conf. Lihat gambar!
Jika sudah selesai, simpan dengan cara menekan ctrl + O dan exit ctrl + X. Restart apache2 dengan cara /etc/init.d/apache2 restart.
Selanjutnya kita cek apakah web mail kita sudah berhasil, caranya ketikkan alamat web kita slash alias yang tadi. Sebagai contoh saya menggunakan www.margi.com/mail. Hasilnya lihat pada gambar!
BAB VIII
NTP SERVER
6.1 INSTALASI PAKET NTP SERVERCara installasi paket ini adalah dengan mengetikkan apt-get install ntp ntp. Jika ada pertanyaan tentang konfirmasi untuk menginstall paket ini, tekan y. Tunggu hingga proses installasi selesai.
Selanjutnya kita akan mengkonfigurasi ntp ini dengan cara nano /etc/ntp.conf
Dibawah # You do need to talk to an ntp server Tambahkan :
server 127.127.1.0 #local clock fudge 127.127.1.0 stratum 10 lihat gambar.
Lihat gambar
Tambahkan sintak berikut di bawah # restrict 192.168.123.0 mask 255.255.255.0 notrust Restrict 192.168.2.0 mask 255.255.255.0 notrap nomodify
Selanjutnya setting pada client. Disini saya menggunakan windows xp. Jadi ikut gambar berikut untuk sinkronisasi waktunya.
BAB IX
FTP SERVER
INSTALASI PAKET FTP SERVERAplikasi server yang saya gunakan dalam membangun ftp server adalah vsftpd. Paket ini tersedia pada CD installasi. Masukkan cd debian.
Cara installasi paket ini adalah dengan mengetikkan perintah berikut : apt-get install vsftpd
Hilangkan tanda pagar seperti gambar dibawah ini. Local_enabled=YES Write_enabled=YES Anon_upload_enabled=YES Anon_mkdir_write_enabled=YES Dirmessage_enabled=YES Chown_upload=YES
Selanjutnya ketik perintah cd /srv/ftp
Biar bisa upload dan download ketik printah chmod 777 smkti Kalau mau download saja ketik printah chmod 775 smkti
Untuk mengetes ftp kita, ketikkan dibrowser kita atau windows explorer ftp://192.168.2.1
silakan buat sebuah folder di folder smkti dan copy folder tersebut
SSH server
Install dengan perintah# apt-get install ssh
Setelah aplikasi terinstall, layanan SSH Server sudah langsung bisa kita gunakan melalui port default 22. Jika ingin mengkonfigurasi SSH Server tersebut, edit file sshd_config yang merupakan file konfigurasi utama pada SSH Server. Dalam file tersebut, kita bisa merubah
Merubah Port Default SSH
Edit file sshd_config berikut, kemudian cari dan rubah satu baris konfigurasi script di bawah ini. # nano /etc/ssh/sshd_config
# What ports, IPs and protocols we listen for Port 22 adalah port default ssh
Simpan dan restart
Modifikasi tampilan login SSH
Bosan dengan tampilan awal LogIn pada system Debian melalui SSH yang itu-itu aja?? Tenang, ane punya solusinya, Anda bisa melakukan sedikit konfigurasi untuk merubah tampilan banner SSH menjadi lebih menarik. Terlebih dahulu install aplikasi tambahan untuk membuat Banner default yang berupa Huruf menjadi bentuk Grafiti.
Dan tambahkan script berikut pada file sshd_config. # echo “banner /etc/ssh/banner” >> /etc/ssh/sshd_config
Setiap selesai mengkonfigurasi, restart service ssh agar semua konfigurasi dijalankan langsung. # /etc/init.d/ssh restart
Setelah sudah dikonfigurasi dan di restart SSH nya . Kita test melalui client dengan
menggunakan software Putty. Buka Putty lalu masukan IP Address Server/Router yang ingin diremote dan masuk Port nya sesuai dengan settingan SSH nya kemudian klik Open dan Login Username dan Password Server/Routernya
Authentifikasi di proxy
1. Install apache2Perintah install apt-get install apache2 2. nano /etc/squid/squid.conf
3. Setelah terbuka akan ada konfigurasi yang panjang. Hapus tanda pagar dan ubah pada :
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd auth_param basic children 5
auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off 4. Ctrl w :http_port 3128
Ganti dengan http_port 192.168.2.1:3128
5. Buat aclnya
Acl tkj src network eth1/24 Acl smk proxy_auth REQUIRED Acl bloksitus dstdomain .google.com http_access allow smk
http_access deny bloksitus http_access allow tkj http_access allow localhost
6. htpasswd -c /etc/squid/passwd (username)
*Gunakan “ -c ” untuk user pertama dan setelahnya tidak perlu.
