Anda di halaman 1dari 33

4.4.

6 Cara Kerja LTSP (Linux Terminal Server Project)

1. Ketika  workstation  diaktifkan, maka akan terjadi proses "Power On Self Test" 

(POST).

2. Pada saat proses tersebut terjadi, BIOS akan mencari ROM yang terpasang pada 

network card. ROM yang dicari tersebut harus sudah terisi kode Etherboot.

3.   Setelah   proses   POST   selesai,   kemudian   kode  Etherboot  yang   terdapat   pada 

ROM network card tersebut akan dieksekusi.

4.   Kode buatan  Etherboot  tersebut kemudian akan mencari  network card  yang 

terpasang.   Jika   berhasil   ditemukan   maka  network   card  tersebut   akan   di­

initialisasi.

5. Kode Etherboot tersebut kemudian akan mengirimkan sinyal ke jaringan berupa 

permintaan DHCP (DHCP Request). Permintaan DHCP tersebut akan disertai 

dengan  MAC Address dari network card yang digunakan.

6. DHCPD daemon yang aktif di server kemudian akan memperoleh sinyal 

permintaan tersebut, dan akan mencari data pada file konfigurasi yang ada.

7. DHCPD daemon kemudian akan mengirimkan paket balasan, berisi beberapa 

informasi. Paket balasan ini akan berisi informasi berikut :

    * IP Address untuk workstation tersebut 

    * Konfigurasi NETMASK untuk jaringan internal 

    * Lokasi file kernel yang akan di­download. 
    * Parameter tambahan untuk dikirimkan ke kernel,melalui baris perintah 

kernel.

8. Kode Etherboot kemudian akan menerima balasan dari server, dan kemudian 

melakukan konfigurasi TCP/IP pada network card dengan parameter yang 

diterima.

9. Dengan menggunakan TFTP ( Trivial File Transfer Protocol ), kode Etherboot 

kemudian akan berusaha untuk melakukan download file kernel dari server.

10. Setelah kernel berhasil di­download sepenuhnya di workstation, kode 

Etherboot kemudian akan meletakkan kernel tersebut ke lokasi memory yang 

tepat.

11. Kontrol kemudian akan diambil alih oleh Kernel. Kernel ini kemudian akan 

melakukan initialisasi seluruh sistem dan peralatan terpasang yang dikenali.

12. Sampailah pada bagian yang sangat menarik. Pada bagian akhir dari kernel 

terdapat image filesystem, yang akan diletakkan di memory sebagai sebuah 

ramdisk, dan sementara di­mount sebagai root filesystem. Hal ini dilakukan 

dengan memberikan baris perintah root=/dev/ram0 yang kemudian akan 

memberitahu kernel untuk melakukan proses mount pada image tersebut 

sebagai root directory.

13. Pada umumnya, setelah kernel selesai melalui proses booting, akan dieksekusi 

program init. Tetapi, pada kasus ini, dilakukan perubahan dengan 

menginstruksikan kernel untuk melakukan membaca shell script. Hal tersebut 
dilakukan dengan memberikan parameter init=/linuxrc pada baris perintah 

kernel.

14. Script /linuxrc tersebut kemudian akan memeriksa PCI bus, mencari network 

card. Setiap perangkat PCI yang ditemukan, kemudian akan dilakukan proses 

pencarian pada file /etc/niclist, untuk mencari apakah perangkat tersebut ada 

pada daftar tersebut. Jika ditemukan, maka nama module dari NIC tersebut 

akan diambil untuk kemudian dieksekusi. Untuk ISA card, module driver 

tersbut HARUS dirinci pada baris perintah kernel, disertai dengan IRQ atau 

parameter alamat yang dibutuhkan.

15. Setelah network card berhasil diidentifikasi, maka script /linuxrc akan 

mengambil module kernel yang mendukung network card tersebut.

16. Dhclient kemudian akan dijalankan, untuk melakukan query informasi ke 

DHCP server. Permintaan tersebut dilakukan untuk kedua kalinya, karena jika 

menggantungkan pada hasil query yang dilakukan oleh Etherboot, maka 

informasi tersebut tidak sepenuhnya dapat diterima oleh kernel. Kernel 

kemudian akan mengabaikan konfigurasi NFS server yang disertakan sebagai 

parameter tambahan root­path. Hal ini perlu dilakukan jika dimiliki NFS 

server yang berada pada server terpisah dari TFTP server.

17. Ketika dhclient memperoleh jawaban dari server, kemudian akan dieksekusi 

file /etc/dhclient­script, yang mana kemudian akan berusaha membaca 

konfigurasi untuk kemudian melakukan setup pada interface eth0.
18. Sampai pada proses ini, filesystem root berada di ramdisk.. Selanjutnya, 

script /linuxrc akan melakukan proses mount ulang pada filesystem melalui 

NFS. Direktori yang di­export pada server umumnya adalah /opt/ltsp/i386. 

