Bab11 Firewall PDF
Bab11 Firewall PDF
Gambar 11 ‐ 1 Ilustrasi Penerapan Firewall
Gambar 11 ‐ 2 Arsitektur Firewall Pada Jaringan Komputer
Gambar 11 ‐ 3 Lapisan untuk Proses Packet Filtering Gateway
11.2.2. Application Layer Gateway tujuan dan atribut paket, tapi bisa
Model firewall ini juga dapat mencapai isi (content) paket tersebut.
disebut Proxy Firewall. Mekanismenya
tidak hanya berdasarkan sumber,
Gambar 11 ‐ 4 Web server dengan Firewall
Gambar 11 ‐ 5 Proxy Firewall dilihat pada Model TCP/IP
Gambar 11 ‐ 6 Circuit Level Gateway dilihat pada Model TCP/IP
Gambar 11 ‐ 7 Statefull Multilayer Inspection Firewall dilihat pada Model TCP/IP
Gambar 11 ‐ 8 Koneksi TCP Pada Firewall
Gambar 11 ‐ 9 Sebuah Koneksi ICMP
Gambar 11 ‐ 10 Sebuah Koneksi UDP
Gambar 11 ‐ 11 Proses Pada Paket yang Melewati Firewall
Setelah paket tersebut memasuki
Jika tujuan paket adalah jaringan kolomnya (INPUT atau FORWARD)
lain, maka paket akan difilterkan oleh maka paket tersebut akan dicocokkan
aturan rantai FORWARD pada tabel dengan aturan-aturan yang ada pada
filter. Jika perlu, paket akan diperiksa kolom tersebut. Paket diperiksa
oleh aturan rantai POSTROUTING kecocokannya dengan aturan-aturan
pada tabel nat, apakah paket berasal yang ada. Beberapa aturan yang ada
dari sumber yang mempunyai aturan pada urutan firewall akan dibaca oleh
NAT, yang dalam istilah firewall sistem secara berurut dari nomor
dikenal dengan istilah SNAT (source teratas berdasarkan prioritas.
NAT).
Jika tujuan paket adalah firewall, Tabel 11 ‐ 2 Tabel Filter Pada IPTABLES
maka paket akan difilter oleh aturan No INPUT OUTPUT FORWARD
Aturan no
rantai INPUT pada tabel filter. 1
1
Aturan no 1 Aturan no 1
Selanjutnya paket akan mengalami 2
Aturan no
Aturan no 2 Aturan no 2
proses lokal, paket tersebut akan di 2
Aturan no
teruskan ke tabel INPUT untuk di 3
3
Aturan no 3 Aturan no 3
proses firewall. Bila paket tersebut
N Aturan n Aturan n Aturan n
bertujuan untuk ke komputer lain yang
berbeda jaringan, paket tersebut akan POLICY
ACCEPT/ ACCEPT/ ACCEPT/
di teruskan ke kolom FORWARD. DROP DROP DROP
Proses lokal yang terjadi pada
firewall dapat berupa pengiriman Sebagai contoh, ada paket
paket kembali. Paket ini akan dengan tujuan alamat IP komputer
diperiksa oleh aturan rantai OUTPUT kita. Paket tersebut akan masuk ke
pada tabel MANGLE. Selanjutnya tabel INPUT, kemudian paket tersebut
paket diperiksa oleh aturan rantai akan di cocokkan dengan aturan no 1.
OUTPUT pada tabel NAT, apakah Jika aturan tersebut tidak cocok
memerlukan DNAT. Sebelum routing, dengan paket yang datang maka
paket akan difilter oleh aturan rantai paket tersebut akan di cocokkan
OUTPUT pada tabel filter. dengan aturan ke dua. Bila paket tidak
Gambar 11 ‐ 12 SNAT dan DNAT
Gambar 11 ‐ 13 Skema Firewall dalam Jaringan
# iptables – t nat – p POSTROUTING – j ACCEPT
# iptables – t nat – p PREROUTING – j ACCEPT
# iptables – A INPUT –p icmp ‐j ACCEPT
# iptables – A FORWARD –p icmp ‐j ACCEPT
# iptables – A OUPUT –p icmp ‐j ACCEPT
# iptables – A INPUT –p tcp –dport 22 –i eth1 ‐j ACCEPT
# iptables – A OUTPUT –p tcp –sport 22 –o eth1 ‐j ACCEPT
# iptables – A OUTPUT –s 192.168.0.1. –p tcp –sport 22 –o eth1 ‐j ACCEPT
# iptables – A FORWARD –p tcp –dport 80 –i eth1 ‐j ACCEPT
# iptables – A FORWARD –p tcp –sport 80 –o eth1 ‐j ACCEPT
# iptables – A FORWARD –p tcp –dport 80 –i eth0 ‐j ACCEPT
# iptables – A FORWARD –p tcp –sport 80 –o eth0 ‐j ACCEPT
# iptables – A FORWARD –p tcp –m multiport ‐‐port 80 ‐j ACCEPT
# iptables – A OUTPUT –p udp –dport 53 –o eth1 ‐j ACCEPT
# iptables – A INPUT –p udp –dport 53 –i eth1 ‐j ACCEPT
# iptables – A OUTPUT –p udp –dport 53 –o eth0 ‐j ACCEPT
# iptables – A INPUT –p udp –dport 53 –i eth0 ‐j ACCEPT
# iptables – A FORWARD –p udp –m multiport –ports 53 ‐j ACCEPT
Gambar 11 ‐ 14 Jaringan untuk Penerapan IP MASQUERADE
# iptables – t nat –A POSTROUTING –o eth0 –s 192.168.100.0/24 –j MASQUERADE
# iptables – t nat –A POSTROUTING –o ppp0 –s 192.168.100.0/24 –j MASQUERADE
Gambar 11 ‐ 15 Jaringan Hubungan Langsung
# iptables – t nat –A POSTROUTING –o eth0 –s 192.168.100.0/24 –j snat –to‐source 202.51.226.34
# iptables – t nat –A POSTROUTING –o eth0 –s 192.168.100.0/24 –j snat –to‐source 202.51.226.34
Gambar 11 ‐ 16 Jaringan DMZ Terpisah
# iptables – t nat –A POSTROUTING –o eth0 –s 192.168.100.0/24 –j snat –to‐source 202.51.226.34
# iptables – t nat –A POSTROUTING –i eth0 –d 202.51.226.38 –j DNAT ‐‐to‐destination 192.168.200.253.
# iptables – t nat –A POSTROUTING –o eth0 –s 192.168.200.253.–j SNAT ‐‐to‐source 202.51.226.38.
# iptables – t nat –A POSTROUTING –i eth0 –d 202.51.226.38 –j DNAT ‐‐to‐destination 192.168.200.253.
# iptables – t nat –A POSTROUTING –o eth0 –s 192.168.200.253.–j SNAT ‐‐to‐source 202.51.226.38.
Gambar 11 ‐ 17 Jaringan DMZ dalam Satu Jaringan
# iptables – t nat –A PREROUTING –i eth0 –d 202.51.226.38 .–j DNAT ‐‐to‐destination 192.168.100.253
# iptables – t nat –A POSTROUTING –o eth0 –s 192.168.100.253.–j SNAT ‐‐to‐source 202.51.226.38