Setelah username dan password telah dibuat, data tersebut akan tersimpan di file 7. restart squid
8. Konfigurasi di mozila client Lakukan pengujian di browser, buka firefox lalu piih Menu Edit, lalu pilih Preferences, lalu akan muncul jendela baru maka pilih tab Advanced, setelah itu pilih tab Network, lalu klik Setiings,pilih Manual proxy configuration. Masukkan ip proxy server dan port yang digunakan 3128 Masuk kealamat facebook.com lalu akan diminta
Contoh 1: Membatasiakses internet dari IP tertentu
Misal, dalamsatujaringankantor, semuadiperbolehkanmengakses internet via proxy.
Kecualibeberapakomputer di mejapenerimatamuatau front office.
acljaringan_kantorsrc 192.168.1.0/24
aclfront_officesrc 192.168.1.21 # komputer1 di front office aclfront_officesrc 192.168.1.22 # komputer2 di front office aclfront_officesrc 192.168.1.23 # komputer3 di front office
http_access deny front_office http_access allow jaringan_kantor
Sekalianuntuk format penulisanacl di atas, Andabisajugamenuliskannyaseperti di bawahini.
Format inline, jadi IP dituliskankesamping, tanpamenekan enter ataupenandabarisbaru.
acljaringan_kantorsrc 192.168.1.0/24aclfront_officesrc 192.168.1.21 192.168.1.22 192.168.1.23
http_access deny front_office http_access allow jaringan_kantor
Format rentang, karenakebetulan IP sikomputer front office berurutan.
acljaringan_kantorsrc 192.168.1.0/24aclfront_officesrc 192.168.1.21-192.168.1.23/32
http_access deny front_office http_access allow jaringan_kantor
Silakandilihatlagi di blok ACL yang sudahsayaterjemahkan di atas.
Contoh 2: Membatasiakseskesitustertentu
Andainginmemblockbeberapasitus porno yang paling seringdikunjungioleh user
Anda.Tentusajainicara paling sederhana, danmungkintidakcocokuntukmemblocksitus porno
secarakeseluruhan. Tapiinihanyasekedarcontohsaja.
Pertama, pastikan rules untukmembatasiakseskesitus porno itumuncullebihdahulu,
dibandingkan rules lain yang membolehkanakses internet. Lihatcontohdibawahini. Kita
akanmenggunakantipeacldstdomain, yang bisadigunakanuntukmenandai domain tujuan yang
akandiakses.
aclsitus_pornodstdomain .playboy.com aclsitus_pornodstdomain .porno.com http_access deny situs_porno
acljaringan_kantor 192.168.1.0/24 http_access allow jaringan_kantor
# Contohpenempatan yang salah
acljaringan_kantor 192.168.1.0/24 http_access allow jaringan_kantor
# rules di bawahinitidakakanpernahdijalankan, karenaaksessudahdiperbolehkan # dibarissebelumnya
aclsitus_pornodstdomain .playboy.com aclsitus_pornodstdomain .porno.com http_access deny situs_porno
JadiperluAndaingat, posisimenentukanprestasi.Atauposisi rules yang Andabuat di
squid.confsangatmenentukanapakah rules tersebutakandigunakanatautidak.
Contoh 3: Membatasiakses internet di jamkerja
Kali inikitaakanmenggunakantipeacl
time. Langsungsajakecontoh.
acljam_kerja time MTWH 08:00-12:00 # Senins.dKamis jam 08:00 s.d Jam 12:00 acljam_kerja time F 08:00-11:30 # Jumat 08:00-11:30 WIB
acljam_kerja time MTWHF 13:00-16:00 # Senins.dJumat jam 13:00 s.d 16:00
acljaringan_kantorsrc 192.168.1.0/24
# Bukaakses internet, diluar jam kerja
http_access allow jaringan_kantor !jam_kerja
Lihattandaseru (!) di depanacl. Yang berartitandanegasi, atau NOT
(bukan).Jadiartinyakitahanyamembukaakses internet
untukjaringan_kantordanwaktunyabukandi jamkerja.
