SETTING MICROTIK

Setting Mikrotik di Alyanet Warnet Pertama lu harus matiin dulu DHCP service yang ada di modem Remote ke modem pake IE ktik 192.168.1.1 pada address bar Username : admin password : admin Cari tab dhcp lalu disable dhcp service na ok bro. Setelah itu pindah ke mikrotik : Login : admin password :

( blank)

aktivkan kedua Ethernet pada PC yang telah install OS Microtik :

[admin@warnet] >interface ethernet enable ether1 [admin@warnet] >interface ethernet enable ether2

Berikan nama pada kedua ethernet untuk memudahkan konfigurasi :

[admin@warnet] >interface Ethernet set ether1 name=speedy ===== Ethernet yg ke modem Speedy [admin@warnet] >interface ethernet set ether2 name=LAN === Ethernet yg untuk ke Switch

Masukan IP pada kedua landcard :

[admin@warnet] >ip address add interface=modem address= 192.168.1.2 255.255.255.0 ( 192.168.1.1 da di pake ma modem ok ) [admin@warnet] >ip address add interface=lokal address= 172.16.1.1 255.255.255.0

masukkan IP gateway yg di berikan dari ISP :

[admin@warnet] > ip route add gateway=192.168.1.1 1560

SETTING DNS :

[admin@warnet] >ip dns set primary-dns=192.168.1.1 setelah itu coba ping semua IP yang telah di setting di atas.

SETTING MASQUERADING

Agar Computer client bisa routing ke modem perlu kita masquaerade dari ip 172,.x.x.x ke ip 192.168.x.x [admin@Sinapit] > ip firewall nat add action=masquerade outinterface=speedy chain:srcnat

KONFIGURASI FIREWALL DAN NETWORK ip firewall nat add action=masquerade chain=srcnat ip firewall filter add chain=input connection-state=invalid action=drop ip firewall filter add chain=input protocol=udp action=accept ip firewall filter add chain=input protocol=icmp action=accept ip firewall filter add chain=input in-interface=(ethernet card yg ke lan) action=accept /ip firewall filter add chain=input in-interface=(ethernet card yg ke internet) action=accept ip firewall filter add chain=input action=drop ip web-proxy set enabled=yes src-address=0.0.0.0. port=8080 hostname=" yahuu.net=yes parent-proxy=0.0.0.0:0 \ cache-administrator=webmaster max-object-size=4096KiB cache-drive=system maxcache-size=unlimited \ max-ram-cache-size=unlimited ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=3128 /ip firewall nat add in-interface=modem dst-port=80 protocol=tcp action=redirect to-ports=3128 chain=dstnat dst-address=!192.168.0.1/24 ================================================== ================ yang 3128 semuanya di ganti 8080 : caranya : ip web-proxy set enable=yes /ip web-proxy set port=3128 /ip web-proxy set max-cache-size=3145728 ( 3 kali total ram ) /ip web-proxy set hostname=proxy.prima /ip web-proxy set allow-remote-requests=yes /ip web-proxy set cache-administrator: primanet.slawi@yahoo.com ================================================== ================================================== ========

FILTERING : add chain=input connection-state=invalid action=drop \comment=Drop Invalid connections add chain=input connection-state=established action=accept \comment=Allow Established connections add chain=input protocol=udp action=accept \ comment=Allow UDP add chain=input protocol=icmp action=accept \ comment=Allow ICMP add chain=input src-address=192.168.0.0/24 action=accept \ comment=Allow access to router from known network add chain=input action=drop comment=Drop anything else ANTI VIRUS UTK MICROTIK : add chain=forward action=jump jump-target=virus comment=jump to the virus chain add chain=forward protocol=icmp comment=allow pingadd chain=forward protocol=udp comment=allow udpadd chain=forward action=drop comment=drop everything else SECURITY ROUTER MICROTIK ANDA : / ip firewall filteradd chain=input connection-state=established comment=Accept established connectionsadd chain=input connection-state=related comment=Accept related connectionsadd chain=input connection-state=invalid action=drop comment=Drop invalid connections add chain=input protocol=udp action=accept comment=UDP disabled=no add chain=input protocol=icmp limit=50/5s,2 comment=Allow limited pings add chain=input protocol=icmp action=drop comment=Drop excess pings add chain=input protocol=tcp dst-port=22 comment=SSH for secure shelladd chain=input protocol=tcp dst-port=8291 comment=winbox # Edit these rules to reflect your actual IP addresses! # add chain=input src-address=159.148.172.192/28 comment=From Mikrotikls network add chain=input src-address=10.0.0.0/8 comment=From our private LAN# End of Edit #add chain=input action=log log-prefix=DROP INPUT comment=Log everything elseadd chain=input action=drop comment=Drop everything else

