IMPLEMETASI IPTABLES SEBAGAI FILTRING FIREWALL

Abstrak
Tujuan Pembuatan Jurnal ini adalah untuk mengetahui pengertian, karakteristik, dan
implementasi IPtables sebagai firewall. Dan sebagai Tugas Akhir pada mata kuliah Kemanan
Jaringan Komputer.
Hasil dari pembuatan jurnal menunjukkan bahwa IPTables memilki banak sekali
keunggulan dalam implementasina diantarana! IPTables memiliki kemampuan untuk
melakukan "onne#tion Tra#king "apabilit aitu kemampuan untuk inspeksi paket serta bekerja
sama dengan I"$P dan %DP sebagaimana koneksi T"P, $enederhanakan perilaku paket&paket
dalam negosiasi built in #hain, dan lain&lainna. Tapi 'ang terpenting adalah Implementasi
IPTables sebagai firewall sangat murah dan memiliki tingkat kemanan ang baik.
BAB I
PENDAHULUAN
1. Latar Belakang
Keamanan jaringan, P", ser(er&ser(er, dan perangkat komputer Anda ang lainna
memang merupakan faktor ang #ukup penting untuk diperhatikan saat ini. Jika beberapa dekade
ang lalu keamanan jaringan masih ditempatkan pada urutan prioritas ang rendah, namun akhir&
akhir ini perilaku tersebut harus segera diubah. Pasalna, kejahatan dengan menggunakan
bantuan komputer, media komunikasi, dan perangkat elektronik lainna meningkat sangat tajam
belakangan. Hal ini sangat kontras dengan perkembangan kebutuhan perangkat komputer untuk
kehidupan sehari&hari ang juga semakin meninggi. Tidak hana di dalam kegiatan bisnis saja,
kehidupan rumah tangga pun sudah sangat rele(an jika dilengkapi dengan sebuah komputer.
$aka dari itulah, mengapa keamanan jaringan komputer dan P" menjadi begitu penting untuk
diperhatikan saat ini.
Apalagi jika kebutuhanna sudah berhubungan dengan kegiatan bisnis, dan kegiatan
bisnis tersebut banak berhubungan dengan ser(er ang dapat diakses dari mana saja atau
dengan koneksi Internet ang aktif )*+,. Tentu keamanan komunikasi data harus menjadi
prioritas nomor satu. $engapa demikian, karena semua fasilitas tersebut bisa juga diartikan
sebagai titik #elah baru menuju ke jaringan pribadi anda. Anda tidak bisa membiarkan begitu saja
perangkat komputer anda tanpa perlindungan dalam dunia Internet ang sebenarna. Jika anda
biarkan, tentu segala ma#am jenis pengganggu akan ber#okol di komputer Anda. $ulai dari (irus
sampai ha#ker ang menanam ba#kdoor akan menggunakan komputer Anda sebagai alat
bersenang&senang.
-angat penting memang untuk rajin melakukan pat#h dan update terhadap software&
software bug ang anda gunakan di komputer anda. Karena hal ini #ukup menolong untuk sedikit
menulitkan para ha#ker dan pengganggu lain untuk bisa bersenang&senang dengan komputer
anda. .amun rasana, pat#h ang up&to&date saja belum #ukup untuk melindungi resour#e anda
ang berharga di dalam komputer. $aka dari itu, rasana #ukup penting untuk anda bisa
membatasi apa dan siapa saja ang boleh masuk dan keluar dari dan ke perangkat komputer
Anda. -emua proses ini bisa Anda lakukan dengan mengandalkan sebuah sistem pengaman
khusus ang biasana disebut dengan istilah firewall atau IP filter.
Tuuan
Adapun Tujuan penulis membuat makalah ini adalah sebagai berikut !
/. Pemba#a mengetahui alasan penulis mebuat IPTables sebagai solusi dalam implementasi
0irewall untuk kemanan Jaringan komputer.
). Pemba#a mengetahui Karakteristik IPTables.
1. Pemba#a mengetahui -nta+ pada IPTables dalam implementasina.
*. Pemba#a memiliki pandangan kedepan mengenai pengamanan jaringan komputer.
Met!"e Penel#t#an
$etode penelitian ang dilakukan oleh penulis adalah metode literature, aitu dengan literature
dari materi 2 materi ang ada pada buku dan internet.
BAB II
LANDASAN TE$RI
$ungkin banak orang khususna mahasiswa ilmu komputer ang sudah akrab dengan
istilah ini. .amun pada saat ini saa #oba memberi penjelasan singkat mengenai firewall.
0irewall atau dalam arti harafiahna adalah tembok api merupakan sebuah sistem ang memiliki
tugas utama menjaga keamanan dari jaringan komputer dan semua perangkat ang ada di
dalamna.
0irewall adalah sebuah sistem pengaman, jadi firewall bisa berupa apapun baik hardware
maupun software. 0irewall dapat digunakan untuk memfilter paket&paket dari luar dan dalam
jaringan di mana ia berada. Jika pada kondisi normal semua orang dari luar jaringan anda dapat
bermain&main ke komputer anda, dengan firewall semua itu dapat diatasi dengan mudah.