Contoh 4: Membatasiakses internet di jam kerja, kecuali manager dan bos
Contohlain, kantorhanyainginmembukaakses internet untukkomputer-komputermanajerdansi
Boss besar. Karyawanlainnya, bisamengakses internet tapihanya di luarwaktukerja.
acljam_kerja time MTWH 08:00-12:00 # Senins.dKamis jam 08:00 s.d Jam 12:00 acljam_kerja time F 08:00-11:30 # Jumat 08:00-11:30 WIB
acljam_kerja time MTWHF 13:00-16:00 # Senins.dJumat jam 13:00 s.d 16:00
# jaringankantor
acljaringan_kantorsrc 192.168.1.0/24
# managerdan boss
acl manager src 192.168.1.51 # manager keuangan acl manager src 192.168.1.52 # manager marketing acl manager src 192.168.1.53 # general manager acl boss src 192.168.1.68 # si boss besar
# Bukaakses internet untuk manager dan boss, tanpabatasanwaktu http_access allow manager
FIREWALL
Firewall dalam sebuah server sangat penting untuk menjaga system keamanan jaringan kita,
untuk itu jika kita ingin membuat sebuah server jangan lupa untuk konfigurasi firewall. Disini
saya akan share cara untuk memblokir port-port tertentu dalam Debian 5, langkah-langkah
konfigurasi :
* Sebagai contoh, saya akan memblokir port ssh ( 22 ), dan port ftp ( 21 )
1. Ketik perintah nano /etc/rc.local
2. lalu tambahkan script berikut di atas exit 0
iptables -A INPUT -p tcp --dport 21 -j DROP
iptables -A INPUT -p tcp --dport 22 -j DROP
Atau bisa juga menggunakan script berikut :
iptables -A INPUT -p tcp -m multiport --port 21,22 -j DROP
Setelah selesai tekan ctrl+o untuk simpan konfigurasi, tekan ctrl+x untuk keluar
Kemudian restart dengan mengetikan perintah reboot
Cara Konfigurasi Firewall untuk mengijinkan port-port tertentu, tetapi selain port yang kita
ijinkan akan di block :
* Sebagai contoh, saya akan mengijinkan port http ( 80 ), port DNS ( 53 ), port DHCP ( 68 ),
port POP3 ( 110 ), port SMTP ( 25 ), dan port squid ( 3128 )
1. Ketik perintah nano /etc/rc.local
2. lalu tambahkan script berikut di atas exit 0
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 68 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -j DROP
Atau bisa juga menggunakan script berikut :
iptables -A INPUT -p tcp -m multiport --port 80,53,68,110,25,3128 -j ACCEPT
iptables -A INPUT -j DROP
Setelah selesai tekan ctrl+o untuk simpan konfigurasi, tekan ctrl+x untuk keluar
Kemudian restart dengan mengetikan perintah reboot
Mengijinkan satu ip yang bias mengakses ssh server “:
DI BUAT DI ATAS SINTAK PROXY
Iptables – A INPUT –p tcp –s 192.168.2.5 –j ACCEPT
Iptables – A INPUT –j DROP
Firewall
Firewall atau Tembok Api, berfungsi untuk memfilter semua paket yang lewat pada dirinya, baik dari jaringan Lokal ataupun Internet. Aplikasi server yang satu ini sangatlah penting, untuk melindungi jaringan local kita dari serangan luar. Aplikasi firewall yang terkenal pada linux adalah IpTables, selain itu ada juga Shorewall.
Mengenal iptables
Pada distribusi linux yang baru, iptables secara default dudah terinstall. Pastikan kernel dari sistem linux yang digunakan adalah kernel 2.4 ke atas dengan iptables(netfilter) aktif. Menjalankan iptables dengan user root. perintah untuk berpindah ke user root:
# su -
Setelah menjadi root, panggil iptables dengan perintah: # iptables
atau
#/sbin/iptables
jika iptables sudah aktif akan muncul: # iptables
—- —-
untuk mengetahu parameter apa saja yang digunakan di dalam iptables, gunakan perintah:
# iptables -h —-
—-
atau menggunakan # man iptables Membangun firewall
catatan: perintah-perintah dilinux bersifat case sensitif oleh sebab itu perhatikan pemakain huruf kecil maupun besar.