SETTING KEAMANAN JARINGAN HANYA UNTUK LOKAL AREA ANDA : /ip firewall filteradd chain=forward connection-state=established comment=allow established connections add chain=forward connection-state=related comment=allow related connectionsadd chain=forward connection-state=invalid action=drop comment=drop invalid connections add chain=virus protocol=tcp dst-port=135-139 action=drop comment=Drop Blaster Worm add chain=virus protocol=udp dst-port=135-139 action=drop comment=Drop Messenger Worm add chain=virus protocol=tcp dst-port=445 action=drop comment=Drop Blaster Worm add chain=virus protocol=udp dst-port=445 action=drop comment=Drop Blaster Worm add chain=virus protocol=tcp dstport=593 action=drop comment=________ add chain=virus protocol=tcp dstport=1024-1030 action=drop comment=________ add chain=virus protocol=tcp dstport=1080 action=drop comment=Drop MyDoom add chain=virus protocol=tcp dstport=1214 action=drop comment=________ add chain=virus protocol=tcp dstport=1363 action=drop comment=ndm requester add chain=virus protocol=tcp dstport=1364 action=drop comment=ndm server add chain=virus protocol=tcp dstport=1368 action=drop comment=screen cast add chain=virus protocol=tcp dstport=1373 action=drop comment=hromgrafx add chain=virus protocol=tcp dstport=1377 action=drop comment=cichlid add chain=virus protocol=tcp dstport=1433-1434 action=drop comment=Worm add chain=virus protocol=tcp dstport=2745 action=drop comment=Bagle Virus add chain=virus protocol=tcp dstport=2283 action=drop comment=Drop Dumaru.Y add chain=virus protocol=tcp dstport=2535 action=drop comment=Drop Beagle add chain=virus protocol=tcp dstport=2745 action=drop comment=Drop Beagle.C-K add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment=Drop MyDoom add chain=virus protocol=tcp dst-port=3410 action=drop comment=Drop Backdoor OptixProadd chain=virus protocol=tcp dst-port=4444 action=drop comment=Worm add chain=virus protocol=udp dst-port=4444 action=drop comment=Worm add chain=virus protocol=tcp dst-port=5554 action=drop comment=Drop Sasser add chain=virus protocol=tcp dst-port=8866 action=drop comment=Drop Beagle.B add chain=virus protocol=tcp dst-port=9898 action=drop comment=Drop Dabber.A-B add chain=virus protocol=tcp dst-port=10000 action=drop comment=Drop Dumaru.Y add chain=virus protocol=tcp dst-port=10080 action=drop comment=Drop MyDoom.B add chain=virus protocol=tcp dst-port=12345 action=drop comment=Drop NetBus add chain=virus protocol=tcp dst-port=17300 action=drop comment=Drop Kuang2 add chain=virus protocol=tcp dst-port=27374 action=drop comment=Drop SubSeven add chain=virus protocol=tcp dst-port=65506 action=drop comment=Drop PhatBot, Agobot, Gaobot ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++ +++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++

#MatikanPort yang Biasa di pakai Spam : /ip firewall filter add chain=forward dst-port=135-139 protocol=tcp action=drop

/ip firewall filter add chain=forward dst-port=135-139 protocol=udp action=drop /ip firewall filter add chain=forward dst-port=445 protocol=tcp action=drop /ip firewall filter add chain=forward dst-port=445 protocol=udp action=drop /ip firewall filter add chain=forward dst-port=593 protocol=tcp action=drop /ip firewall filter add chain=forward dst-port=4444 protocol=tcp action=drop /ip firewall filter add chain=forward dst-port=5554 protocol=tcp action=drop /ip firewall filter add chain=forward dst-port=9996 protocol=tcp action=drop /ip firewall filter add chain=forward dst-port=995-999 protocol=udp action=drop /ip firewall filter add chain=forward dst-port=53 protocol=tcp action=drop /ip firewall filter add chain=forward dst-port=55 protocol=tcp action=drop /ip firewall filter add chain=forward dst-p

Di halaman selanjutnya ada tutorial dasar mikrotik tapi jangan lu coba di warnet yaaaa kecuali lu da ngerti apa yang lu setting ok ccuuuyyyy..

Tutorial Mikrotik

Langkah-langkah berikut adalah dasar-dasar setup mikrotik yang dikonfigurasikan untuk jaringan sederhana sebagai gateway server. 1. Langkah pertama adalah install Mikrotik RouterOS pada PC atau pasang DOM. 2. Login Pada Mikrotik Routers melalui console : MikroTik v2.9.7 Login: admin <enter> Password: (kosongkan) <enter> Sampai langkah ini kita sudah bisa masuk pada mesin Mikrotik. User default adalah admin dan tanpa password, tinggal ketik admin kemudian tekan tombol enter. 3. Untuk keamanan ganti password default [admin@Mikrotik] > password old password: ***** new password: ***** retype new password: ***** [admin@ Mikrotik]] > 4. Mengganti nama Mikrotik Router, pada langkah ini nama server akan diganti menjadi XAVIERO (nama ini sih bebas2 aja mo diganti) [admin@Mikrotik] > system identity set name=XAVIERO [admin@XAVIERO] > 5. Melihat interface pada Mikrotik Router [admin@XAVIERO] > interface print Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R ether1 ether 0 0 1500 1 R ether2 ether 0 0 1500 [admin@XAVIERO] > 6. Memberikan IP address pada interface Mikrotik. Misalkan ether1 akan kita gunakan untuk koneksi ke Internet dengan IP 192.168.0.1 dan ether2 akan kita gunakan untuk network local kita dengan IP 172.16.0.1 [admin@XAVIERO] > ip address add address=192.168.0.1 netmask=255.255.255.0 interface=ether1 [admin@XAVIERO] > ip address add address=172.16.0.1 netmask=255.255.255.0 interface=ether2 7. Melihat konfigurasi IP address yang sudah kita berikan [admin@XAVIERO] >ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 192.168.0.1/24 192.168.0.0 192.168.0.63 ether1 1 172.16.0.1/24 172.16.0.0 172.16.0.255 ether2 [admin@XAVIERO] >