Proses tersebut tidak bisa langsung melakukan proses mount filesystem yang 

baru sebagai /. Proses mount akan terlebih dahulu dilakukan pada /mnt. 

Kemudian, dilakukan pivot_root. pivot_root kemudian akan melakukan 

pertukaran filesystem root yang aktif dengan filesystem baru. Setelah proses 

tersebut, filesystem NFS akan di­mount pada /, dan filesystem root terdahulu 

akan di­mount pada /oldroot.

19. Setelah proses mount dan pivot pada filesystem root yang baru selesai, shell 

script /linuxrc telah selesai melakukan perintah yang ada, dan saatnya 

diperlukan untuk menjalankan program init yang seharusnya.

20. Init kemudian akan membaca file /etc/inittab dan mulai melakukan setting 

environtment workstation tersebut.

21. Init menggunakan konsep runlevel, dimana tiap runlevel memiliki konfigurasi 

services yang berbeda. LTSP workstation akan diawali pada runlevel '2'. 

Konfigurasi tersebut dapat dilihat pada baris initdefault pada file inittab.

22. Salah satu item yang berada pada urutan awal yaitu perintah rc.local yang 

akan aktif sementara workstation berada pada tahap 'sysinit'.

23. Script rc.local kemudian akan membuat ramdisk sebesar 1 mb untuk 
menyimpan file­file yang akan dibuat atau diubah.

24. Ramdisk akan di­mount sebagai direktori /tmp. Semua file yang akan 

dituliskan sebenarnya akan diletakkan pada direktori /tmp, dan nantinya akan 

terdapat symbolic link yang mengacu pada file­file tersebut.

25. Filesystem /proc kemudian di­mount. 

26. Jika workstation ditentukan untuk melakukan swap over NFS, maka direktori 

/var/opt/ltsp/swapfile akan di­mount sebagai /tmp/swapfiles. Jika, belum 

tersedia swapfile untuk workstation tersebut, maka akan dibuat secara 

otomatis. Ukuran dari swapfile tersebut ditentukan pada file lts.conf . 

Swapfile kemudian akan diaktifkan, dengan menggunakan perintah  swapon.

27. Interface loopback akan dikonfigurasi. Interface tersebut nantinya akan 

menggunakan IP Address 127.0.0.1.

28. Jika Local apps diaktifkan, maka direktori /home akan di­mount, sehingga 

aplikasi tersebut dapat mngakses direktori home.

29. Beberapa direktori kemudian akan dibuat pada filesystem /tmp untuk 

menyimpan beberapa file sementara yang dibutuhkan sewaktu sistem berjalan. 

Direktori yang akan dibuat tersebut adalah sebagai berikut : 

          a. /tmp/compiled

          b. /tmp/var

          c. /tmp/var/run

          d. /tmp/var/log
          e. /tmp/var/lock

          f. /tmp/var/lock/subsys

30. Proses selanjutnya adalah melakukan konfigurasi pada system X Windows. 

Pada file lts.conf, terdapat parameter yaitu XSERVER. Jika parameter tersebut 

tidak diketemukan, atau ditentukan menjadi "auto", maka akan dilakukan 

proses deteksi. Jika card yang digunakan adalah PCI, maka akan diambil PCI 

Vendor dan Device id, untuk kemudian dicari apakah terdapat pada file 

/etc/vidlist.

Jika card tersebut didukung oleh XFree86 4.X, maka pci_scan akan 

memberikan hasil yaitu nama dari driver modul yang digunakan. Jika hanya 

didukung oleh Xfree86 3.3.6, maka pci_scan akan memberikan X server yang 

akan digunakan. Script rc.local dapat membedakan hasil dari pci_scan 

tersebut dikarenakan pada versi terdahulu 3.3.6 nama server didahului oleh 

'XF86_'.

31. Jika digunakan XFree86 4.x, maka script /etc/rc.setupx akan dijalankan untuk 

membentuk file XF86Config untuk X4. Jika yang digunakan adalah Xfree86 

3.3.6 maka script /etc/rc.setupx3 akan dijalankan untuk membentuk file 

XF86Config.

File XF86Config akan dibuat, berdasarkan file /etc/lts.conf.

32. Ketika script rc.setupx selesai, maka alur proses akan kembali pada rc.local. 

Kemudian /tmp/start_ws akan dibuat. Script ini juga berfungsi untuk 

menjalankan XServer.
33. File /tmp/syslog.conf juga akan dibuat. File ini akan menginformasikan 

syslogd daemon, host manakah pada jaringan yang akan menerima informasi 

logging workstation. Syslog host ditentukan pada file lts.conf. Terdapat 

symbolic lynk /etc/syslog.conf yang mengacu ke file /tmp/syslog.conf.