0irewall merupakan perangkat jaringan ang berada di dalam kategori perangkat 3aer 1
4.etwork laer5 dan 3aer * 4Transport laer5 dari proto#ol , 6-I laer. -eperti diketahui, laer
1 adalah laer ang mengurus masalah pengalamatan IP, dan laer * adalah menangani
permasalahan port&port komunikasi 4T"P7%DP5. Pada kebanakan firewall, filtering belum bisa
dilakukan pada le(el data link laer atau laer ) pada , 6-I laer. Jadi dengan demikian, sistem
pengalamatan $A" dan frame&frame data belum bisa difilter. $aka dari itu, kebanakan firewall
pada umumna melakukan filtering dan pembatasan berdasarkan pada alamat IP dan nomor port
komunikasi ang ingin dituju atau diterimana.
0irewall ang sederhana biasana tidak memiliki kemampuan melakukan filterin terhadap paket
berdasarkan isi dari paket tersebut. -ebagai #ontoh, firewall tidak memiliki kemampuan
melakukan filtering terhadap e&mail ber(irus ang Anda download atau terhadap halaman web
ang tidak pantas untuk dibuka. 'ang bisa dilakukan firewall adalah melakukan blokir terhadap
alamat IP dari mail ser(er ang mengirimkan (irus atau alamat halaman web ang dilarang untuk
dibuka. Dengan kata lain, firewall merupakan sistem pertahanan ang paling depan untuk
jaringan Anda.
Tetapi, apakah hana sampai di situ saja fungsi dari perangkat firewall8 Ternata banak firewall
ang memiliki kelebihan lain selain daripada filtering IP address saja. Dengan kemampuanna
memba#a dan menganalisis paket&paket data ang masuk pada le(el IP, maka firewall pada
umumna memiliki kemampuan melakukan translasi IP address. Translasi di sini maksudna
adalah proses mengubah sebuah alamat IP dari sebuah alamat ang dikenal oleh jaringan diluar
jaringan pribadi Anda, menjadi alamat ang hana dapat dikenal dan di#apai dari jaringan lokal
saja. Kemampuan ini kemudian menjadi sebuah fasilitas standar dari setiap firewall ang ada di
dunia ini. 0asilitas ini sering kita kenal dengan istilah .etwork Address Translation 4.AT5.
9ambar /. 0irewall
H!% t! &ake F#re%all '
0irewall bisa Anda dapatkan dengan berbagai #ara. Jika tidak ingin repot&repot membuat
dari nol, Anda harus mengeluarkan uang ang #ukup banak untuk membeli perangkat keras
firewall ang sudah jadi dan tinggal Anda pasang saja di jaringan. Tetapi perlu diingat, tidak
semua perangkat keras firewall dapat bekerja hebat dalam melakukan IP filtering. Jadi akan
per#uma saja uang ang anda keluarkan jika anda membeli firewall ang tidak andal.
Jika anda mau sedikit repot, namun hasilna mungkin akan memuaskan anda, buat saja sendiri
perangkat firewall anda. 'ang anda perlukan hanalah sebuah P" dengan pro#essor dan memor
ang lumaan besar dan sebuah aplikasi firewall ang #anggih dan lengkap ang dapat
memenuhi semua kebutuhan Anda.
Aplikasi firewall ang lengkap dan #anggih pada umumna juga mengharuskan Anda
mengeluarkan ko#ek ang tidak sedikit. -eperti misalna "he#kpoint ang sudah sangat terkenal
dalam aplikasi firewall, untuk memilikina anda harus merogoh ko#ek ang lumaan banak
pula.
.amun jika anda pe#inta produk&produk open sour#e dan sudah sangat familiar dengan
lingkungan open sour#e seperti misalna operating sstem 3inu+, ada satu aplikasi firewall ang
sangat hebat. Aplikasi ini tidak hana #anggih dan banak fasilitasna, namun aplikasi ini juga
tidak akan membuat kantong Anda dirogoh dalam&dalam. :ahkan Anda bisa mendapatkanna
gratis karena aplikasi ini pada umumna merupakan bawaan default setiap distro 3inu+. Aplikasi
dan sstem firewall di sistem open sour#e tersebut dikenal dengan nama IPTables.
Dengan menggunakan IPTables, Anda dapat membuat firewall ang #ukup #anggih dengan
program open sour#e ang bisa dengan mudah Anda dapatkan di Internet. $emang perlu diakui,
firewall dengan menggunakan IPTables #ukup sulit bagi pemula baik di bidang networking
maupun pemula di bidang operating sstem 3inu+. .amun jika Anda pelajari lebih lanjut,
sebenarna firewall ini memiliki banak sekali fitur dan kelebihan ang luar biasa.
W() IPTABLES '
IPTables merupakan sebuah fasilitas tambahan ang tersedia pada setiap perangkat
komputer ang diinstali dengan sistem operasi 3inu+ dan resmi dilun#urkan untuk massal pada
3I.%; ).* kernel pada Januar )<</ 4www.netfilter.org5. Anda harus mengaktifkanna terlebih
dahulu fitur ini pada saat melakukan kompilasi kernel untuk dapat menggunakanna. IPTables
merupakan fasilitas tambahan ang memiliki tugas untuk menjaga keamanan perangkat
komputer anda dalam jaringan. Atau dengan kata lain, IPTables merupakan sebuah firewall atau
program IP filter build&in ang disediakan oleh kernel 3inu+ untuk tetap menjaga agar perangkat
anda aman dalam berkomunikasi.
