Ip Tables

IP TABLES
Banyak orang bingung dengan IPTables dan berusaha keras untuk dapat memahami
bagaimana IPTables bekerja. tapi, ketika anda mendapatkan konsep dasarnya maka hal
itu menjadi cukup mudah Tutorial ini akan menjelaskan kepada anda dasar bagaimana
menggunakan IPTables. Sebenarnya saya tidak begitu canggih menggunakan IPTables,
tapi saya cukup mengerti bagaimana iptables bekerja.
tutorial ini saya buat menggunakan linux debian 4.0, tapi tidak masalah disto linux
apapun yang anda gunakan karena perintah atau syntax nya bisa bekerja di berbagai
distro linux.
untuk melihat file configurasi
mail:~# cat /boot/config-2.6.18-4-486 | grep -i "CONFIG_IP_NF"

CONFIG_IP_NF_CONNTRACK=m
CONFIG_IP_NF_CT_ACCT=y
CONFIG_IP_NF_CONNTRACK_MARK=y
# CONFIG_IP_NF_CONNTRACK_SECMARK is not set
CONFIG_IP_NF_CONNTRACK_EVENTS=y
CONFIG_IP_NF_CONNTRACK_NETLINK=m
CONFIG_IP_NF_CT_PROTO_SCTP=m
CONFIG_IP_NF_FTP=m
CONFIG_IP_NF_IRC=m
CONFIG_IP_NF_NETBIOS_NS=m
CONFIG_IP_NF_TFTP=m
CONFIG_IP_NF_AMANDA=m
CONFIG_IP_NF_PPTP=m
CONFIG_IP_NF_H323=m
CONFIG_IP_NF_SIP=m
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_MATCH_IPRANGE=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_RECENT=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_AH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_MATCH_ADDRTYPE=m
CONFIG_IP_NF_MATCH_HASHLIMIT=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
CONFIG_IP_NF_NAT=m
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_REDIRECT=m
CONFIG_IP_NF_TARGET_NETMAP=m
CONFIG_IP_NF_TARGET_SAME=m
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_IRC=m
CONFIG_IP_NF_NAT_FTP=m
CONFIG_IP_NF_NAT_TFTP=m
CONFIG_IP_NF_NAT_AMANDA=m
CONFIG_IP_NF_NAT_PPTP=m
CONFIG_IP_NF_NAT_H323=m
CONFIG_IP_NF_NAT_SIP=m
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_DSCP=m
CONFIG_IP_NF_TARGET_TTL=m
CONFIG_IP_NF_TARGET_CLUSTERIP=m
CONFIG_IP_NF_RAW=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP_NF_ARPFILTER=m
CONFIG_IP_NF_ARP_MANGLE=m
mail:~#
Kita juga bisa men check apakah kita sudah menginstall fasilitas iptables pada mesin
linux dengan menjalankan perintah :
mail:~# dpkg -l iptables

||/ Name Version Description
+++-======================-======================-
============================================================
ii iptables 1.3.6.0debian1-5 administration tools for packet filtering and
NAT
mail:~#
atau anda ingin melihat dimana letak utility iptables berada
mail:~# which iptables

/sbin/iptables
mail:~#
jika iptables belum terinstall pada mesin linux dan anda ingin menginstallnya maka
jalankan perintah :
mail:~# apt-get update && apt-get install iptables
Get:1 http://kambing.vlsm.org stable Release.gpg [378B]
Get:2 http://kambing.vlsm.org stable/updates Release.gpg [189B]
Hit http://kambing.vlsm.org stable Release
Hit http://kambing.vlsm.org stable/updates Release
Ign http://kambing.vlsm.org stable/main Packages/DiffIndex
Ign http://kambing.vlsm.org stable/contrib Packages/DiffIndex
Ign http://kambing.vlsm.org stable/non-free Packages/DiffIndex
Ign http://kambing.vlsm.org stable/main Sources/DiffIndex
Ign http://kambing.vlsm.org stable/contrib Sources/DiffIndex
Ign http://kambing.vlsm.org stable/non-free Sources/DiffIndex
Hit http://kambing.vlsm.org stable/main Packages
Ign http://kambing.vlsm.org stable/updates/main Packages/DiffIndex
Ign http://kambing.vlsm.org stable/updates/contrib Packages/DiffIndex
Ign http://kambing.vlsm.org stable/updates/non-free Packages/DiffIndex
Ign http://kambing.vlsm.org stable/updates/main Sources/DiffIndex
Ign http://kambing.vlsm.org stable/updates/contrib Sources/DiffIndex
Ign http://kambing.vlsm.org stable/updates/non-free Sources/DiffIndex
Hit http://kambing.vlsm.org stable/contrib Packages
Hit http://kambing.vlsm.org stable/non-free Packages
Hit http://kambing.vlsm.org stable/main Sources
Hit http://kambing.vlsm.org stable/contrib Sources
Hit http://kambing.vlsm.org stable/non-free Sources
Hit http://kambing.vlsm.org stable/updates/main Packages
Hit http://kambing.vlsm.org stable/updates/contrib Packages
Hit http://kambing.vlsm.org stable/updates/non-free Packages
Hit http://kambing.vlsm.org stable/updates/main Sources
Hit http://kambing.vlsm.org stable/updates/contrib Sources
Hit http://kambing.vlsm.org stable/updates/non-free Sources
Fetched 2B in 1s (1B/s)
Reading package lists... Done
Reading package lists... Done
Building dependency tree... Done
iptables is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 9 not upgraded.
mail:~#
Untuk melihat rulesets yang sudah kita miliki, jalankan perintah :
# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)

