Laporan Akhir Diagnosa LAN Semester 2

LAPORAN AKHIR DIAGNOSA LAN
Disusun Oleh
Faris Arifiansyah
XI TKJ-B
SMKN 1 Cimahi
KATA PENGANTAR
Puji dan syukur saya panjatkan kepada Allah S.W.T atas berkah dan
rahmatNya saya dapat menyelesaikan laporan ini. Laporan ini saya buat untuk
memenuhi tugas mata pelajaran Diagnosa LAN. Tidak lupa saya mengucapkan
terimakasih kepada guru mata pelajaran Diagnosa LAN yang telah memberikan
kesempatan kepada saya untuk menyelesaikan laporan ini.
Adapun isi dari laporan ini adalah tentang materi yang dipelajari di semester 2
ini, yaitu mulai dari PC Router hingga Proxy. Saya berharap laporan ini dapat
menambah wawasan kepada para pembaca khususnya para pelajar dan semoga
bermanfaat bagi kita semua.
Saya mohon maaf apabila terdapat kesalahan dalam proses penulisan ataupun
kekurangan – kekurangan lainnya karena pada dasarnya laporan ini jauh dari
kesempurnaan. Untuk itu saya sangat mengharapkan kritik dan saran guna
menunjang saya kedepannya . Terimakasih…
Penyusun
Program Studi : TKJ Nama : Faris Arifiansyah
Exp : Diagnosa LAN Area Kerja Kelas : XI TKJ B
Router Instruktur : 1. Rudi Haryadi

No. Exp : 11
2. Adi Setiadi
TUJUAN
 Siswa mengerti dan paham tentang materi router.
 Siswa dapat mengetahui jenis – jenis router yang bekerja pada lapisan
core layer, distribution layer dan access layer.
 Siswa dapat menentukan dedicated router bekerja pada suatu layer
berdasarkan spesifikasi yang router itu miliki.
PENDAHULUAN
Router adalah sebuah device yang berfungsi untuk meneruskan paket-paket dari
sebuah network ke network yang lainnya (baik LAN ke LAN atau LAN ke WAN) sehingga
host-host yang ada pada sebuah network bisa berkomunikasi dengan host-host yang ada
pada network yang lain. Router menghubungkan network-network tersebut pada network
layer dari model OSI, sehingga secara teknis Router adalah Layer 3 Gateway.
Ada berbagai jenis router yang diproduksi oleh vendor tertentu untuk keperluan jaringan
berupa sebuah peralatan yang dirancang khusus.
untuk berfungsi sebagai router (dedicated router) atau router yang berdiri sendiri yaitu
sebuah peralatan yang berfungsi melakukan proses hubungan koneksi dua buah model
jaringan atau lebih, seperti Cisco, Juniper, 3Com, baynetwork, dan lainnya.
Selain router dedicated ada juga router yang menggunakan PC router yaitu PC yang
digunakan sebagai router (routing), biasanya yang digunakan adalah PC-Multihomed yaitu
computer yang memiliki lebih dari 1 NIC (Network Interface Card).
Untuk desain route sederhana dapat digunakan Default Gateway sedangkan untuk kondisi
jaringan yang sudah begitu kompleks dapat menggunakan routing static atau kedua-duanya
secara kombinasi yakni menggunakan default gateway dan static route apda titik-titik
tertentu. Tabel routing terdiri atas ebtri-entri rute dan setiap entri rute terdiri dari IP
address, tanda untuk menunjukkan routing langsung atau tidak langsung, alamat router, dan
nomor interface.
Cisco Hierarchical Model
Cisco Hierachical Model terbagi ke dalam tiga layer, yaitu:
1. Core Layer, merupakan layer terluar. Pada layer ini bertanggung jawab untuk
mengirim traffic scara cepat dan andal. Tujuannya hanyalah men-switch traffic
secepat mungkin (dipengaruhi oleh kecepatan dan latency). Device yang digunakan
pada layer ini sebaiknya device yang mampu menerima data dalam jumlah besar dan
dapat mengirim data dengan cepat.
Pada bagian Inti terdapat interkoneksi utama atau akses utama dari network
dan yang akan mengoptimalkan transport antar sites. Bisa berupa perangkat
Switching di Layer 2 atau Layer 3 yang tugas pokonya sebagai interkoneksi semua
sumber daya. Contohnya perangakt Switching Layer 3 yang bertugas forward dan
routing semua paket masuk dan keluar network, fungsi firewall dan sistem
keamanan lainnya juga bisa di implementasikan di Hirarki Core ini.
2. Distribusi Layer, pada layer ini sering disebut juga workgroup layer, merupakan titik
komunikasi antara access layer dan core layer. Fungsi utamanya adalah routing,
filtering, akses WAN, dan menentukan akses core layer jika diperlukan. Menentukan
path tercepat/terbaik dan mengirim request ke core layer. Core layer kemudian
dengan cepat mengirim request tersebut ke service yang sesuai.
Device yang diguna kan pada layer ini sebaiknya device yang mampu
menetapkan policy terhadap jaringan dan mampu melakukan peyaringan/filter paket
dan bertindak sebagai firewall. Router bias ditempatkan pada distribusi layer ini. di
bagian distribusi akan ditugaskan untuk mendistribusikan semua pengaturan di
hirarki Core ke Access dan yang akan membuat kebijakan koneksi. Distribusi lebih
ditekankan untuk mempermudah pengaturan dan menyebarkan resource yang ada
di network sesuai dengan aturan yang telah dibuat. Peralatan pada hirarki ini
biasanya berupa Switching di layer 2.
3. Akses Layer, merupakan layer yang terdekat dengan user. Pada layer ini
menyediakan aksess jaringan untuk user/workgroup dan mengontrol akses dan end
user local ke Internetwork. Sering di sebut juga desktop layer. Resource yang paling
dibutuhkan oleh user akan disediakan secara local. Kelanjutan penggunaan access
list dan filter, tempat pembuatan collision domain yang terpisah (segmentasi).
Teknologi seperti Ethernet switching tampak pada layer ini serta menjadi tempat
dilakukannya routing statis.
Sebaiknya device yang terpasang dapat berfungsi menghubungkan antar host

dan dapat mengatur collision domain. di bagian inilah semua perangkat disebarkan
dan di interkoneksikan ke semua end point sumber daya yang ada misalnya terminal
user dan sebagainya. Peralatan bisa berupa router layer 3 atau switching layer 2.
ALAT & BAHAN

 Alat tulis
 Koneksi internet (untuk melakukan browsing)
LANGKAH KERJA
1. Tentukanlah area kerja suatu router (Dedicated router dan PC router) berdasarkan
layernya.
2. Amatilah setiap spesifikasi router dari tiap layer yang ditempatinya.
3. Buatlah tabel yang mengkategorikan router berdasarkan layer yang tepat.
HASIL PENGAMATAN
Dedicated
Contoh Layer PC Router Layer
Router
Cisco 3600
Bisa Core Tidak Bisa Core
Router*
Cisco 2010
Bisa Connected Distribution Tidak Bisa Distribution
Grid
Router*
Cisco 870
Bisa Access Bisa Access
Series*
*Keterangan lebih lengkap dari router :
No LAYER TYPE/VENDOR SPESIFIKASI ALASAN
 Analog and Digital (T1) Karena selain

Voice Network Modules. terdapat banyak port
 Single-PortHigh-Speed Ethernetnya (Fast
Serial Interface(HSSI). &Gigabit Ethernet)
 ATM OC3 155 yang dapat melayani
MbpsNetwork Module. traffic yang padat
 6, 12, 18, 24and 30 terdapat juga port -
digital modem port jaringan (WAN&
networkmodules. LAN) lainnya yang
 LAN with modularWAN mendukung
(WAN Interface Cards). tersedianya layanan
 8and 16 analog modem koneksi Leased
networkmodules. Lineseperti T1 dan
 Channelized T1,ISDN lain – lain.
PRI and E1 ISDN
PRInetwork modules.
 CombinedFastEthernet
1 Core Cisco 3600 Router
and PRI
networkmodules.
 4- and 8-port ISDNBRI
network modules.
 16- and32-port
asynchronous
networkmodules.
 4- and
8portsynchronous/async
hronousCore
Layernetwork modules.
 1- and 4-portEthernet
network modules.
 1-port Fast Ethernet
(10/100)network
modules (100BaseT -
"TX" and Fiber - "FX").
8- and16-port
analogmodemmodules.
 4-port serial
networkmodule.
 Gigabit Ethernet (1-port) Karena terdapat

linecard. banyak port
 Gigabit Ethernet (1- Ethernetnya yang
port)half-height line card. dapat melayani traffic
 FastEthernet (8-port) yang padat.Selain itu
half-height linecard. terdapatjuga fitur lain
 Channelized E1/T1 (24- yaitu tersedianya
port) line card. layanan T1, T3
 Channelized T3(6-port) (Leased Line)dan
line card. ATM.
 E3/DS3 (8-port) line
card.
 E3/DS3 ATM (8-port)
2 Core Cisco 10000 Router line card.
 OC-3 POS (6-port) line
card.
 OC-12 POS (1-port) line
card.
 OC-48 (1-port)line card.
 OC-3 ATM (4-port)line
card.
 OC-12/STM-4 ATM(1-
port) linecard.
 ChannelizedOC3/STM-1
(4-port) line card.
 Channelized OC-12 (1-
port) linecard.
 AN Karena hanya
terdapat satu ethernet
One 10BASE-T (RJ-45), port yang lebih
compatible untuk
 WAN
layer akses.Selain itu
 Serial port
juga bentuk fisiknya
compatiblewith EIA/TIA-
yang didesain untuk
Cisco 805 Series 232, EIA/TIA-
3 Access "home-office" atau
Serial Router 449,EIA/TIA-530,
"common user”
EIA/TIA-530A,X.21, and
V.35 standards
(Bothdata terminal
equipment [DTE]and
data
communicationsequipme
nt [DCE]),
 Consoleport
RJ-45,
 LAN port
OneEthernet
 Total onboard Ethernet WAN + RJ-45-based

WANPorts (2-port), ports 10/100/1000(2-
 RJ-45-basedports port). Selain itut
(10/100/1000) (2-port), erdapat juga Grid
Cisco 2010  Grid Router WAN Router WAN Interface
4 Distribution Connected Grid InterfaceCard (GRWIC) Card (GRWIC) slots
Router slots (4-port), (4slot).
 Serial console port (1-
port),
 Serial auxiliary port (1-
port)
Karena hanya
 Serial Ports (2-port), terdapat 2 port serial
 AUI Ports(1-port DB 9), saja dan tidak ada
5 Access Cisco 2501 Series
 Console Port(RJ-45) , port lainnya yang
 Auxiliary Port (RJ-45 mendukung koneksi
layanan WAN
Karena hanya ada 1

ethernet port dan juga
tidak ada portlain
 Ethernet Ports (1-port)
yang mendukung
 ADSLPorts (1-port)
6 Access Cisco 827-4V Router koneksi pada layer
 Console Port (1-port)
distribution maupun
 Telephone Ports (4-port
core layer, selain port
ADSL dan porttelepon
(RJ-11).
Karena hanya
 Fast Ethernet Ports (2- terdapat dua
port), fastethernet port
Cisco 2600 Router
7 Access  Compact Flash Slot, saja,lalu tidak ada
Series 2 RU
 ConsolePort (RJ-45) port -port lain, seperti
 Auxiliary Port(RJ-45) portSerial, ISDN dan
lain- lain
 Ethernet Ports (4-port) Karena terdapat

8 Distribution Cisco 3600 Series  SerialPorts (3-port) cukup banyakethernet
 BRI Ports (1-port) port (4 port10BaseT)
yang compatible
sebagai "Distributor".
Selain itu terdapat
port BRI yang
dapatdigunakan untuk
layanan ISDN
BRIWAN
 871: 100 MB Ethernet karena router inidiperuntu

 876: ADSL over kan untukperusahaan
ISDN(ADSL2/ADSL2 kecil, hanya terdapat 4
+ Annex B) port LAN switch.
 877: ADSL over
analogtelephone
lines(ADSL2/ADSL2+
Annex Aand Annex
M)
 878: G.SHDSL (2-
and 4-wire support)
 3 Mbps IMIX
aggregateperformanc
9 Access Cisco 870 Series e for Cisco
 878LAN Switch
Managed 4-
port10/100BASE-T
withautosensing
MDI/MDX(Media
Device
In/MediaDeviceCross
Over)
for autocrossover
 802.11b/g WLANs
 Optionalon all
modelsConsole
PortRJ-45
 4- Port Async/Sync karena 4 port10/1000

Serial HWIC, baseT
 1-port serial WIC,
10 Distribution Cisco 1841 Router  4-port
10/100BaseT
Ethernet switch
HWIC
KESIMPULAN
 Semakin tinggi tingkat layer suatu router maka akan semakin tinggi pula
spesifikasi dan kemampuan yang dimiliki router itu sendiri.
 PC router bisa menjadi seperti halnya dedicated router. Tapi tidak akan
pernah bisa mengungguli kelebihan dari suatu dedicated router. Mulai
dari daya tahan si router itu sendiri sampai interface yang dapat
disediakannya.
Membangun
Exp : Diagnosa LAN Kelas : XI TKJ B
PC Router
Instruktur : 1. Rudi Haryadi
No. Exp : 12 (FreeBSD) 2. Adi Setiadi
TUJUAN
 Siswa mengerti dan paham tentang materi PC router.
 Siswa dapat membangun PC router sederhana menggunakan OS
FreeBSD.
PENDAHULUAN
PC Router
PC ROUTER adalah Personal Computer (PC) yang digunakan sebagai Router (routing)
biasanya yang digunakan adalah PC – Multihomed yaitu computer yang memiliki lebih dari
1 NIC (Network Interface Card)
FreeBSD
FreeBSD adalah sebuah sistem operasi bertipe Unix bebas yang diturunkan dari UNIX AT&T
lewat cabang Berkeley Software Distribution (BSD) yaitu sistem operasi 386BSD dan 4.4BSD.
FreeBSD berjalan di atas sistem Intel x86 (IA-32) (termasuk Microsoft Xbox[1], DEC Alpha,
Sun UltraSPARC, IA-64, AMD64, PowerPC dan arsitektur NEC PC-98. Dukungan untuk
arsitektur ARM dan MIPS sedang dalam pengembangan, FreeBSD dapat berjalan diberbagai
mesin contoh Intel X86 ( 32‐bit dan64‐bit), ProsesorCompac/Digital Alpha, MesinSPARC 64 –
bit dariSun Microsystem, PowerPC, AMD64. FreeBSD merupakan turunan dari Berkeley
UNIX. Akan tetapi, FreeBSD tidak bisa dipanggil sebagai Unix.
Lisensi
1. Jangan mengaku jika kamu yang menulis code tersebut

2. Jangan menyalahkan siapapun jika code tidak bekerja
3. Kamu boleh melakukan apa saja dengan code tersebut
ALAT & BAHAN
 1 unit PC
 Virtual Machine
 OS FreeBSD
LANGKAH KERJA
1. Siapkan alat dan bahan
2. Install FreeBSD pada virtual mechine
3. Buatlah sebuah network seperti topologi pada gambar 1.0
Gambar 1.0
4. Clone FreeBSD menjadi 3 buah virtual machine

5. Pengaturan virtual machine sebagai berikut :
 PC Router : Free BSD 1
a) Interface
 ed0 : 11.11.11.10
 ed1 : 12.12.12.10
 ed2 : 10.20.30.1
 Host 1 : Free BSD 2
a) Interface
 ed0 : 11.11.11.1
 Host 2 : Free BSD 3
a) Interface
 ed0 : 12.12.12.1
6. Lakukan konfigurasi PC Router untuk FreeBSD 1
a. Pastikan PC memiliki interface 3 interface (dapat diatur dalam pengaturan
hardware di virtual machine)
b. Setting IP dengan mengetikan perintah
#ifconfig [nama interface] [IPaddress] netmask [netmask]
c. Lakukan perintah yang sama untuk interface yang lain
d. Untuk mengaktifkan fungsi router ketikan perintah
#ee /etc/rc.conf
e. Tambahkan script
gateway_enable=”YES”
router_enable=”YES”
f. Setelah settingan ditambahkan, tekan tombol esc dan save
7. Konfigurasi Free BSD 2
a. Atur IP dengan mengetikan perintah
b. Untuk menambahkan gateway untuk konfigurasi routing ketikan perintah
#route add default [IP Address yang dijadikan gateway]
c. Untuk melihat hasil konfigurasi ketikan perintah
#netstat –rn
8. Konfigurasi Free BSD 3
a. Lakukan konfigurasi seperti pada Free BSD 2
9. Untuk membuktikan fungsi PC Router berjalan dengan benar lakukan ping dari Free
BSD 2 ke Free BSD 3 maupun sebaliknya.
HASIL PENGAMATAN
 Jalankan FreeBSD 1
 Konfigurasi PC Router (FreeBSD 1)

o Melakukan pengecekan interface
o Konfigurasi IP address untuk interface
o Melakukan pengecekan ulang interface

o Membuka script /etc/rc.conf
o Menambahkan konfigurasi router pada script

o Memodifikasi script dan menyimpannya
 Pinging dari host 2 ke host 1

 Kerja PC Router
KESIMPULAN
 Membangun PC router menggunakan OS FreeBSD terbilang tidak terlalu
susah. Tapi perlu diperhatikan dalam hal ketelitian pengaturan IP
address interface dan penulisan network script yang benar.
 Selain mudah dan simpel, PC router dengan OS FreeBSD dapat dibangun
dengan hanya menggunakan spesifikasi komputer yang sederhana.
Membangun
PC Router
No. Exp : 13 (Ubuntu Server) 2. Adi Setiadi
TUJUAN
 Siswa dapat membangun PC router sederhana menggunakan OS Ubuntu
Server.
PENDAHULUAN
PC Router
Ubuntu Server
Ubuntu merupakan salah satu distribusi Linux yang berbasiskan Debian. Proyek Ubuntu
resmi disponsori oleh Canonical Ltd yang merupakan perusahaan milik seorang kosmonot
asal Afrika Selatan Mark Shuttleworth. Nama Ubuntu diambil dari nama sebuah konsep
ideologi di Afrika Selatan, "Ubuntu" berasal dari bahasa kuno Afrika, yang berarti "rasa
perikemanusian terhadap sesama manusia". Tujuan dari distribusi Linux Ubuntu adalah
membawa semangat yang terkandung di dalam Filosofi Ubuntu ke dalam dunia perangkat
lunak. Ubuntu adalah sistem operasi lengkap berbasis Linux, tersedia secara bebas dan
mempunyai dukungan baik yang berasal dari komunitas maupun tenaga ahli profesional.
ALAT & BAHAN

