Iptables NAT

Table NAT (network address translation) dalam iptables

berfungsi untuk melakukan translasi dan manipulasi traffic
network. Beberapa contoh aplikasinya antara lain adalah:

SNAT/DNAT: Perubahan IP Private LAN lokal menjadi IP

Public agar dapat mengakses internet. Hal ini juga dikenal
dengan istilah internet connection sharing.

IP Masquerading: Sama seperti SNAT/DNAT, tapi hanya

digunakan pada koneksi internet IP Dynamic (dial-up)

Transparent Proxy: Dimana client tidak harus menentukan

proxy secara manual di browser. Firewall akan secara
otomatis membelokkan traffic yang menuju ke internet,
dipaksa menuju ke port proxy.
Version 1.0 linuxslides.blogspot.com
SNAT dan DNAT
● SNAT dan DNAT sering digunakan untuk
koneksi internet
● SNAT (source NAT) untuk merubah IP Private
(LAN) ke IP Public
● DNAT (destination NAT) untuk merubah IP
Public (LAN) ke IP Private
● Kedua-duanya digunakan secara bersama-
sama

Version 1.0 linuxslides.blogspot.com

Source NAT (SNAT)

Firewall
(gateway)
POSTROUTING PREROUTING

internet X src addr:192.168.0.10 src addr:192.168.0.10

eth1
202.169.12.1
eth0
192.168.0.1
LAN
192.168.0.0/24

IP lokal tidak
dikenali/ditolak di internet

Version 1.0 linuxslides.blogspot.com

 Source NAT (SNAT)

Firewall
(gateway)
POSTROUTING PREROUTING

internet src addr:202.169.12.1 src addr:192.168.0.10

LAN
192.168.0.0/24
eth1 eth0
202.169.12.1 192.168.0.1

Setelah di-SNAT jadi

IP Public, baru bisa dikenali
di internet

# iptables -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 202.169.12.1

Version 1.0 linuxslides.blogspot.com

Destination NAT (DNAT)

Firewall
(gateway)
PREROUTING POSTROUTING
internet
X
LAN
dst addr:202.169.12.1 dst addr:202.169.12.1
192.168.0.0/24
eth1 eth0
202.169.12.1 192.168.0.1

IP Public tidak
dikenali/ditolak di LAN
(tujuan seharusnya ke 192.168.0.0/24)

Version 1.0 linuxslides.blogspot.com

 Destination NAT (DNAT)

Firewall
(gateway)
PREROUTING POSTROUTING
internet
dst addr:202.169.12.1 dst addr:192.168.0.10
LAN
192.168.0.0/24
eth1 eth0
202.169.12.1 192.168.0.1

Setelah di-DNAT jadi

IP Private, baru bisa dikenali
di LAN

# iptables -A PREROUTING -d 202.169.12.1 -j DNAT --to 192.168.0.0/24

Version 1.0 linuxslides.blogspot.com

 SNAT dan DNAT

POSTROUTING PREROUTING

SNAT src addr:202.169.12.1 src addr:192.168.0.10 LAN

internet 192.168.0.0/24
dst addr:202.169.12.1 dst addr:192.168.0.10 DNAT

PREROUTING POSTROUTING

# iptables -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 202.169.12.1

# iptables -A PREROUTING -d 202.169.12.1 -j DNAT --to 192.168.0.0/24

Version 1.0 linuxslides.blogspot.com

IP Masquerading
● IP Masquerading adalah policy iptables yang
melakukan SNAT dan DNAT secara otomatis
● Tidak perlu membuat dua rule yang terpisah
● Hanya digunakan pada IP Dynamic (IP untuk
koneksi internet), seperti koneksi internet dial-
up
● Jika IP Static, gunakan dua rule SNAT dan
DNAT seperti sebelumnya

Version 1.0 linuxslides.blogspot.com

 IP Masquerading

POSTROUTING PREROUTING

LAN
internet MASQ src addr:202.169.12.1 src addr:192.168.0.10 192.168.0.0/24
eth1 eth0

# iptables -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

Version 1.0 linuxslides.blogspot.com

Transparent Proxy

● Rule iptables untuk memaksa membelokkan

traffic web dari LAN agar mengakses proxy
● Lebih efisien karena client tidak perlu setting
proxy di browser satu per satu
● Harus edit ulang /etc/squid/squid.conf ubah
baris http_port hingga menjadi:
http_port 3128 transparent

Version 1.0 linuxslides.blogspot.com

 Transparent Proxy

POSTROUTING PREROUTING

LAN
internet dst port: 80 (web) 192.168.0.0/24
eth1 eth0
Port proxy
3218

# iptables -A PREROUTING -t tcp --dport 80 -i eth0 -j REDIRECT --to-port 3128

Version 1.0 linuxslides.blogspot.com

Lab: Iptables NAT
● Buatlah router LAN baru yang dihubungkan ke
router LAN yang sudah terkoneksi ke internet.
● Setting NAT/MASQUERADING pada router
LAN baru tersebut, dan pastikan client bisa
mengakses internet.
● Setting Transparent Proxy pada router LAN
baru sehingga client bisa otomatis akses proxy
tanpa perlu mendefinisikannya secara manual.

Version 1.0 linuxslides.blogspot.com