Chain OUTPUT (policy ACCEPT)
inilah yang akan anda lihat ketika mesin linux belum terpasang ruleset. Kita bisa melihat
disana ada 3 'Chains'
INPUT : mengendalikan rule untuk traffic yang mengarah ke server

FORWARD : mengendalikan rule untuk traffic yang akan diteruskan pada ip dibelakang
server (LAN)
OUTPUT : mengendalikan rule untuk traffic yang keluar dari network internal menuju
internet
Yang utama kita perhatikan traffic yang mengarah dari jaringan luar ke server, dan kita
masuk dalam rule INPUT Chain. Jadi ketika traffic lewat melalui kernel, maka akan
dijadikan target berdasarkan apakah paket sesuai dengan rules atau tidak, target secara
umum dibagi menjadi 3 status:
ACCEPT : Traffic diterima dan bisa diteruskan

REJECT : Traffic direject/tolak, kembalikan paket ke host pengirim
DROP : Traffic dibuang, tidak ada paket yang di kembalikan ke host pengirim
MengKonfigurasi Rule Sets

OK sekarang mari kita mulai. Tapi sebelumnya ada hal penting yang perlu diingat dalam
membuat rules. Contohnya adalah jika rule pertama yang anda buat adalah menolak
(DENY) semuanya… maka tidak perduli apapun yang ALLOW, semua akan ditolak.
Maka sangat penting sekali jika anda bekerja pada mesin linux secara remote dengan
menggunakan ssh, pastikan akses anda ke server tidak terkunci ketika menambahkan rule
pada IPTables. Jadi apapun rule yang anda buat, anda tetap dapat mengakses ssh dari ip
dimana anda melakukan konfigurasi dengan menjalankan perintah :
mail:~ # iptables -A INPUT -s 192.168.0.2 -d 202.47.77.249 -p tcp --dport 22 -j ACCEPT
untuk lebih jelasnya adalah

-A : katakan ke IPTables untuk menambahkan aturan ini ke INPUT Chain
-S : adalah Source dimana anda akan melakukan remote ssh
-D : Adalah Destination dimana paket akan dikeluarkan
-P : Adalah Protokol yang akan digunakan
--dport : Adalah Port tujuan, menjelaskan kemana port tujuan disini 22 adalah port SSH
-j : Jump. Jika semua rule cocok dengan maka Jump to ACCEPT
Selanjutnya kita akan menggunakan beberapa rules standart pada jaringan internet..
Hmm… sebelum kita mengkonfigurasi iptables, sebenarnya IPTables dapat dijelaskan
dimana posisi paket berada. Ini hampir mirip dengan standart komunikasi TCP/IP.
Contohnya 3 langkah komunikasi data antara dua host ketika terjadi pertukaran data.
NEW : ServerA Connect ke ServerB dan melakukan SYN (Syncronize) Paket
RELATED : ServerB menerima SYN paket dan membalas dengan SYN-ACK Paket
ESTABLISHED : ServerA menerima SYN_ACK paket lalu merespon dengan final
ACK paket
Setelah tiga langkah diatas lengkap, maka lalulintas (traffic) terbentuk. Dan siap
melakukan pertukaran data. Nah rules IPTables hampir mirip dengan ini, perintahnya :
mail:~# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

mail:~# iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
mail:~# iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
nah sekarang kita memiliki dasar rules dari IPTables list yang kita buat mari kita lihat :
mail:~# iptables --list