 1 unit PC
 Virtual Machine
 OS Ubuntu Server
LANGKAH KERJA
2. Install Ubuntu Server pada virtual mechine
Gambar 1.0
4. Clone Ubuntu Server menjadi 3 buah virtual machine

 PC Router 1
a) Interface
 eth0_rename : 10.10.10.2/24
 eth1 : 20.20.20.2/24
 Host 1
a) Interface
 eth0 : 10.10.10.1/24
 Host 2
a) Interface
 eth1 : 20.20.20.1/24
6. Lakukan konfigurasi PC Router
b. Setting IP dengan memodifikasi network script pada
/etc/network/interfaces
c. Tambahkan format berikut untuk konfigurasi suatu interface
Iface [nama_interface] inet static
address [IP_address]
netmask [netmask]
gateway [IP_gateway]
d. Setelah settingan ditambahkan, tekan Ctrl+X dan Y
e. Untuk mengaktifkan fungsi router, modifikasi network script pada
/etc/sysctl.conf
f. Tambahkan script
net.ipv4.ip_forward = 1
net.ipv4.conf.default.forwarding = 1
g. Setelah settingan ditambahkan, tekan Ctrl+X dan Y
h. Lalu lakukan restart network dengan perintah
#invoke-rc.d networking restart
7. Konfigurasi Host 1
a. Tambahkan format berikut untuk konfigurasi suatu interface
netmask [netmask]
b. Setelah settingan ditambahkan, tekan Ctrl+X dan Y
c. Lalu lakukan restart network dengan perintah
d. Untuk melihat hasil konfigurasi ketikan perintah
#netstat –rn
a. Lakukan konfigurasi seperti pada Host 1
9. Untuk membuktikan fungsi PC Router 1 berjalan dengan benar lakukan ping dari
Host 1 ke Host 2 maupun sebaliknya.
10. Install Ubuntu Server dan FreeBSD pada virtual mechine
Gambar 1.1
12. Clone Ubuntu Server menjadi 3 buah virtual machine dan FreeBSD menjadi 4 buah
virtual machine
 PC Router 1
a) Interface
 eth1 : 202.135.170.34/30
 eth2 : 182.20.212.34/30
 eth3 : 10.10.10.2/24
 eth4 : 20.20.20.2/24
 PC Router 2
a) Interface
 eth1 : 20.20.20.1/24
 eth2 : 192.168.1.2/24
 eth3 : 25.10.2.1/26
 PC Router 3
a) Interface
 eth1 : 10.10.10.1/24
 eth2 : 10.12.35.1/27
 Host 1
a) Interface
 eth1 : 25.10.2.15/27
 Host 2
a) Interface
 eth1 : 10.12.35.20/27
 Web Server
a) Interface
 eth1 : 182.30.212.33/30
 FTP Server
a) Interface
 eth1 : 192.168.1.1/24
14. Lakukan konfigurasi PC Router 1
netmask [netmask]
/etc/sysctl.conf
f. Tambahkan script
h. Tambahkan perintah berikut
#echo “1”>/proc/sys/net/ipv4/ip_forward
i. Lalu lakukan restart network dengan perintah
j. Lakukan konfigurasi routing dengan router lain dengan menambahkan jalur
routing dengan perintah berikut
#route add –net [network_address] gw [IP_gateway]
netmask [netmask]
/etc/sysctl.conf
f. Tambahkan script
netmask [netmask]
/etc/sysctl.conf
f. Tambahkan script
a. Tambahkan format berikut untuk konfigurasi suatu interface
netmask [netmask]
b. Setelah settingan ditambahkan, tekan Ctrl+X dan Y
c. Lalu lakukan restart network dengan perintah
d. Untuk melihat hasil konfigurasi ketikan perintah
#netstat –rn
18. Konfigurasi Host 2, FTP Server dan Web Server
19. Untuk membuktikan fungsi PC Router 1, PC Router 2 dan PC Router 3 berjalan
dengan benar lakukan ping antar keempat host yang ada.
HASIL PENGAMATAN
Topologi 1
 Konfigurasi PC Router 1

o Me-restart network

Topologi 2
o Menambahkan perintah untuk mengaktifkan fungsi router

o Melakukan penambahan routing ke router lainnya




 Tabel routing PC Router 1


 Pinging dari host 1 ke Web server

 Pinging dari host 1 ke FTP Server
 Table Routing host 1

 Pinging dari host 2 ke Web server

 Pinging dari host 2 ke FTP Server
 Table Routing host 2

 Pinging dari Web server ke host 1
 Pinging dari Web server ke host 2

 Pinging dari Web server ke FTP Server
 Table Routing Web server

 Pinging dari FTP server ke host 1
 Pinging dari FTP server ke host 2

 Pinging dari FTP server Web server
 Table Routing FTP server

KESIMPULAN
 Ubuntu server sangat baik digunakan untuk menjadi PC Router,
walaupun konfigurasi yang dilakukan terbilang lebih rumit dari OS
FreeBSD tapi Ubuntu cocok untuk dijadikan PC Router yang baik dalam
penggunaannya.
 Perintah yang digunakan antara Ubuntu server dengan FreeBSD tidak
terlalu berbeda. Tapi di ubuntu server lebih disarankan untuk
menggunakan network script.
Membangun
PC Router
(MikroTik Instruktur : 1. Rudi Haryadi
No. Exp : 14
2. Adi Setiadi
RouterOS)
TUJUAN
MikroTik RouterOS.
PENDAHULUAN
PC Router
MikroTik RouterOS
MikroTik RouterOS™, merupakan sistem operasi Linux base yang diperuntukkan sebagai
network router. Didesain untuk memberikan kemudahan bagi penggunanya.
Administrasinya bisa dilakukan melalui Windows Application (WinBox). Selain itu instalasi
dapat dilakukan pada Standard komputer PC (Personal Computer). PC yang akan dijadikan
router mikrotik pun tidak memerlukan resource yang cukup besar untuk penggunaan
standard, misalnya hanya sebagai gateway. Untuk keperluan beban yang besar (network
yang kompleks, routing yang rumit) disarankan untuk mempertimbangkan
pemilihan resource PC yang memadai.
Sejarah MikroTik RouterOS
MikroTik adalah sebuah perusahaan kecil berkantor pusat di Latvia, bersebelahan dengan
Rusia. Pembentukannya diprakarsai oleh John Trully dan Arnis Riekstins. John Trully adalah
seorang berkewarganegaraan Amerika yang berimigrasi ke Latvia. Di Latvia ia berjumpa
dengan Arnis, Seorang darjana Fisika dan Mekanik sekitar tahun 1995.
John dan Arnis mulai me-routing dunia pada tahun 1996 (misi MikroTik adalah me-routing
seluruh dunia). Mulai dengan sistem Linux dan MS-DOS yang dikombinasikan dengan
teknologi Wireless-LAN (WLAN) Aeronet berkecepatan 2 Mbps di Moldova, negara tetangga
Latvia, baru kemudian melayani lima pelanggannya di Latvia.
Prinsip dasar mereka bukan membuat Wireless ISP (W-ISP), tetapi membuat program router
yang handal dan dapat dijalankan diseluruh dunia. Latvia hanya merupakan tempat
eksperimen John dan Arnis, karena saat ini mereka sudah membantu negara-negara lain
termasuk Srilanka yang melayani sekitar 400 pengguna.
Linux yang pertama kali digunakan adalah Kernel 2.2 yang dikembangkan secara bersama-
sama dengan bantuan 5-15 orang staff Research and Development (R&D) MikroTik yang
sekarang menguasai dunia routing di negara-negara berkembang. Menurut Arnis, selain staf
di lingkungan MikroTik, mereka juga merekrut tenega-tenaga lepas dan pihak ketiga yang
dengan intensif mengembangkan MikroTik secara marathon.
JENIS-JENIS MIKROTIK
1. MikroTik RouterOS yang berbentuk software yang dapat di-download di

www.mikrotik.com. Dapat diinstal pada kompuetr rumahan (PC).
2. BUILT-IN Hardware MikroTik dalam bentuk perangkat keras yang khusus dikemas
dalam board router yang didalamnya sudah terinstal MikroTik RouterOS.
ALAT & BAHAN

 1 unit PC
 Virtual Machine
 OS MikroTik RouterOS
LANGKAH KERJA
2. Install MikroTik RouterOS pada virtual machine
Gambar 1.0
4. Clone MikroTik RouterOS menjadi 3 buah virtual machine
 PC Router 1
a) Interface
 ether1 : 10.10.10.2/24
 ether2 : 20.20.20.2/24
 Host 1
a) Interface
 ether1 : 10.10.10.1/24
 Host 2
a) Interface
 ether1 : 20.20.20.1/24
6. Konfigurasi PC Router 1
a. Setting port ether1
 > ip address add address=10.10.10.2/24 interface=ether1
b. Setting port ether2
a. Setting ip
b. Setting gateway
 > ip route add gateway=10.10.10.2
a. Setting ip
b. Setting Gateway
9. Lakukan Pengujian pada network
a. Ping host 1 ke host 2
 > ping 20.20.20.1
b. Ping host 2 ke host 1
 > ping 10.10.10.1
Gambar 1.1
11. Clone MikrotiTik RouterOS menjadi 7 buah virtual machine.

12. Pengaturan virtual machine sebagai berikut
a. PC Router 1
 Interface
 ether1 : 20.20.20.2/24
 ether2 : 10.10.10.1/24
 ether3 : 182.30.212.34/30
 ether4 : 202.135.170.34/30
b. PC Router 2
 Interface
 ether1 : 192.168.1.2/24
 ether2 : 25.10.2.14/26
 ether3 : 20.20.20.1/24
c. PC Router 3
 Interface
 ether1 : 10.10.10.2/24
 ether2 : 10.12.35.1/27
d. FTP Server
 Interface
 ether1 : 192.168.1.1/24
e. Web Server
 Interface
 ether1 : 182.30.212.33/30
f. Host 1
 Interface
 ether1 : 25.10.2.15/26
g. Host 2
 Interface
 ether1 : 10.12.35.20/27
c. Setting port ether3
d. Setting port ether4
e. Setting Static IP
 > ip route add dst-address=192.168.1.0/24 gateway=20.20.20.1
c. Setting port ether3
d. Setting Static IP
c. Setting Static IP
16. Konfigurasi FTP Server
a. Setting IP
b. Setting Gateway
17. Konfigurasi Web Server
a. Setting IP
b. Setting Gateway
a. Setting IP
b. Setting Gateway
a. Setting IP
b. Setting Gateway
20. Lakukan Pengujian pada network
a. Traceroute dari FTP ke Host 1, Web Server, dan Host 2
 >tool traceroute 25.10.2.15
 > tool traceroute 182.30.212.33
b. Traceroute dari Web Server ke FTP Server, Host 1 , dan Host 2
 >tool traceroute 192.168.1.1
c. Traceroute dari Host 1 ke FTP Server, Web Server, dan Host 2
d. Traceroute dari Host 2 ke FTP Server, Web Server, dan Host 1
HASIL PENGAMATAN
Topologi 1


Topologi 2



o routing ke router lainnya
 Traceroute dari Host 1 ke Host 2

 Traceroute dari Host 1 ke FTP Server
 Traceroute dari Host 1 ke Web Server

 Traceroute dari Host 2 ke Host 1
 Traceroute dari Host 2 ke FTP Server

 Traceroute dari Host 2 ke Web Server
 Traceroute dari FTP Server ke Host 1

 Traceroute dari FTP Server ke Host 2
 Traceroute dari FTP Server ke Web Server

 Traceroute dari Web Server ke Host 1
 Traceroute dari Web Server ke Host 2

 Traceroute dari Web Server ke FTP Server
KESIMPULAN
 Penggunaan MikroTik RouterOS sangatlah cocok untuk dijadikan sebagai
PC Router. Karena kecilnya ukuran OS tersebut dan telah memiliki fitur
sebagai router, sehingga kita tidak perlu mengatur akan network script
atau command line yang akan membuat OS tersebut memiliki
kemampuan untuk me-routing. Karena MikroTik RouterOS telah didesain
memiliki kemampuan me-routing tersebut.
Membangun
PC Router
(Windows Instruktur : 1. Rudi Haryadi
No. Exp : 15
2. Adi Setiadi
Server 2003)
TUJUAN
Windows Server 2003.
PENDAHULUAN
PC Router
Windows Server 2003
Windows Server 2003 merupakan sebuah versi sistem operasi Microsoft Windows yang
ditujukan untuk pasar server korporat. Nomor versi internalnya adalah Microsoft Windows
NT 5.2 build 3790. Dulunya dikenal dengan .NET Server, Windows .NET Server, atau Whistler
Server. Sistem operasi ini merupakan kelanjutan dari sistem Windows 2000 Server.
Sejarah Pengembangan
Windows Server 2003 memiliki nama kode Whistler Server mulai dikerjakan pada akhir
tahun 2000. Tujuan dari hal ini adalah Microsoft hendak membuat platform .NET, dengan
menyediakan infrastruktur jaringan yang terbentuk dari Windows Server dan Windows
Workstation. Proyek itu dinilai sangat ambisius, karena Microsoft berniat mengembangkan
dua sistem operasi secara sekaligus (Whistler Server dan Whistler Workstation). Akhirnya,
beberapa kali sistem operasi ini ditunda peluncurannya, karena jadwal pengembangan yang
ketat, dan hanya sistem operasi Whistler Workstation saja yang dirilis setahun berikutnya
dengan nama produk Windows XP, yang ditujukan untuk kalangan konsumer rumahan dan
korporat.
Edisi
Windows Server 2003 terdiri atas beberapa produk yang berbeda, yakni sebagai berikut:
 Windows Server 2003 Standard Edition
 Windows Server 2003 Enterprise Edition
 Windows Server 2003 Datacenter Edition
 Windows Server 2003 Web Edition
 Windows Small Business Server 2003
 Windows Storage Server 2003
Standard Edition
Windows Server 2003, Standard Edition adalah sebuah versi Windows Server 2003 yang
benar-benar "dasar", dengan fitur-fitur yang umumnya dibutuhkan oleh sebuah server
untuk melayani klien-kliennya di jaringan. Edisi ini diterbitkan untuk menggantikan Windows
2000 Server dan Windows NT 4.0 Server yang telah lama malang melintang.
Fitur yang diusung oleh Windows Server 2003, Standard Edition adalah sebagai berikut:
 Fitur standar sebuah server: file service, print service, atau application server yang
dapat diinstalasi (seperti Microsoft Exchange Server, SQL Server, atau aplikasi
lainnya).
 Domain Controller server.
 PKI (public key infrastructure) server.
 Domain Name System (DNS).
 Dynamic Host Configuration Protocol (DHCP).
 Windows Internet Name Service (WINS).
 Windows Terminal Services, meski kurang ideal untuk diimplementasikan dalam

jaringan skala besar akibat adanya limitasi prosesor dan memori.
 Mendukung pembagian beban jaringan, meski tidak dapat digunakan sebagai sebuah
cluster.
Dengan fitur-fitur di atas, Windows Server 2003 Standard Edition jelas ditujukan sebagai
fondasi bagi platform jaringan berbasis Windows untuk lingkungan jaringan skala menengah
ke bawah, atau sebagai server yang ditujukan untuk mendukung server lainnya dalam
jaringan yang lebih besar. Windows Server 2003 Standard Edition mendukung hingga empat
buah prosesor fisik (prosesor logis dalam Intel HyperThreading akan dianggap sebagai satu
prosesor fisik) dan mendukung RAM hingga 4 Gigabyte, serta dapat mengalamati 4 Terabyte
hard disk.
Enterprise Edition
Windows Server 2003 Enterprise Edition adalah sebuah versi Windows Server yang
memiliki semua fitur yang ditawarkan oleh Windows Server 2003 Standard Edition,
ditambah dengan fitur-fitur yang meningkatakan keandalan dan skalabilitas layanan-
layanannya. Windows Server 2003 Enterprise Edition ditujukan untuk menggantikan
Windows 2000 Advanced Server dan Windows NT 4.0 Enterprise Server yang telah lama
beredar. Windows Server 2003 Enterprise Edition menggandakan dukungan prosesor jika
dibandingkan dengan Windows Server 2003 Standard Edition, dari 4 hingga 8 prosesor
sekaligus. Selain itu, Enterprise Edition juga mendukung prosesor 64-bit, seperti IA-64 dan
x64.
Enterprise Edition memiliki fitur-fitur berikut:
 Address Windowing Extension (AWE), yang mengizinkan sistem operasi agar

mereservasikan hanya 1 GB dari memori fisik untuk digunakan oleh Windows,
sehingga mengizinkan aplikasi menggunakan sisa 3 GB memori yang ada (dalam
sistem x86, yang hanya mendukung 4 GB memori).
 Hot-Memory, yang mengizinkan penambahan memori ketika sistem sedang berjalan