1. Reset Firewall
Rule yang perlu dibuat adalah mengosongkan semua jalur firewall dengan melakukan flushing. # iptables -F INPUT
# iptables -F OUTPUT # iptables -F FORWARD
memblokir(DROP) jalur INPUT # iptables -P INPUT DROP
untuk mengetes lakukan pinging firewall sebelum dan sesudah perintah dieksekusi.
3. Membuka akses kelayanan DNS
membuka akses berbasis UDP, yaitu DNS server pada port 53. # iptables -A INPUT -p UDP -s 0/0 –dport 53 -j ACCEPT
perintah diatas berarti, tambahkan atau append (-A) pada chain INPUT, paket yang berjenis
UDP (-p UDP) dengan alamat source sembarang (-s 0/0) dan destination port adalah 53 (–dport 53), kemudian perkenankan paket tersebut(-j ACCEPT).
4. Membatasi akses dari sebuah alamat
membatasi akses dari sebuah nomor IP # iptables -I INPUT -s $BAD_IP/32 -j DROP
perintah diatas berarti, kita ingin menyisipkan perintah di input chain, jika source address berasal dari $BAD_IP(tanda”/32″menyatakan bahwa dia berupa satu host), maka dia langsung di-DROP.
$BAD_IP tersebut dapat kita gantikan dengan nomor IP. # iptables -A INPUT -s 192.168.4.12 -j DROP
ini berarti alamat IP 192.168.4.12 tidak bisa mengakses firewall, dan jika sebaliknya
komputer yang menjalankan iptables tidak dapat berkomunikasi dengan pemilik IP 192.168.4.12 maka chain yg digunakan adalah OUTPUT dan parameter -s diganti dengan -d(destination) atau tujuan.
# iptables _A OUTPUT -d 192.168.4.12 -j DROP
5. Membatasi akses dari sejumlah alamat
# iptables -I INPUT -s $BAD_NET/25 -j LOG # iptables -I INPUT -s $BAD_NET/25 -j DRop
6. Memperbolehkan akses ke web server
web server berada pada port 80
# iptables -A INPUT -P TCP -s 0/0 -dport 80 -j ACCEPT
# iptables -A goodtcp -p TCP –syn -j ACCEPT
# iptables -A goodtcp -p TCP -m state –state ESTABLISHED, RELATED, -j ACCEPTED # iptables -A goodtcp -p TCP -j DROP
# iptables -A tcpsrv -p TCP -s 0/0 –dport 80 -j goodtcp # iptables -A tcpsrv -p TCP -s 0/0 –dport 21 -j goodtcp
a# iptables -A INPUT -p tcp –syn -destination-port 80 -j ACCEPT
b# iptables -A INPUT -p tcp –syn -s 192.168.4.12 –destination-port 22 -j ACCEPT c# iptables -A INPUT -p tcp –syn -j DROP
a? mengijinkan komputer lain mengakses port 80 (web server) b? mengijinkan pemilik IP 192.168.4.12 mengakses port 22 (SSH)
c? menutup semua akses lain selain akses dengan paket yg sesuai dengan aturan sebelumnya. dRop paket yang tcp yang NEW tapi tidak membuat SYN flag
# iptables -A INPUT -p TCP ! –syn -m state –state NEW -j DROP # iptables -A INPUT -p TCP -j tcpsrv
d# iptables -A INPUT -p TCP –destination-port telnet -i eth0 -j DROP
d? menutup koneksi telnet pada jaringan internet(-i eth0), tidak pada LAN(eth1). *untuk melihat aturan yang sudah ada pada chain, gunakan parameter -L; # iptables -L
parameter -R untuk mengganti sebuah aturan dengan aturan yang baru. parameter -D untuk menghapus sebuah aturan.
Cara install VPN (PPTP) Server di Debian
VPN adalah singkatan dari Virtual Private Network, yaitu sebuah cara aman untuk
mengakses local area network yang berada diluar jangkauan, dengan menggunakan internet
atau jaringan umum lainnya untuk melakukan transmisi paket data secara pribadi, dan
terenkripsi. Sedangkan PPTP adalah singkatan dari Point-to-Point Tunneling Protocol, dan
merupakan sebuah metode dalam implementasi penggunaan VPN.