ACCEPT tcp -- 192.168.0.2 202.47.77.249 tcp dpt:ssh
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED

ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED

ACCEPT 0 -- anywhere anywhere state NEW,RELATED,ESTABLISHED
mail:~#
setelah memasukkan rules diatas, anda bisa menambahkan apa saja rules yang akan anda buat
tanpa perlu takut terkunci oleh rule anda sendiri.
OK.. mungkin sebagai contoh rule disini adalah jika anda menjalankan services pada mesin linux
anda, misalnya webserver, contoh configurasi yang anda lakukan adalah:
Reject Block Source IP Address

# iptables -A INPUT -s 172.34.5.8 -j DROP
NO SPAMMERS (notice the use of FQDN):
# iptables -A INPUT -s mail.spammer.org -d 202.47.77.249 -p tcp --dport 25 -j REJECT
Buka Akses untuk IP tertentu
MYSQL (Allow Remote Access To IP):

# iptables -A INPUT –s 192.168.0.2 -d 202.47.77.249 -p tcp --dport 3306 -j ACCEPT
SSH:
# iptables -A INPUT -d 202.47.77.249 -p tcp --dport 22 -j ACCEPT
FTP: (Notice how you can specify a range of ports 20-21)
# iptables -A INPUT -d 202.47.77.249 -p tcp --dport 20:21 -j ACCEPT
HTTP/Apache
SSL/Apache
IMAP
IMAPS
POP3
POP3S
Any Traffic From Localhost:

# iptables -A INPUT -d 202.47.77.249 -s 127.0.0.1 -j ACCEPT
ICMP/Ping:
# iptables -A INPUT -d 202.47.77.249 -p icmp -j ACCEPT
Reject Semua yang menuju IP:
# iptables -A INPUT -d 202.47.77.249 -j REJECT
Atau Reject semua yang dating melalui IP
# iptables -A INPUT -j REJECT

# iptables -A FORWARD -j REJECT
Save the rules to a files
# iptables-save > /root/iptables-save.out
Restore the rules
# iptables-restore -c /root/iptables-save.out
Hasil konfigurasi dari IPTables yang sudah dibuat :
mail:~# iptables --list
ACCEPT tcp -- 192.168.0.2 202.47.77.249 tcp dpt:ssh
ACCEPT 0 -- anywhere anywhere state
RELATED,ESTABLISHED
DROP 0 -- 172.34.5.8 anywhere
ACCEPT tcp -- 192.168.0.2 202.47.77.249 tcp dpt:mysql
ACCEPT tcp -- anywhere 202.47.77.249 tcp dpt:ssh
ACCEPT tcp -- anywhere 202.47.77.249 tcp dpts:ftp-data:ftp
ACCEPT tcp -- anywhere 202.47.77.249 tcp dpt:www
ACCEPT tcp -- anywhere 202.47.77.249 tcp dpt:https
ACCEPT tcp -- anywhere 202.47.77.249 tcp dpt:imap2
ACCEPT tcp -- anywhere 202.47.77.249 tcp dpt:imaps
ACCEPT tcp -- anywhere 202.47.77.249 tcp dpt:pop3
ACCEPT tcp -- anywhere 202.47.77.249 tcp dpt:pop3s
ACCEPT 0 -- localhost 202.47.77.249
ACCEPT icmp -- anywhere 202.47.77.249
REJECT 0 -- anywhere 202.47.77.249 reject-with icmp-port-
unreachable
REJECT 0 -- anywhere anywhere reject-with icmp-port-
unreachable

RELATED,ESTABLISHED
REJECT 0 -- anywhere anywhere reject-with icmp-port-
unreachable

NEW,RELATED,ESTABLISHED
mail:~#
NAT
13. Routing
13.1 Kernel configuration

Forwarding
A GNU/Linux machine has routing in the kernel. The only thing you need to do is enable
it. Therefor you need to adjust /proc/sys/net/ipv4/ip_forward.
appel:~# cat /proc/sys/net/ipv4/ip_forward