34. Syslogd daemon kemudian akan dijalankan, menggunakan konfigurasi file 

yang disebutkan pada langkah sebelumnya.

35. Alur proses kemudian dikembalikan ke init. Init akan mencari initdefault 

untuk menentukan runlevel yang digunakan. Nilai dari initdefault adalah 2, 

sama halnya dengan yang ditentukan pada lts_core­2.08.

36. Runlevel 2 akan menyebabkan init untuk menjalankan script set_runlevel yang 

akan membaca file lts.conf dan menentukan runlevel workstation yang 

dijalankan.

Runlevel Keterangan
Akan menjalankan shell. Bergua untuk melakukan proses 
3
debug.
Akan menjalankan sesi telnet. Berguna untuk bekerja dalam 
4
modus teks
5 Akan menjalankan X­window dan mengirim query XDMCP 
ke server, yang akan menampilkan kotak dialog login untuk 
akses ke server. Dibutuhkan display manager yang aktif di 
server seperti XDM, GDM, atau KDM

Table 4.1 Deskripsi runlevel pada LTSP

Start

Klien Boot

Pengambilan IP address 
melalui DHCP

Kernel Downloading 
melalui TFTP

Eksekusi Kernel

Set­up environment 
melalui (init) dan 
inisialisasi sistem

Mounting File System

Pembacaan Filwe 
konfigurasi

Switch runlevel

End
Gambar 4.9 Flowchart cara kerja LTSP

4.4.7 Cara Kerja PXE/Etherboot

1. BIOS komputer mendeteksi ROM Etherboot sebagai BIOS khusus dan 

memberikan hak kontrol kepadanya.

2. Setelah mendapat hak kontrol, PXE/Etherboot melakukan pemberitahuan 

bahwa ini adalah Bootable device.

3. PXE/Etherboot melakukan inisialisasi perangkat jaringan dimana transfer data 

akan dilewatkan.

4. PXE/Etherboot mengirimkan paket Boot Protocol (BOOTP) dan Dynamic Host 

Configuration Protocol (DHCP) secara menyeluruh atau sebagai alternatif 

Reverse Addresses Resolution Protocol (RARP).

5. Jika server telah memberikan balasan dan paket balasan telah diterima, maka 

PXE/Etherboot akan mengatur alamat IP komputer dan parameter lainnya yang 

didapatkan, termasuk nama file kernel yang harus diambil dari server. 

Kemudian PXE/Etherboot akan mengirimkan permintaan Trivial File Transfer 

Protocol (TFTP) untuk mengambil file kernel.

6. Jika proses pengambilan berhasil, PXE/Etherboot memberikan hak kontrol 
selanjutnya kepada kernel yang telah berhasil diambil.

7. Jika server tidak memberikan balasan maka akan dilakukan proses restart oleh 

BIOS atau proses POST akan diserahkan kepada perangkat lain.

4.4.8 Cara Kerja DHCP

1. Host client DHCP yang masuk ke dalam jaringan memulai initializing state dan 

melakukan broadcast discover message pada jaringan lokal.

2. Tiap server DHCP yang menerima discover message dan dapat melayani 

permintaan tersebut akan menanggapinya dengan offer message yang berisi 

alamat IP dan informasi konfigurasi yang sesuai.

3. Client DHCP masuk ke tahap selecting state dan memeriksa offer message yang 

diterimanya.

4. Saat client DHCP memilih tawaran, ia akan masuk ke requesting state dan 

mengirimkan request message ke server DHCP yang sesuai, meminta 

konfigurasi yang ditawarkan.

5. Server DHCP memberikan konfigurasi tersebut dengan acknowledgment 

message yang berisi alamat IP dan konfigurasi ini selama periode tertentu.

6. Client DHCP menerima acknowledgment dan masuk ke bound state di mana 

konfigurasi IP ini diterapkan ke protokol TCP/IP lokal. Komputer client 
menggunakan konfigurasi selama waktu lease yang ditentukan dan dapat 

diulang kembali tanpa negosiasi lease baru.

7. Saat lease waktunya hampir habis, client mencoba memperbaharui lease ke 

server DHCP.

8. Bila lease ini tidak dapat diperbaharui, client masuk ke proses binding dan 

diberikan lease untuk alamat baru. Alamat yang tidak dapat diperbaharui akan 

kembali ke kumpulan alamat.