8. Memberikan default Gateway, diasumsikan gateway untuk koneksi internet adalah 192.168.0.254 [admin@XAVIERO] > /ip route add gateway=192.168.0.254 9. Melihat Tabel routing pada Mikrotik Routers [admin@XAVIERO] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf # DST-ADDRESS PREFSRC G GATEWAY DISTANCE INTERFACE 0 ADC 172.16.0.0/24 172.16.0.1 ether2 1 ADC 192.168.0.0/26 192.168.0.1 ether1 2 A S 0.0.0.0/0 r 192.168.0.254 ether1 [admin@XAVIERO] > 10. Tes Ping ke Gateway untuk memastikan konfigurasi sudah benar [admin@XAVIERO] > ping 192.168.0.254 192.168.0.254 64 byte ping: ttl=64 time<1 ms 192.168.0.254 64 byte ping: ttl=64 time<1 ms 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 0/0.0/0 ms [admin@XAVIERO] > 11. Setup DNS pada Mikrotik Routers [admin@XAVIERO] > ip dns set primary-dns=192.168.0.10 allow-remoterequests=no [admin@XAVIERO] > ip dns set secondary-dns=192.168.0.11 allowremoterequests=no 12. Melihat konfigurasi DNS [admin@XAVIERO] > ip dns print primary-dns: 192.168.0.10 secondary-dns: 192.168.0.11 allow-remote-requests: no cache-size: 2048KiB cache-max-ttl: 1w cache-used: 16KiB [admin@XAVIERO] > 13. Tes untuk akses domain, misalnya dengan ping nama domain [admin@XAVIERO] > ping yahoo.com 216.109.112.135 64 byte ping: ttl=48 time=250 ms 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max = 571/571.0/571 ms [admin@XAVIERO] > Jika sudah berhasil reply berarti seting DNS sudah benar. 14. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server maka agar client computer pada network dapat terkoneksi ke internet perlu kita masquerading. [admin@XAVIERO]> ip firewall nat add action=masquerade outinterface=

ether1 chain:srcnat [admin@XAVIERO] > 15. Melihat konfigurasi Masquerading [admin@XAVIERO]ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat out-interface=ether1 action=masquerade [admin@XAVIERO] > Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan jika berhasil berarti kita sudah berhasil melakukan instalasi Mikrotik Router sebagai Gateway server. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage menggunakan WinBox yang bisa di download dari Mikrotik.com atau dari server mikrotik kita. Misal Ip address server mikrotik kita 192.168.0.1, via browser buka http://192.168.0.1 dan download WinBox dari situ. Jika kita menginginkan client mendapatkan IP address secara otomatis maka perlu kita setup dhcp server pada Mikrotik. Berikut langkah-langkahnya : 1.Buat IP address pool /ip pool add name=dhcp-pool ranges=172.16.0.10-172.16.0.20 2. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client Pada contoh ini networknya adalah 172.16.0.0/24 dan gatewaynya 172.16.0.1 /ip dhcp-server network add address=172.16.0.0/24 gateway=172.16.0.1 3. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface ether2 ) /ip dhcp-server add interface=ether2 address-pool=dhcp-pool 4. Lihat status DHCP server [admin@XAVIERO]> ip dhcp-server print Flags: X - disabled, I - invalid # NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP 0 X dhcp1 ether2 Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan terlebih dahulu pada langkah 5. 5. Jangan Lupa dibuat enable dulu dhcp servernya /ip dhcp-server enable 0 kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak ada berarti sudah aktif. 6. Tes Dari client c:\>ping www.yahoo.com untuk bandwith controller, bisa dengan sistem simple queue ataupun bisa dengan mangle [admin@XAVIERO] queue simple> add name=Komputer01

interface=ether2 target-address=172.16.0.1/24 max-limit=65536/131072 [admin@XAVIERO] queue simple> add name=Komputer02 interface=ether2 target-address=172.16.0.2/24 max-limit=65536/131072 dan seterusnya February 2nd, 2007 Posted by itemjabrik | Mikrotik | No Comments

Membuat Dial In Callback Server

Apa itu dialin and callback server? Bagi newbie seperti saya (pada saat mengenal computer) tentu saja merupakan kata yang langka. Sederhananya dialin server adalah sebuah server yang melayani client dialup melalui jalur/line telephone menggunakan protokol pptp. In a PPP dialin server setup, users dial in through a telephone line and modem to establish a PPP connection with a remote server. It is possible to make a Linux box call back the user who dialed the server. This document describes the step-by-step procedure to set up a Linux-based callback server.