$engapa 3inu+ bersusah paah menediakan fasilitas ini untuk Anda8 Karena dari dulu 3inu+
memang terkenal sebagai operating sstem ang unggul dalam segi keamananna. $ulai dari
kernel 3inu+ (ersi ).<, 3inu+ sudah memberikan fasilitas penjaga keamanan berupa fasilitas
bernama ipfwdm. Kemudian pada kernal ).), fasilitas bernama ip#hain diimplementasikan di
dalamna dan menawarkan perkembangan ang sangat signifikan dalam menjaga keamanan.
-ejak kernel 3inu+ memasuki (ersi ).*, sistem firewall ang baru diterapkan di dalamna.
-emua jenis firewall open sour#e ang ada seperti ipfwadm dan ip#hains dapat berjalan di
atasna. Tidak ketinggalan juga, IPTables ang jauh lebih baru dan #anggih dibandingkan
keduana juga bisa berjalan di atasna. $aka itu, IPTables sangatlah perlu untuk dipelajari untuk
Anda ang sedang mempelajari operating sstem 3inu+ atau bahkan ang sudah
menggunakanna. Karena jika menguasai IPTables, mengamankan jaringan Anda atau jaringan
pribadi orang lain menjadi lebih hebat.
0itur ang dimiliki IPTables!
/. "onne#tion Tra#king "apabilit aitu kemampuan unutk inspeksi paket serta bekerja
dengan i#mp dan udp sebagaimana koneksi T"P.
). $enederhanakan perilaku paket&paket dalam melakukan negosiasi built in #hain
4input,output, dan forward5.
1. =ate&3imited #onne#tion dan logging #apabilit. Kita dapat membatasi usaha&usaha
koneksi sebagai tindakan pre(entif serangan -n flooding denial of ser(i#es4D6-5.
*. Kemampuan untuk memfilter flag&flag dan opsi t#p dan address&address $A".
BAB III
PEMBAHASAN
IPTABLES
Iptables mengi>inkan user untuk mengontrol sepenuhna jaringan melalui paket IP
dengan sstem 3I.%; ang diimplementasikan pada kernel 3inu+. -ebuah kebijakan atau
Poli# dapat dibuat dengan iptables sebagai polisi lalulintas jaringan. -ebuah poli# pada
iptables dibuat berdasarkan sekumpulan peraturan ang diberikan pada kernel untuk mengatur
setiap paket ang datang. Pada iptable ada istilah ang disebut dengan Ip#hain ang merupakan
daftar aturan bawaan dalam Iptables. Ketiga #hain tersebut adalah I.P%T, 6%TP%T dan
06=?A=D.
9ambar ).Diagram Perjalanan Paket data pada IPTables
Pada diagram tersebut, persegipanjang aitu filter I.P%T, filter 6%TP%T, dan filter 06=?A=D
menggambarkan ketiga rantai atau #hain. Pada saat sebuah paket sampai pada salah satu
persegipanjang diantara IP#hains, maka disitulah terjadi proses penaringan. =antai akan
memutuskan nasib paket tersebut. Apabila keputusannna adalah D=6P, maka paket tersebut
akan di&drop. Tetapi jika rantai memutuskan untuk A""@PT, maka paket akan dilewatkan
melalui diagram tersebut.
-ebuah rantai adalah aturan&aturan ang telah ditentukan. -etiap aturan menatakan Ajika paket
memiliki informasi awal 4header5 seperti ini, maka inilah ang harus dilakukan terhadap paketB.
Jika aturan tersebut tidak sesuai dengan paket, maka aturan berikutna akan memproses paket
tersebut. Apabila sampai aturan terakhir ang ada, paket tersebut belum memenuhi salah satu
aturan, maka kernel akan melihat kebijakan bawaan 4default5 untuk memutuskan apa ang harus
dilakukan kepada paket tersebut. Ada dua kebijakan bawaan aitu default D=6P dan default
A""@PT.
Jalanna sebuah paket melalui diagram tersebut bisa di#ontohkan sebagai berikut!
Peralanan *aket )ang "#+!r%ar" ke (!st )ang la#n
/. Paket berada pada jaringan fisik.
). Paket masuk ke interfa#e jaringan.
1. Paket masuk ke #hain P=@=6%TI.9 pada table $angle. "hain ini berfungsi untuk me&
mangle 4menghaluskan5 paket, seperti merubah T6-, TT3 dan lain&lain.
*. Paket masuk ke #hain P=@=6%TI.9 pada tabel .AT. "hain ini fungsi utamana untuk
melakukan D.AT 4Destination .etwork Address Translation5.
C. Paket mengalami keputusan routing, apakah akan diproses oleh host lokal atau
diteruskan ke host lain.
D. Paket masuk ke #hain 06=?A=D pada tabel filter. Disinlah proses pemfilteran ang
utama terjadi.
,. Paket masuk ke #hain P6-T=6%TI.9 pada tabel .AT. "hain ini berfungsi utamana
untuk melakukan -.AT 4-our#e .etwork Address Translation5.
E. Paket keluar menuju interfa#e jaringan.
F. Paket kembali berada pada jaringan fisik.
Peralanan *aket )ang "#tuukan bag# (!st l!kal
/. Paket berada dalam jaringan fisik.
). Paket masuk ke interfa#e jaringan.
1. Paket masuk ke #hain P=@=6%TI.9 pada tabel mangle.
*. Paket masuk ke #hain P=@=6%TI.9 pada tabel .AT.
