Network Address Translator

Teknik Komputer dan Jaringan

SMK N 1 Randudongkal
Private Network

 Private IP network adalah IP jaringan yang tidak

terkoneksi secara langsung ke internet
 IP addresses Private dapat dirubah sesuai kebutuhan.
 Tidak teregister dan digaransi menjadi IP Global yang unik
 Umumnya, Jaringan private menggunakan alamat dari
range experimental address (non-routable addresses):
 10.0.0.0 – 10.255.255.255
 172.16.0.0 – 172.31.255.255
 192.168.0.0 – 192.168.255.255
Private Addresses
Network Address Translation (NAT)

 NAT adaah sebuah fungsi router yang memetakan alamat

IP private (Lokal) ke alamat IP yang dikenal di Internet,
shg jaringan private bisa internetan
 NAT merupakan salah satu metode yang memungkinkan
host pada alamat private bisa berkomunkasi dengan
jaringan di internet
 NAT jalan pada router yang menghubungkan antara private
networks dan public Internet, dan menggantikan IP
address dan Port pada sebuah paket dengan IP address dan
Port yang lain pada sisi yang lain
Operasi Dasar NAT

Private Internet
network

Sourc e = 10.0.1.2 Sourc e = 128.143.71.21

Destination = 213.168.112.3 Destination = 213.168.112.3

private address: 10.0.1.2 NAT

public address: 213.168.112.3
public address: 128.143.71.21 device
H1 H5
Sourc e = 213.168.112.3 Sourc e = 213.168.112.3
Destination = 10.0.1.2 Destination = 128.143.71.21

Private Public
Address Address
10.0.1.2 128.143.71.21

 NAT device mempunyai Tabel Penterjemah

Penggunaan Utama NAT

 Pooling IP address

 Men-support perpindahan ISP tanpa harus merubah konfigurasi pada jaringan

lokal

 IP masquerading

 Load balancing servers

Pooling of IP addresses

 Skenario: Jaringan suatu perusahaan (Corporate Network)

punya banyak host tapi hanya mempunyai beberapa IP
public
 Solusi NAT :
 Corporate network diatur dengan pengalamatan private
 NAT device, ditempatkan diantara corporate network dan public
Internet, menagtur pool IP public
 Ketika host dari corporate network mengirimkan paket ke host di
internet, NAT akan memilih IP public mana yang dipakai dari pool
address, dan mengikat alamat ini untuk private address tertentu
Pooling IP addresses
 Men-support perpindahan ISP
 Skenario: Dalam CIDR, IP public pada corporate network di dapat dari
service provider. Jika kita pindah ISP maka akan berubah pula IP
Public-nya. Perlu perubahan ke semua komputer lokal di jaringan.
 Solusi NAT:
 Corporate network diatur dengan pengalamatan private
 NAT mempunyai entri static address translation yang mengikat IP Privat ke
IP Public
 Perpindahan ISP baru hanya membutuhkan update pada NAT. Perubahan
tidak dicatat pada host lokal di jaringan
Note:
 Perbedaan menggunakan NAT dengan Pooling adalah mapping IP Public
dan IP Private dilakukan secara static
 Men-support perpindahan ISP

Sourc e = 128.143.71.21 ISP 1

Destination = 213.168.112.3
allocates address block
Sourc e = 10.0.1.2 128.143.71.0/24 to private
Destination = 213.168.112.3 netw ork:
128.143.71.21
private address: 10.0.1.2
public address: 128.143.71.21
NAT
128.195.4.120 device
H1 128.195.4.120
ISP 2
Private allocates address block
network 128.195.4.0/24 to private
Sourc e = 128.195.4.120
Destination = 213.168.112.3 netw ork:

Private Public
Address Address
128.143.71.21
10.0.1.2
128.195.4.120
IP masquerading

 Biasa disebut: Network address and port

translation (NAPT), port address translation
(PAT).
 Skenario: Single IP Public dipetakan ke multiple
IP pada jaringan lokal.
 Solusi NAT:
 Corporate network diatur dengan pengalamatan private
 NAT device memodifikasi nomor port dan IP ketika
keluar ke jaringan internet
IP masquerading