1. Initializing 
State 
Mula  8. Rebinding 
(mengirim 
  i
discover  (menerima lease 
mssege) baru)

2. Initializing 
 7. Renewal  
State 
(mencoba 
(menerima 
memperbaharui 
offer massage)
lease)

3. Selecting   6. Bound state 
State  (mencoba 
(memeriksa  memperbaharui 
tawaran) lease)

      Pembaharuan ditermia
5. Requesting 
4. Requesting  massage (mencoba 
massage  memperbaharui 
(mengirim  lease)
request massage)

Gambar 4.10 Siklus hidup lease alamat DHCP
4.4.9 Setting Firewall 

Firewall merupakan suatu cara atau mekanisme yang diterapkan baik terhadap 

hardware, software ataupun sistem itu sendiri dengan tujuan untuk melindungi, 

baik dengan menyaring, membatasi atau bahkan menolak satu atau semua 

hubungan/kegiatan satu segmen pada jaringan pribadi dengan jaringan luar yang 

bukan merupakan ruang lingkupnya. Segmen tersebut dapat merupakan sebuah 

workstation, server, router, atau local area network (LAN).

Secara konseptual, terdapat dua macam firewall yaitu network level dan 

application level. Firewall network level mendasarkan keputusan mereka pada 

alamat sumber, alamat tujuan dan port yang terdapat dalam setiap paket IP. 

Network level firewall sangat cepat dan sangat transparan bagi pemakai. 

Application level firewall biasanya adalah host yang berjalan sebagai proxy server, 

yang tidak mengijinkan lalu lintas antar jaringan, dan melakukan logging dan 

auditing lalu lintas yang melaluinya. Application level firewall menyediakan 

laporan audit yang lebih rinci dan cenderung lebih memaksakan model keamanan 

yang lebih konservatif daripada network level firewall. konfigurasi sederhananya: 

firewall
pc (jaringan local) < ==>                        <==>  internet (jaringan lain)

Firewall untuk komputer, pertama kali dilakukan dengan menggunakan prinsip 

“non­routing” pada sebuah Unix host yang menggunakan 2 buah network 

interface card. Network interface card yang pertama di hubungkan ke internet 

(jaringan lain), sedangkan yang lainnya dihubungkan ke pc/jaringan lokal (dengan 

catatan tidak terjadi “route” antara kedua network interface card di pc ini). Untuk 
dapat terkoneksi dengan Internet (jaringan lain) maka harus memasuki server 

firewall (bisa secara remote, atau langsung), kemudian menggunakan resource 

yang ada pada komputer ini untuk berhubungan dengan Internet (jaringan lain), 

apabila perlu untuk menyimpan file/data maka dapat menaruhnya sementara di pc 

firewall anda, kemudian mengkopikannya ke pc (jaringan lokal). Sehingga 

internet (jaringan luar) tidak dapat berhubungan langsung dengan pc (jaringan 

lokal). Dikarenakan masih terlalu banyak kekurangan dari metoda ini, sehingga 

dikembangkan berbagai bentuk, konfigurasi dan jenis firewall dengan berbagai 

policy (aturan) di dalamnya. 

4.4.10  Mengaktifkan IP Forward

Agar mesin PC dapat digunakan sebagai router, maka yang harus dilakukan 

adalah mengaktifkan Ip forwarding dengan memberikan nilai 1 pada file 

/proc/sys/net/ipv4/ip_forward.

debian:~# echo “1” > /proc/sys/net/ipv4/ip_forward

Nilai tersebut akan hilang dan kembali menjadi 0 bila mesin PC di­restart. oleh 

karena itu, agar nilai tetap 1, perintah di atas dapat ditambahkan pada file 

/etc/rc.local agar dijalankan setiap proses star­up. 

debian:~# vim /etc/rc.local

#!/bin/sh -e

#
# rc.local

# This script is executed at the end of each multiuser runlevel.

# Make sure that the script will "exit 0" on success or any other

# value on error.

# In order to enable or disable this script just change the execution

# bits.

# By default this script does nothing.

echo 1 > /proc/sys/net/ipv4/ip_forward

exit 0

4.4.11 Iptables

Iptables atau NetFilter merupakan software Linux yang mengimplementasikan 

sebuah framework untuk firewall yang bersifat statefull. Iptables juga memiliki 

fiture Network Address Translation (NAT). Netfilter hanya bekerja pada kernel 

versi 2.4 atau 2.6 dan tidak dapat bekerja pada kernel yang lebih rendah dari 2.4. 

Iptables mempunyai fitur lebih banyal dibanding ipchains. Berikut poin-poin

utama iptables:

1. Conecction tracking capability, kemampuan untuk melakukan inspeksi paket.

2. Menyederhanakan perilaku paket-paket dalam melakukan negoisasi built-in

chain (INPUT, OUTPUT, dan FORWARD).

3. Separasi sempurna terhadap packet filtering dan network address translation

(NAT).
4. Kemampuan untuk memfilter flag-flag dan opsi-opsi tcp, serta MAC address.