0
With the following command you turn on routing:
appel:~# echo 1 > /proc/sys/net/ipv4/ip_forward

appel:~# cat /proc/sys/net/ipv4/ip_forward
1
To make sure the setting is also set after a reboot adjust /etc/network/options:
ip_forward=yes
Spoofprotect
Put in /etc/network/options:
spoofprotect=yes
Syncookies
Put in /etc/network/options:
syncookies=no
Defragment
[META]
13.2 Network Address Translation
When you use IP-addresses of the private range on your internal network, like:
• Class A: 10.0.0.0/8
• Class B: 172....
• Class C: 192.168.0.0/16
then no connection to the Internet from your local net will succeed, although you have
turned on routing. The reason for this is that no private range address is allowed on the
Internet, so they are filtered. To solve this you need NAT, or as it is called in the
GNU/Linux world: masquerading
There are two types of NAT: Source NAT and Destination NAT.
Source NAT
In the case of private IP addresses that may not occur on the Internet we use Source NAT
to hide them. If you have a 2.4.x kernel installed use iptables to set masquerading:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
We assume that ppp0 is you Internet interface. For 2.2.x kernels you might want to use
ipchains:
ipchains -A forward -j MASQ -s 192.168.1.0/24 -d 0.0.0.0 -i ppp0
With the above lines one has a basic system. You internal network is connected to the
Internet. You have a router, but no firewall yet.
Destination NAT
The otherway around is Destination NAT, meaning that a destination IP address is

translated. Maybe later versions of this document will contain more info on this.
Firewalling
To setup a firewall, and a complete discription of how to do it, is a lot of work. For now
we are gonna close every incoming connection from the Internet, just to be sure (this also
closes our SSH connection):
iptables -A INPUT -s 0/0 -p tcp --syn -j DROP -i ppp0
1. .:: Set IP Address eth0 dan eth1.
Pengsian berdasarkan asumsi sebagai berikut;

eth0 terhubung ke jaringan lokal / client internet
eth1 terhubung ke Modem ADSL atau WiFi dengan ip 10.1.1.1
Set eth0 dengan ip 192.168.0.254 dan eth1 10.1.1.2
# vi /etc/network/interfaces
auto eth0
iface eth0 inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.1.255
auto eth1
address 10.1.1.2
netmask 255.255.255.0
broadcast 10.1.1.255
gateway 10.1.1.1
2. ..::Install Bind 9 sebagai DNS server.
# apt-get install bind9
setelah selesai terinstall lakukan setting:
# vi /etc/bind/named.conf
masukkan perintah ;
// add entries for other zone below here

zone "domain yang diinginkan" IN {
type master;
file "db.domain";
};
zone "0.168.192.in-addr.arpa" IN {
type master;
file "db.ip";
};
*lalu buat file db.domain dan db.ip , letak posisi file di /var/cache/bind/
.::db.domain
; chuprex.net
$TTL 604800
@ IN SOA ns1.chuprex.net. root.chuprex.net. (
2006020201 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800); Negative Cache TTL
;
@ IN NS ns1
IN MX 10 mail
IN A 192.168.0.254
ns1 IN A 192.168.0.254
mail IN A 192.168.0.2 ; We have our mail server somewhere else.
www IN A 192.168.0.254
client1 IN A 192.168.0.1 ; We connect to client1 very often.
.:: db.ip
; chuprex.net
$TTL 604800
2006020201 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
;
@ IN NS ns1
IN MX 10 mail
ns1 IN PTR 192.168.0.254
254 IN PTR ns1
254 IN PTR ns1.chuprex.net
** Setting file resolv.conf , posisi di /etc/resolv.conf
nameserver 192.168.0.254
domain chuprex.net
domain www.chuprex.net
**setelah itu restart bind
/etc/init.d/bind9 restart
2. ..:: Sekarang saatnya edit Routing Setting :
**Edit file ipv4_forward untuk memForwardkan ip dari 2 eth.
#vi /etc/network/options
ip_forward = yes
spoofprotect = yes
syncookies = no
**Masukkan rule iptables untuk share internet dari eth1 ke eth0.
#iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
untuk mempermanenkan rule iptables, jangan lupa menyimpannya.
#iptables-save
Sekian aja ya, setting router sederhana sudah selesai. Ooops, ternyata ada yg tertinggal.
**:: Restart setting network anda.
#/etc/init.d/networking restart

auto eth0
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.1.255
auto eth1
address 10.1.1.2
netmask 255.255.255.0
gateway 10.1.1.1
masukkan perintah ;