Source = 10.0.1.2 Source = 128.143.71.21

Source port = 2001 Source port = 2100

private address: 10.0.1.2

NAT 128.143.71.21
H1 Private network Internet
device
private address: 10.0.1.3

H2 Source = 10.0.1.3 Source = 128.143.71.21

Source port = 3020 Destination = 4444

Private Public
Address Address
10.0.1.2/2001 128.143.71.21/2100
10.0.1.3/3020 128.143.71.21/4444
Cara Kerja NAT
Load balancing of servers

 Skenario: Menyeimbangkan kerja sekumpulan server yang

identik, yang diakses dari single IP address

 Solusi NAT:
 Server yang identik diberi nomor IP private/lokal
 NAT device berfungsi sebagai proxy yang diberi IP Public dimana
request ke server melalui NAT
 NAT akan merubah alamat tujuan paket yang datang ke salah satu
IP server yang loadnya rendah
 Kebijakan strategi Load Balancing Server untuk penugasan bisa
menggunakan algoritma round-robin.
Load balancing servers

Private network

Sou
D es rc e
tin a = 12
tio n
10.0.1.2 = 1 8 .1 9 5 . Source = 128.195.4.120
0 .0 . 4
S1 1 .2 .1 2 0 Destination = 128.143.71.21

NAT Source = 213.168.12.3

device Destination = 128.143.71.21
Internet
128.143.71.21
10.0.1.3

S2 20
.4 .1
195
2 8.
= 1 .0 .1.4
10.0.1.4 0
rc e =1
n
S o u t in a t i o
D es Inside network Outside network
Private Public Public
Address Address Address
S3
10.0.1.2 128.143.71.21 128.195.4.120
10.0.1.4 128.143.71.21 213.168.12.3
Permasalahan Pada NAT

 Performance:
 Memodifikasi
IP header dengan merubah IP address
membutuhkan perhitungan kembali IP header checksum
 Modifikasi port number membutuhkan recalculate TCP
checksum
Permasalahan NAT

 End-to-end connectivity:
 NAT merusak universal end-to-end reachability host pada Internet.
 Host pada public Internet selalu tidak dapat menginisialisasi komunikasi ke host
jaringan lokal
 Permasalahan menjadi buruk, ketika dua host di private butuh komunikasi dengan
yang lain
Permasalahan NAT

 IP address pada data aplikasi:

