Page 1
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
Apakah ACL itu?
ACL adalah daftar kondisi yang berlaku bagi perjalanan traffic ke seberang
interface router. Daftar ini memberitahukan pada router apakah jenis paket untuk
diterima atau ditolak. Penerimaan dan penolakan dapat didasarkan pada kondisikondisi
tertentu. ACL memungkinkan pengaturan traffic dan menjamin akses ke
dan dari suatu jaringan.
Bagaimanakah cara ker ja ACL
ACL adalah group pernyataan yang menegaskan apakah paket diterima atau
ditolak pada interface inbound atau outbound. Putusan ini dibuat dengan
mencocokkan kondisi pernyataan dalam daftar akses dan kemudian melakukan
penegasan aksi diterima atau ditolak pada pernyataan.
Page 2
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
Menciptakan ACL
ACL diciptakan pada mode global configuration. Ada berbagai perbedaan jenis
dari ACL yang meliputi standard, extended, IPX, AppleTalk, dan yang lainnya.
Ketika mengkonfigurasi ACL pada router, setiap ACL harus dikenali dengan unik
dengan memberikan nomor. Nomor ini mengidentifikasian jenis daftar akses yang diciptakan dan harus
tercakup dalam golongan angka yang khusus yang sah untuk daftar jenis.
Standard ACL
Standar ACL memeriksa alamat sumber dari paket IP yang routed.
Perbandingan akan menghasilkan berbagai akses diijinkan atau ditolak untuk
seluruh deretan protokol, berdasarkan pada jaringan, subnet, dan alamat host.
Sebagai contoh, paket datang dalam Fa0/0 diperiksa untuk alamat sumber dan
protocol. Jika paket diijinkan, paket routed melalui router untuk interface output.
Jika paket tidak diijinkan, paket dihentikan pada interface yang datang.
Versi standar perintah global configuration access-list digunakan untuk
menetapkan standar ACL dengan angka dari 1 sampai 99 (juga dari 1300
sampai 1999 pada IOS terbaru).
Perintah lengkap standar ACL adalah:
Router(config)#access-list access-list-number {deny |
permit} source [source-wildcard ] [log]
Page 3
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
Untuk menghapus ACL digunakan penambahan kata no diawal kalimat ACL,
seperti contoh:
Router(config)#no access-list access-list-number
Extended ACL
Extended ACL lebih sering digunakan dari pada standard ACL sebab
memberikan nilai range control yang besar. Extended ACL memeriksa sumber
dan tujuan alamat paket dan mampu memeriksa protocol dan nomor port.
Perintah ip access-group menghubungkan extended ACL yang ada ke
inertface. Ingat hanya satu ACL per interface, per tujuan, per protocol diberikan.
Format perintahnya adalah:
Router(config-if)#ip access-group access-list-number {in | out}
Penamaan ACL
Nama IP ACL diperkenalkan pada software Cisco IOS keluaran 11.2 dan tidak
cocok dengan keluaran Cisco IOS sebelumnya, memberikan standard dan
extended ACL untuk diberi nama daripada angka. Keuntungan penamaan
access list ini adalah memberikan:
· Dengan tidak sengaja mengidentifikasikan ACL menggunakan nama
alphanumeric
· Menghapus batasan dari 798 dan memperluas 799 ACL
· Penamaan ACL memberikan kemampuan untuk mengubah ACL tanpa
menghapus dan konfigurasi ulang ACL.
Nama ACL diciptakan dengan perintah ip access-list, pada mode ACL
configuration.
Page 4
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
Jenis Lalu Lintas ACL
a. Inbound ACL
Ketika sebuah ACL diterapkan pada paket inbound di sebuah interface, paket tersebut
diproses melalui ACL sebelum di-route ke outbound interface. Setiap paket yang ditolak
tidak bisa di-route karena paket ini diabaikan sebelum proses routing diabaikan.
b. Outbond ACL
Ketika sebuah ACL diterapkan pada paket outbound pada sebuah interface, paket tersebut diroute
ke outbound interface dan diproses melalui ACL malalui antrian.
Panduan Umum ACL
Terdapat beberapa panduan umum ACL yang seharusnya diikuti ketika membuat dan
mengimplementasikan ACL pada router :
Hanya bisa menerapkan satu ACL untuk setiap interface, setiap protocol dan setiap
arah. Artinya bahwa ketika membuat ACL IP, hanya bisa membuat sebuah inbound
ACL dan satu Outbound ACL untuk setiap interface.