Kali ini paket yang akan digunakan adalah PPTP, langsung kita mulai instalasinya:
1. Install pptpd.
apt-get install pptp
2. Edit /etc/ppp/pptp.conf.
nano /etc/pptpd.conf
3. Masukan ip dan rentang ip yang akan digunakan pada bagian paling bawah dari
pptp.conf.
localip 172.16.20.1
remoteip 172.16.0.210-250
4. Edit /etc/ppp/pptpd-option.
nano /etc/ppp/pptpd-options
Masukan dipaling bawah dari pptpd-option. :
nobsdcomp
ms-dns 172.16.20.1
noipx
mtu 1490
mru 1490
5. Lalu masukan username dan password di /etc/ppp/chap-secrets.
nano /etc/ppp/chap-secrets
Tambahkan pada chap-secret yaitu username dan passwordnya.
#client server secret ip address
user1 * password *
6. Setelah itu restart paket pptpdnya
service pptpd restart
Lalu tinggal hubungkan dengan clientya, kali ini saya menggunakan windows 7. Perlu
diingatkan sebelum masuk ke koneksi VPN perlu diberi IP Address pada sisi client dengan
network yang sama dengan server. Agar koneksi VPN dapat terhubung.
7. Pertama buka Network and Sharing Centre.
9. Lalu pilih No, create a new connection untuk membuat koneksi baru.
10. Lalu klik Use my Internet connection (VPN) untuk membuat koneksi VPN.
11. Masukan Internet address dan Destination name.
13. Lalu kita buka Network Connection dan double klik PPTP Server.
14. Klik Properties
15. Masuk ke Security dan ubah Type of VPN dari Automatic menjadi Point to Point
Tunneling Protocol (PPTP).
16. Lalu masukan User name dan Password. Lalu klik connect apabila terhubung maka
koneksi VPN PPTP telah berhasil.
Manajemen Bandwith di Squid Menggunakan Delay Pools
Dokumen ini hanya menjelaskan bagaimana cara mengkonfigurasikan proxy server
anda untuk membatasi bandwidth download atau incoming traffic.
A. Konfigurasi Manajemen Bandwidth di Squid
Berikut langkah-langkah pengkonfigurasian manajemen bandwidth di squid:
1. Pertama-tama periksa apakah squid telah berjalan di server dan telah dikonfiguraisi
sebagai mesin proxy server.
2. Sebelum memulai memanajemen bandwidth di squid, kita jelaskan dulu
komponen-komponen manajement bandwidth di squid
delay_pools
Opsi ini untuk menspesifikasi berapa jumlah pool yang digunakan untuk membatasi
jumlah bandwidth dari ACL. Opsi ini akan dirangkaikan bersama opsi delay_class
dan delay_parameters yang akan dibahas di bawah ini.
delay_class
Opsi ini menspesifikasikan kelompok dari masing-masing pool yang telah
didefinisikan pada opsi delay-pools. Ada tiga class yang didukung Squid, antara lain:
* class 1: Semua akses dibatasi dengan single bucket, artinya hanya bisa
mendefinisikan overall bandwidth untuk suatu ACL saja, tidak bisa mendefinisikan
bandwidth dengan lebih mendetail
* class 2: Semua akses dibatasi dengan single agregate dengan dua parameter
bandwidth. Parameter pertama mendefinisikan berapa bandwidth maksimal yang
didapatkan ACL, parameter kedua mendefinisikan berapa bandwidth overall untuk
ACL yang spesifik yang ada pada network tersebut.