(meski hanya sistem-sistem tertentu yang mendukungnya)
 Non-uniform memory access (NUMA), yang mengizinkan Windows untuk mengakses

bus-bus memori berbeda sebagai sebuah unit memori yang sama, sehingga
mengizinkan delapan buah prosesor x86 yang hanya mendukung 4 GB mendukung
hingga 32 GB memori (4 GB untuk tiap prosesornya).
 Teknologi Clustering, yang mengizinkan banyak server (hingga empat buah node)
terlihat sebagai sebuah server oleh klien untuk kinerja atau keandalan.
 Terminal Server Session Directory, yang mengizinkan klien untuk melakukan koneksi
ulang ke sebuah sistem terminal services yang didukung oleh server yang
menjalankan terminal services. Sebagai contoh, dalam sebuah lingkungan dengan
delapan server yang menjalankan terminal services, jika salah satu server mengalami
kegagalan, klien akan secara otomatis membuat koneksi kembali ke sisa server (7)
yang lainnya (yang masih berjalan dan memiliki slot klien).
Datacenter Edition
Windows Server 2003 Datacenter Edition adalah sebuah edisi dari Windows Server 2003
yang berbeda dari dua versi lainnya yang telah disebutkan. Edisi ini tidak dapat diperoleh
secara ritel, dan harus didapatkan sebagai bagian dari kombinasi antara perangkat keras
server dari sebuah vendor, semacam Hewlett-Packard atau Dell. Alasan mengapa hal ini
diberlakukan adalah untuk menjaga agar sistem dapat berjalan dengan sempurna (dengan
hardware yang telah ditentukan oleh manufaktur serta driver yang telah disertifikasi dapat
menjadikan sistem jauh lebih stabil). Umumnya, sebelum dijual kepada konsumen,
manufaktur akan melakukan pengujian terlebih dahulu terhadap server yang bersangkutan.
Tujuannya agar uptime sistem yang bersangkutan bertahan 99,999%, sehingga dalam satu
tahun hanya 9 jam saja mengalami downtime.
Program-program yang disertakan dalam Windows Server 2003 Datacenter Edition berfokus
pada keandalan sistem operasi. Microsoft membuat beberapa persyaratan bagi OEM yang
hendak menggunakan edisi dari Windows Server 2003 ini, yakni sebagai berikut:
 Semua perangkat keras yang dimasukkan ke dalam server harus memenuhi standar
Microsoft dan lolos dari beberapa kali pengujian kecocokan (kompatibilitas),
keandalan (reliabilitas). Hal ini diberlakukan terhadap semua perangkat keras, mulai
dari prosesor, kartu jaringan, hard disk drive, dan komponen vital lainnya.
 Semua driver perangkat keras harus disertifikasi oleh Microsoft. Tentu saja, driver-
driver tersebut harus lolos pengujian, yang mungkin dapat menghabiskan waktu
lebih dari satu bulan
 Pengguna tidak dapat mengubah hardware server sesuka hatinya tanpa adanya
pihak yang berwenang (customer support vendor server atau dari pihak Microsoft).
Semua perubahan harus lolos pengujian yang disebutkan di atas.
Edisi ini mendukung hingga 32 buah prosesor (32-way SMP) dan memori hingga 64 GB pada
sistem x86 serta mendukung mesin yang dikonfigurasikan secara 128-way dengan partisi
yang bersifat individual. Dalam sistem IA-64, edisi ini mendukung hingga 64 buah prosesor
dan memori hingga 512 Gigabyte. Selain itu, edisi ini mendukung clustering hingga delapan
buah node serta pembagian beban jaringan sebagai fitur standar, serta memiliki Windows
System Resource Manager yang mampu melakukan konsolidasi dan manajemen sistem.
Web Edition
Windows Server 2003 Web Edition adalah sebuah edisi dari Windows Server 2003 yang
ditujukan khusus sebagai web server, yang menaungi beberapa aplikasi web, halaman web,
dan layanan web berbasis XML. Windows Server 2003 Web Edition didesain sedemikian
rupa, dengan menggunakan Internet Information Services (IIS) 6.0 sebagai infrastukturnya
dan menggunakan teknologi ASP.NET untuk menangani layanan web berbasis XML dan
aplikasi web lainnya.
Web server modern saat ini umumnya tidaklah dibuat dari satu mesin dengan banyak
prosesor atau jumlah memori yang besar. Tetapi, umumnya dibentuk dari beberapa
komputer dengan 1 CPU atau 2 CPU dengan RAM yang mencukupi. Dalam kasus ini, jika
sebuah organisasi hendak menggunakan Windows Server 2003 Standard Edition, maka akan
terlalu mahal (dalam beberapa kasus, justru sistem operasi yang lebih mahal daripada
perangkat keras), sehingga beberapa organisasi pun berpaling ke solusi open-source
semacam Linux atau Apache (yang dapat berjalan di atas Windows atau Linux) daripada
menggunakan IIS yang hanya disediakan oleh Windows Server yang mahal. Sebagai respons
dari kasus ini, Microsoft pun merilis Windows Server 2003 Web Edition. Untuk menekan
harga, tentu saja ada yang dikorbankan: Windows Server 2003 Web Edition banyak memiliki
layanan yang dibuang, termasuk di atanranya Routing and Remote Access, Terminal Services,
Remote Installation Service (RIS), Service for Macintosh, dan penaungan terhadap Active
Directory (tidak dapat dikonfigurasikan sebagai sebuah domain controller, meski dapat
dikoneksikan ke sebuah domain Active Directory).
Windows Small Business Server 2003
Windows Small Business Server 2003, atau sering disebut sebagai Windows SBS, adalah
sebuah edisi dari Windows Server 2003 yang ditujukan untuk pasar jaringan kecil. Harganya
pun lebih murah dibandingkan dengan beberapa edisi lainnya, meski banyak yang
dikorbankan, dalam teknologi jaringan yang didukung, jenis lisensi, perangkat
pengembangan, dan redundansi aplikasi. Sebuah Windows Small Business Server 2003
hanya mendukung hingga 75 pengguna saja.
Windows SBS didesain sedemikian rupa dengan fitur-fitur yang Microsoft anggap
dibutuhkan oleh jaringan skala kecil, yang akan diimplementasikan pada server pertama
mereka. Instalasi default-nya, Windows SBS akan menginstalasikan Active Directory, sebuah
situs SharePoint Portal, dan Exchange Server. Selain itu, edisi ini juga menawarkan
konfigurasi yang lebih mudah dalam mengatur firewall DHCP dasar dan router NAT dengan
menggunakan dua buah kartu jaringan. Antarmuka manajemen sistem jaringan yang
digunakannya lebih mudah digunakan dibandingkan edisi Windows Server lainnya bahkan
oleh administrator yang baru sekalipun.
SBS juga dirilis dalam versi lainnya, yang disebut sebagai Windows Small Business Server
2003 Premium Edition yang mencakup semua fitur dalam Windows Small Business Server
2003 Standard Edition ditambah SQL Server 2000 dan ISA Server 2000.
Windows Small Business Server 2003 memiliki beberapa keterbatasan, yakni sebagai
berikut:
 Hanya boleh ada satu komputer dalam sebuah domain yang dapat menjalankan
Windows Small Business Server 2003.
 Windows Small Business Server 2003 harus berada di akar sebuah hutan Active
Directory.
 Windows Small Business Server 2003 tidak dapat menerima trust dari domain
lainnya.
 Windows Small Business Server 2003 hanya mendukung 75 pengguna.
 Windows Small Business Server 2003 tidak mendukung domain anak.
 Windows Small Business Server 2003 hanya mendukung terminal services dalam
modus remote administration.
 Setiap server tambahan harus memiliki Windows Small Business Server 2003 Client
Access License (CAL), yang dapat dikonfigurasikan untuk setiap pengguna atau setiap
perangkat.
Storage Server
Windows Storage Server 2003 adalah sebuah edisi Windows Server 2003 yang
didedikasikan untuk layanan berbagi berkas dan berbagi alat pencetak. Sama seperti halnya
Windows Server 2003 Datacenter Edition, edisi ini juga tidak dapat diperoleh secara ritel.
Umumnya, edisi ini dapat diperoleh melalui OEM dalam perangkat Network Attached
Storage (NAS). Perbedaan dari sistem Windows Server lainnya yang menyediakan layanan
berbagi berkas dan alat pencetak adalah bahwa Storage Server 2003 tidak membutuhkan
Client Access License (CAL).
Perbandingan antar edisi
Tabel di bawah ini berisi beberapa perangkat keras yang dibutuhkan oleh Windows Server
2003.
Kebutuhan Standard Enterprise Datacenter Web Small

Edition Edition Edition Edition Business
Server
CPU (x86)/jumlah 133 MHz/4 133 MHz/8 400 MHz/32 133 MHz/2 ?
maksimum CPU CPU CPU CPU
CPU (IA- Tidak 733 MHz/8 733 MHz/64 Tidak ?

64)/jumlah didukung CPU CPU didukung
maksimum
CPU (x64) ? ? ? ? ?
RAM minimum 128 MB/256 128 MB/256 512 MB/1024 128 ?

/rekomendasi MB/4 GB MB/32 GB MB/64 GB MB/256
/maksimum (x86); (x86); (x86); MB/2 GB
? (x64) ? (x64); 512 GB (IA- (x86);
? (IA-64) 64) (x64)
Estimasi ruangan 1,5 GB/Tidak 1,5 GB/2 1,5 GB/2 1,5 GB/2 ?/?/?
hard disk (x86/IA- didukung/? GB/? GB/? GB/?
64/x64)
Dukungan Tidak ada Ya Ya Tidak ada Tidak ada

Address
Windowing
Extension (AWE)
Dukungan NUMA Tidak ada Ya Ya Tidak ada Tidak ada
Tabel berikut berisi daftar layanan antar edisi.
Fitur Standard Enterprise Datacenter Web Small

Edition Edition Edition Edition Business
Edition
Active Directory Ya Ya Ya Tidak Ya

(domain controller)
Active Directory Ya Ya Ya Ya Ya
(anggota sebuah
domain)
Dukungan Tidak ada Ya Ya Tidak ada Tidak ada

Microsoft Identity
Integration Server
2003
Internet Ya Ya ya ya Ya
Connection
Firewall/Windows
Firewall
Dukungan PKI, Ya, separuh Ya, penuh Ya, penuh Ya, separuh Ya, separuh
certificate service,
smart card
Remote Desktop Ya Ya Ya Ya Ya
untuk administrasi
jarak jauh
Terminal Server Ya Ya Ya Tidak Ya
Dukungan Terminal Tidak ada Ya Ya Tidak ada Tidak ada

Server Session
Directory
Pembagian Ya Ya Ya Ya Ya
beban/load
balancing
Microsoft Cluster Tidak ada Ya Ya Tidak ada Tidak ada

Service
Dukungan Virtual Ya Ya Ya Ya, separuh Ya

Private Network
(VPN)
Internet Ya Ya Ya ya Ya
Authorization
Service (IAS)
Pembuatan Ya Ya Ya Tidak ada Ya
Network Bridge
Internet Ya Ya ya ya Ya
Connection Sharing
(ICS)
Dukungan IPv6 Ya Ya Ya Ya Ya
Distributed File Ya Ya Ya Ya Ya
System (DFS)
Encrypting File Ya Ya Ya Ya Ya
System (EFS)
NTFS Volume Ya Ya Ya Ya Ya
Shadow Copy
Removable Storage Ya Ya Ya Tidak ada Ya

Service/Remote
Storage
Dukungan Fax Ya Ya Ya Tidak ada Ya

service
Services for Ya Ya Ya Tidak ada ?

Macintosh
IntelliMirror Ya Ya Ya Ya, separuh Ya
Group Policy Ya Ya Ya Ya, separuh Ya
Windows Ya Ya Ya Ya Ya
Management
Instrumentation
(WMI)
Instalasi sistem Ya Ya Ya Ya Ya
operasi dari jarak
jauh
Remote Installation Ya Ya Ya Tidak ada ?

Services (RIS)
Windows System Tidak ada Ya Ya Tidak ada ?

Resource Manager
(WSRM)
.NET Framework Ya, versi 1.1 Ya, versi 1.1 Ya, versi 1.1 Ya, versi 1.1 Ya, versi 1.1
ASP.NET 1.1/2.0 Ya/harus Ya/harus Ya/harus Ya/harus Ya/harus

ada .NET ada .NET ada .NET ada .NET ada .NET
Framework Framework Framework Framework Framework
2.0 2.0 2.0 2.0 2.0
Internet Ya, versi 6.0 Ya, versi 6.0 Ya, versi 6.0 Ya, versi 6.0 Ya, versi 6.0
Information
Services (IIS)
Enterprise UDDI Ya Ya Ya Tidak ada ?

Services
Windows Media Ya Ya Ya Tidak ada ?

Services (WMS)
Versi
Sejak Windows Server 2003 diluncurkan, Microsoft merilis beberapa versi, yakni sebagai
berikut:
 Windows Server 2003 RTM (Release to Manufacture), tanpa Service Pack

 Windows Server 2003 Service Pack 1
 Windows Server 2003 R2
 Windows Server 2003 Service Pack 2 (dirilis tanggal 13 Maret 2007)
ALAT & BAHAN

 1 unit PC
 Virtual Machine
 OS Windows Server 2003
LANGKAH KERJA
2. Install Windows Server 2003 dan FreeBSD pada virtual machine
Gambar 1.0
4. Clone FreeBSD menjadi 3 buah virtual machine.

 PC Router 1
a) Interface
 Local Area Connection : 10.10.10.2/24
 Local Area Connection 2 : 20.20.20.2/24
 Host 1
a) Interface
 ed0 : 10.10.10.1/24
 Host 2
a) Interface
 ed0 : 20.20.20.1/24
6. Lakukan konfigurasi PC Router
b. Setting IP interface dengan masuk ke menu Start > Control Panel > Network
Connection > [Interface/Network yang dimaksud]
c. Lalu pilih menu Properties. Pada tab General pilih Internet Protocol (TCP/IP)
d. Masukan nilai IP yang telah ditentukan sebelumnya
e. Dalam konfigurasi routing masuk ke menu Start > Administrative Tools >
Routing and Remote Access
f. Lalu pilih nama komputer (local). Klik kanan dan pilih Configure and Enable
g. Pada wizard yang tampil pilih Next
h. Lalu pilih Custom configuration
i. Pilih opsi LAN Routing
j. Terakhir klik Finish untuk mengaktifkan fitur routing
#netstat –rn
9. Untuk membuktikan fungsi PC Router 1 berjalan dengan benar lakukan ping dari
Host 1 ke Host 2 maupun sebaliknya.
Gambar 1.1
11. Clone Windows Server 2003 menjadi 3 buah virtual machine dan FreeBSD menjadi 4
buah virtual machine
 PC Router 1
a) Interface
 1 : 202.135.170.34/30
 2 : 182.20.212.34/30
 3 : 20.20.20.2/24
 4 : 10.10.10.2/24
 PC Router 2
a) Interface
 5 : 20.20.20.1/24
 6 : 192.168.1.2/24
 7 : 25.10.2.1/26
 PC Router 3
a) Interface
 8 : 10.10.10.1/24
 9 : 10.12.35.1/27
 Host 1
a) Interface
 ed0 : 25.10.2.15/27
 Host 2
a) Interface
 ed0 : 10.12.35.20/27
 Web Server
a) Interface
 ed0 : 182.30.212.33/30
 FTP Server
a) Interface
 ed0 : 192.168.1.1/24
k. Dalam mengatur routing ke network lain masuk ke menu Start >
Administrative Tools > Routing and Remote Access
l. Lalu pilih komputer (local). Pilih IP Routing > Static Routing. Klik kanan dan
pilih New Static Route
m. Lalu isikan data sesuai dengan network yang telah ditentukan
#netstat –rn
17. Konfigurasi Host 2, FTP Server dan Web Server
18. Untuk membuktikan fungsi PC Router 1, PC Router 2 dan PC Router 3 berjalan
dengan benar lakukan ping antar keempat host yang ada.
HASIL PENGAMATAN
Topologi 1
o Mengatur IP address Interface
o Mengaktifkan fitur routing
 Pinging dari Host 1 ke Host 2
 Pinging dari Host 2 ke Host 1