Kebutuhan Software (pre configuration) Kebetulan OS yang saya pakai ada Fedora yang merupakan turunan langsung dari redhat : redhat:~# uname -a Linux redhat 2.6.14.3 #1 Tue Dec 13 19:28:51 SGT 2005 i686 i686 i386 GNU/Linux PERHATIAN: Anda memerlukan hak root/superuser untuk melakukan ini! Pertama-tama pastikan bahwa di system anda telah ada paket-paket berikut:

pppd mgetty Untuk melihat apakah paket tersebut sudah ada di system kita, lakukan:

redhat:~# whereis pppd pppd: Jika hasilnya seperti di atas, berarti paket pppd belum terinstall di system anda, maka saya (memakai Redhat Family) melakukan instalasi memakai rpm saja: redhat:~# rpm -ivh ppp-2.4.2-6.4.FC3.i386.rpm Berikutnya, kita check apakah paket mgetty sudah ada. Sekali lagi lakukan :

redhat:~# whereis mgetty mgetty: Sama seperti sebelumnya, paket mgetty belum terinstall. redhat:~# rpm -ivh mgetty-1.1.31-4_FC3.i386.rpm Sekarang semua paket yang dibutuhkan sudah terinstall di system, mari kita lanjutkan ke tahap berikutnya. Jika anda menggunakan distro lain, silahkan menggunakan paket sesuai dengan distro anda! Kebutuhan Hardware (modem) Dalam hal ini saya menggunakan External modem yang terhubung ke COM1 di computer, ini berarti /dev/ttyS0 di Linux. Jika anda menggunakan COM2 ini berarti /dev/ttyS1. Pastikan bahwa modem yang anda gunakan telah di support oleh Linux. Jika anda menggunakan softmodem (internal modem) yang menggunakan chipset conexant, silahkan meluncur ke http://www.linuxant.com. Saya tidak akan membahas bagaimana cara meng-install driver softmodem tersebut, karena saya tidak mempunyai banyak waktu untuk melakukan percobaan. Setelah menghubungkan kabel data modem ke port COM1, saya jalankan perintah: redhat:~# kudzu Maka kudzu akan mendeteksi apakah ada hardware baru (dalam hal ini modem) yang terhubung ke system kita. Configurasi (dialin) Berikut adalah step-by-step yang saya lakukan 1. Buat group ppp dan user pppuser: redhat:~# groupadd -g 96 ppp redhat:~# useradd pppuser -u 96 -g 96 -s /usr/sbin/ppplogin 2. Buat file /usr/sbin/ppplogin yang isinya: #!/bin/sh #/etc/ppp/ppplogin # PPP login script mesg n stty -echo exec /usr/sbin/pppd -detach modem debug crtscts 3. Set access attributes file /usr/sbin/ppplogin yang barusan dibuat: redhat:~# chmod 750 /usr/sbin/ppplogin redhat:~# chown root:ppp /usr/sbin/ppplogin

4. Set access attributes directory /etc/ppp (optional): redhat:~# chmod 775 /etc/ppp redhat:~# chown root:root -R /etc/ppp 5. Set access attributes file /usr/sbin/pppd: redhat:~# chmod 750 /usr/sbin/pppd redhat:~# chmod u+s /usr/sbin/pppd 6. Tambahkan entry berikut di file /etc/inittab jika modem anda terkoneksi di COM1: S0:2345:respawn:/sbin/mgetty ttyS0 -D /dev/ttyS0 Atau, jika modem terpasang juga di COM2: S1:2345:respawn:/sbin/mgetty ttyS1 -D /dev/ttyS1 7. Restart init. redhat:~# init q 8. Tambahkan entry berikut di file /etc/mgetty/login.config: /AutoPPP/ - - /usr/sbin/pppd auth +pap -chap login -detach Untuk baris lainnya silahkan dicomment. 9. Buat file /etc/ppp/options.ttyS0 jika modem anda di COM1 atau /etc/ppp.options.ttyS1 jika anda menggunakan COM2, yang isinya: 192.168.76.254:192.168.76.99 debug Keterangan: baris pertama kolom pertama isi dengan IP server anda, kolom kedua diisi alokasi IP untuk client ppp anda Silahkan sesuaikan dengan IP di network anda. 10. Edit file /etc/ppp/options: #lock (default) -detach asyncmap 0 modem crtscts proxyarp lock require-pap refuse-chap ms-dns 192.168.76.254 # Isi IP DNS 1 ms-dns 202.51.209.6 # Isi IP DNS 2 usepeerdns