* class 3: Kelompok yang definisi bandwidth-nya paling mendetail. Parameter
pertama mendefinisikan berapa bandwidth maksimal yang didapatkan ACL,
parameter kedua mendefinisikan berapa bandwidth normal yang didapatkan ACL
secara umum, dan parameter yang ketiga adalah mendefinisikan bandwidth yang
didapatkan ACL jika mengakses ACL-ACL tertentu yang spesifik, misalnya file mp3.
delay_parameters
Opsi ini menspesifikasikan rumus bandwidth yang akan didapatkan oleh ACL yang
akan memasuki delay_pool. Misalnya ada entry berikut ini pada delay_parameters:
delay_parameters 1 -1/-1 2100/4000
Angka 2100/4000 berarti bandwidth yang didapatkan oleh ACL setelah masuk ke
pool ini. Angka ini berada dalam kelipatan 8 b, sehingga untuk mendapatkan nilai
bandwidth yang sebenarnya harus dikalikan delapan. Angka 2100 adalah bandwidth
yang didapatkan ACL pada masa-masa normal. Jika dikalikan 8, maka bandwidth
normal yang akan didapatkan ACL sekitar 18 Kbps. Angka 4000 adalah bandwidth
maksimal yang didapatkan ACL pada masa-masa jalur sedang kosong. Jika dikalikan
8, maka bandwidth yang didapatkan sekitar 32 Kbps.
delay_access
Opsi ini mendefinisikan siapa-siapa ACL yang akan dimasukkan ke pool tertentu
untuk mendapatkan “perlambatan” bandwidth. Bentuk umumnya adalah seperti ini:
delay_access 1 allow labprog
Opsi di atas berarti kita memasukkan ACL labprog ke dalam pool 1.
1. Jika sudah mengerti komponen-komponen delay pool, kita mulai konfigurasi delay
pool .
B. Contoh Kasus
Di umpamakan kita mempunyai bandwidth dari ISP sebesar 512kb, dan kita membuat
rule seperti berikut ini:
- Maksimum download dibatasi 2 MB
- Batas kecepatan koneksi overall adalah 256 Kbps. per-network adalah 64 kbps.
Sedangkan per-user/host dibatasi 2 Kbps jika digunakan untuk download file bertipe
exe, mp3, vqf, tar.gz, gz, rpm, zip, rar, avi, mpeg, mpe, mpg, qt, ram, rm, iso, raw,
dan wav. Jika tidak, maka koneksi perhost HANYA mengikuti aturan per-Network
saja.
Penyelesaian:
Edit file /etc/squid/squid.conf
#vi /etc/squid/squid.conf
Lalu tambahkan contoh konfigurasi ini:
# Maksimum download dibatasi 2 MB
acl lokal src 192.168.1.0/24
# Kemudian kita membatasi maksimum download dengan tag di bawah ini:
# Batas kecepatan koneksi overall adalah 256 Kbps. per-network adalah
# 64 kbps. Sedangkan per-user/host dibatasi 2 Kbps jika digunakan untuk
# download file bertipe exe, mp3, vqf, tar.gz, gz, rpm, zip, rar, avi,
# mpeg, mpe, mpg, qt, ram, rm, iso, raw, dan wav. Jika tidak, maka
# koneksi perhost HANYA mengikuti aturan per-Network saja.
acl filegede url_regex -i \.exe
acl filegede url_regex -i \.mp3
acl filegede url_regex -i \.vqf
acl filegede url_regex -i \.gz
acl filegede url_regex -i \.rpm
acl filegede url_regex -i \.zip
acl filegede url_regex -i \.rar
acl filegede url_regex -i \.avi
acl filegede url_regex -i \.mpeg
acl filegede url_regex -i \.mpe
acl filegede url_regex -i \.mpg
acl filegede url_regex -i \.qt
acl filegede url_regex -i \.ram
acl filegede url_regex -i \.rm
acl filegede url_regex -i \.iso
acl filegede url_regex -i \.raw
# Kita buat dulu ACL untuk mendefinisikan file-file di atas dengan menggunakan #
regularexpression. Kemudian kita mendefinisikan 2 delay pool untuk
# menampung bandwidth.
# Satu pool masuk dalam kategori class 2 untuk mendefinisikan aturan overall
# 256 Kbps dan per-network 64 Kbps. Satu pool lainnya masuk kategori class 3
# untuk mendefinisikan aturan tambahan jika user mendownload file-file yang
#didefinisikan dalam ACL url_regex dengan bandwidth maksimal 2 Kbps.
delay_pools 2
delay_class 1 3
delay_parameters 1 32000/32000 8000/8000 250/250
delay_access 1 allow lokal filegede
delay_access 1 deny all
delay_class 2 2
delay_parameters 2 32000/32000 8000/8000
delay_access 2 allow lokal
delay_access 2 deny all
Model policy dari pool:
1.model 1, semua bandwidth yang ada dibagi sama rata ke semua user. Contoh, ada
bandwidth 192kbps dibagi sama rata untuk semua user yang akses.