Topologi 2
o Menambahkan route ke network lainnya


 Traceroute Host 1 ke node lainnya
 Traceroute Host 2 ke node lainnya

 Traceroute FTP Server ke node lainnya
 Traceroute Web Server ke node lainnya

KESIMPULAN
 Windows Server 2003 sangat cocok untuk pengguna yang lebih
menyukai tampilan GUI ketimbang TUI. Tapi karena memiliki tampilan
GUI maka Windows Server 2003 membutuhkan lebih banyak tempat
dalam penginstalannya.
 Penggunaannya yang sangat mudah akan sangat membantu bagi orang
awam yang tidak terlalu paham akan penggunaan OS dengan basis TUI.
Tapi kekurangannya ialah OS ini berbayar dan tidak open source.
Exp : Diagnosa LAN Packet Kelas : XI TKJ B
Filtering Instruktur : 1. Rudi Haryadi

No. Exp : 15
2. Adi Setiadi
TUJUAN
 Siswa mengerti dan paham tentang materi firewall khususnya packet
filtering.
 Siswa dapat membangun sistem keamanan jaringan sederhana dengan
packet filtering.
 Siswa dapat membuat chain dan rule dalam tabel sebelum
diimplementasikan.
 Siswa dapat melakukan konfigurasi packet filtering pada OS Linux
dengan menggunakan perintah iptables.
PENDAHULUAN
Firewall
Firewall atau tembok-api adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas
jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak
aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang
berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Tembok-
api umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki
akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah lazim
yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda.
Mengingat saat ini banyak perusahaan yang memiliki akses ke Internet dan juga tentu saja
jaringan berbadan hukum di dalamnya, maka perlindungan terhadap modal digital
perusahaan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data
lainnya, menjadi hakikat.
Jenis-jenis Firewall
Firewall terbagi menjadi dua jenis, yakni sebagai berikut
◦ Personal Firewall: Personal Firewall didesain untuk melindungi sebuah komputer yang
terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir
ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk
mengamankan komputer secara total, dengan ditambahkannya beberapa fitur
pengaman tambahan semacam perangkat proteksi terhadap virus, anti-spyware,
anti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan
fungsi pendeteksian gangguan keamanan jaringan (Intrusion Detection System).
Contoh dari firewall jenis ini adalah Microsoft Windows Firewall (yang telah
terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows Vista dan
Windows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio
Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua
fitur utama, yakni Packet Filter Firewall dan Stateful Firewall.
◦ Network Firewall: Network ‘‘’’Firewall didesain untuk melindungi jaringan secara
keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni
sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang
diinstalasikan dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet
Security and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam
sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta
SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris.
Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang
dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level
Gateway, Application Level Gateway, dan juga NAT Firewall. Network Firewall
umumnya bersifat transparan (tidak terlihat) dari pengguna dan menggunakan
teknologi routing untuk menentukan paket mana yang diizinkan, dan mana paket
yang akan ditolak.
Fungsi Firewall
Secara fundamental, firewall dapat melakukan hal-hal berikut:
◦ Mengatur dan mengontrol lalu lintas jaringan

◦ Melakukan autentikasi terhadap akses
◦ Melindungi sumber daya dalam jaringan privat
◦ Mencatat semua kejadian, dan melaporkan kepada administrator
Mengatur dan Mengontrol Lalu lintas jaringan
Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat mengatur
dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses jaringan privat atau
komputer yang dilindungi oleh firewall. Firewall melakukan hal yang demikian, dengan
melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu
melakukan penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan
koneksi tersebut.
Proses inspeksi Paket
Inspeksi paket (‘packet inspection) merupakan proses yang dilakukan oleh firewall untuk
‘menghadang’ dan memproses data dalam sebuah paket untuk menentukan bahwa paket
tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan
oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak
menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap
paket (baik yang masuk ataupun yang keluar) di setiap antarmuka dan membandingkannya
dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-
elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi:
◦ Alamat IP dari komputer sumber

◦ Port sumber pada komputer sumber
◦ Alamat IP dari komputer tujuan
◦ Port tujuan data pada komputer tujuan
◦ Protokol IP
◦ Informasi header-header yang disimpan dalam paket
Koneksi dan Keadaan Koneksi
Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi
antara satu dengan lainnya. Koneksi ini memiliki dua tujuan:
1. Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya

kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat
koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat
menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh
kebijakan akses dan menggunakannya untuk menentukan apakah paket data
tersebut akan diterima atau ditolak.
2. Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan
berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan
koneksi connection-oriented, atau connectionless).
Kedua tujuan tersebut dapat digunakan untuk menentukan keadaan koneksi antara dua
host tersebut, seperti halnya cara manusia bercakap-cakap. Jika Amir bertanya kepada
Aminah mengenai sesuatu, maka Aminah akan meresponsnya dengan jawaban yang sesuai
dengan pertanyaan yang diajukan oleh Amir; Pada saat Amir melontarkan pertanyaannya
kepada Aminah, keadaan percakapan tersebut adalah Amir menunggu respons dari Aminah.
Komunikasi di jaringan juga mengikuti cara yang sama untuk memantau keadaan
percakapan komunikasi yang terjadi.
Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakah ia hendak
mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara sebuah
tabel keadaan koneksi (dalam istilah firewall: state table) yang memantau keadaan semua
komunikasi yang melewati firewall. Dengan memantau keadaan koneksi ini, firewall dapat
menentukan apakah data yang melewati firewall sedang “ditunggu” oleh host yang dituju,
dan jika ya, aka mengizinkannya. Jika data yang melewati firewall tidak cocok dengan
keadaan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data tersebut akan
ditolak. Hal ini umumnya disebut sebagai Stateful Inspection.
Stateful Packet Inspection
Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka
firewall tersebut dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses
inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang
terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling berkomunikasi
tersebut berada. SPI mengizinkan firewall untuk melakukan penapisan tidak hanya
berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi,
sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah
diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi.
Salah satu keunggulan dari SPI dibandingkan dengan inspeksi paket biasa adalah bahwa
ketika sebuah koneksi telah dikenali dan diizinkan (tentu saja setelah dilakukan inspeksi),
umumnya sebuah kebijakan (policy) tidak dibutuhkan untuk mengizinkan komunikasi
balasan karena firewall tahu respons apa yang diharapkan akan diterima. Hal ini
memungkinkan inspeksi terhadap data dan perintah yang terkandung dalam sebuah paket
data untuk menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan
secara otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas
yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan jika
dibandingkan dengan firewall dengan inspeksi paket biasa. Apalagi, proses ini diselesaikan
tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan untuk mengizinkan
respons dan komunikasi selanjutnya. Kebanyakan firewall modern telah mendukung fungsi
ini.
Melakukan autentikasi terhadap akses
Fungsi fundamental firewall yang kedua adalah firewall dapat melakukan autentikasi
terhadap akses.
Protokol TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi
yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka
diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet, hal ini boleh
dianggap sebagai suatu berkah. Tapi saat ini, di saat semakin banyak yang terhubung ke
Internet, mungkin kita tidak mau siapa saja yang dapat berkomunikasi dengan sistem yang
kita miliki. Karenanya, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan
beberapa mekanisme autentikasi, sebagai berikut:
◦ Firewall dapat meminta input dari pengguna mengenai nama pengguna (user name) serta
kata kunci (password). Metode ini sering disebut sebagai extended authentication
atau xauth. Menggunakan xauth pengguna yang mencoba untuk membuat sebuah
koneksi akan diminta input mengenai nama dan kata kuncinya sebelum akhirnya
diizinkan oleh firewall. Umumnya, setelah koneksi diizinkan oleh kebijakan
keamanan dalam firewall, firewall pun tidak perlu lagi mengisikan input password
dan namanya, kecuali jika koneksi terputus dan pengguna mencoba menghubungkan
dirinya kembali.
◦ Metode kedua adalah dengan menggunakan sertifikat digital dan kunci publik.
Keunggulan metode ini dibandingkan dengan metode pertama adalah proses
autentikasi dapat terjadi tanpa intervensi pengguna. Selain itu, metode ini lebih
cepat dalam rangka melakukan proses autentikasi. Meskipun demikian, metode ini
lebih rumit implementasinya karena membutuhkan banyak komponen seperti
halnya implementasi infrastruktur kunci publik.
◦ Metode selanjutnya adalah dengan menggunakan Pre-Shared Key (PSK) atau kunci yang
telah diberitahu kepada pengguna. Jika dibandingkan dengan sertifikat digital, PSK
lebih mudah diimplenentasikan karena lebih sederhana, tetapi PSK juga mengizinkan
proses autentikasi terjadi tanpa intervensi pengguna. Dengan menggunakan PSK,
setiap host akan diberikan sebuah kunci yang telah ditentukan sebelumnya yang
kemudian digunakan untuk proses autentikasi. Kelemahan metode ini adalah kunci
PSK jarang sekali diperbarui dan banyak organisasi sering sekali menggunakan kunci
yang sama untuk melakukan koneksi terhadap host-host yang berada pada jarak jauh,
sehingga hal ini sama saja meruntuhkan proses autentikasi. Agar tercapai sebuah
derajat keamanan yang tinggi, umumnya beberapa organisasi juga menggunakan
gabungan antara metode PSK dengan xauth atau PSK dengan sertifikat digital.
Dengan mengimplementasikan proses autentikasi, firewall dapat menjamin bahwa koneksi
dapat diizinkan atau tidak. Meskipun jika paket telah diizinkan dengan menggunakan
inspeksi paket (PI) atau berdasarkan keadaan koneksi (SPI), jika host tersebut tidak lolos
proses autentikasi, paket tersebut akan dibuang.
Melindungi sumber daya dalam jaringan privat
Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin
datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa peraturan pengaturan
akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya
untuk mencegah host yang dilindungi dapat diakses oleh host-host yang mencurigakan atau
dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukanlah satu-
satunya metode proteksi terhadap sumber daya, dan mempercayakan proteksi terhadap
sumber daya dari ancaman terhadap firewall secara eksklusif adalah salah satu kesalahan
fatal. Jika sebuah host yang menjalankan sistem operasi tertentu yang memiliki lubang
keamanan yang belum ditambal dikoneksikan ke Internet, firewall mungkin tidak dapat
mencegah dieksploitasinya host tersebut oleh host-host lainnya, khususnya jika exploit
tersebut menggunakan lalu lintas yang oleh firewall telah diizinkan (dalam konfigurasinya).
Sebagai contoh, jika sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke
sebuah web server yang menjalankan sebuah layanan web yang memiliki lubang keamanan
yang belum ditambal, maka seorang pengguna yang “iseng” dapat saja membuat exploit
untuk meruntuhkan web server tersebut karena memang web server yang bersangkutan
memiliki lubang keamanan yang belum ditambal. Dalam contoh ini, web server tersebut
akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna. Hal
ini disebabkan oleh firewall yang tidak dapat membedakan antara request HTTP yang
mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan application proxy.
Oleh karena itulah, sumber daya yang dilindungi haruslah dipelihara dengan melakukan
penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi oleh firewall.
Mencatat semua kejadian, dan melaporkan kepada administrator
[Placeholder]
Cara Kerja Firewall
Packet-Filter Firewall
Pada bentuknya yang paling sederhana, sebuah firewall adalah sebuah router atau
komputer yang dilengkapi dengan dua buah NIC (Network Interface Card, kartu antarmuka
jaringan) yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang
masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering router.
Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket
tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List
firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket
yang masuk tersebut ke tujuannya atau menghentikannya. Pada bentuk yang lebih
sederhana lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama domain
yang menjadi sumber paket dan akan menentukan apakah hendak meneruskan atau
menolak paket tersebut. Meskipun demikian, packet-filtering router tidak dapat digunakan
untuk memberikan akses (atau menolaknya) dengan menggunakan basis hak-hak yang
dimiliki oleh pengguna.
Packet-filtering router juga dapat dikonfigurasikan agar menghentikan beberapa jenis lalu
lintas jaringan dan tentu saja mengizinkannya. Umumnya, hal ini dilakukan dengan
mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai contoh,
port 25 yang digunakan oleh Protokol SMTP (Simple Mail Transfer Protocol) umumnya
dibiarkan terbuka oleh beberapa firewall untuk mengizinkan surat elektronik dari Internet
masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan oleh
Protokol Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk mengakses
layanan yang terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan
semacam pengecualian (exception) agar beberapa aplikasi dapat melewati firewall tersebut.
Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki kelemahan
yang signifikan yakni kerumitan konfigurasi terhadap firewall: daftar Access Control List
firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang
dimasukkan ke dalamnya, selain tentunya juga exception yang diberlakukan.
Circuit Level Gateway
Firewall jenis lainnya adalah Circuit-Level Gateway, yang umumnya berupa komponen
dalam sebuah proxy server. Firewall jenis ini beroperasi pada level yang lebih tinggi dalam
model referensi tujuh lapis OSI (bekerja pada lapisan sesi/session layer) daripada Packet
Filter Firewall. Modifikasi ini membuat firewall jenis ini berguna dalam rangka
menyembunyikan informasi mengenai jaringan terproteksi, meskipun firewall ini tidak
melakukan penyaringan terhadap paket-paket individual yang mengalir dalam koneksi.
Dengan menggunakan firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan
pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara langsung dengan
firewall pada saat proses pembuatan koneksi dan firewall pun akan membentuk koneksi
dengan sumber daya jaringan yang hendak diakses oleh pengguna setelah mengubah
alamat IP dari paket yang ditransmisikan oleh dua belah pihak. Hal ini mengakibatkan
terjadinya sebuah sirkuit virtual (virtual circuit) antara pengguna dan sumber daya jaringan
yang ia akses.
Firewall ini dianggap lebih aman dibandingkan dengan Packet-Filtering Firewall, karena
pengguna eksternal tidak dapat melihat alamat IP jaringan internal dalam paket-paket yang
ia terima, melainkan alamat IP dari firewall. Protokol yang populer digunakan sebagai
Circuit-Level Gateway adalah SOCKS v5.
Application Level Firewall
Firewall jenis lainnya adalah Application Level Gateway (atau Application-Level Firewall atau
sering juga disebut sebagai Proxy Firewall), yang umumnya juga merupakan komponen dari
sebuah proxy server. Firewall ini tidak mengizinkan paket yang datang untuk melewati
firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang
menjalankan firewall akan meneruskan permintaan tersebut kepada layanan yang tersedia
dalam jaringan privat dan kemudian meneruskan respons dari permintaan tersebut kepada
komputer yang membuat permintaan pertama kali yang terletak dalam jaringan publik yang
tidak aman.
Umumnya, firewall jenis ini akan melakukan autentikasi terlebih dahulu terhadap pengguna
sebelum mengizinkan pengguna tersebut untuk mengakses jaringan. Selain itu, firewall ini
juga mengimplementasikan mekanisme auditing dan pencatatan (logging) sebagai bagian
dari kebijakan keamanan yang diterapkannya. Application Level Firewall juga umumnya
mengharuskan beberapa konfigurasi yang diberlakukan pada pengguna untuk mengizinkan
mesin klien agar dapat berfungsi. Sebagai contoh, jika sebuah proxy FTP dikonfigurasikan di
atas sebuah application layer gateway, proxy tersebut dapat dikonfigurasikan untuk
mengizinlan beberapa perintah FTP, dan menolak beberapa perintah lainnya. Jenis ini paling
sering diimplementasikan pada proxy SMTP sehingga mereka dapat menerima surat
elektronik dari luar (tanpa menampakkan alamat e-mail internal), lalu meneruskan e-mail
tersebut kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan yang lebih
rumit, firewall jenis ini mengharuskan komputer yang dikonfigurasikan sebagai application
gateway memiliki spesifikasi yang tinggi, dan tentu saja jauh lebih lambat dibandingkan
dengan packet-filter firewall.
NAT Firewall
NAT (Network Address Translation) Firewall secara otomatis menyediakan proteksi terhadap
sistem yang berada di balik firewall karena NAT Firewall hanya mengizinkan koneksi yang
datang dari komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalah untuk
melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk kemudian
menyampaikannya kepada jaringan yang lebih luas (MAN, WAN atau Internet) seolah-olah
paket tersebut datang dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall
membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilihat
oleh firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal.
Kemampuan untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP didasarkan
terhadap pemetaan terhadap port-port dalam NAT firewall.
Stateful Firewall
Stateful Firewall merupakan sebuah firewall yang menggabungkan keunggulan yang

ditawarkan oleh packet-filtering firewall, NAT Firewall, Circuit-Level Firewall dan Proxy
Firewall dalam satu sistem. Stateful Firewall dapat melakukan filtering terhadap lalu lintas
berdasarkan karakteristik paket, seperti halnya packet-filtering firewall, dan juga memiliki
pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk
tersebut diizinlan. Tidak seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall
umumnya didesain agar lebih transparan (seperti halnya packet-filtering firewall atau NAT
firewall). Tetapi, stateful firewall juga mencakup beberapa aspek yang dimiliki oleh
application level firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari
lapisan aplikasi (application layer) dengan menggunakan layanan tertentu. Firewall ini hanya
tersedia pada beberapa firewall kelas atas, semacam Cisco PIX. Karena menggabungkan
keunggulan jenis-jenis firewall lainnya, stateful firewall menjadi lebih kompleks.
Virtual Firewall
Virtual Firewall adalah sebutan untuk beberapa firewall logis yang berada dalam sebuah
perangkat fisik (komputer atau perangkat firewall lainnya). Pengaturan ini mengizinkan
beberapa jaringan agar dapat diproteksi oleh sebuah firewall yang unik yang menjalankan
kebijakan keamanan yang juga unik, cukup dengan menggunakan satu buah perangkat.
Dengan menggunakan firewall jenis ini, sebuah ISP (Internet Service Provider) dapat
menyediakan layanan firewall kepada para pelanggannya, sehingga mengamankan lalu
lintas jaringan mereka, hanya dengan menggunakan satu buah perangkat. Hal ini jelas
merupakan penghematan biaya yang signifikan, meski firewall jenis ini hanya tersedia pada
firewall kelas atas, seperti Cisco PIX 535.
Transparent Firewall
Transparent Firewall (juga dikenal sebagai bridging firewall) bukanlah sebuah firewall yang
murni, tetapi ia hanya berupa turunan dari stateful Firewall. Daripada firewall-firewall
lainnya yang beroperasi pada lapisan IP ke atas, transparent firewall bekerja pada lapisan
Data-Link Layer, dan kemudian ia memantau lapisan-lapisan yang ada di atasnya. Selain itu,
transparent firewall juga dapat melakukan apa yang dapat dilakukan oleh packet-filtering
firewall, seperti halnya stateful firewall dan tidak terlihat oleh pengguna (karena itulah, ia
disebut sebagai Transparent Firewall).
Intinya, transparent firewall bekerja sebagai sebuah bridge yang bertugas untuk menyaring
lalu lintas jaringan antara dua segmen jaringan. Dengan menggunakan transparent firewall,
keamanan sebuah segmen jaringan pun dapat diperkuat, tanpa harus mengaplikasikan NAT
Filter. Transparent Firewall menawarkan tiga buah keuntungan, yakni sebagai berikut:
◦ Konfigurasi yang mudah (bahkan beberapa produk mengklaim sebagai “Zero