C. Paket mengalami keputusan routing.
D. Paket masuk ke #hain I.P%T pada tabel filter untuk mengalami proses penaringan.
,. Paket akan diterima oleh aplikasi lokal.
Peralanan *aket )ang berasal "ar# (!st l!kal
/. Aplikasi lokal menghasilkan paket data ang akan dikirimkan melalui jaringan.
). Paket memasuki #hain 6%TP%T pada tabel mangle.
1. Paket memasuki #hain 6%TP%T pada tabel .AT.
*. Paket memasuki #hain 6%TP%T pada tabel filter.
C. Paket mengalami keputusan routing, seperti ke mana paket harus pergi dan melalui
interfa#e mana.
D. Paket masuk ke #hain P6-T=6%TI.9 pada tabel .AT.
,. Paket masuk ke interfa#e jaringan
E. Paket berada pada jaringan fisik.
Instalas# IPTables
%ntuk $elakukan instalasi IPTA:3@- di #omputer 3inu+, kita akan memerlukan kernel
(ersi ).*.+ atau diatasna. Distribusi 3inu+ belakangan ini sudah menggunakan kernel ).*.+
4bahkan ).D.+5 sudah mendukung paket filter untuk firewall. $aka dari itu kita tidak perlu repot
melakukan kompilasi kernel agar IPTables bekerja dengan baik di #omputer linu+ .
Kernel -endiri terdiri dari dua ma#am, modulari>ed kernel dan monolithi# kernel. -aat
linu+ pertama kali diinstal, model kernel ang dimilikina adalah modulari>ed, jadi kita bisa
mengelurakan modu&modul ang kita butuhkan tanpa harus melakukan kompilasi kernel.:ila
kita tetap ingin melakukan kompilasi kernel untuk mengoptimasi ser(er linu+ kita maka
IPTA:3@- membutuhkan beberapa opsi dalam kernel ang harus dipilih dan ini dapat anda
dapatkan di buku tutorial IPtabales dan internet karena pada jurnal ini tidak saa lampirkan.
S)nta, Pa"a IPTables
1. Table
IPTables memiliki 1 buah tabel, aitu .AT, $A.93@ dan 0I3T@=. Penggunanna
disesuaikan dengan sifat dan karakteristik masing&masing. 0ungsi dari masing&masing tabel
tersebut sebagai berikut !
/. .AT ! -e#ara umum digunakan untuk melakukan .etwork Address Translation. .AT
adalah penggantian field alamat asal atau alamat tujuan dari sebuah paket.
). $A.93@ ! Digunakan untuk melakukan penghalusan 4mangle5 paket, seperti TT3, T6-
dan $A=K.
1. 0I3T@= ! -e#ara umum, inilah pemfilteran paket ang sesungguhna.. Di sini bisa
dintukan apakah paket akan di&D=6P, 369, A""@PT atau =@J@"T
-. .!&&an"
"ommand pada baris perintah IPTables akan memberitahu apa ang harus dilakukan terhadap
lanjutan sintaks perintah. %mumna dilakukan penambahan atau penghapusan sesuatu dari tabel
atau ang lain.
"ommand Keterangan
&A
2append
Perintah ini menambahkan aturan pada akhir #hain.
Aturan akan ditambahkan di akhir baris pada #hain
ang bersangkutan, sehingga akan dieksekusi terakhir
&D
2delete
Perintah ini menghapus suatu aturan pada #hain.
Dilakukan dengan #ara menebutkan se#ara lengkap
perintah ang ingin dihapus atau dengan menebutkan
nomor baris dimana perintah akan dihapus.
&=
2repla#e
Penggunaanna sama seperti 2delete, tetapi #ommand
ini menggantina dengan entr ang baru.
&I
2insert
$emasukkan aturan pada suatu baris di #hain. Aturan
akan dimasukkan pada baris ang disebutkan, dan
aturan awal ang menempati baris tersebut akan digeser
ke bawah. Demikian pula baris&baris selanjutna.
&3
2list
Perintah ini menampilkan semua aturan pada sebuah
tabel. Apabila tabel tidak disebutkan, maka seluruh
aturan pada semua tabel akan ditampilkan, walaupun
tidak ada aturan sama sekali pada sebuah tabel.
"ommand ini bisa dikombinasikan dengan option 2(
4(erbose5, &n 4numeri#5 dan 2+ 4e+a#t5.
&0
2flush
Perintah ini mengosongkan aturan pada sebuah #hain.
Apabila #hain tidak disebutkan, maka semua #hain akan
di&flush.
&.
2new&#hain
Perintah tersebut akan membuat #hain baru.
&;
2delete&#hain
Perintah ini akan menghapus #hain ang disebutkan.
Agar perintah di atas berhasil, tidak boleh ada aturan
lain ang menga#u kepada #hain tersebut.
&P Perintah ini membuat kebijakan default pada sebuah
2poli#
#hain. -ehingga jika ada sebuah paket ang tidak
memenuhi aturan pada baris&baris ang telah
didefinisikan, maka paket akan diperlakukan sesuai
dengan kebijakan default ini.
&@
2rename&#hain
Perintah ini akan merubah nama suatu #hain.
/. $*t#!n
6ption digunakan dikombinasikan dengan #ommand tertentu ang akan menghasilkan suatu
(ariasi perintah.