delay_pools 1
delay_class 1 1
delay_parameters 1 1000/64000
delay_access 1 allow lan
delay_access 1 deny all
artinya: dibuat satu delay pool dengan policy class 1. Total bandwidth dibagi sama
rata masing-masing user mendapat 1000 atau 1 kB (1000*8=8kbps) dengan burstable
64kB
delay_class 1 2
delay_parameters 1 12500/12500 1000/64000
delay_access 1 allow lan
delay_access 1 deny all
3.model 3, membagi alokasi penggunaan bandwidth menjadi 3, bagian 1 untuk alokasi
bandwidth total yang digunakan untuk browsing, bagian 2 untuk alokasi bandwidth
per network apabila ada lebih dari 1 network dan bagian 3 untuk alokasi bandwidth
per user yang browsing.
delay_pools 1
delay_class 1 3
delay_parameters 1 24000/24000 8000/24000 1000/64000
delay_access 1 allow lan
delay_access 1 deny all
Bandwidth management menggunakan squid
25 June 2008 LQmanLeave a commentGo to commentsKetika kita berbicara mengenai bandwidth management, maka banyak sekali yang bisa kita
lakukan yaitu dengan cara network-based ataupun application-based.
Network based bandwidth management adalah mengatur penggunaan bandwidth berbasiskan
IP Address, dengan menggunakan queueing baik dengan teknik HTB maupun CBQ.
Sedangkan Application based bandwidth management yang menggunakan layer application
(CMIIW) utk melakukan bandwidth management, bisa dengan menggunakan squid dengan
mengatur opsi delay_pools
NETWORK BASED BANDWIDTH MANAGEMENT (delay_class type 2) [21 Juni
2009]
1. Mendefinisikan Subnet yang akan di manage bandwidth-nya :
Bagian IT : 192.168.7.0/28
Bagian Designer : 192.168.7.16/28
Bagian Finance : 192.168.7.32/28
Bagian Tamu : 192.168.7.48/28
root@constantine:~# vim /etc/squid3/squid.conf acl IT src 192.168.7.0/28
http_access allow IT
acl designer src 192.168.7.16/28 http_access allow designer
acl tamu src 192.168.7.48/28 http_access allow tamu
2. Membagi bandwidth berdasarkan kebijakan yang ada
misal :
Bandwidth total adalah : 2 Mbps = 2048 Kbps -> 256 KBps
Bagian IT mendapat alokasi sebesar : 600 Kbps =
75 KBps
Bagian Designer mendapat alokasi sebesar : 800 Kbps = 100 KBps
Bagian Finance mendapat alokasi sebesar : 400 Kbps =
50 KBps
Sisanya diberikan pada bagian Tamu : 200 Kbps =
25 KBps
!!!!!!!!!!!!!!!!!!!! INGAT !!!!!!!!!!!!!!!!!!!!!
1 byte = 8 bit
KBps = Kilo Bytes per second
Kbps
= Kilo
bits
per second
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
aturan pembagian bandwidth diatas baru diterapkan apabila client melakukan akses /
download file diatas 1024000Bytes (1024KB = 1MB).
root@constantine:~# vim /etc/squid3/squid.conf delay_pools 4
delay_class 1 2
delay_parameters 1 -1/-1
75000/
1024000
delay_access 1 allow IT
delay_access 1 deny all
delay_class 2 2
delay_parameters 2 -1/-1 100000/1024000
delay_access 2 allow designer
delay_access 2 deny all
delay_class 3 2
delay_parameters 3 -1/-1
50000/
1024000
delay_access 3 allow finance
delay_access 3 deny all
delay_class 4 2
delay_parameters 4 -1/-1
25000/1024000
delay_access 4 allow tamu
delay_access 4 deny all
BANDWIDTH MANAGEMENT BERDASARKAN TYPE AKSES USER (delay_class
type 1) [15 Mei 2010]
Tipe akses user yang saya maksud disini ada 2, yaitu antara BROWSING dan DOWNLOAD.