Configuration”). Hal ini memang karena transparent firewall dihubungkan secara
langsung dengan jaringan yang hendak diproteksinya, dengan memodifikasi sedikit
atau tanpa memodifikasi konfigurasi firewall tersebut. Karena ia bekerja pada data-
link layer, pengubahan alamat IP pun tidak dibutuhkan. Firewall juga dapat
dikonfigurasikan untuk melakukan segmentasi terhadap sebuah subnet jaringan
antara jaringan yang memiliki keamanan yang rendah dan keamanan yang tinggi
atau dapat juga untuk melindungi sebuah host, jika memang diperlukan.
◦ Kinerja yang tinggi. Hal ini disebabkan oleh firewall yang berjalan dalam lapisan data-link
lebih sederhana dibandingkan dengan firewall yang berjalan dalam lapisan yang
lebih tinggi. Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih
kecil dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan
akhirnya performa yang ditunjukannya pun lebih tinggi.
Tidak terlihat oleh pengguna (stealth). Hal ini memang dikarenakan Transparent Firewall
bekerja pada lapisan data-link, dan tidak membutuhkan alamat IP yang ditetapkan untuknya
(kecuali untuk melakukan manajemen terhadapnya, jika memang jenisnya managed
firewall). Karena itulah, transparent firewall tidak dapat terlihat oleh para penyerang.
Karena tidak dapat diraih oleh penyerang (tidak memiliki alamat IP), penyerang pun tidak
dapat menyerangnya.
Penapisan paket
Penapisan paket (bahasa Inggris: Packet filtering) adalah mekanisme yang dapat memblokir
paket-paket data jaringan yang dilakukan berdasarkan peraturan yang telah ditentukan
sebelumnya.
Packet filtering adalah salah satu jenis teknologi keamanan yang digunakan untuk mengatur
paket-paket apa saja yang diizinkan masuk ke dalam sistem atau jaringan dan paket-paket
apa saja yang diblokir. Packet filtering umumnya digunakan untuk memblokir lalu lintas yang
mencurigakan yang datang dari alamat IP yang mencurigakan, nomor port TCP/UDP yang
mencurigakan, jenis protokol aplikasi yang mencurigakan, dan kriteria lainnya. Akhir-akhir
ini, fitur packet filtering telah dimasukkan ke dalam banyak sistem operasi (IPTables dalam
GNU/Linux, dan IP Filter dalam Windows) sebagai sebuah fitur standar, selain tentunya
firewall dan router.
Implementasi
Packet filtering terbagi menjadi dua jenis, yakni:
◦ Static packet filtering (Penapisan paket statis)

◦ Dynamic packet filtering (Penapisan paket dinamis), atau sering juga disebut sebagai
Stateful Packet Filter.
Penapisan paket statis
Static packet filtering akan menentukan apakah hendak menerima atau memblokir setiap
paket berdasarkan informasi yang disimpan di dalam header sebuah paket (seperti halnya
alamat sumber dan tujuan, port sumber dan tujuan, jenis protokol, serta informasi lainnya).
Jenis ini umumnya ditemukan di dalam sistem-sistem operasi dan router dan menggunakan
sebuah tabel daftar pengaturan akses (access control list) yang berisi peraturan yang
menentukan “takdir” setiap paket: diterima atau ditolak.
Administrator jaringan dapat membuat peraturan tersebut sebagai daftar yang berurutan.
Setiap paket yang datang kepada filter, akan dibandingkan dengan setiap peraturan yang
diterapkan di dalam filter tersebut, hingga sebuah kecocokan ditemukan. Jika tidak ada yang
cocok, maka paket yang datang tersebut ditolak, dan berlaku sebaliknya.
Peraturan tersebut dapat digunakan untuk menerima paket atau menolaknya dengan
menggunakan basis informasi yang diperoleh dari header protokol yang digunakan, dan
jenis dari paket tersebut. Kebanyakan perangkat yang memiliki fitur packet filtering,
menawarkan kepada administrator jaringan untuk membuat dua jenis peraturan, yakni
inbound rule dan outbound rule. Inbound rule merujuk kepada inspeksi paket akan dilakukan
terhadap paket yang datang dari luar, sementara outbound rule merujuk inspeksi paket akan
dilakukan terhadap paket yang hendak keluar.
Penapisan paket dinamis
Dynamic packet filtering beroperasi seperti halnya static packet filtering, tapi jenis ini juga
tetap memelihara informasi sesi yang mengizinkan mereka untuk mengontrol aliran paket
antara dua host secara dinamis, dengan cara membuka dan menutup port komunikasi
sesuai kebutuhan. Jenis ini seringnya diimplementasikan di dalam produk firewall, di mana
produk-produk tersebut dapat digunakan untuk mengontrol aliran data masuk ke jaringan
dan aliran data keluar dari jaringan.
Sebagai contoh, sebuah dynamic packet filter dapat dikonfigurasikan sedemikian rupa
sehingga hanya lalu lintas inbound protokol Hypertext Transfer Protocol (HTTP) saja yang
diizinkan masuk jaringan, sebagai respons dari request dari klien HTTP yang berada di dalam
jaringan. Untuk melakukan hal ini, lalu lintas oubound yang melalui port 80/TCP akan
diizinkan, sehingga request HTTP dari klien yang berada di dalam jaringan dapat diteruskan
dan disampaikan ke luar jaringan. Ketika sebuah request HTTP outbound datang melalui
filter, filter kemudian akan melakukan inspeksi terhadap paket untuk memperoleh informasi
sesi koneksi TCP dari request yang bersangkutan, dan kemudian akan membuka port 80
untuk lalu lintas inbound sebagai respons terhadap request tersebut. Ketika respons HTTP
datang, respons tersebut akan melalui port 80 ke dalam jaringan, dan kemudian filter pun
menutup port 80 untuk lalu lintas inbound.
Pendekatan seperti ini tidak mungkin dilakukan di dalam static packet filtering, yang hanya
dapat dikonfigurasikan untuk memblokir lalu lintas inbound ke port 80 atau membukanya,
bukan sebagian dari lalu lintas tersebut. Meskipun demikian, dynamic packet filtering juga
dapat dikelabui oleh penyerang, karena para penyerang dapat “membajak” sebuah sesi
koneksi TCP dan membuat lalu lintas yang datang ke jaringan merupakan lalu lintas yang
diizinkan. Selain itu, dynamic packet filtering juga hanya dapat digunakan pada paket-paket
TCP saja, dan tidak dapat digunakan untuk paket User Datagram Protocol (UDP) atau paket
Internet Control Message Protocol (ICMP), mengingat UDP dan ICMP bersifat connectionless
yang tidak perlu membangun sebuah sesi koneksi (seperti halnya TCP) untuk mulai
berkomunikasi dan bertukar informasi.
IPTables
IPTables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar
tersebut dinamakan rantai firewall (firewall chain) atau sering disebut chain saja. Ketiga
chain tersebut adalah INPUT, OUTPUT dan FORWARD.
Pada diagram tersebut, lingkaran menggambarkan ketiga rantai atau chain. Pada saat
sebuah paket sampai pada sebuah lingkaran, maka disitulah terjadi proses penyaringan.
Rantai akan memutuskan nasib paket tersebut. Apabila keputusannnya adalah DROP, maka
paket tersebut akan di-drop. Tetapi jika rantai memutuskan untuk ACCEPT, maka paket akan
dilewatkan melalui diagram tersebut.
Sebuah rantai adalah aturan-aturan yang telah ditentukan. Setiap aturan menyatakan “jika
paket memiliki informasi awal (header) seperti ini, maka inilah yang harus dilakukan
terhadap paket”. Jika aturan tersebut tidak sesuai dengan paket, maka aturan berikutnya
akan memproses paket tersebut. Apabila sampai aturan terakhir yang ada, paket tersebut
belum memenuhi salah satu aturan, maka kernel akan melihat kebijakan bawaan (default)
untuk memutuskan apa yang harus dilakukan kepada paket tersebut. Ada dua kebijakan
bawaan yaitu default DROP dan default ACCEPT.
Jalannya sebuah paket melalui diagram tersebut bisa dicontohkan sebagai berikut:
Perjalanan paket yang diforward ke host yang lain
1. Paket berada pada jaringan fisik, contoh internet. 2. Paket masuk ke interface jaringan,
contoh eth0. 3. Paket masuk ke chain PREROUTING pada table Mangle. Chain ini berfungsi
untuk me-mangle (menghaluskan) paket, seperti merubah TOS, TTL dan lain-lain. 4. Paket
masuk ke chain PREROUTING pada tabel nat. Chain ini berfungsi utamanya untuk melakukan
DNAT (Destination Network Address Translation). 5. Paket mengalami keputusan routing,
apakah akan diproses oleh host lokal atau diteruskan ke host lain. 6. Paket masuk ke chain
FORWARD pada tabel filter. Disinlah proses pemfilteran yang utama terjadi. 7. Paket masuk
ke chain POSTROUTING pada tabel nat. Chain ini berfungsi utamanya untuk melakukan
SNAT (Source Network Address Translation). 8. Paket keluar menuju interface jaringan,
contoh eth1. 9. Paket kembali berada pada jaringan fisik, contoh LAN.
Perjalanan paket yang ditujukan bagi host lokal
1. Paket berada dalam jaringan fisik, contoh internet. 2. Paket masuk ke interface jaringan,
contoh eth0. 3. Paket masuk ke chain PREROUTING pada tabel mangle. 4. Paket masuk ke
chain PREROUTING pada tabel nat. 5. Paket mengalami keputusan routing. 6. Paket masuk
ke chain INPUT pada tabel filter untuk mengalami proses penyaringan. 7. Paket akan
diterima oleh aplikasi lokal.
Perjalanan paket yang berasal dari host lokal
1. Aplikasi lokal menghasilkan paket data yang akan dikirimkan melalui jaringan. 2. Paket
memasuki chain OUTPUT pada tabel mangle. 3. Paket memasuki chain OUTPUT pada tabel
nat. 4. Paket memasuki chain OUTPUT pada tabel filter. 5. Paket mengalami keputusan
routing, seperti ke mana paket harus pergi dan melalui interface mana. 6. Paket masuk ke
chain POSTROUTING pada tabel NAT. 7. Paket masuk ke interface jaringan, contoh eth0. 8.
Paket berada pada jaringan fisik, contoh internet.
3. Sintaks IPTables
iptables [-t table] command [match] [target/jump]
1. Table
IPTables memiliki 3 buah tabel, yaitu NAT, MANGLE dan FILTER. Penggunannya disesuaikan
dengan sifat dan karakteristik masing-masing. Fungsi dari masing-masing tabel tersebut
sebagai berikut :
◦ NAT : Secara umum digunakan untuk melakukan Network Address Translation. NAT
adalah penggantian field alamat asal atau alamat tujuan dari sebuah paket.
◦ MANGLE : Digunakan untuk melakukan penghalusan (mangle) paket, seperti TTL, TOS dan
MARK.
◦ FILTER : Secara umum, inilah pemfilteran paket yang sesungguhnya.. Di sini bisa dintukan
apakah paket akan di-DROP, LOG, ACCEPT atau REJECT
2. Command
Command pada baris perintah IPTables akan memberitahu apa yang harus dilakukan
terhadap lanjutan sintaks perintah. Umumnya dilakukan penambahan atau penghapusan
sesuatu dari tabel atau yang lain.
Command Keterangan
-A Perintah ini menambahkan aturan pada akhir chain. Aturan

--append akan ditambahkan di akhir baris pada chain yang
bersangkutan, sehingga akan dieksekusi terakhir
-D Perintah ini menghapus suatu aturan pada chain. Dilakukan

--delete dengan cara menyebutkan secara lengkap perintah yang
ingin dihapus atau dengan menyebutkan nomor baris
dimana perintah akan dihapus.
-R Penggunaannya sama seperti --delete, tetapi command

--replace ini menggantinya dengan entry yang baru.
-I Memasukkan aturan pada suatu baris di chain. Aturan akan

--insert dimasukkan pada baris yang disebutkan, dan aturan awal
yang menempati baris tersebut akan digeser ke bawah.
Demikian pula baris-baris selanjutnya.
-L Perintah ini menampilkan semua aturan pada sebuah tabel.

--list Apabila tabel tidak disebutkan, maka seluruh aturan pada
semua tabel akan ditampilkan, walaupun tidak ada aturan
sama sekali pada sebuah tabel. Command ini bisa
dikombinasikan dengan option –v (verbose), -n (numeric)
dan –x (exact).
-F Perintah ini mengosongkan aturan pada sebuah chain.

--flush Apabila chain tidak disebutkan, maka semua chain akan di-
flush.
-N Perintah tersebut akan membuat chain baru.

--new-chain
-X Perintah ini akan menghapus chain yang disebutkan. Agar

--delete-chain perintah di atas berhasil, tidak boleh ada aturan lain yang
mengacu kepada chain tersebut.
-P Perintah ini membuat kebijakan default pada sebuah chain.

--policy Sehingga jika ada sebuah paket yang tidak memenuhi
aturan pada baris-baris yang telah didefinisikan, maka paket
akan diperlakukan sesuai dengan kebijakan default ini.
-E Perintah ini akan merubah nama suatu chain.

--rename-chain
3. Option
Option digunakan dikombinasikan dengan command tertentu yang akan menghasilkan

suatu variasi perintah.
Option Command Pemakai Keterangan
-v --list Memberikan output

--verbose --append yang lebih detail,
--insert utamanya
--delete digunakan dengan -
--replace -list. Jika
digunakan dengan
  --list, akan
menampilkam K
(x1.000),   M
(1.000.000) dan G
(1.000.000.000).
-x --list Memberikan output

--exact yang lebih tepat.
-n --list Memberikan output

--numeric yang berbentuk
angka. Alamat IP
dan nomor port
akan ditampilkan
dalam bentuk angka
dan bukan hostname
ataupun nama
aplikasi/servis.
--line-number --list Akan menampilkan

nomor dari daftar
aturan. Hal ni akan
mempermudah bagi
kita untuk
melakukan
modifikasi aturan,
jika kita mau
meyisipkan atau
menghapus aturan
dengan nomor
tertentu.
--modprobe All Memerintahkan
IPTables untuk
memanggil modul
tertentu. Bisa
digunakan
bersamaan dengan
semua command.
4. Generic Matches
Generic Matches artinya pendefinisian kriteria yang berlaku secara umum. Dengan kata lain,
sintaks generic matches akan sama untuk semua protokol. Setelah protokol didefinisikan,
maka baru didefinisikan aturan yang lebih spesifik yang dimiliki oleh protokol tersebut. Hal
ini dilakukan karena tiap-tiap protokol memiliki karakteristik yang berbeda, sehingga
memerlukan perlakuan khusus.
Match Keterangan
-p Digunakan untuk mengecek tipe protokol tertentu.