11. Edit file /etc/ppp/pap-secrets: # Secrets for authentication using PAP # client server secret IP addresses pppuser * password * 12. Sekarang silahkan dicoba dialup ke server kita dari client. Jika client menggunakan System Operasi Windows silahkan buat koneksi melalui dial up networking, login menggunakan username: pppuser dan password: password Pastikan sampai dilangkah ini koneksi dari client ke server sudah jalan, check apakah client sudah mendapatkan IP (contoh) 192.168.76.99 Jika sudah sukses pada tahap ini, mari kita lanjutin untuk setting callback nya, jika belum mungkin ada yang terlewati, silahkan check lognya. Configurasi CallBack (Server) Jika dial in sudah berjalan sempurna, sebenarnya setting callback sangat mudah, tidak seperti yang saya bayangkan sebelumya Berikut adalah tahap yang dilakukan: 1. Buat user back. redhat:~# useradd back 2. Buat file kosong /ete/mgetty/callback.conf. redhat:~# touch /ete/mgetty/callback.conf 3. Edit file /etc/mgetty/login.config tambahkan entry berikut : back - - /usr/sbin/callback -S 12011976 12011976 adalah tanggal lahir saya :) hehehhe yang benar itu nomor tujuan yang akan dicallback oleh si server, jadi isi saja nomor telp rumah anda, bukankah tujuannya agar kita bisa main internet sambil memonitor jaringan/computer di kantor dari rumah, tapi pulsa kantor yang bayar 4. Selesai Configurasi untuk callback server sampai di sini. Dan ini dijamin berjalan. Sekarang yang perlu dilakukan adalah configurasi di sisi client. Configurasi CallBack (client Windows) Sebagai client saya menggunakan OS Windows XP professional, tapi configurasinya sama untuk versi Windows lainnya. 1. Jalankan control panel, kemudian buka Phone and modem options. Di tab modems pilih modem yang akan digunakan (jika terdapat lebih dari 1 modem) untuk melakukan koneksi ke callback server dan click Properties. Sekarang masuk ke tab advanced, masukan entry berikut dibagian extra initialization commands.

&c0s0=1 2. Masih dalam Control Panel click Network Connetions, click kanan di koneksi dialup yang sudah kita buat pilih Properties masuk ke tab Security dan check options Show Terminal Window di bagian Interactive logon and scripting 3. Sekarang coba jalankan koneksi dialup, Setelah terkoneksi dengan server, maka akan muncul After Dial Terminal window, yang meminta kita untuk memasukan username, ketik back dan tekan enter: Fedora Core release 3 (Heidelberg) Kernel 2.6.14.3 on an i686 redhat login:back Dialing continues in the background, all further messages will be written to the logfile /var/log/mgetty.log.callback. Please look there for errors / diagnostics. NO CARRIER Sampai di sini, server akan melakukan pemutusan koneksi dengan client secara otomatis, selang beberapa detik (sekitar 35 detik), server akan melakukan panggilan ke nomor yang telah kita set pada file /etc/mgetty/login.config. Berikut tampilan lengkap yang muncul di After Dail Terminal Window Fedora Core release 3 (Heidelberg) Kernel 2.6.14.3 on an i686 redhat login:back Dialing continues in the background, all further messages will be written to the logfile /var/log/mgetty.log.callback. Please look there for errors / diagnostics. NO CARRIER RING CARRIER 33600 PROTOCOL: LAP-M COMPRESSION: V.42BIS CONNECT 33600 Connection established, please wait ok Fedora Core release 3 (Heidelberg) Kernel 2.6.14.3 on an i686 redhat login:

Perhatian: Jika terminal line in dari telkom terpasang juga (parallel) dengan pesawat telephone, maka pada saat muncul tulisan RING di atas, pesawat telephone anda akan berdering, jangan diangkat!! Pada beberapa modem, RING akan terjadi selama 3 kali. Click Done. Sampai di sini setting callback di sisi client menggunakan OS Windows selesai. Configurasi CallBack (client Linux) Untuk client yang menggunakan linux, mungkin akan lebih sulit, dan kebetulan saya belum sempat mencoba, jadi silahkan anda coba sendiri 1. Buat file /etc/ppp/options yang berisi: lock defaultroute noipdefault modem 115200 crtscts debug passive asyncmap 0 2. Buat file /etc/ppp/peers/pppcallback yang berisi: ttyS1 19200 crtscts connect /usr/sbin/chat -v -f /etc/ppp/chat-callback noauth 3. Buat file /etc/ppp/chat-callback yang berisi: ABORT BUSY ABORT VOICE ABORT NO DIALTONE ABORT NO ANSWER ATZ OK ATDT123456 # Telephone number of server CONNECT \d\d ogin: \q\dback TIMEOUT 90 RING AT&C0S0=1 ogin: \q\dpppuser assword: \q\dpassword Sesuaikan isi file di atas sesuai dengan nomor telephone yang dipasang dimodem server (dial-in server). Juga username dan password disesuaikan dengan username dan password yang anda telah buat di server. Pada beberapa modem mungkin anda perlu mengganti ATZ dengan AT&FX2

4. Buat file /usr/bin/pppcall yang berisi: #!/bin/bash /usr/sbin/pppd -detach call pppcall & 5. Set access attributes file tersebut agar executable redhat:~# chmod 755 /usr/bin/pppcall Sekarang anda bisa melakukan dialup ke server dengan menjalankan file /usr/bin/pppcall February 1st, 2007 Posted by itemjabrik | Linux | No Comments

Monitoring Network dg Iptables & MRTG

Dengan berbagai metode kita dapat mengukur besar keluar-masuknya data tiap komputer dalam jaringan kita. Salah satu cara yang sederhana dan mudah dikerjakan adalah dengan menggunakan iptables dan MRTG. Iptables hanya digunakan untuk menghitung besar data yang masuk untuk tiap-tiap komputer dalam jaringan, dan hasilnya ditampilkan dengan menggunakan MRTG. Dengan begitu kita tidak perlu menginstall server snmp di tiap komputer, namun masih bisa mendapatkan gambaran umum aktifitas koneksi tiap komputer dengan jaringan lain.Di sini diasumsikan bahwa jaringan kita beralamat 10.11.12.0/24, pengukuran dilakukan di gateway dengan alamat 10.11.12.1.