Untuk membedakan kedua tipe akses tersebut, saya asumsikan bisa dilihat dari tipe file-nya
(extensi file), misalnya apabila tipe filenya .htm, .html, .php, .jsp, maka itu adalah tipe akses
BROWSING, sedangkan apabila tipe filenya .exe, .avi, .zip, maka itu adalah tipe akses
DOWNLOAD.
Misalnya kita mempunyai koneksi internet dg b/w 2 Mbps, kita ingin membaginya sbb :
DOWNLOAD = 1,5 Mbps = 1500 Kbps = 187 KBytes/s =
187000
Bytes/s
BROWSING = 0,5 Mbps = 500 Kbps = 62 KBytes/s = 62000 Bytes/s
Maka skenario yg bisa diterapkan adalah dengan mendefinisikan tipe-file yang kita anggap
DOWNLOAD, kemudian kita batasi aksesnya, dan membiarkan (tidak membatasi) tipe-file
lainnya karena kita asumsikan selain DOWNLOAD adalah BROWSING. Caranya adalah :
1. Definisikan seluruh tipe-file yg kita anggap akses DOWNLOAD dalah sebuah file. (dibawah ini hanya sebuah contoh, anda bebas menyesuaikan sendiri)
root@constantine:/etc/squid3# touch /etc/squid3/file_download root@constantine:/etc/squid3# vim /etc/squid3/file_download
\.3gp$
\.7-zip$
\.7z$
\.ac3$
\.ace$
\.aif$
\.aifc$
\.aiff$
\.arc$
\.arj$
\.asf$
\.asx$
\.au$
\.avi$
\.bin$
\.bzip2$
\.cab$
\.cdw$
\.chm$
\.cr2$
\.crw$
\.dat$
\.dcr$
\.div$
\.dts$
\.dvi$
\.dvr-ms$
\.emf$
\.eps$
\.exe$
\.flv$
\.fpx$
\.gz$
\.gzip$
\.ha$
\.hdf$
\.icl$
\.icn$
\.iff$
\.iso$
\.jar$
\.jad$
\.jp2$
\.jpc$
\.jpeg$
\.jpg$
\.lha$
\.lzh$
\.lzw$
\.m1v$
\.m2v$
\.mid$
\.midi$
\.mim$
\.mp2$
\.mp2v$
\.mp3$
\.mpa$
\.mpe$
\.mpeg$
\.mpg$
\.mpv2$
\.mrw$
\.msi$
\.nef$
\.ogg$
\.orf$
\.pak$
\.pbm$
\.pict$
\.plp$
\.png$
\.ppm$
\.pps$
\.ppt$
\.ps$
\.psd$
\.psp$
\.qt$
\.raf$
\.ram$
\.rar$
\.ras$
\.raw$
\.rfx$
\.rm$
\.rmi$
\.rmvb$
\.rpm$
\.rs$
\.rtf$
\.run$
\.sef$
\.sgi$
\.snd$
\.srf$
\.swf$
\.tar$
\.tar.bz$
\.tar.gz$
\.tbz$
\.tga$
\.tgz$
\.tif$
\.tiff$
\.ttf$
\.uue$
\.vob$
\.vqf$
\.vro$
\.wav$
\.wbmp$
\.wma$
\.wmf$
\.wmv$
\.wri$
\.xlw$
\.xpm$
\.zip$
2. Edit konfigurasi squid, dan batasi akses apabila file yang di download besarnya diatas 1 MBytes (1024 Kbytes = 1024000 Bytes)
root@constantine:/etc/squid3# vim /etc/squid3/squid.conf
acl tipe-akses-download url_regex -i “/etc/squid3/file_download”
delay_pools 1
delay_class 1 1
delay_parameters 1
187000
/1024000
delay_access 1 allow tipe-akses-download
delay_access 1 deny all
3. check apakah ada error, kalau tidak ada error, baru restart service squid root@constantine:/etc/squid3# squid3 -k check
root@constantine:/etc/squid3# /etc/init.d/squid3 restart
4. Testing download dengan download manager yg anda sukai (IDM, FlashGet, GetRight, DownThemAll) dan perhatikan download rate-nya apakah sudah sesuai dengan setting yg diterapkan. Pada saat yang sama silahkan browsing2 website lain, untuk meyakinkan bahwa alokasi b/w untuk BROWSING sebesar 62000 Bytes/s (62 KBps) masih bisa digunakan.