6ption "ommand
Pemakai
Keterangan
&(
2(erbose
2list
2append
2insert
2delete
2repla#e
$emberikan output ang lebih detail,
utamana digunakan dengan 2list. Jika
digunakan dengan
2list, akan menampilkam K 4+/.<<<5,
$ 4/.<<<.<<<5 dan 9 4/.<<<.<<<.<<<5.
&+
2e+a#t
2list $emberikan output ang lebih tepat.
&n
2numeri#
2list $emberikan output ang berbentuk
angka. Alamat IP dan nomor port akan
ditampilkan dalam bentuk angka dan
bukan hostname ataupun nama
aplikasi7ser(is.
2line&number 2list Akan menampilkan nomor dari daftar
aturan. Hal ni akan mempermudah bagi
kita untuk melakukan modifikasi aturan,
jika kita mau meisipkan atau menghapus
aturan dengan nomor tertentu.
2modprobe All $emerintahkan IPTables untuk
memanggil modul tertentu. :isa
digunakan bersamaan dengan semua
#ommand.
0. Gener#1 Mat1(es
9eneri# $at#hes artina pendefinisian kriteria ang berlaku se#ara umum. Dengan kata lain,
sintaks generi# mat#hes akan sama untuk semua protokol. -etelah protokol didefinisikan, maka
baru didefinisikan aturan ang lebih spesifik ang dimiliki oleh protokol tersebut. Hal ini
dilakukan karena tiap&tiap protokol memiliki karakteristik ang berbeda, sehingga memerlukan
perlakuan khusus.
$at#h Keterangan
&p
2proto#ol
Digunakan untuk menge#ek tipe protokol tertentu.
"ontoh protokol ang umum adalah T"P, %DP, I"$P
dan A33. Daftar protokol bisa dilihat pada
7et#7proto#ols.
Tanda in(ersi juga bisa diberlakukan di sini, misal kita
menghendaki semua protokol ke#uali i#mp, maka kita
bisa menuliskan 2protokol G i#mp ang berarti semua
ke#uali i#mp.
&s
2sr#
2sour#e
Kriteria ini digunakan untuk men#o#okkan paket
berdasarkan alamat IP asal. Alamat di sini bisa
berberntuk alamat tunggal seperti /F)./DE././, atau
suatu alamat network menggunakan netmask misal
/F)./DE./.<7)CC.)CC.)CC.<, atau bisa juga ditulis
/F)./DE./.<7)* ang artina semua alamat
/F)./DE./.+. Kita juga bisa menggunakan in(ersi.
&d
2dst
Digunakan untuk me#o#okkan paket berdasarkan
alamat tujuan. Penggunaanna sama dengan mat#h 2
sr#
2destination
&i
2in&interfa#e
$at#h ini berguna untuk men#o#okkan paket
berdasarkan interfa#e di mana paket datang. $at#h ini
hana berlaku pada #hain I.P%T, 06=?A=D dan
P=@=6%TI.9
&o
2out&interfa#e
:erfungsi untuk men#o#okkan paket berdasarkan
interfa#e di mana paket keluar. Penggunanna sama
dengan
2in&interfa#e. :erlaku untuk #hain 6%TP%T,
06=?A=D dan P6-T=6%TI.9
2. I&*l#1#t Mat1(es
Impli#it $at#hes adalah mat#h ang spesifik untuk tipe protokol tertentu. Impli#it $at#h
merupakan sekumpulan rule ang akan diload setelah tipe protokol disebutkan. Ada 1 Impli#it
$at#h berlaku untuk tiga jenis protokol, aitu T"P mat#hes, %DP mat#hes dan I"$P mat#hes.
a. T"P mat#hes
$at#h Keterangan
2sport
2sour#e&port
$at#h ini berguna untuk me#o#okkan paket
berdasarkan port asal. Dalam hal ini kia bisa
mendefinisikan nomor port atau nama ser(i#e&na.
Daftar nama ser(i#e dan nomor port ang bersesuaian
dapat dilihat di 7et#7ser(i#es.
2sport juga bisa dituliskan untuk range port tertentu.
$isalkan kita ingin mendefinisikan range antara port ))
sampai dengan E<, maka kita bisa menuliskan 2sport
))!E<.
Jika bagian salah satu bagian pada range tersebut kita
hilangkan maka hal itu bisa kita artikan dari port <, jika
bagian kiri ang kita hilangkan, atau DCC1C jika bagian
kanan ang kita hilangkan. "ontohna 2sport !E<
artina paket dengan port asal nol sampai dengan E<,
atau 2sport /<)*! artina paket dengan port asal /<)*
sampai dengan DCC1C.$at#h ini juga mengenal in(ersi.
2dport
2destination&
port
Penggunaan mat#h ini sama dengan mat#h 2sour#e&
port.
2t#p&flags Digunakan untuk men#o#okkan paket berdasarkan T"P
flags ang ada pada paket tersebut. Pertama,
penge#ekan akan mengambil daftar flag ang akan
diperbandingkan, dan kedua, akan memeriksa paket
ang di&set /, atau on.
Pada kedua list, masing&masing entr&na harus
dipisahkan oleh koma dan tidak boleh ada spasi antar
entr, ke#uali spasi antar kedua list. $at#h ini
mengenali -'.,A"K,0I.,=-T,%=9, P-H. -elain itu
kita juga menuliskan A33 dan .6.@. $at#h ini juga
bisa menggunakan in(ersi.