Rate-limited conecction dan logging capability, dapat membatasi usaha

koneksi, hal ini dapat mencegah serangan flooding Denial of Service Attack

(DOS).

4.4.11.1 Sintaks iptables

Pada dasarnya Iptebles atau Netfilter membuat aturan. Aturan apa yang dilakukan 

tentang paket­paket network yang lewat. Aturan tersebut bisa meneruskannya, 

menolaknya, dll. Rule­rule tersebut dikelompokkan dalam chain, dimana masing

chain berisi daftar rule-rule. Chain dikelompokkan lagi dalam tables, dimana

masing-masing table merupakan bagian-bagian tersendiri yang mengurusi

beberapa proses paket yang berbeda. Ada tiga macam tables, masing-masing table

berisi predefined chain:

1. INPUT : yaitu setiap paket yang masuk ke router.

2. OUTPUT : yaitu setiap paket yg keluar dari router.

3. FORWARD : paket yg melewati komputer dari jaringan satu ke jaringan

lain (terjadi jika komputer di set sebagai gateway).

Pada saat sebuah paket sampai pada router, maka disitulah terjadi proses

penyaringan. Rantai akan memutuskan nasib paket tersebut. Apabila

keputusannnya adalah DROP, maka paket tersebut akan di-drop, tetapi jika rantai

memutuskan untuk ACCEPT, maka paket akan dilewatkan. Sebuah rantai adalah

aturan-aturan yang telah ditentukan. Setiap aturan menyatakan, jika paket

memiliki informasi awal (header), maka inilah yang harus dilakukan terhadap
paket tersebut. Jika aturan tersebut tidak sesuai dengan paket, maka aturan

berikutnya akan memproses paket tersebut. Apabila sampai aturan terakhir yang

ada, paket tersebut belum memenuhi salah satu aturan, maka kernel akan melihat

kebijakan bawaan (default) untuk memutuskan apa yang harus dilakukan kepada

paket tersebut. Ada dua kebijakan bawaan yaitu default DROP dan default

ACCEPT.

-A –append Perintah ini menambahkan aturan pada akhir chain. Aturan akan

ditambahkan di akhir baris pada chain yang bersangkutan, sehingga

akan dieksekusi terakhir.

-D --delete Perintah ini menghapus suatu aturan pada chain. Dilakukan dengan

cara menyebutkan secara lengkap atau dengan menyebutkan nomor

baris dimana perintah akan dihapus.

-R --replace Perintah ini sama seperti --delete, tetapi perintah ini menggantinya

dengan entry yang baru.

-I --insert Memasukkan aturan pada suatu baris di chain. Aturan akan

dimasukkan pada baris yang disebutkan, dan aturan awal yang

menempati baris tersebut akan digeser ke bawah.

-L --list Perintah ini menampilkan semua aturan pada sebuah tabel. Apabila

tabel tidak disebutkan, maka seluruh aturan pada semua tabel akan

ditampilkan, walaupun tidak ada aturan pada sebuah tabel. Perintah

ini bisa dikombinasikan dengan option v (verbose), -n (numeric)

dan x (exact).

-F –flush Perintah ini mengosongkan aturan pada sebuah chain. Apabila


chain tidak disebutkan, maka semua chain akan di- flush.

-N Perintah tersebut akan membuat chain baru.

-X Perintah ini akan menghapus chain yang disebutkan. Agar perintah di atas

berhasil, tidak boleh ada aturan lain yangmengacu kepada chain

tersebut.

-P --policy Perintah ini membuat kebijakan default pada sebuah chain.

Sehingga jika ada sebuah paket yang tidak memenuhi aturan pada

baris-baris yang telah didefinisikan, maka paket akan diperlakukan

sesuai dengan kebijakan default ini.

-E Perintah ini akan merubah nama suatu chain.

4.4.11.2 Generic Matches

Generic Matches merupakan pendefinisian kriteria yang berlaku secara umum.

Dengan kata lain, sintaks generic matches akan sama untuk semua protokol.

Setelah protokol didefinisikan, maka baru didefinisikan aturan yang lebih spesifik

yang dimiliki oleh protokol tersebut. Hal ini dilakukan karena tiap-tiap protokol

memiliki karakteristik yang berbeda, sehingga memerlukan perlakuan khusus.

-p –protocol Digunakan untuk mengecek tipe protokol tertentu. Contoh

protokol yang umum adalah TCP, UDP, ICMP dan ALL.

-s --src –source Digunakan untuk mencocokkan paket berdasarkan alamat IP

asal. Alamat di sini bisa berberntuk alamat atau suatu

alamat network menggunakan netmask.