--protocol Contoh protokol yang umum adalah TCP, UDP, ICMP
dan ALL. Daftar protokol bisa dilihat pada
/etc/protocols.
Tanda inversi juga bisa diberlakukan di sini, misal kita

menghendaki semua protokol kecuali icmp, maka kita
bisa menuliskan --protokol ! icmp yang berarti
semua kecuali icmp.
-s Kriteria ini digunakan untuk mencocokkan paket

--src berdasarkan alamat IP asal. Alamat di sini bisa
--source berberntuk alamat tunggal seperti 192.168.1.1, atau suatu
alamat network menggunakan netmask misal
192.168.1.0/255.255.255.0, atau bisa juga ditulis
192.168.1.0/24 yang artinya semua alamat 192.168.1.x.
Kita juga bisa menggunakan inversi.
-d Digunakan untuk mecocokkan paket berdasarkan alamat

--dst tujuan. Penggunaannya sama dengan match –src
--destination
-i Match ini berguna untuk mencocokkan paket
--in-interface berdasarkan interface di mana paket datang. Match ini
hanya berlaku pada chain INPUT, FORWARD dan
PREROUTING
-o Berfungsi untuk mencocokkan paket berdasarkan

--out-interface interface di mana paket keluar. Penggunannya sama
dengan   --in-interface. Berlaku untuk chain
OUTPUT, FORWARD dan POSTROUTING
5. Implicit Matches
Implicit Matches adalah match yang spesifik untuk tipe protokol tertentu. Implicit Match
merupakan sekumpulan rule yang akan diload setelah tipe protokol disebutkan. Ada 3
Implicit Match berlaku untuk tiga jenis protokol, yaitu TCP matches, UDP matches dan ICMP
matches.
a. TCP matches
Match Keterangan
--sport Match ini berguna untuk mecocokkan paket berdasarkan

--source-port port asal. Dalam hal ini kia bisa mendefinisikan nomor
port atau nama service-nya. Daftar nama service dan
nomor port yang bersesuaian dapat dilihat di
/etc/services.
--sport juga bisa dituliskan untuk range port tertentu.

Misalkan kita ingin mendefinisikan range antara port 22
sampai dengan 80, maka kita bisa menuliskan --sport
22:80.
Jika bagian salah satu bagian pada range tersebut kita

hilangkan maka hal itu bisa kita artikan dari port 0, jika
bagian kiri yang kita hilangkan, atau 65535 jika bagian
kanan yang kita hilangkan. Contohnya --sport :80
artinya paket dengan port asal nol sampai dengan 80,
atau --sport 1024: artinya paket dengan port asal
1024 sampai dengan 65535.Match ini juga mengenal
inversi.
--dport Penggunaan match ini sama dengan match --source-

--destination-port port.
--tcp-flags Digunakan untuk mencocokkan paket berdasarkan TCP

flags yang ada pada paket tersebut. Pertama, pengecekan
akan mengambil daftar flag yang akan diperbandingkan,
dan kedua, akan memeriksa paket yang di-set 1, atau on.
Pada kedua list, masing-masing entry-nya harus

dipisahkan oleh koma dan tidak boleh ada spasi antar
entry, kecuali spasi antar kedua list. Match
ini mengenali SYN,ACK,FIN,RST,URG, PSH.
Selain itu kita juga menuliskan ALL dan NONE. Match
ini juga bisa menggunakan inversi.
--syn Match ini akan memeriksa apakah flag SYN di-set dan
ACK dan FIN tidak di-set. Perintah ini sama artinya jika
kita menggunakan match --tcp-flags
SYN,ACK,FIN SYN
Paket dengan match di atas digunakan untuk melakukan

request koneksi TCP yang baru terhadap server
b. UDP Matches
Karena bahwa protokol UDP bersifat connectionless, maka tidak ada flags yang
mendeskripsikan status paket untuk untuk membuka atau menutup koneksi. Paket UDP juga
tidak memerlukan acknowledgement. Sehingga Implicit Match untuk protokol UDP lebih
sedikit daripada TCP.  Ada dua macam match untuk UDP:
--sport atau --source-port

--dport atau --destination-port
c. ICMP Matches
Paket ICMP digunakan untuk mengirimkan pesan-pesan kesalahan dan kondisi-kondisi

jaringan yang lain. Hanya ada satu implicit match untuk tipe protokol ICMP, yaitu :
--icmp-type
6. Explicit Matches
a. MAC Address
Match jenis ini berguna untuk melakukan pencocokan paket berdasarkan MAC source
address. Perlu diingat bahwa MAC hanya berfungsi untuk jaringan yang menggunakan
teknologi ethernet.
iptables –A INPUT –m mac –mac-source 00:00:00:00:00:01
b. Multiport Matches
Ekstensi Multiport Matches digunakan untuk mendefinisikan port atau port range lebih dari
satu, yang berfungsi jika ingin didefinisikan aturan yang sama untuk beberapa port. Tapi hal
yang perlu diingat bahwa kita tidak bisa menggunakan port matching standard dan
multiport matching dalam waktu yang bersamaan.
iptables –A INPUT –p tcp –m multiport --source-port

22,53,80,110
c. Owner Matches
Penggunaan match ini untuk mencocokkan paket berdasarkan pembuat atau pemilik/owner
paket tersebut. Match ini bekerja dalam chain OUTPUT, akan tetapi penggunaan match ini
tidak terlalu luas, sebab ada beberapa proses tidak memiliki owner (??).
iptables –A OUTPUT –m owner --uid-owner 500

Kita juga bisa memfilter berdasarkan group ID dengan sintaks --gid-owner. Salah satu
penggunannya adalah bisa mencegah user selain yang dikehendaki untuk mengakses
internet misalnya.
d. State Matches
Match ini mendefinisikan state apa saja yang cocok. Ada 4 state yang berlaku, yaitu NEW,
ESTABLISHED, RELATED dan INVALID. NEW digunakan untuk paket yang akan memulai
koneksi baru. ESTABLISHED digunakan jika koneksi telah tersambung dan paket-paketnya
merupakan bagian dari koneki tersebut. RELATED digunakan untuk paket-paket yang bukan
bagian dari koneksi tetapi masih berhubungan dengan koneksi tersebut, contohnya adalah
FTP data transfer yang menyertai sebuah koneksi TCP atau UDP. INVALID adalah paket yang
tidak bisa diidentifikasi, bukan merupakan bagian dari koneksi yang ada.
iptables –A INPUT –m state --state RELATED,ESTABLISHED

7. Target/Jump
Target atau jump adalah perlakuan yang diberikan terhadap paket-paket yang memenuhi
kriteria atau match. Jump memerlukan sebuah chain yang lain dalam tabel yang sama. Chain
tersebut nantinya akan dimasuki oleh paket yang memenuhi kriteria. Analoginya ialah chain
baru nanti berlaku sebagai prosedur/fungsi dari program utama. Sebagai contoh dibuat
sebuah chain yang bernama tcp_packets. Setelah ditambahkan aturan-aturan ke dalam
chain tersebut, kemudian chain tersebut akan direferensi dari chain input.
iptables –A INPUT –p tcp –j tcp_packets

Target Keterangan
-j ACCEPT Ketika paket cocok dengan daftar match dan target ini
--jump ACCEPT diberlakukan, maka paket tidak akan melalui baris-baris
aturan yang lain dalam chain tersebut atau chain yang lain
yang mereferensi chain tersebut. Akan tetapi paket masih
akan memasuki chain-chain pada tabel yang lain seperti
biasa.
-j DROP Target ini men-drop paket dan menolak untuk memproses

--jump DROP lebih jauh. Dalam beberapa kasus mungkin hal ini kurang
baik, karena akan meninggalkan dead socket antara client
dan server.
Paket yang menerima target DROP benar-benar mati dan

target tidak akan mengirim informasi tambahan dalam
bentuk apapun kepada client atau server.
-j RETURN Target ini akan membuat paket berhenti melintasi aturan-

--jump RETURN aturan pada chain dimana paket tersebut menemui target
RETURN. Jika chain merupakan subchain dari chain yang
lain, maka paket akan kembali ke superset chain di atasnya
dan masuk ke baris aturan berikutnya. Apabila chain adalah
chain utama misalnya INPUT, maka paket akan
dikembalikan kepada kebijakan default dari chain tersebut.
-j MIRROR Apabila kompuuter A menjalankan target seperti contoh di

atas, kemudian komputer B melakukan koneksi http ke
komputer A, maka yang akan muncul pada browser adalah
website komputer B itu sendiri. Karena fungsi utama target
ini adalah membalik source address dan destination address.
Target ini bekerja pada chain INPUT, FORWARD dan

PREROUTING atau chain buatan yang dipanggil melalui
chain tersebut.
Beberapa target yang lain biasanya memerlukan parameter tambahan:
a. LOG Target
Ada beberapa option yang bisa digunakan bersamaan dengan target ini. Yang pertama
adalah yang digunakan untuk menentukan tingkat log. Tingkatan log yang bisa digunakan
adalah debug, info, notice, warning, err, crit, alert dan emerg.Yang kedua adalah -j LOG --
log-prefix yang digunakan untuk memberikan string yang tertulis pada awalan log, sehingga
memudahkan pembacaan log tersebut.
iptables –A FORWARD –p tcp –j LOG --log-level debug

iptables –A INPUT –p tcp –j LOG --log-prefix “INPUT Packets”
b. REJECT Target
Secara umum, REJECT bekerja seperti DROP, yaitu memblok paket dan menolak untuk
memproses lebih lanjut paket tersebut. Tetapi, REJECT akan mengirimkan error message ke
host pengirim paket tersebut. REJECT bekerja pada chain INPUT, OUTPUT dan FORWARD
atau pada chain tambahan yang dipanggil dari ketiga chain tersebut.
iptables –A FORWARD –p tcp –dport 22 –j REJECT --reject-with icmp-host-unreachable

Ada beberapa tipe pesan yang bisa dikirimkan yaitu icmp-net-unreachable, icmp-host-
unreachable, icmp-port-unreachable, icmp-proto-unrachable, icmp-net-prohibited dan
icmp-host-prohibited.  c. SNAT Target
Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source Network
Address Translation). Target ini berlaku untuk tabel nat pada chain POSTROUTING, dan
hanya di sinilah SNAT bisa dilakukan. Jika paket pertama dari sebuah koneksi mengalami
SNAT, maka paket-paket berikutnya dalam koneksi tersebut juga akan mengalami hal yang
sama.
iptables –t nat –A POSTROUTING –o eth0 –j SNAT --to-source

194.236.50.155-194.236.50.160:1024-32000
d. DNAT Target
Berkebalikan dengan SNAT, DNAT digunakan untuk melakukan translasi field alamat tujuan
(Destination Network Address Translation) pada header dari paket-paket yang memenuhi
kriteria match. DNAT hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT
atau chain buatan yang dipanggil oleh kedua chain tersebut.
iptables –t nat –A PREROUTING –p tcp –d 15.45.23.67 --dport 80

–j DNAT --to-destination 192.168.0.2
e. MASQUERADE Target
Secara umum, target MASQUERADE bekerja dengan cara yang hampir sama seperti target
SNAT, tetapi target ini tidak memerlukan option --to-source. MASQUERADE memang
didesain untuk bekerja pada komputer dengan koneksi yang tidak tetap seperti dial-up atau
DHCP yang akan memberi pada kita nomor IP yang berubah-ubah.
Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel nat pada chain
POSTROUTING.
iptables –t nat –A POSTROUTING –o ppp0 –j MASQUERADE

f. REDIRECT Target
Target REDIRECT digunakan untuk mengalihkan jurusan (redirect) paket ke mesin itu sendiri.
Target ini umumnya digunakan untuk mengarahkan paket yang menuju suatu port tertentu
untuk memasuki suatu aplikasi proxy, lebih jauh lagi hal ini sangat berguna untuk
membangun sebuah sistem jaringan yang menggunakan transparent proxy. Contohnya kita
ingin mengalihkan semua koneksi yang menuju port http untuk memasuki aplikasi http
proxy misalnya squid. Target ini hanya bekerja untuk tabel nat pada chain PREROUTING dan
OUTPUT atau pada chain buatan yang dipanggil dari kedua chain tersebut.
iptables –t nat –A PREROUTING –i eth1 –p tcp --dport 80 –j

REDIRECT --to-port 3128
ALAT & BAHAN
 1 unit PC
 Virtual Machine
 OS Windows Server 2003
LANGKAH KERJA
1. Buatlah jaringan seperti topologi pada gambar 1.0
Gambar 1.0
2. Buatlah tabel chain dan rule yang akan diimplementasikan pada topologi yang akan
digunakan, seperti tabel 1.0
Source Destination
No. Chain Action
IP Address Port Protocol IP Address Port Protocol
1 POST 192.168.1.0/24 ANY ANY ANY ANY ANY MASQUERADE
2 POST 10.200.74.0/24 ANY ANY ANY ANY ANY MASQUERADE
3 FORWARD 1.34.80.0/24 - ICMP 10.200.74.0/24 - ICMP DROP
4 FORWARD 1.34.80.0/24 - ICMP 192.168.1.0/24 - ICMP DROP
5 FORWARD 192.168.1.0/24 ANY TCP ANY 80 TCP DROP
6 FORWARD 192.168.1.0/24 ANY TCP 1.34.80.0/24 139 TCP LOG
7 FORWARD 10.200.74.0/24 22 TCP 192.168.1.0/24 22 TCP DROP

8 FORWARD 10.200.74.0/24 22 TCP 1.34.80.0/24 22 TCP LOG
9 FORWARD ANY ANY ANY ANY ANY ANY ACCEPT
Tabel 1.0
3. Lakukan konfigurasi IP Address pada setiap host :

a. Host LAN 1
eth1 : 10.200.74.2/24
Gateway : 10.200.74.1
b. Host LAN 2
eth1 : 192.168.1.2/24
Gateway : 192.168.1.1
c. Host LAN 3
eth1 : 1.34.80.2/24
Gateway : 1.34.80.1
d. Firewall
eth1 : 10.200.74.1/24
eth2 : 192.168.1.1/24
eth4 : 1.34.80.1/24
eth5 : DHCP
4. Lakukan pengecekan awal bahwa setiap firewall dan sistem packet filtering belum
diimplementasikan. Artinya antar jaringan masih bebas untuk melakukan koneksi
apapun satu sama lain.
5. Lakukan konfigurasi packet filtering sesuai dengan tabel 1.0 dengan memasukan
perintah berikut :
a. iptables –t nat –A POSTROUTING –o –eth5 –j SNAT –to 172.16.16.19
b. iptables –A FORWARD –s 1.34.80.0/24 –p icmp –d 10.200.74.0/24 –j DROP

c. iptables –A FORWARD –s 1.34.80.0/24 –p icmp –d 192.168.1.0/24 –j DROP
d. iptables –A FORWARD –s 192.168.1.0/24 –p tcp –d 0/0 --dport 80 –j LOG

e. iptables –A FORWARD –s 192.168.1.0/24 –p tcp –d 1.34.80.0/24 --dport 139 –
j LOG
f. iptables –A FORWARD –s 10.200.74.0/24 –p tcp –d 1.34.80.0/24 --dport 22 -j

LOG
g. iptables –A FORWARD –s 10.200.74.0/24 -p tcp -d 192.168.1.0/24 --dport 22 -
j DROP
h. iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
6. Lakukan pengetesan terhadap jaringan yang sudah terkonfigurasi firewall dan packet
filteringnya.
HASIL PENGAMATAN
1. Kondisi jaringan dan koneksi antar host sebelum firewall dan packet filtering
diimplementasikan :
a. Host LAN 1
 Tidak adanya koneksi ke Internet
 SSH ke jaringan 192.168.1.0/24
 SSH ke jaringan 1.34.80.0/24

b. Host LAN 2
 Tidak adanya koenksi ke internet
 Melakukan file sharng Samba dengan jaringan 192.168.1.0/24

c. Host LAN 3
 Tidak adanya koneksi internet
 Melakukan pinging ke jaringan 10.200.74.0/24

 Melakukan pinging ke jaringan 192.168..0/24
d. Firewall
 Tabel IP Filter sebelum konfigurasi packet filtering
2. Kondisi jaringan dan koneksi antar host setelah firewall dan packet filtering
diimplementasikan :
a. Host LAN 1
 Adanya koneksi ke Internet
 Tidak bisa SSH ke jaringan 192.168.1.0/24
 SSH ke jaringan 1.34.80.0/24 dan kegiatan dicatat oleh firewall

b. Host LAN 2
 Adanya koenksi ke internet tapi tidak bisa melakukan browsing
 Melakukan file sharing Samba dengan jaringan 192.168.1.0/24 dan

kegiatan dicatat oleh firewall
c. Host LAN 3
 Adanya koneksi internet
 Tidak bisa melakukan pinging ke jaringan 10.200.74.0/24

 Tidak bisa melakukan pinging ke jaringan 192.168..0/24
d. Firewall
 Tabel IP Filter sesudah konfigurasi packet filtering
KESIMPULAN
 Jika action yang akan digunakan pada suatu chain, adalah ACCEPT maka
default chain terakhir harus DROP, begitu pula sebaliknya. Jadi, tidak
boleh ada action pada suatu chain yang sama dengan action chain pada
default terakhir.
 Peraturan yang akan disusun pada IP filter, dilihat dari prioritas
keamanan yang akan diimplementasikan.
 Chain default harus selalu disertakan di akhir tabel IP filter.