2sn $at#h ini akan memeriksa apakah flag -'. di&set dan
A"K dan 0I. tidak di&set. Perintah ini sama artina
jika kita menggunakan mat#h 2t#p&flags -'.,A"K,0I.
-'.
Paket dengan mat#h di atas digunakan untuk melakukan
reHuest koneksi T"P ang baru terhadap ser(er
b. %DP $at#hes
Karena bahwa protokol %DP bersifat #onne#tionless, maka tidak ada flags ang
mendeskripsikan status paket untuk untuk membuka atau menutup koneksi. Paket %DP juga
tidak memerlukan a#knowledgement. -ehingga Impli#it $at#h untuk protokol %DP lebih sedikit
daripada T"P
Ada dua ma#am mat#h untuk %DP!
2sport atau 2sour#e&port
2dport atau 2destination&port
#. I"$P $at#hes
Paket I"$P digunakan untuk mengirimkan pesan&pesan kesalahan dan kondisi&kondisi jaringan
ang lain. Hana ada satu impli#it mat#h untuk tipe protokol I"$P, aitu ! 2i#mp&tpe
3. E,*l#1#t Mat1(es
a. $A" Address
$at#h jenis ini berguna untuk melakukan pen#o#okan paket berdasarkan $A" sour#e address.
Perlu diingat bahwa $A" hana berfungsi untuk jaringan ang menggunakan teknologi
ethernet.
iptables 2A I.P%T 2m ma# 2ma#&sour#e <<!<<!<<!<<!<<!</
b. $ultiport $at#hes
@kstensi $ultiport $at#hes digunakan untuk mendefinisikan port atau port range lebih dari satu,
ang berfungsi jika ingin didefinisikan aturan ang sama untuk beberapa port. Tapi hal ang
perlu diingat bahwa kita tidak bisa menggunakan port mat#hing standard dan multiport mat#hing
dalam waktu ang bersamaan.
iptables 2A I.P%T 2p t#p 2m multiport 2sour#e&port )),C1,E<,//<
#. 6wner $at#hes
Penggunaan mat#h ini untuk men#o#okkan paket berdasarkan pembuat atau pemilik7owner paket
tersebut. $at#h ini bekerja dalam #hain 6%TP%T, akan tetapi penggunaan mat#h ini tidak terlalu
luas, sebab ada beberapa proses tidak memiliki owner 4885.
iptables 2A 6%TP%T 2m owner 2uid&owner C<<
Kita juga bisa memfilter berdasarkan group ID dengan sintaks 2gid&owner. -alah satu
penggunanna adalah bisa men#egah user selain ang dikehendaki untuk mengakses internet
misalna.
d. -tate $at#hes
$at#h ini mendefinisikan state apa saja ang #o#ok. Ada * state ang berlaku, aitu .@?,
@-TA:3I-H@D, =@3AT@D dan I.IA3ID. .@? digunakan untuk paket ang akan memulai
koneksi baru. @-TA:3I-H@D digunakan jika koneksi telah tersambung dan paket&paketna
merupakan bagian dari koneki tersebut. =@3AT@D digunakan untuk paket&paket ang bukan
bagian dari koneksi tetapi masih berhubungan dengan koneksi tersebut, #ontohna adalah 0TP
data transfer ang menertai sebuah koneksi T"P atau %DP. I.IA3ID adalah paket ang tidak
bisa diidentifikasi, bukan merupakan bagian dari koneksi ang ada.
iptables 2A I.P%T 2m state 2state =@3AT@D,@-TA:3I-H@D
4. Target56u&*
Target atau jump adalah perlakuan ang diberikan terhadap paket&paket ang memenuhi kriteria
atau mat#h. Jump memerlukan sebuah #hain ang lain dalam tabel ang sama. "hain tersebut
nantina akan dimasuki oleh paket ang memenuhi kriteria. Analogina ialah #hain baru nanti
berlaku sebagai prosedur7fungsi dari program utama. -ebagai #ontoh dibuat sebuah #hain ang
bernama t#pJpa#kets. -etelah ditambahkan aturan&aturan ke dalam #hain tersebut, kemudian
#hain tersebut akan direferensi dari #hain input.
iptables 2A I.P%T 2p t#p 2j t#pJpa#kets
Target Keterangan
&j A""@PT
2jump
A""@PT
Ketika paket #o#ok dengan daftar mat#h dan target ini
diberlakukan, maka paket tidak akan melalui baris&baris
aturan ang lain dalam #hain tersebut atau #hain ang
lain ang mereferensi #hain tersebut. Akan tetapi paket
masih akan memasuki #hain&#hain pada tabel ang lain
seperti biasa.
&j D=6P
2jump D=6P
Target ini men&drop paket dan menolak untuk
memproses lebih jauh. Dalam beberapa kasus mungkin
hal ini kurang baik, karena akan meninggalkan dead
so#ket antara #lient dan ser(er.
Paket ang menerima target D=6P benar&benar mati
dan target tidak akan mengirim informasi tambahan
dalam bentuk apapun kepada #lient atau ser(er.
&j =@T%=.
2jump
=@T%=.