-d --dst --destination Digunakan untuk mecocokkan paket berdasarkan alamat


tujuan.

src -i --in-interface Digunakan untuk mencocokkan paket berdasarkan interface

di mana paket datang. Match ini hanya berlaku pada

chain INPUT, FORWARD dan PREROUTING.

-o--out-interface Berfungsi untuk mencocokkan paket berdasarkan interface

di mana paket keluar. Penggunannya sama dengan

--in-interface Berlaku untuk chain OUTPUT, FORWARD dan

POSTROUTING.

4.4.11.3 Implicit Matches

Implicit Matches adalah match yang spesifik untuk tipe protokol tertentu. Implicit

Match merupakan sekumpulan rule yang akan dijalankan setelah tipe protokol

disebutkan.

Ada 3 Implicit Match yang berlaku untuk tiga jenis protokol, yaitu TCP, UDP, dan

ICMP.

a. TCP Matches

--sport --source-port Match ini berguna untuk mecocokkan paket berdasarkan

port asal. Dalam hal ini kita bisa mendefinisikan nomor port

atau nama service-nya. --sport juga bisa dituliskan untuk range

port tertentu. Misalkan range antara port 22 sampai dengan 80,

maka dituliskan --sport 22:80. Jika bagian salah satu bagian pada
range tersebut dihilangkan, maka hal itu bisa diartikan dari port 0

jika bagian kiri yang dihilangkan, atau 65535 jika bagian kanan

yang dihilangkan.

--dport –destination-port Match ini berguna untuk mecocokkan paket berdasarkan

port tujuan.

--tcp-flags Digunakan untuk mencocokkan paket berdasarkan TCP flags

yang ada pada paket tersebut. Masing-masing entry-nya harus

dipisahkan oleh koma dan tidak boleh ada spasi antar entry.

Match ini mengenali SYN,ACK,FIN,RST,URG, PSH. Selain itu

bisa juga dituliskan ALL dan NONE.

--syn Match ini akan memeriksa apakah flag SYN di-set, ACK, dan

FIN tidak diset. Perintah ini sama artinya jika kita menggunakan

match –tcp-flags.

b. UDP Matches

Karena bahwa protokol UDP bersifat connectionless, maka tidak ada flags yang

mendeskripsikan status paket untuk membuka atau menutup koneksi. Paket UDP

juga tidak memerlukan acknowledgement. Sehingga Implicit match untuk protokol

UDP lebih sedikit daripada TCP. Ada dua macam match untuk UDP:

--sport atau --source-port

--dport atau --destination-port

c. ICMP Matches
Paket ICMP digunakan untuk mengirimkan pesan-pesan kesalahan dan kondisi-

kondisi jaringan yang lain. Hanya ada satu implicit match untuk tipe protokol

ICMP, yaitu:

--icmp-type

4.4.11.4 Explicit Matches

a. MAC Address

Match jenis ini berguna untuk melakukan pencocokan paket berdasarkan MAC

source address. Perlu diingat bahwa MAC hanya berfungsi untuk jaringan yang

menggunakan teknologi ethernet.

b. Multiport Matches

Multiport Matches digunakan untuk mendefinisikan port atau port range lebih

dari satu.

c. Owner Matches

Penggunaan match ini untuk mencocokkan paket berdasarkan pembuat atau

pemilik/owner paket tersebut. Match ini bekerja dalam chain OUTPUT.

d. State Matches

Match ini mendefinisikan pernyataan apa saja yang cocok. Ada 4 pernyataan yang
berlaku, yaitu NEW, ESTABLISHED, RELATED dan INVALID.

NEW Digunakan untuk paket yang akan memulai koneksi baru.

ESTABLISHED Digunakan jika koneksi telah tersambung dan paket-

paketnya merupakan bagian dari koneki tersebut.

RELATED Digunakan untuk paket-paket yang bukan bagian dari

koneksi tetapi masih berhubungan dengan koneksi tersebut.

INVALID Adalah paket yang tidak bisa diidentifikasi, bukan

merupakan bagian dari koneksi yang ada.

4.4.11.5 Target/Jump

Target atau jump adalah perlakuan yang diberikan terhadap paket-paket yang

memenuhi kriteria atau match. Jump memerlukan sebuah chain yang lain dalam

tabel yang sama.

ACCEPT Ketika paket cocok dengan daftar match dan target ini diberlakukan,

maka paket tidak akan melalui baris-baris aturan yang lain.

DROP Target ini memblok paket dan menolak untuk memproses lebih jauh.

Paket yang menerima target DROP benar benar mati dan target tidak

akan mengirim informasi.

RETURN Target ini akan membuat paket berhenti melintasi aturan-aturan.

Fungsi utama target ini adalah membalik source address dan

destination address. Target ini bekerja pada chain INPUT,

FORWARD dan PREROUTING.