Proxy
No. Exp : 17
2. Adi Setiadi
TUJUAN
 Siswa dapat memahami materi tentang proxy.
 Siswa dapat membuat proxy server.
 Siswa dapat melakukan konfigurasi proxy server dengan menggunakan
squid.
PENDAHULUAN
Proxy server
Dalam jaringan komputer, sebuah perantara peladen' adalah sebuah [peladen

[(komputasi)peladen]] (sistem komputer atau aplikasi) yang bertindak sebagai perantara
permintaan dari klien mencari sumber daya dari server lain. Klien A terhubung ke peladen
perantara, meminta beberapa servis, seperti berkas, koneksi, halaman web, atau sumber
daya lainnya, yang tersedia dari peladen yang berbeda. Server perantara mengevaluasi
permintaan menurut aturan penyaringan. Sebagai contoh, mungkin tapis lalu lintas oleh
[alamat [IP]] atau protokol. Jika permintaan divalidasi oleh tapis, perantara menyediakan
sumber daya dengan menghubungkan ke peladen yang relevan dan meminta layanan atas
nama klien. Sebuah peladen perantara secara opsional dapat mengubah permohonan klien
atau menanggapi di server, dan kadang-kadang mungkin melayani permintaan tanpa
menghubungi peladen yang ditetapkan. Dalam hal ini, tanggapan yang tembolok dari
remote peladen, dan selanjutnya kembali permintaan konten yang sama secara langsung.
Squid
adalah sebuah daemon yang digunakan sebagai proxy server dan web cache. Squid memiliki
banyak jenis penggunaan, mulai dari mempercepat server web dengan melakukan caching
permintaan yang berulang-ulang, caching DNS, caching situs web, dan caching pencarian
komputer di dalam jaringan untuk sekelompok komputer yang menggunakan sumber daya
jaringan yang sama, hingga pada membantu keamanan dengan cara melakukan penyaringan
(filter) lalu lintas. Meskipun seringnya digunakan untuk protokol HTTP dan FTP, Squid juga
menawarkan dukungan terbatas untuk beberapa protokol lainnya termasuk Transport Layer
Security (TLS), Secure Socket Layer (SSL), Internet Gopher, dan HTTPS. Versi Squid 3.1
mencakup dukungan protokol IPv6 dan Internet Content Adaptation Protocol (ICAP).
Squid pada awalnya dikembangkan oleh Duane Wessels sebagai "Harvest object cache",
yang merupakan bagian dari proyek Harvest yang dikembangkan di University of Colorado at
Boulder. Pekerjaan selanjutnya dilakukan hingga selesai di University of California, San
Diego dan didanai melalui National Science Foundation. Squid kini hampir secara eksklusif
dikembangkan dengan cara usaha sukarela.
Squid umumnya didesain untuk berjalan di atas sistem operasi mirip UNIX, meski Squid juga
bisa berjalan di atas sistem operasi Windows. Karena dirilis di bawah lisensi GNU General
Public License, maka Squid merupakan perangkat lunak bebas.
Web proxy
Caching merupakan sebuah cara untuk menyimpan objek-objek Internet yang diminta (seperti
halnya data halaman web) yang bisa diakses melalui HTTP, FTP dan Gopher di dalam
sebuah sistem yang lebih dekat dengan situs yang memintanya. Beberapa penjelajah web
dapat menggunakan cache Squid lokal untuk sebagai server proxy HTTP, sehingga dapat
mengurangi waktu akses dan juga tentu saja konsumsi bandwidth. Hal ini sering berguna bagi
para penyedia layanan Internet untuk meningkatkan kecepatan kepada para pelanggannya,
dan LAN yang membagi saluran Internet. Karena memang bentuknya sebagai proxy (ia
berlaku sebagaimana layaknya klien, sesuai dengan permintaan klien), web cache bisa
menyediakan anonimitas dan keamanan. Tapi, web cache juga bisa menjadi masalah yang
signifikan bila melihat masalah privasi, karena memang ia dapat mencatat banyak data,
termasuk URL yang diminta oleh klien, kapan hal itu terjadi, nama dan versi penjelajah web
yang digunakan klien serta sistem operasinya, dan dari mana ia mengakses situs itu.
Selanjutnya, sebuah program klien (sebagai contoh adalah penjelajah web) bisa menentukan
secara ekplisit proxy server yang digunakan bila memang hendak menggunakan proxy
(umumnya bagi para pelanggan ISP) atau bisa juga menggunakan proxy tanpa konfigurasi
ekstra, yang sering disebut sebagai "Transparent Caching", di mana semua permintaan HTTP
ke jaringan luar akan diolah oleh proxy server dan semua respons disimpan di dalam cache.
Kasus kedua umumnya dilakukan di dalam perusahaan dan korporasi (semua klien berada di
dalam LAN yang sama) dan sering memiliki masalah privasi yang disebutkan di atas.
Squid memiliki banyak fitur yang bisa membantu melakukan koneksi secara anonim, seperti
memodifikasi atau mematikan beberapa field header tertentu dalam sebuah permintaan HTTP
yang diajukan oleh klien. Saat itu terpenuhi, apa yang akan dilakukan oleh Squid adalah
tergantung orang yang menangani komputer yang menjalankan Squid. Orang yang meminta
halaman web melalui sebuah jaringan yang secara transparan yang menggunakan biasanya
tidak mengetahui bahwa informasi semua permintaan HTTP yang mereka ajukan dicatat oleh
Squid.
ALAT & BAHAN

 OS Linux (Proxy server dan client) (Menggunakan virtual machine)
 Package squid (stable)
 Koneksi internet
LANGKAH KERJA
1. Lakukan konfigurasi jaringan seperti data di bwah ini :
Server
Interface : eth1 = 192.168.1.1/24
eth2 = 192.168.0.10/24
Client
Interface : eth0 = 192.168.1.2/24
2. Lakukan konfigurasi routing dan juga NAT untuk jaringan tersebut.
3. Buatlah satu partisi khusus untuk cache pada proxy server (e.g. /cache)
4. Lakukan instalasi package squid dengan menggunakan perintah apt-get install squid .
5. Setelah itu lakukan konfigurasi squid pada file squid.conf dengan perintah nano
/etc/squid/squid.conf lalu masukan script berikut :
http_port 3128
icp_port 0
cache_mem 128 MB
cache_dir ufs /cache 1500 4 256
negative_ttl 3 minutes
cache_effective_user proxyke13
cache_effective_group proxyke13
maximum_object_sizze 2048 KB
minimum_object_sze 8 KB
ftp_user proxy@kelompok3.com
acl Block dstdomain .facebook.com .twitter.com .plurk.com
http_access deny Block
http_access allow all
cache_mgr proxy@kelompok3.com
visible_hostname www.proxykelompok3.com
half_closed_clients off
cache_swap_high 100%
cache_swap_low 80%
6. Lalu lakukan restart squid dengan perintah squid -k reconfigure atau service squid
restart . (Lakukan restart jika sebelumnya squid telah berjalan. Jika belum lakukan
dengan perintah squid -z)
7. Setelah itu lakukan pengetesan melalui client dengan mengisikan alamat proxy pada
web browser (e.g. Firefox).
HASIL PENGAMATAN
 Membuka website yang masuk dalam daftar yang tidak dibolehkan.
 Membuka website yang tidak masuk dalam daftar yang tidak dibolehkan.
 Melihat isi partisi /cache.
 Melihat log dari proxy server.
KESIMPULAN
 Proxy dapat diaplikasikan untuk mekanisme perlindungan PC dari
harmful program secara graphical.
 Sedikit berbeda dengan Packet Filtering, Proxy lebih dapat dirasakan
oleh user pengguna koneksi jaringan, yaitu perlindungan yang disertakan
dengan notify pada web browser. Sehingga dirasakan lebih aman bagi
orang awam.
 Walaupun demikian, Packet Filtering dengan memanfaatkan IPTABLES
lebih ketat dibanding Proxy. Namun yang lebih dirasakan manfaatnya
secara langsung memang Proxy.
Exp : Diagnosa LAN

Transparent Kelas : XI TKJ B
No. Exp : 18
Proxy Instruktur : 1. Rudi Haryadi
2. Adi Setiadi
TUJUAN
 Siswa dapat memahami materi tentang transparent proxy.
 Siswa dapat membuat transparent proxy server.
 Siswa dapat melakukan konfigurasi transparent proxy server dengan
menggunakan squid.
Proxy server
Dalam jaringan komputer, sebuah perantara peladen' adalah sebuah [peladen

[(komputasi)peladen]] (sistem komputer atau aplikasi) yang bertindak sebagai perantara
permintaan dari klien mencari sumber daya dari server lain. Klien A terhubung ke peladen
perantara, meminta beberapa servis, seperti berkas, koneksi, halaman web, atau sumber
daya lainnya, yang tersedia dari peladen yang berbeda. Server perantara mengevaluasi
permintaan menurut aturan penyaringan. Sebagai contoh, mungkin tapis lalu lintas oleh
[alamat [IP]] atau protokol. Jika permintaan divalidasi oleh tapis, perantara menyediakan
sumber daya dengan menghubungkan ke peladen yang relevan dan meminta layanan atas
nama klien. Sebuah peladen perantara secara opsional dapat mengubah permohonan klien
atau menanggapi di server, dan kadang-kadang mungkin melayani permintaan tanpa
menghubungi peladen yang ditetapkan. Dalam hal ini, tanggapan yang tembolok dari
remote peladen, dan selanjutnya kembali permintaan konten yang sama secara langsung.
Squid
adalah sebuah daemon yang digunakan sebagai proxy server dan web cache. Squid memiliki
banyak jenis penggunaan, mulai dari mempercepat server web dengan melakukan caching
permintaan yang berulang-ulang, caching DNS, caching situs web, dan caching pencarian
komputer di dalam jaringan untuk sekelompok komputer yang menggunakan sumber daya
jaringan yang sama, hingga pada membantu keamanan dengan cara melakukan penyaringan
(filter) lalu lintas. Meskipun seringnya digunakan untuk protokol HTTP dan FTP, Squid juga
menawarkan dukungan terbatas untuk beberapa protokol lainnya termasuk Transport Layer
Security (TLS), Secure Socket Layer (SSL), Internet Gopher, dan HTTPS. Versi Squid 3.1
mencakup dukungan protokol IPv6 dan Internet Content Adaptation Protocol (ICAP).
Squid pada awalnya dikembangkan oleh Duane Wessels sebagai "Harvest object cache",
yang merupakan bagian dari proyek Harvest yang dikembangkan di University of Colorado at
Boulder. Pekerjaan selanjutnya dilakukan hingga selesai di University of California, San Diego
dan didanai melalui National Science Foundation. Squid kini hampir secara eksklusif
dikembangkan dengan cara usaha sukarela.
Squid umumnya didesain untuk berjalan di atas sistem operasi mirip UNIX, meski Squid juga
bisa berjalan di atas sistem operasi Windows. Karena dirilis di bawah lisensi GNU General
Public License, maka Squid merupakan perangkat lunak bebas.
Web proxy
Caching merupakan sebuah cara untuk menyimpan objek-objek Internet yang diminta
(seperti halnya data halaman web) yang bisa diakses melalui HTTP, FTP dan Gopher di dalam
sebuah sistem yang lebih dekat dengan situs yang memintanya. Beberapa penjelajah web
dapat menggunakan cache Squid lokal untuk sebagai server proxy HTTP, sehingga dapat
mengurangi waktu akses dan juga tentu saja konsumsi bandwidth. Hal ini sering berguna
bagi para penyedia layanan Internet untuk meningkatkan kecepatan kepada para
pelanggannya, dan LAN yang membagi saluran Internet. Karena memang bentuknya sebagai
proxy (ia berlaku sebagaimana layaknya klien, sesuai dengan permintaan klien), web cache
bisa menyediakan anonimitas dan keamanan. Tapi, web cache juga bisa menjadi masalah
yang signifikan bila melihat masalah privasi, karena memang ia dapat mencatat banyak data,
termasuk URL yang diminta oleh klien, kapan hal itu terjadi, nama dan versi penjelajah web
yang digunakan klien serta sistem operasinya, dan dari mana ia mengakses situs itu.
Selanjutnya, sebuah program klien (sebagai contoh adalah penjelajah web) bisa
menentukan secara ekplisit proxy server yang digunakan bila memang hendak menggunakan
proxy (umumnya bagi para pelanggan ISP) atau bisa juga menggunakan proxy tanpa
konfigurasi ekstra, yang sering disebut sebagai "Transparent Caching", di mana semua
permintaan HTTP ke jaringan luar akan diolah oleh proxy server dan semua respons
disimpan di dalam cache. Kasus kedua umumnya dilakukan di dalam perusahaan dan
korporasi (semua klien berada di dalam LAN yang sama) dan sering memiliki masalah privasi
yang disebutkan di atas.
Squid memiliki banyak fitur yang bisa membantu melakukan koneksi secara anonim, seperti
memodifikasi atau mematikan beberapa field header tertentu dalam sebuah permintaan
HTTP yang diajukan oleh klien. Saat itu terpenuhi, apa yang akan dilakukan oleh Squid
adalah tergantung orang yang menangani komputer yang menjalankan Squid. Orang yang
meminta halaman web melalui sebuah jaringan yang secara transparan yang menggunakan
biasanya tidak mengetahui bahwa informasi semua permintaan HTTP yang mereka ajukan
dicatat oleh Squid.
Transparent Proxy
Salah satu kompleksitas dari proxy pada level aplikasi adalah bahwa pada sisi pengguna
harus dilakukan konfigurasi yang spesifik untuk suatu proxy tertentu agar bisa menggunakan
layanan dari suatu proxy server. Bila diinginkan agar pengguna tidak harus melakukan
konfigurasi khusus, kita bisa mengkonfigurasi proxy/cache server agar berjalan secara
benar-benar transparan terhadap pengguna (transparent proxy). Biasanya cara ini
memerlukan bantuan dan konfigurasi aplikasi firewall (yang bekerja pada layer network)
untuk bisa membuat transparent proxy yang bekerja pada layer aplikasi.
Transparent proxy dapat berguna untuk “memaksa pengguna” menggunakan proxy/cache

server, karena pengguna benar-benar tidak mengetahui tentang keberadaan proxy ini, dan
apapun konfigurasi pada sisi pengguna, selama proxy server ini berada pada jalur jaringan
yang pasti dilalui oleh pengguna untuk menuju ke internet, maka pengguna pasti dengan
sendirinya akan “menggunakan” proxy/cache ini.
Cara membuat transparent proxy adalah dengan membelokkan arah (redirecting) dari
paket-paket untuk suatu aplikasi tertentu, dengan menggunakan satu atau lebih aturan
pada firewall/router. Hal ini bisa dilakukan karena setiap aplikasi berbasis TCP akan
menggunakan salah satu port yang tersedia, dan firewall dapat diatur agar membelokkan
paket yang menuju ke port layanan tertentu, ke arah port dari proxy yang bersesuaian.
Sebagai contoh, pada saat klient membuka hubungan HTTP (port 80) dengan suatu web
server, firewall pada router yang menerima segera mengenali bahwa ada paket data yang
berasal dari klien dengan nomor port 80. Disini kita juga mempunyai satu HTTP proxy server
yang berjalan pada port 3130. Maka pada firewall router kita buat satu aturan yang
menyatakan bahwa setiap paket yang datang dari jaringan lokal menuju ke port 80 harus
dibelokkan ke arah alamat HTTP proxy server port 3130. Akibatnya, semua permintaan web
dari pengguna akan masuk dan diwakili oleh HTTP proxy server diatas.
Jadi secara umum keuntungan dari metode transparent proxy itu sendiri adalah :
1. Kemudahan administrasi jaringan, dengan artian browser yang digunakan klien tidak
harus dikonfigurasi secara khusus yang menyatakan bahwa mereka menggunakan
fasilitas proxy yang bersangkutan.
2. Sentralisasi kontrol, dengan artian, pergantian metode bypass proxy maupun
penggunaan proxy oleh klien dapat dilakukan secara terpusat.
ALAT & BAHAN