Target ini akan membuat paket berhenti melintasi
aturan&aturan pada #hain dimana paket tersebut
menemui target =@T%=.. Jika #hain merupakan
sub#hain dari #hain ang lain, maka paket akan kembali
ke superset #hain di atasna dan masuk ke baris aturan
berikutna. Apabila #hain adalah #hain utama misalna
I.P%T, maka paket akan dikembalikan kepada
kebijakan default dari #hain tersebut.
&j $I==6= Apabila kompuuter A menjalankan target seperti #ontoh
di atas, kemudian komputer : melakukan koneksi http
ke komputer A, maka ang akan mun#ul pada browser
adalah website komputer : itu sendiri. Karena fungsi
utama target ini adalah membalik sour#e address dan
destination address.
Target ini bekerja pada #hain I.P%T, 06=?A=D dan
P=@=6%TI.9 atau #hain buatan ang dipanggil
melalui #hain tersebut.
:eberapa target ang lain biasana memerlukan parameter tambahan!
a. 369 Target
Ada beberapa option ang bisa digunakan bersamaan dengan target ini. 'ang pertama
adalah ang digunakan untuk menentukan tingkat log. Tingkatan log ang bisa digunakan adalah
debug, info, noti#e, warning, err, #rit, alert dan emerg.'ang kedua adalah &j 369 2log&prefi+
ang digunakan untuk memberikan string ang tertulis pada awalan log, sehingga memudahkan
pemba#aan log tersebut.
iptables 2A 06=?A=D 2p t#p 2j 369 2log&le(el debug
iptables 2A I.P%T 2p t#p 2j 369 2log&prefi+ AI.P%T Pa#ketsB
b. =@J@"T Target
-e#ara umum, =@J@"T bekerja seperti D=6P, aitu memblok paket dan menolak untuk
memproses lebih lanjut paket tersebut. Tetapi, =@J@"T akan mengirimkan error message ke host
pengirim paket tersebut. =@J@"T bekerja pada #hain I.P%T, 6%TP%T dan 06=?A=D atau
pada #hain tambahan ang dipanggil dari ketiga #hain tersebut.
iptables 2A 06=?A=D 2p t#p 2dport )) 2j =@J@"T 2reje#t&with i#mp&host&unrea#hable
Ada beberapa tipe pesan ang bisa dikirimkan aitu i#mp&net&unrea#hable, i#mp&host&
unrea#hable, i#mp&port&unrea#hable, i#mp&proto&unra#hable, i#mp&net&prohibited dan i#mp&host&
prohibited.
#. -.AT Target
Target ini berguna untuk melakukan perubahan alamat asal dari paket 4-our#e .etwork
Address Translation5. Target ini berlaku untuk tabel nat pada #hain P6-T=6%TI.9, dan hana
di sinilah -.AT bisa dilakukan. Jika paket pertama dari sebuah koneksi mengalami -.AT, maka
paket&paket berikutna dalam koneksi tersebut juga akan mengalami hal ang sama.
iptables 2t nat 2A P6-T=6%TI.9 2o eth< 2j -.AT 2to&sour#e /F*.)1D.C<./CC&
/F*.)1D.C<./D<!/<)*&1)<<<
d. D.AT Target
:erkebalikan dengan -.AT, D.AT digunakan untuk melakukan translasi field alamat
tujuan 4Destination .etwork Address Translation5 pada header dari paket&paket ang memenuhi
kriteria mat#h. D.AT hana bekerja untuk tabel nat pada #hain P=@=6%TI.9 dan 6%TP%T
atau #hain buatan ang dipanggil oleh kedua #hain tersebut.
iptables 2t nat 2A P=@=6%TI.9 2p t#p 2d /C.*C.)1.D, 2dport E< 2j D.AT 2to&destination
/F)./DE.<.)
e. $A-K%@=AD@ Target
-e#ara umum, target $A-K%@=AD@ bekerja dengan #ara ang hampir sama seperti
target -.AT, tetapi target ini tidak memerlukan option 2to&sour#e. $A-K%@=AD@ memang
didesain untuk bekerja pada komputer dengan koneksi ang tidak tetap seperti dial&up atau
DH"P ang akan memberi pada kita nomor IP ang berubah&ubah.
-eperti halna pada -.AT, target ini hana bekerja untuk tabel nat pada #hain P6-T=6%TI.9.
iptables 2t nat 2A P6-T=6%TI.9 2o ppp< 2j $A-K%@=AD@
f. =@DI=@"T Target
Target =@DI=@"T digunakan untuk mengalihkan jurusan 4redire#t5 paket ke mesin itu
sendiri. Target ini umumna digunakan untuk mengarahkan paket ang menuju suatu port
tertentu untuk memasuki suatu aplikasi pro+, lebih jauh lagi hal ini sangat berguna untuk
membangun sebuah sistem jaringan ang menggunakan transparent pro+. "ontohna kita ingin
mengalihkan semua koneksi ang menuju port http untuk memasuki aplikasi http pro+ misalna
sHuid. Target ini hana bekerja untuk tabel nat pada #hain P=@=6%TI.9 dan 6%TP%T atau
pada #hain buatan ang dipanggil dari kedua #hain tersebut.