Beberapa target yang lain biasanya memerlukan parameter tambahan:


a. LOG Target

Ada beberapa option yang bisa digunakan bersamaan dengan target ini. Pertama

adalah yang digunakan untuk menentukan tingkat log. Tingkatan log yang bisa

digunakan adalah debug, info, notice, warning, err, crit, alert dan emerg. Kedua

adalah -j LOG --log-prefix yang digunakan untuk memberikan string yang tertulis

pada awalan log, sehingga memudahkan pembacaan log tersebut.

b. REJECT Target

Secara umum, REJECT bekerja seperti DROP, yaitu memblok paket dan menolak

untuk memproses lebih lanjut paket tersebut. Tetapi, REJECT akan mengirimkan

error message ke host pengirim paket tersebut. REJECT bekerja pada chain

INPUT, OUTPUT dan FORWARD atau pada chain tambahan yang dipanggil dari

ketiga chain tersebut.

c. SNAT Target

Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source

Network Address Translation). Target ini berlaku untuk tabel nat pada chain

POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket pertama

dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya dalam

koneksi tersebut juga akan mengalami hal yang sama.

d. DNAT

Target berkebalikan dengan SNAT, DNAT digunakan untuk melakukan translasi


field alamat tujuan (Destination Network Address Translation) pada header dari

paket-paket yang memenuhi kriteria match. DNAT hanya bekerja untuk tabel nat

pada chain PREROUTING dan OUTPUT.

e. MASQUERADE Target

MASQUERADE bekerja dengan cara yang hampir sama seperti target SNAT,

tetapi target ini tidak memerlukan option --to-source.

f. REDIRECT Target

Target REDIRECT digunakan untuk mengalihkan jurusan (divert) paket ke mesin

itu sendiri. Target ini umumnya digunakan untuk mengarahkan paket agar menuju

suatu port tertentu .

4.4.11.6 Mengkonfigurasi iptables

Konfigurasi iptables dilakukan untuk menentukan kebijakan yang telah

direncanakan. Kemudian mengaktifkan IP Masquerading agar semua client dapat

melakukan koneksi ke internet. Masquerading berguna untuk menghubungkan

beberapa komputer yang terkoneksi ke sebuah komputer yang sudah terkoneksi ke

internet agar dapat mengakses internet, atau Internet Connection Sharing.

Debian:~#iptables -t nat -A POSTROUTING -j MASQUERADE

Atau tambahkan file dengan edit file di /etc/rc.local agar konfigurasi permanen.
#!/bin/sh -e

# rc.local

# This script is executed at the end of each multiuser runlevel.

# Make sure that the script will "exit 0" on success or any other

# value on error.

# In order to enable or disable this script just change the execution

# bits.

# By default this script does nothing.

iptables -t nat -A POSTROUTING -j MASQUERADE

exit 0

Perintah yang digunakan untuk menerapkan rule yang telah ditentukan menurut 

kebijakan adalah:

1. Jaringan Diskless System

Client jaringan Diskless System range IP Address 192.168.1.1 sampai dengan 

192.168.1.10 tidak dapat ssh ke server:

debian:~#iptables -A INPUT -p tcp -s 192.168.1.1 --dport 22 -j DROP


2. Jaringan Slackware

Client jaringan Slackware range IP address 202.150.20.15 sampai dengan 

202.150.20.20 tidak dapat melakukan ssh, browser.

debian:~#iptables -A INPUT -p tcp -s 202.150.20.15 -m multiport --dport 22,80 -j

DROP

dan tidak dapat ping atau tidak dapat menjalankan aplikasi icmp

debian :~# iptables -A INPUT -s 202.150.20.15 -p icmp -j DROP

Jika ingin mengetahui isi tabel dari Iptables ketikan perintah pada consol sebagai 

berikut :

debian:~# iptables ­vnL

Hasilnya adalah

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination 
dan table PREROUTING

debian:~# iptables ­t nat ­L

Hasilnya adalah

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

4.5 Pre­Cutover

Proses persiapan untuk melakukan perpindahan dari sistem lama ke sistem baru 

pada bagian ini tidak dilakukan.

4.6 Cutover

Pada bagian ini juga tidak dilakukan seperti halnya proses Pre­Cutover.

4.7 Operation

LTSP server adalah komputer yang berfungsi sebagai diskless system, yaitu 
komputer yang bekerja mentransfer semua kebutuhan pada client, sehingga client 

dapat memanfaatkan sumberdaya yang diberikan oleh server. Router adalah 

komputer yang mengendalikan lalu lintas pada sebuah jaringan. Sebuah firewall 

adalah metode yang memproteksi satu jaringan terhadap jaringan yang lain. 