 Aplikasi yang membawa IP Address dalam payload umumnya tidak bisa bekerja
untuk melewati lingkungan jaringan private-public.
 Tidak semua aplikasi support NAT
PREROUTING, POSTROUTING, FORWARD,
INPUT DAN OUTPUT (1)
 PREROUTING, chain ini terjadi sebelum proses INPUT dan bisa kita gunakan untuk penandaan trafik yang “akan”
masuk ke tubuh router dengan asal dari mana saja, baik itu tujuannya ke tubuh router, ke jaringan publik atau
jaringan internal yang mana nantinya bisa dilakukan proses lokal untuk koneksi tersebut. Sebagai contoh sederhana
untuk pemisahan routing trafik browsing dan games online pada warnet atau games center yang menggunakan 2 line
ISP, jika kita ingin menandakan trafik games online berdasarkan koneksinya ke untuk di routing ke ISP-A, pada
tabel ip - firewall - mangle kita bisa menggunakan chain PREROUTING untuk penandaan koneksi dan penandaan
routing dengan filtering berdasarkan in-interface,src-address, dst-address, protocol, src-port ataupun dst-port
 POSTROUTING, chain ini merupakan kebalikan dari chain PREROUTING dan terjadi setelah melewati proses lokal di
tubuh router. Chain ini bisa kita gunakan untuk penandaan trafik melewati router ataupun yang akan keluar dari
tubuh router baik itu tujuannya ke jaringan lokal (intranet) ataupun ke jaringan publik (internet) dan setelah
melewati proses lokal pada router. Sebagai contoh disaat kita ingin membuat penandaan trafik yang sudah melewati
proses redirect atau pembelokan di internal web proxy mikrotik.
 FORWARD, merupakan chain yang kita gunakan untuk memproses trafik yang hanya melewati tubuh router tanpa
ada proses-proses internal di tubuh router seperti proses redirect atau pembelokkan trafik. Dari makna kata
FORWARD, secara sederhana bisa kita simpulkan kalau trafik hanya diteruskan. Sebagai contoh, misalkan kita ingin
membuat sebuah rule mangle pada tabel ip - firewall - mangle untuk penandaan paket browsing dari komputer
internal menuju internet, disini kita bisa menggunakan chain FORWARD dengan filtering src-address atau in-
interface (interface lokal) atau out-interface (interfacepublik)
PREROUTING, POSTROUTING, FORWARD,
INPUT DAN OUTPUT (2)
 FORWARD, merupakan chain yang kita gunakan untuk memproses trafik yang hanya melewati tubuh router tanpa ada
proses-proses internal di tubuh router seperti proses redirect atau pembelokkan trafik. Dari makna kata FORWARD,
secara sederhana bisa kita simpulkan kalau trafik hanya diteruskan. Sebagai contoh, misalkan kita ingin membuat sebuah
rule mangle pada tabel ip - firewall - mangle untuk penandaan paket browsing dari komputer internal menuju internet,
disini kita bisa menggunakan chain FORWARD dengan filtering src-address atau in-interface (interface lokal) atau out-
interface (interfacepublik)
 INPUT, merupakan suatu chain yang digunakan untuk memproses trafik yang masuk ke tubuh router itu sendiri. Trafik
yang masuk ini bisa saja masuk dari inteface publik (internet) atau interface lokal (intranet). Sebagai contoh, misalkan
kita melakukan ping dari komputer lokal ke ip router, semisal kita ingin memblokir trafik icmp (ping) ke tubuh router
dari jaringan internal, maka bisa kita gunakan chain INPUT pada tabel ip- firewall - filter dengan filtering
berdasarkan in-interface, src-address dan protokol
 OUTPUT, bisa dibilang chain ini kebalikan dari chain INPUT, yang mana chain ini digunakan untuk memproses trafik yang
keluar atau berasal dari tubuh router, tujuannya bisa saja ke jaringan internal (intranet) ataupun jaringan publik
(internet). Sebagai contoh, saat kita melakukan cek ping ke detik.com dari terminal mikrotik, request yang kita lakukan
tersebut termasuk kedalam chain output. Ataupun disaat kita melakukan remote winbox baik itu dari komputer internal
ataupun dari jaringan publik,
paket-paket yang dikirimkan oleh router ke akses winbox pada komputer kita juga termasuk kedalam chain output.
Konfigurasi NAT di Linux

 Linux menggunakan paket iptables package untuk melakukan

filter pada modul IP
To application From application

filter nat
INPUT OUTPUT

Yes filter
OUTPUT
Destination No filter
is lo cal? FORW ARD

nat nat
PREROUTING POSTROUTING
(DNAT) (SNAT)

Incom ing Outgoing

datagram datagram
Konfigurasi NAT
dengan iptable
 COntoh:
iptables –t nat –A POSTROUTING –s 10.0.1.2
–j SNAT --to-source 128.143.71.21
 Pooling of IP addresses:
iptables –t nat –A POSTROUTING –s 10.0.1.0/24
–j SNAT --to-source 128.128.71.0–128.143.71.30
 ISP migration:
iptables –t nat –R POSTROUTING –s 10.0.1.0/24
–j SNAT --to-source 128.195.4.0–128.195.4.254
 IP masquerading:
iptables –t nat –A POSTROUTING –s 10.0.1.0/24
–o eth1 –j MASQUERADE
 Load balancing:
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to-
destination 10.0.1.2-10.0.1.4
Workshop NAT
NAT Configuration
NAT Configuration

 Lakukan konfigurasi jaringan internal dengan Router seperti pada gambar.

 ifconfig eth0 down
 ifconfig eth0 up
 ifconfig eth0 no_ip netmask no_netmask broadcast no_brodcast up
 route add -net default gw no_gw
 Konfigurasi pada router
 ifconfig eth0 down
 ifconfig eth0 up
 ifconfig eth0 no_ip_pertama_router netmask no_netmask broadcast no_brodcast up
 ifconfig eth0:1 no_ip_kedua_router netmask no_netmask broadcast no_brodcast up
 echo 1> /proc/sys/net/ipv4/ip_forward
 Setting router meneruskan data melalui gateway internet (dianggap gateway internet
adalah 192.168.105.1
 # route add default gw 192.168.105.1
 Setting Router sebagai NAT :
 # iptables –t nat –A POSTROUTING –s IP_number -d 0/0 –j MASQUERADE