7. .!nne1t#!n Tra1k#ng
iptables mengandung sebuah modul ang mengijinkan para administrator untuk
memeriksa dan membatasi ser(i#e&ser(i#e ang tersedia pada sebuah jaringan internal
menggunakan sebuah metode ang disebut #onne#tion tra#king. 0itur ini merupakan fitur baru di
dalam firewall ang ditambahkan sejak kernel ).*.+. Kemampuan dari #onne#tion tra#king
adalah untuk menimpan dan menjaga informasi koneksi seperti koneksi baru atau koneksi ang
sudah ada ang disertai dengan jenis protokol, alamat IP asal dan alamat IP tujuan. Dengan
menggunakan fitur ini, para administrator dapat menolak atau mengijinkan berbagai ma#am
koneksi. "onne#tion tra#king mempunai beberapa keadaan! & NEW 2L -ebuah klien mereHues
koneksi melalui firewall. $aksudna ser(er/ menghubungi ser(er) dengan mengirimkan paket
-'. 4Synchronize5
& RELATED 2L -ebuah koneksi ang mereHues sebuah reHues baru tetapi masih merupakan
bagian dari koneksi ang sudah ada. $aksudna ser(er) menerima paket -'. dari ser(er / dan
kemudian merespon dengan sebuah paket -'.&A"K 4Synchronize-Acknowledgment5
& ESTABLISHED 2L -ebuah koneksi ang merupakan bagian dari koneksi ang sudah ada.
$aksudna ser(er / menerima paket -'.&A"K dan kemudian merespon dengan paket A"K
4Acknowledgment5.
& IN7ALID 2L -ebuah keadaan dimana tidak ada keadaan seperti 1 keadaan di atas %ntuk lebih
jelasna perhatikan #ontoh dibawah ini!
$isalna kita ingin menggunakan ser(i#e ftp pada IPM/1).*CD.,E.F, maka pada saat kita
mengetikkan
N ftp /1).*CD.,E.F
perintah tersebut akan membuka koneksi baru 4.@?5
3alu pada saat kita ingin mengambil sebuah file dari IP tersebut, misalna paket ang bernama
file.tar.g>, maka pada saat kita mengetikkan!
ftpL get file.tar.g>
itu berarti kita telah membuat keadaan koneksi @-TA:3I-H@D.
Jika kita menggunakan sebuah koneksi ftp pasif, dimana port koneksi #lien adalah )< tetapi port
transfer menggunakan port /<)* atau ang lebih besar, maka pada saat kita mengetikkan
ftpL pass
Passi(e mode on
kita harus menggunakan keadaan koneksi =@3AT@D pada firewall jika kita mengijinkan akses
ftp se#ara pasif.
0ungsi lain dari #onne#tion tra#king aitu ketika kita sudah mendefinisikan sebuah rule di #hain
tertentu, maka trafik network ang terkait dengan rule tersebut tidak perlu disebutkan lagi.
$isalna kita ingin menolak ssh dari sebuah IP, maka kita #ukup mendefinisikan rule tersebut di
#hain I.P%T saja, ang di outputna tidak perlu lagi. "arana adalah!
N iptables &I I.P%T &m state &&state =@3AT@D,@-TA:3I-H@D &j A""@PT
N iptables &I 6%TP%T &m state &&state =@3AT@D,@-TA:3I-H@D &j A""@PT
N iptables &I 06=?A=D &m state &&state =@3AT@D,@-TA:3I-H@D &j A""@PT
Di bawah ini adalah #ontoh iptables untuk mengijinkan ser(i#e ssh dengan IP /1).*CD.,E.F
masuk dan keluar serta hana mengijinkan koneksi baru dan establlished untuk ser(i#e ssh
tersebut.
N iptables &A I.P%T &p t#p &s <7< &&sport C/1!DCC1C &d D*.D,.11.,D &&dport )) &m state &&state
.@?,@-TA:3I-H@D &j A""@PT
N iptables &A 6%TP%T &p t#p &s /1).*CD.,E.F&&sport )) &d <7< &&dport C/1!DCC1C &m state &&state
@-TA:3I-H@D &j A""@PT
BAB I7
8ESIMPULAN
Pada akhir bab ini penulis men#oba mengambil kesimpulan dari apa ang telah dibahas
sebelumna. Penulis memberikan solusi IPTables sebagai 0irewall karena memiliki beberapa
keunggulan!
/. Implementasina ang murah karena telah terdapat pada 3inu+ -stem Iersion ).*
Dan gratis.
). "onne#tion Tra#king "apabilit aitu kemampuan unutk inspeksi paket serta bekerja
dengan i#mp dan udp sebagaimana koneksi T"P.
1. $enederhanakan perilaku paket&paket dalam melakukan negosiasi built in #hain
4input,output, dan forward5.
*. =ate&3imited #onne#tion dan logging #apabilit. Kita dapat membatasi usaha&usaha
koneksi sebagai tindakan pre(entif serangan -n flooding denial of ser(i#es4D6-5.
C. Kemampuan untuk memfilter flag&flag dan opsi t#p dan address&address $A".
DAFTAR PUSTA8A
/. $i#hael =ash, Linux Firewalls. ?illiam Pollo#k Publishing, )<<,
). Deris -tiawan, Sistem Keamanan Komputer. @le+ media Komputindo, )<<C
1. Janner -imarmata, Pengamanan istem Keamanan Komputer. Penerbit A.DI , )<<D
*. =akhmat 0arunuddin, Memangun Firewall dengan !P"ales di Linux. @le+ $edia
Komputindo, )<<C
C. http#$$www.net%ilter.org
D. http#$$gar%ield-cisco.logspot.com$&''($')$dasar-iptales.html
,. http#$$www.pcmedia.co.id