1. Instalasi
Program yang kita butuhkan di sini tidak begitu banyak, dan biasanya pada beberapa distro linux program-program ini sudah disertakan di CD. Bila tidak ada, beberapa program inilah yang harus anda download dan anda install. 1. MRTG, dapat didownload dari http://www.ee.ethz.ch/~oetiker/webtools/mrtg/ 2. iptables(versi > 1.2.6), dapat didownload dari http://www.netfilter.org 3. Apache web server, dapat didownload dari http://httpd.apache.org (web server lain juga bisa) Ikuti petunjuk instalasi yang disertakan pada tiap-tiap program, biasanya ada pada file README dan INSTALL.

2. Iptables
Untuk bisa mengetahui jumlah keluar/masuknya paket data untuk suatu komputer kita harus menghitungnya secara terpisah yaitu untuk yang masuk dan untuk yang keluar. Bila kita akan mengamati sepuluh komputer, maka setidaknya harus ada 20 rule iptables. Chain yang digunakan untuk mengamati adalah chain FORWARD. Untuk memudahkan pengamatan & parsing nilai hitungan iptables kita dapat menambahkan masing-masing 2 chain kosong yang menjadi target rule sehingga

memudahkan kita dalam menjalankan grep, misal dengan menggunakan nama komputer yang kita beri tambahan -in dan -out.
root:~# root:~# root:~# root:~# iptables iptables iptables iptables -N -N -A -A yudhistira-in yudhistira-out FORWARD -d 10.11.12.2 -j yudhistira-in FORWARD -s 10.11.12.2 -j yudhistira-out

root:~# iptables -N anoman-in root:~# iptables -N anoman-out root:~# iptables -A FORWARD -d 10.11.12.3 -j anoman-in root:~# iptables -A FORWARD -s 10.11.12.3 -j anoman-out root:~# iptables -N bagong-in root:~# iptables -N bagong-out root:~# iptables -A FORWARD -d 10.11.12.4 -j bagong-in root:~# iptables -A FORWARD -s 10.11.12.4 -j bagong-out root:~# iptables -nvxL FORWARD Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 yudhistira-in all * * 0.0.0.0/0 10.11.12.2 0 0 yudhistira-out all * * 10.11.12.2 0.0.0.0/0 0 0 anoman-in all * * 0.0.0.0/0 10.11.12.3 0 0 anoman-out all * * 10.11.12.3 0.0.0.0/0 0 0 bagong-in all * * 0.0.0.0/0 10.11.12.3 0 0 bagong-out all * * 10.11.12.3 0.0.0.0/0 Di atas dapat kita lihat bahwa kalau kita ingin mengambil besar data(dalam bytes) output iptables -nvxL FORWARD dapat kita pipe kan ke grep dan mengambil nilai kolom kedua dari output yang dihasilkan oleh grep.
root:~# iptables -nvxL FORWARD | grep bagong-in 0 0 bagong-in all * * 0.0.0.0/0 10.11.12.3 root:~# iptables -nvxL FORWARD | grep bagong-in | awk {print $2} 0

Untuk memudahkan kita dalam memasukkan nilainya ke MRTG kita bisa membuat script kecil seperti ini:
#!/bin/sh paketIN=`/sbin/iptables -nvxL FORWARD | grep $1-in | awk {print $2}` paketOUT=`/sbin/iptables -nvxL FORWARD | grep $1-out | awk {print $2}` echo $paketIN echo $paketOUT

Pemakaiannya hanyalah dengan cara menuliskan nama scriptnya dengan 1 parameter yaitu [nama komputer], misalnya scriptbacatrafik.sh bagong. Script ini akan mencetak nilai bytes yang keluar dari jaringan kita yang berasal dari komputer bagong. Angka ini diambil dari iptables, sehingga kata bagong atau apa pun itu harus anda sesuaikan dengan nama chain yang anda gunakan di iptables.

3. MRTG

Nilai yang dimasukkan ke mrtg haruslah berpasangan, pertama untuk in dan kedua untuk out. Nilai ini dapat diambil dari SNMP, dapat pula diambil dari nilai eksekusi program tertentu. Contoh mrtg.cfg yang mengambil nilai dari script yang tadi kita buat dapat dilihat di bawah ini.
WorkDir: /var/www/mrtg