type master;
file "db.domain";
};
type master;
file "db.ip";
};
.::db.domain
; chuprex.net
$TTL 604800
2006020201 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
;
@ IN NS ns1
IN MX 10 mail
IN A 192.168.0.254
ns1 IN A 192.168.0.254
www IN A 192.168.0.254
.:: db.ip
; chuprex.net
$TTL 604800
2006020201 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
;
@ IN NS ns1
IN MX 10 mail
ns1 IN PTR 192.168.0.254
254 IN PTR ns1
domain chuprex.net
ip_forward = yes
spoofprotect = yes
syncookies = no
#iptables-save

auto eth0
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.1.255
auto eth1
address 10.1.1.2
netmask 255.255.255.0
gateway 10.1.1.1

masukkan perintah ;

type master;
file "db.domain";
};
type master;
file "db.ip";
};
.::db.domain
; chuprex.net
$TTL 604800
2006020201 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
;
@ IN NS ns1
IN MX 10 mail
IN A 192.168.0.254
ns1 IN A 192.168.0.254
www IN A 192.168.0.254
.:: db.ip
; chuprex.net
$TTL 604800
2006020201 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
;
@ IN NS ns1
IN MX 10 mail
ns1 IN PTR 192.168.0.254
254 IN PTR ns1
domain chuprex.net
ip_forward = yes
spoofprotect = yes
syncookies = no
#iptables-save

Ip Tables

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Ip Tables

Diunggah oleh

Hak Cipta:

Format Tersedia

IP TABLES

untuk melihat file configurasi

mail:~# cat /boot/config-2.6.18-4-486 | grep -i "CONFIG_IP_NF"

mail:~# dpkg -l iptables

atau anda ingin melihat dimana letak utility iptables berada

mail:~# which iptables

Untuk melihat rulesets yang sudah kita miliki, jalankan perintah :

Chain FORWARD (policy ACCEPT)

INPUT : mengendalikan rule untuk traffic yang mengarah ke server

ACCEPT : Traffic diterima dan bisa diteruskan

MengKonfigurasi Rule Sets

mail:~ # iptables -A INPUT -s 192.168.0.2 -d 202.47.77.249 -p tcp --dport 22 -j ACCEPT

untuk lebih jelasnya adalah

mail:~# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

mail:~# iptables --list

Chain FORWARD (policy ACCEPT)

Chain OUTPUT (policy ACCEPT)

Reject Block Source IP Address

Buka Akses untuk IP tertentu

MYSQL (Allow Remote Access To IP):

Any Traffic From Localhost:

Reject Semua yang menuju IP:

# iptables -A INPUT -d 202.47.77.249 -j REJECT

Atau Reject semua yang dating melalui IP

# iptables -A INPUT -j REJECT

Save the rules to a files

# iptables-save > /root/iptables-save.out

Restore the rules

Chain FORWARD (policy ACCEPT)

Chain OUTPUT (policy ACCEPT)

13.1 Kernel configuration

appel:~# cat /proc/sys/net/ipv4/ip_forward

With the following command you turn on routing:

appel:~# echo 1 > /proc/sys/net/ipv4/ip_forward

13.2 Network Address Translation

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

ipchains -A forward -j MASQ -s 192.168.1.0/24 -d 0.0.0.0 -i ppp0

The otherway around is Destination NAT, meaning that a destination IP address is

iptables -A INPUT -s 0/0 -p tcp --syn -j DROP -i ppp0

1. .:: Set IP Address eth0 dan eth1.

Pengsian berdasarkan asumsi sebagai berikut;

2. ..::Install Bind 9 sebagai DNS server.

# apt-get install bind9

setelah selesai terinstall lakukan setting:

// add entries for other zone below here

** Setting file resolv.conf , posisi di /etc/resolv.conf

**setelah itu restart bind

2. ..:: Sekarang saatnya edit Routing Setting :

**Edit file ipv4_forward untuk memForwardkan ip dari 2 eth.

**Masukkan rule iptables untuk share internet dari eth1 ke eth0.

#iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

untuk mempermanenkan rule iptables, jangan lupa menyimpannya.

**:: Restart setting network anda.

1. .:: Set IP Address eth0 dan eth1.

Pengsian berdasarkan asumsi sebagai berikut;

2. ..::Install Bind 9 sebagai DNS server.

# apt-get install bind9

setelah selesai terinstall lakukan setting:

// add entries for other zone below here

zone "domain yang diinginkan" IN {

** Setting file resolv.conf , posisi di /etc/resolv.conf

**setelah itu restart bind

2. ..:: Sekarang saatnya edit Routing Setting :