Keduanya terletak antara jaringan internal dengan jaringan luar untuk memblok 

lalu lintas yang tidak diinginkan. Jika pengguna mengirimkan sebuah pesan, pesan 

tersebut mengalir melewati firewall menuju server LTSP. Firewall akan memblok 

lalu lintas dari user ini jika tidak mempunyai izin ke server lokal, atau ia 

menggunakan protokol yang tak diizinkan.

Router memiliki kemampuan untuk melewatkan paket IP dari satu jaringan ke

jaringan lain yang mungkin memiliki banyak jalur. Agar mampu melewatkan

paket, maka router, minimal harus memiliki dua kartu jaringan serta menjalankan

fungsi iptables (NAT, INPUT, OUTPUT, PREROUTING, FORWARDING,

POSTROUTING) untuk mengatur routing paket. Pada router ini ditentukan port-

port mana saja yang dibuka dan ditutup serta menentukan IP address yang dapat

mengakses server LTSP.

Server router memiliki beberapa fungsi yaitu, menerima halaman web (objek) dari

klien dan mengambil halaman web dari server original kemudian memberikan

kepada klien. Setiap paket yang melalui router akan diperiksa di antaranya asal

paket, isi paket, dan tujuan paket, kemudian paket tersebut akan diperlakukan

sesuai aturan-aturan yang telah ditetapkan.

4.7.1 Perjalanan paket yang menuju ke internet lokal


Saat klien megirimkan sebuah paket, dengan meminta sebuah halaman web atau

men-download file, maka paket tersebut akan melalui sebuah router. Router akan

memeriksa header-nya dan mencocokan header tersebut dengan chain pada tabel

PREROUTING dan INPUT yang telah ditetapkan, bila router tidak menemukan

yang chain sesuai, maka paket tersebut akan dikenai aturan default. kemudian

paket tersebut akan diarahkan ke server melalui port 8080.

Pada saat paket sampai ke server, header paket tersebut akan diperiksa kembali,

kemudian akan diperlakukan sesuai dengan policy atau kebijakan yang berlaku.

Gambar 4.4 Perjalanan paket menuju ke internet

Setelah melewati server, paket akan diteruskan ke internet melalui gateway. Pada

gateway ini, header paket tersebut akan ditambahkan ip public milik gateway,

sehingga ip address yang dikenal di internet adalah ip public gateway.

4.7.2 Perjalanan paket yang menuju ke jaringan lokal

Paket yang menuju ke jaringan lokal masuk melalui gateway, kemudian paket

tersebut diteruskan ke router. Header paket yang masuk ke router akan diperiksa

dan diperlakukan sesuai chain pada tabel OUTPUT dan POSTROUTING, bila

tidak ditemukan chain yang sesuai maka akan diberlakukan chain default.
Kemudian paket akan dikirim ke router kembali dan oleh router paket diteruskan

ke klien.

Gambar 4.3 Perjalanan paket menuju ke jaringan lokal

4.7.3 Tampilan Client LTSP

Jika semua berjalan lancar tanpa ada pesan kesalahan atau error, berarti komputer

client sudah dapat berfungsi sebagai terminal client yaitu client yang

memanfaatkan sumber daya dari terminal server atau LTSP server, berikut ini

adalah tampilan pada terminal client yang telah berhasil masuk login dan

password ke terminal server :


Gambar 4.? Tampilan Terminal Client

4.7.4 Keamanan Data pada Server LTSP

Diskless system atau LTSP server memberikan keamanan data pada client, karena

semua pekerjaan komputasi dilakukan di terminal server, seperti :

1. Hanya login root yang dapat mengakses, memodifikasi dan menambah

user pada jaringan LTSP

2. Hak akses file dan direktori data dari user hanya dapat diubah maupun

dimodifikasi oleh user pemilik file atau direktori dan root.

4.7.5 Tampilan penolakan untuk setiap client

Pada pembahasan dalam Keamanan server LTSP ini, pada simulasi jaringan yang

diberikan penolakan pada server LTSP adalah jaringan diskless system dan juga

jaringan sleckware. Pada jaringan diskless system atau terminal client diberikan

penolakan untuk mengakses atau meremote server LTSP dengan menggunakan

aplikasi SSH. Dan pada jaringan slackware diberikan penolakan untuk mengakses
server LTSP adalah aplikasi SSH, ICMP, dan Bowser.

4.7.5.1 Tampilan penolakan untuk jaringan diskless system untuk SSH

4.7.5.2 Tampilan penolakan untuk jaringan slackware untuk SSH, ICMP, dan

Browser

1. Penolakan untuk SSH adalah sebagai berikut :

Gambar 4.? Penolakan SSH

2. Penolakan untuk ICMP adalah sebagai berikut :


Gambar 4.? Penolakan ICMP

3. Penolakan untuk Browser adalah sebagai berikut :

Gambar 4.? Penolakan Browser