Target[anoman]: `/usr/local/sbin/scriptbacatrafik.sh anoman` Title[anoman]: Anoman PageTop[anoman]: <h1>Anoman</h1> MaxBytes[anoman]: 1250000 YLegend[anoman]: Bytes/s ShortLegend[anoman]: B/s LegendI[anoman]: Traffic in LegendO[anoman]: Traffic out Legend1[anoman]: Traffic in Bytes per Second Target[bagong]: `/usr/local/sbin/scriptbacatrafik.sh bagong` Title[bagong]: bagong PageTop[bagong]: <h1>bagong</h1> MaxBytes[bagong]: 1250000 YLegend[bagong]: Bytes/s ShortLegend[bagong]: B/s LegendI[bagong]: Traffic in LegendO[bagong]: Traffic out Legend1[bagong]: Traffic in Bytes per Second Target[yudhistira]: `/usr/local/sbin/scriptbacatrafik.sh yudhistira` Title[yudhistira]: yudhistira PageTop[yudhistira]: <h1>yudhistira</h1> MaxBytes[yudhistira]: 1250000 YLegend[yudhistira]: Bytes/s ShortLegend[yudhistira]: B/s LegendI[yudhistira]: Traffic in LegendO[yudhistira]: Traffic out Legend1[yudhistira]: Traffic in Bytes per Second Setelah file konfigurasi selesai, jalankan indexmaker untuk membuat file index.html MRTG.
root:~# indexmaker /path/file/mrtg.cfg > /var/www/mrtg/index.html

Bila apache telah berjalan, cobalah untuk membuka http://10.11.12.1/mrtg/ untuk melihat hasilnya.

4. Pengembangan
Dengan cara pengukuran yang persis sama anda dapat pula mengukur besarnya keluar masuk paket per layanan misal web, ftp, smb, domain, dan sebagainya. Pengukuran dilakukan dengan menggunakan iptables, hanya saja kita tidak mendefinisikan alamat

IP per komputer. Yang kita definisikan adalah protokol(TCP/UDP/ICMP) beserta nomor portnya, serta network address jaringan kita seperti contoh di bawah ini.
root:~# root:~# root:~# in root:~# out iptables -N www-in iptables -N www-out iptables -A FORWARD -d 10.11.12.0/24 -p tcp dport 80 -j wwwiptables -A FORWARD -s 10.11.12.0/24 -p tcp sport 80 -j ww-

root:~# iptables -N ftp-in root:~# iptables -N ftp-out root:~# iptables -A FORWARD -d 10.11.12.0/24 -p tcp dport 20:21 -j ftp-in root:~# iptables -A FORWARD -s 10.11.12.0/24 -p tcp sport 20:21 -j ftp-out Contoh rule iptables di atas berguna untuk menghitung: 1. Besar paket data yang kita dapatkan dari webserver yang berasal dari luar jaringan kita. 2. Besar paket data request ke webserver di luar jaringan kita. 3. Besar paket data yang kita download melalui ftp yang berasal dari luar jaringan kita. 4. Besar paket data upload melalui ftp ke luar jaringan kita. Edit mrtg.cfg untuk memasukkan hasil perhitungan iptables untuk kedua port yang baru.
Target[www]: `/usr/local/sbin/scriptbacatrafik.sh www` Title[www]: www PageTop[www]: <h1>www</h1> MaxBytes[www]: 1250000 YLegend[www]: Bytes/s ShortLegend[www]: B/s LegendI[www]: Traffic in LegendO[www]: Traffic out Legend1[www]: Traffic in Bytes per Second

Target[ftp]: `/usr/local/sbin/scriptbacatrafik.sh ftp` Title[ftp]: ftp PageTop[ftp]: <h1>ftp</h1> MaxBytes[ftp]: 1250000 YLegend[ftp]: Bytes/s ShortLegend[ftp]: B/s LegendI[ftp]: Traffic in LegendO[ftp]: Traffic out Legend1[ftp]: Traffic in Bytes per Second Selamat mencoba, semoga sukses. (Kamas Muhammad, http://www.sokam.or.id) February 1st, 2007 Posted by itemjabrik | Linux | 1 Comment

Transparent Firewall
Transparent Firewall adalah firewall yang tidak tampak baik oleh user di dalam zona yang kita amankan atau dari luar zona kita. Transparent Firewall pada dasarnya adalah firewall biasa hanya saja implementasinya dilakukan pada bridge, sehingga tidak ada

konfigurasi yang harus dilakukan pada jaringan yang sudah ada.Tutorial ini akan (mencoba) untuk menjelaskan secara singkat bagaimana dan apa saja yang diperlukan dalam pembuatan bridge firewall pada Debian GNU/Linux, dan pengaturan umum kerja firewall yang kita buat. Topologi yang dipakai diasumsikan seperti gambar di bawah ini.
+----------+ +--------+ +---------------+ | INTERNET || BRIDGE || JARINGAN KITA | +-+ ++ ++

1. Kebutuhan Dasar
Implementasi ini membutuhkan beberapa hal yaitu: 1. 2. 3. 4. Komputer dengan 2 NIC iptables bridge-utils Kernel Linux 2.6 atau 2.4(dengan patch) dengan opsi bridge firewall diaktifkan

Bila anda ingin menggunakan kernel versi 2.4 silakan cari patchnya di http://ebtables.sourceforge.net/. Kernel 2.6 sudah menyertakan fasilitas ini, sehingga tidak perlu dipatch lagi. Di sini diasumsikan bahwa kernel sudah beres, dan tinggal menginstall program lain yang dibutuhkan untuk menjalankan bridge. Komputer yang dipakai mempunyai 2 NIC yaitu eth0 dan eth1.