 OS Linux (Proxy server dan client) (Menggunakan virtual machine)
 Package squid (stable)
 Koneksi internet
LANGKAH KERJA
1. Buatlah topologi seperti gambar 1.0
2. Lakukan konfigurasi jaringan seperti data di bwah ini :
Server
Interface : eth1 = 192.168.1.1/24
eth2 = 192.168.0.10/24
Client
Interface : eth0 = 192.168.1.2/24
3. Lakukan konfigurasi routing dan juga NAT untuk jaringan tersebut.
4. Buatlah satu partisi khusus untuk cache pada proxy server (e.g. /cache)
5. Lakukan instalasi package squid dengan menggunakan perintah apt-get install squid .
6. Setelah itu lakukan konfigurasi squid pada file squid.conf dengan perintah nano
/etc/squid/squid.conf lalu masukan script berikut :
http_port 3128 transparent

icp_port 0
cache_mem 128 MB
cache_dir ufs /cache 1500 4 256
negative_ttl 3 minutes
cache_effective_user proxyke13
cache_effective_group proxyke13
maximum_object_sizze 2048 KB
minimum_object_sze 8 KB
ftp_user proxy@kelompok3.com
acl LANKelompok3 src 192.168.1.0/24
acl Block dstdomain .facebook.com .twitter.com .plurk.com
http_access deny Block
http_access allow LANKelompok3
cache_mgr proxy@kelompok3.com
visible_hostname www.proxykelompok3.com
cache_swap_high 100%
cache_swap_low 80%
7. Lalu lakukan restart squid dengan perintah squid -k reconfigure atau service squid
restart . (Lakukan restart jika sebelumnya squid telah berjalan. Jika belum lakukan
dengan perintah squid -z)
8. Masukan perintah untuk membelokan port dari port 80 ke port squid. Dengan
perintah iptables :
9. Setelah itu lakukan pengetesan melalui client dengan mengisikan opsi “No Proxy”
pada web browser (e.g. Firefox).
HASIL PENGAMATAN
 Membuka website yang masuk dalam daftar yang tidak dibolehkan.
 Membuka website yang tidak masuk dalam daftar yang tidak dibolehkan.
KESIMPULAN
 Transparent Proxy merupakan Proxy yang sifatnya Force atau memaksa
pengguna untuk mengakses Proxy terlebih dahulu sebelum mengakses
internet.
 Dengan menggunakan Transparent Proxy, kita tidak perlu melakukan
setting manual pada web browser atau internet setting lainnya.
Prog Studi : TKJ Nama : Faris Arifiansyah
Exp : Diagnosa
Kelas : XI TKJ B
LAN
Observasi
No. Exp : 19
2. Adi Setiadi
TUJUAN
 Siswa dapat mengimplementasikan materi yang telah di dapat dari
pelajaran diagnose LAN.
 Siswa dapat melakukan diagnosis dan repairing dalam suatu jaringan
yang memiliki masalah.
 Siswa dapat membuat sistem pengamanan jaringan atau
perencanaan system pengamanan jaringan.
 Siswa dapat mengembangkan jiwa kewirausahaan.
PENDAHULUAN
Jaringan komputer adalah sebuah sistem yang terdiri atas komputer,

software dan perangkat jaringan lainnya yang bekerja bersama-sama untuk
mencapai suatu tujuan yang sama. Tujuan dari jaringan komputer adalah:
 Membagi sumber daya: contohnya berbagi pemakaian printer, CPU,

memori, harddisk
 Komunikasi: contohnya surat elektronik, instant messaging, chatting
 Akses informasi: contohnya web browsing
Agar dapat mencapai tujuan yang sama, setiap bagian dari jaringan
komputer meminta dan memberikan layanan (service). Pihak yang
meminta/menerima layanan disebut klien (client) dan yang
memberikan/mengirim layanan disebut pelayan (server). Arsitektur ini disebut
dengan sistem client-server, dan digunakan pada hampir seluruh aplikasi
jaringan komputer.
Klasifikasi
Berdasarkan skala :
 Local Area Network (LAN): suatu jaringan komputer yang

menghubungkan suatu komputer dengan komputer lain dengan jarak
yang terbatas.
 Metropolitant Area Network (MAN): prinsip sama dengan LAN, hanya
saja jaraknya lebih luas, yaitu 10-50 km.
 Wide Area Network (WAN): jaraknya antar kota, negara, dan benua.
ini sama dengan internet.
Berdasarkan fungsi : Pada dasarnya setiap jaringan komputer ada yang

berfungsi sebagai client dan juga server. Tetapi ada jaringan yang memiliki
komputer yang khusus didedikasikan sebagai server sedangkan yang lain
sebagai client. Ada juga yang tidak memiliki komputer yang khusus berfungsi
sebagai server saja. Karena itu berdasarkan fungsinya maka ada dua jenis
jaringan komputer:
 Client-server
Yaitu jaringan komputer dengan komputer yang didedikasikan khusus

sebagai server. Sebuah service/layanan bisa diberikan oleh sebuah
komputer atau lebih. Contohnya adalah sebuah domain seperti
www.detik.com yang dilayani oleh banyak komputer web server. Atau
bisa juga banyak service/layanan yang diberikan oleh satu komputer.
Contohnya adalah server jtk.polban.ac.id yang merupakan satu
komputer dengan multi service yaitu mail server, web server, file server,
database server dan lainnya.
 Peer-to-peer
Yaitu jaringan komputer dimana setiap host dapat menjadi server dan
juga menjadi client secara bersamaan. Contohnya dalam file sharing
antar komputer di Jaringan Windows Network Neighbourhood ada 5
komputer (kita beri nama A,B,C,D dan E) yang memberi hak akses
terhadap file yang dimilikinya. Pada satu saat A mengakses file share
dari B bernama data_nilai.xls dan juga memberi akses file soal_uas.doc
kepada C. Saat A mengakses file dari B maka A berfungsi sebagai
client dan saat A memberi akses file kepada C maka A berfungsi
sebagai server. Kedua fungsi itu dilakukan oleh A secara bersamaan
maka jaringan seperti ini dinamakan peer to peer.
Berdasarkan topologi jaringan, jaringan komputer dapat dibedakan atas:
 Topologi bus
 Topologi bintang
 Topologi cincin
 Topologi mesh
 Topologi pohon
 Topologi linier
Berdasarkan kriterianya, jaringan komputer dibedakan menjadi 4 yaitu:
1. Berdasarkan distribusi sumber informasi/data

o Jaringan terpusat
Jaringan ini terdiri dari komputer klient dan server yang mana
komputer klient yang berfungsi sebagai perantara untuk mengakses
sumber informasi/data yang berasal dari satu komputer server
o Jaringan terdistribusi
Merupakan perpaduan beberapa jaringan terpusat sehingga

terdapat beberapa komputer server yang saling berhubungan
dengan klient membentuk sistem jaringan tertentu.
2. Berdasarkan jangkauan geografis dibedakan menjadi:

o Jaringan LAN
merupakan jaringan yang menghubungkan 2 komputer atau lebih

dalam cakupan seperti laboratorium, kantor, serta dalam 1 warnet.
o Jaringan MAN
Merupakan jaringan yang mencakup satu kota besar beserta daerah

setempat. Contohnya jaringan telepon lokal, sistem telepon seluler,
serta jaringan relay beberapa ISP internet.
o Jaringan WAN
Merupakan jaringan dengan cakupan seluruh dunia. Contohnya

jaringan PT Telkom, PT. Indosat, serta jaringan GSM Seluler seperti
Satelindo, Telkomsel, dan masih banyak lagi.
3. Berdasarkan peranan dan hubungan tiap komputer dalam

memproses data.
o Jaringan Client-Server
Pada jaringan ini terdapat 1 atau beberapa komputer server dan

komputer client. Komputer yang akan menjadi komputer server
maupun menjadi komputer client dan diubah-ubah melalui software
jaringan pada protokolnya. Komputer client sebagai perantara untuk
dapat mengakses data pada komputer server sedangkan komputer
server menyediakan informasi yang diperlukan oleh komputer client.
o Jaringan Peer-to-peer
Pada jaringan ini tidak ada komputer client maupun komputer server
karena semua komputer dapat melakukan pengiriman maupun
penerimaan informasi sehingga semua komputer berfungsi sebagai
client sekaligus sebagai server.
4. Berdasarkan media transmisi data

o Jaringan Berkabel (Wired Network)
Pada jaringan ini, untuk menghubungkan satu komputer dengan

komputer lain diperlukan penghubung berupa kabel jaringan. Kabel
jaringan berfungsi dalam mengirim informasi dalam bentuk sinyal listrik
antar komputer jaringan.
o Jaringan Nirkabel(WI-FI)
Merupakan jaringan dengan medium berupa gelombang

elektromagnetik. Pada jaringan ini tidak diperlukan kabel untuk
menghubungkan antar komputer karena menggunakan gelombang
elektromagnetik yang akan mengirimkan sinyal informasi antar
komputer jaringan.
Tujuan Keamanan Jaringan Komputer
•Availability / Ketersediaan
•Reliability / Kehandalan
•Confidentiality / Kerahasiaan
•Cara Pengamanan Jaringan Komputer:
Autentikasi
•Prose spengenalan peralatan, sistem operasi, kegiatan, aplikasi dan identitasuser
yang terhubung dengan jaringan komputer
•Autentikasi dimulai pada saat user login ke jaringan dengan cara memasukkan
password
Tahapan Autentikasi
1. Autentikasi untuk mengetahui lokasi dari peralatan pada suatu simpu ljaringan
(data link layer dan network layer)
2. Autentikasi untuk mengenal sistem operasi yang terhubung kejaringan (transport
layer)
3. Autentikasi untuk mengetahui fungsi/proses yang sedang terjadi di suatu simpul
jaringan (session dan presentation layer)
4. Autentikasi untuk mengenali user dan aplikasi yang digunakan (application layer)
Enkripsi
•Teknik pengkodean data yang berguna untuk menjaga data / file baik di dalam
komputer maupun pada jalur komunikasi dari pemakai yang tidak dikehendaki
•Enkripsi diperlukan untuk menjaga kerahasiaan data
TeknikEnkripsi
•DES (Data Encription Standard)
•RSA (Rivest Shamir Adelman)
AncamanJaringankomputer
•FISIK
-Pencurian perangkat keraskomputer atau perangkat jaringan
-Kerusakan pada komputer dan perangkat komunikasi jaringan
-Wire tapping
-Bencana alam
•LOGIK
-Kerusakan pada sistem operasi atau aplikasi
-Virus
-Sniffing
Beberapa Bentuk Ancaman Jaringan
•Sniffer
Peralatan yang dapat memonitor proses yang sedang berlangsung.
•Spoofing
Penggunaan komputer untuk meniru (dengan cara menimpa identitas atau alamat
IP).
•Remote Attack
Segala bentuk serangan terhadap suatu mesin dimana penyerangnya tidak
memiliki kendali terhadap mesin tersebut karena dilakukan dari jarak jauh di luar
sistem jaringan atau media transmisi.
•Hole
Kondisi dari software atau hardware yang bisa diakses oleh pemakai yang tidak
memiliki otoritas atau meningkatnya tingkat pengaksesan tanpa melalui proses
otorisasi.
•Phreaking
Perilaku menjadikan sistem pengamanan telepon melemah.
•Hacker
–Orang yang secara diam-diam mempelajari sistem yang biasanya sukar
dimengerti untuk kemudian
mengelolanya dan men-share hasil uji coba yang dilakukannya.
–Hacker tidak merusak sistem.
•Craker
–Orangyang secara diam-diam mempelajari sistem dengan maksud jahat.
–Muncul karena sifat dasar manusia yang selalu ingin membangun (salah satunya
merusak).
ALAT & BAHAN

 1 buah server otransmedia.com (web server)
 1 buah access point omni
 1 buah PC router OS Ubuntu
 1 buah switch D-LINK
 1 buah ZTE ADSL modem
 Hardness
 Toolkit
LANGKAH KERJA
1. Mengidentifikasi masalah yang ada pada jaringan yang dijadikan
sebagai tempat observasi (Seluruh lingkungan SMPN 2 Cimahi).
2. Menentukan solusi yang akan digunakan untuk menyelesaikan
masalah.
3. Melakukan perbaikan sesuai dengan solusi yang telah disepakati oleh
kelompok.
4. Menyusun sistem pengamanan jaringan yang mungkin akan
dilakukan.
5. Melakukan pengecekan terhadap hasil perbaikan yang telah
dilakukan.
6. Merapihkan tempat yang telah dijadikan objek observasi agar
nyaman untuk digunakan.
HASIL PENGAMATAN
Topologi yang digunakan pada lingkungan jaringan wireless di SMPN 2
Cimahi :
Masalah yang ditemukan pada objek observasi :
1. Web server otransmedia.com tidak terpasang pada jarigan wireless

SMPN 2 Cimahi.
2. Koneksi internet tidak berjalan dengan seharusnya karena modem
tidak dikonfigurasi.
3. Belum ada jaringan yang terbentuk antara web server
otransmedia.com dengan jaringan wireless SMPN 2 Cimahi
4. Tidak ada sistem pengamanan dalam akses internet di jaringan
wireless SMPN 2 Cimahi.
Solusi yang digunakan untuk menyelesaikan masalah :
1. Membangun jaringan yang menyatukan antara web server

otransmedia.com dengan jaringan internet dengan menggunakan
jaringan wireless di SMPN 2 Cimahi dan memasang access point omni
pada tower SMPN 2 Cimahi agar jaringan wireless dapat dijangkau
oleh seluruh warga sekolah.
Data statistic konfigurasi access point omni :
 SSID : SMPN 2 Cimahi

 Password : (No Password)
2. Melakukan konfigurasi modem ADSL agar bisa berjalan dengan

seharusnya (dengan manual yang telah disediakan speedy).
3. Membuat perencanaan sistem jaringan sebagai berikut :
a. Membuat transparent proxy pada PC Router yang akan
digunakan untuk menggabungkan jaringan internet dengan
web server otransmedia.com .
b. Melakukan pembatasan akses SSH dari jaringan client terhadap
PC Router dan juga web server otransmedia.com .
Hasil dari proses repairing yang dilakukan :
1. Access point omni terpasang dengan baik di tower SMPN 2 Cimahi

dan jaringan wireless bisa diakses oleh seluruh lingkungan di SMPN 2
Cimahi.
2. Web server otransmedia terpasang dengan baik dan dapat terhubung
dengan jaringan wireless SMPN 2 Cimahi.
3. PC Router berhasil dibuat dengan OS Ubuntu, akan tetapi belum bisa
menghubungkan antara internet dan web server otransmedia.com
karena terjadi kesulitan dalam menentukan DNS Server dan juga proxy
yang berjumlah ganda dalam satu jaringan.
4. Perencanaan sistem keamanan jaringan tidak sempat
diimplementasikan karena keterbatasan waktu dan juga kemampuan
dalam masalah yang dihadapi sebelumnya. Yaitu jumlah DNS Server
dan Proxy Server yang ganda dalam satu jaringan.
Dokumentasi Kegiatan
KESIMPULAN
 Melakukan perencanaan dan implementasi keamanan
jaringan sangatlah penting untuk tetap menjaga keamaan
dan nilai efisien dan efektif dari jaringan itu sendiri. Karena
jika suatu jaringan gampang untuk dirusak oleh oknum yang
tidak bertanggung jawab, maka hal itu akan sangat
mengganggu komunikasi dalam jaringan tersebut.

Laporan Akhir Diagnosa LAN Semester 2

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Laporan Akhir Diagnosa LAN Semester 2

Diunggah oleh

Hak Cipta:

Format Tersedia

LAPORAN AKHIR DIAGNOSA LAN

Exp : Diagnosa LAN Area Kerja Kelas : XI TKJ B

Router Instruktur : 1. Rudi Haryadi

Cisco Hierachical Model terbagi ke dalam tiga layer, yaitu:

Sebaiknya device yang terpasang dapat berfungsi menghubungkan antar host

ALAT & BAHAN

No LAYER TYPE/VENDOR SPESIFIKASI ALASAN

 Analog and Digital (T1) Karena selain

 Gigabit Ethernet (1-port) Karena terdapat

 Total onboard Ethernet WAN + RJ-45-based

Karena hanya ada 1

 Ethernet Ports (4-port) Karena terdapat

 871: 100 MB Ethernet karena router inidiperuntu

 4- Port Async/Sync karena 4 port10/1000

1. Jangan mengaku jika kamu yang menulis code tersebut

4. Clone FreeBSD menjadi 3 buah virtual machine

 Konfigurasi PC Router (FreeBSD 1)

o Melakukan pengecekan ulang interface

o Menambahkan konfigurasi router pada script

 Pinging dari host 1 ke host 2

ALAT & BAHAN

4. Clone Ubuntu Server menjadi 3 buah virtual machine

o Memodifikasi script dan menyimpannya

 Pinging dari host 2 ke host 1

o Menambahkan perintah untuk mengaktifkan fungsi router

o Melakukan penambahan routing ke router lainnya

o Konfigurasi IP address untuk interface

o Melakukan penambahan routing ke router lainnya

o Konfigurasi IP address untuk interface

 Tabel routing PC Router 1

 Tabel routing PC Router 3

 Pinging dari host 1 ke Web server

 Table Routing host 1

 Pinging dari host 2 ke Web server

 Table Routing host 2

 Pinging dari Web server ke host 2

 Table Routing Web server

 Pinging dari FTP server ke host 2

 Table Routing FTP server

Sejarah MikroTik RouterOS

1. MikroTik RouterOS yang berbentuk software yang dapat di-download di

ALAT & BAHAN

11. Clone MikrotiTik RouterOS menjadi 7 buah virtual machine.

o Konfigurasi IP address untuk interface

 Pinging dari host 1 ke host 2

o Konfigurasi IP address untuk interface

o Melakukan penambahan routing ke router lainnya

o Konfigurasi IP address untuk interface

 Traceroute dari Host 1 ke Host 2

 Traceroute dari Host 1 ke Web Server

 Traceroute dari Host 2 ke FTP Server

 Traceroute dari FTP Server ke Host 1

 Traceroute dari FTP Server ke Web Server

 Traceroute dari Web Server ke Host 2

Windows Server 2003

 Windows Server 2003 Standard Edition

 Windows Server 2003 Enterprise Edition

 Windows Server 2003 Datacenter Edition

 Windows Server 2003 Web Edition

 Windows Small Business Server 2003

 Windows Storage Server 2003

 Domain Controller server.

 PKI (public key infrastructure) server.

 Domain Name System (DNS).