2. Instalasi & Konfigurasi

Seperti biasa, untuk menginstall paket pada debian kita menggunakan apt-get.
root:~# apt-get install bridge-utils iptables

Bila anda tidak menggunakan distro lain anda dapat mendownload source code untuk kedua program itu pada http://bridge.sourceforge.net/ dan http://www.iptables.org/files/ . Panduan proses instalasi dapat mengikuti file README/INSTALL yang disertakan pada tarball yang anda download. Program yang kita dapatkan dari bridge-utils adalah brctl. Program inilah yang mengatur segala macam bagian bridge mulai pembuatan, penghapusan, penambahan anggota bridge, dan sebagainya. Buat interface bridge (br0), dan tambahkan kedua interface ke dalam interface bridge yang baru dibuat.
root:~# root:~# root:~# root:~# root:~# brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 ifconfig eth0 0 ifconfig eth1 0

Hapus alamat IP pada eth0 dan eth1, dan bila bridge ini akan diberi alamat IP maka yang perlu diberi alamat adalah br0. Interface lain harus tetap menyala tanpa

mempunyai alamat IP sendiri. Nantinya, kedua ethernet yang ada akan merespon setiap request yang masuk ke alamat IP bridge. Cobalah untuk memping jaringan di luar jaringan anda. Bila lancar, berarti bridge ini sudah berjalan dengan baik. Agar setiap booting kita tidak mengulangi langkah-langkah di atas maka edit file /etc/network/interfaces dan tambahkan konfigurasi seperlunya. Contoh file saya ada di bawah ini.
auto br0 iface br0 inet static address 10.11.12.3 netmask 255.255.255.0 network 10.11.12.0 broadcast 10.11.12.255 gateway 10.11.12.1 bridge_ports eth0 eth1

Catatan: perhatikan item konfigurasi yang dicetak tebal. Pastikan juga anda mengaktifkan IP Forwarding dengan mengeksekusi perintah di bawah ini tiap kali komputer booting.
root:~# echo 1 > /proc/sys/net/ipv4/ip_forward

Selain cara manual itu anda dapat pula mengedit file /etc/network/options.
ip_forward=yes spoofprotect=yes syncookies=no

Sekarang anda dapat mengkonfigurasi iptables untuk melakukan penyaringan terhadap paket-paket data yang melewati firewall ini. Iptables tidak akan dibahas mendalam di sini. Sekedar info, penyaringan ini dilakukan pada tabel Filter chain FORWARD. Contoh:
root:~# iptables -t Filter -A FORWARD -s 0.0.0.0 -d 10.11.12.0/24 -p tcp --dport 23 -j DROP root:~# iptables -t Filter -A FORWARD -s 0.0.0.0 -d 10.11.12.0/24 -p tcp dport 25 -j DROP root:~# iptables -t Filter -A FORWARD -s 0.0.0.0 -d 10.11.12.0/24 -p udp dport 161 -j DROP

Potongan instruksi iptables di atas memfilter paket-paket dari luar network kita yang akan mengakses port telnet, smtp, dan snmp. Tambahkan filter lain sesuai dengan yang anda butuhkan. Simpanlah perintah-perintah yang anda jalankan pada sebuah script .sh dan ubahlah permission file tersebut agar bisa dieksekusi(executable). Aturlah agar file itu diekseuksi setiap kali boot. Ada beberapa cara melakukannya, yang termudah adalah menambahkan entri pada /etc/network/interfaces. Bila script iptables itu disimpan di /etc/init.d/aturanfirewall.sh anda dapat menambahkan baris berikut di bawah entri br0.
up command /etc/init.d/aturanfirewall.sh

Dengan demikian isi file /etc/network/interfaces menjadi seperti di bawah ini.

auto br0 iface br0 inet static address 10.11.12.3 netmask 255.255.255.0 network 10.11.12.0 broadcast 10.11.12.255 gateway 10.11.12.1 bridge_ports eth0 eth1 up command /etc/init.d/aturanfirewall.sh

Dengan menggunakan bash script kecil untuk memparsing output command iptables -nvL FORWARD anda dapat memantau aktifitas filtering seperti ini
+---------------------------------------------------------+ | I/O Total | 95M Packets 62G Bytes | +-+++ | | Traffic In | Traffic Out | | Filter +-+-+-+-+ | | Byte | Packet | Byte | Packet | +-+-+-+-+-+ | Ping Blaster| 0 | 0 | 23184 | 252 | | udp 69 | 0 | 0 | 0 | 0 | | udp 135 | 0 | 0 | 0 | 0 | | udp 137 | 38298 | 491 | 9828 | 126 | | udp 138 | 534 | 2 | 1343 | 5 | | udp 445 | 0 | 0 | 0 | 0 | | udp 161 | 3672 | 54 | 0 | 0 | | tcp 23 | 912 | 19 | 0 | 0 | | tcp 135 | 47520 | 990 | 1584 | 33 | | tcp 445 | 1027K | 21402 | 15180 | 316 | | tcp 593 | 0 | 0 | 0 | 0 | | tcp 4444 | 528 | 12 | 864 | 18 | +-+-+-+-+-+

Contoh script bisa didownload di sini, selamat mencoba, semoga sukses (Kamas Muhammad, http://www.sokam.or.id). February 1st, 2007 Posted by itemjabrik | Linux | No Comments Previous Entries