Organisasikan ACL sehingga test yang lebih spesifik diletakkan pada bagian atas
ACL
Setiap kali terjadi penambahan entry baru pada ACL, entry tersebut akan diletakkan
pada bagian bawah ACL. Sangat disarankan menggunakan text editor dalam
menggunakan ACL
Page 5
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
Praktikum Jaringan Komputer 2
Telecommunication Departments, PENS-ITS
Tidak bisa membuang satu baris dari ACL. Jika kita mencoba demikian, kita akan
membuang seluruh ACL. Sangat baik untuk mengcopy ACL ke text editor sebelum
mencoba mengubah list tersebut.
Wildcard Masking
Wildcard masking digunakan bersama ACL untuk menentukan host tunggal, sebuah
jaringan atau range tertentu dari sebuah atau banyak network. Untuk mengerti tentang
wildcard, kita perlu mengerti tentang blok size yang digunkan untuk menentukan range
alamat. Beberapa blok size yang berbeda adalah 4, 8, 16, 32, 64.
Ketika kita perlu menentukan range alamat, kita memilih blok size selanjutnya yang
terbesar sesuai kebutuhan. Sebagai contoh, jika kita perlu menentukan 34 network, kita
memerlukan blok size 64. jika kita ingin menentukan 18 host, kita memerlukan blok size 32.
jiak kita perlu menunjuk 2 network, maka blok size 4 bisa digunakan. Wildcard digunakan
dengan alamat host atau network untuk memberitahukan kepada router untuk difilter.
Untuk menentukan sebuah host, alamat akan tampak seperti berikut 172.16.30.5 0.0.0.0
keempat 0 mewakili setiap oktet pada alamat. Dimanapun terdapat 0, artinya oktet pada
alamat tersebut harus persis sama. Untuk menentukan bahwa sebuah oktet bisa bernilai apa
saja, angka yang digunakan adalah 255. sebagai contoh, berikut ini adalah subnet /24
dispesifikasikan dengan wildcard: 172.16.30.0 0.0.255 ini memberitahukan pada router untuk
menentukan 3 oktet secara tepat, tapi oktet ke-4 bisa bernilai apa saja.
Page 6
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
Konfigurasi squid sebagai proxy serve
Squid adalah program proxy server. Proxy sendiri adalah program untuk melakukan caching terhadap
halaman website, sehingga pengaksesan ke halaman website menjadi lebih cepat karena halaman web
yang sudah dibuka telah tersimpan di proxy server. Gabungan aplikasi proxy server dan firewall, dapat
menjadikanya semacam gateway untuk mengakses halaman website.
Squid yang saya gunakan ini adalah versi 2.6 .Proses instalasi saya lakukan lewat source. Hasilnya sama
saja dengan lewat port atau package. Setelah proses instalasi pastikan ada file konfigurasinya squid.conf,
biasanya berada di /usr/local/etc/squid/squid.conf dan juga ada user squid dan group squid sebagai user
yang menjalankan squid, demi keamanan sistem.
Kita mulai dengan mngkonfigurasi dari squid.conf, biasanya
pertama-tama tama kita definisikan dahulu pada port berapa http request akan dilistening squid
http_port 3128
icp_port 3130
icp adalah internet cache protocol, yaitu pada port berapa cache ini dipertukarkan, biasanya untuk
hubungan sibling dengan proxy lain
kemudian kita definisikan access control list atau disingkat acl. Nah acl ini mendefinisikan tipe-tipe
koneksi yang di allow atau di-blok proxy
acl sumber berdasar ip dan netmask sumber dengan atribut “src”
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl arc src 167.205.3.0/255.255.255.192
acl berdasarkan ports
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
Page 7
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 631 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl berdasarkan url tertentu
acl porno url_regex “/usr/local/etc/squid/porno.txt” # porno.txt mendefinisikan web-web tertentu
acl berdasarkan url (ada kata-kata tertentu dalam url)
acl QUERY urlpath_regex cgi-bin \?
acl berdasarkan method/perintah, misal bila telnet ke http ada perintah semacam GET, CONNECT dll
acl purge method PURGE
acl CONNECT method CONNECT
acl berdasarkan tipe protokol, misal disini adalah FTP dan obyek cache
acl FTP proto FTP
acl manager proto cache_object
acl berdasarkan autentikasi proxy, acl ini ditujukan bagi mereka yang terautentikasi
acl otentik proxy_auth REQUIRED
Ada banyak tipe ACl yang lain seperti ip destinasi, waktu dll
Untuk proxy_auth kita perlu mendefinisikan lagi cara autentikasinya, seperti LDAP, NCSA, MySQL. saya
memakai metode NCSA, hampir sama seperti user dan password yang terenkripsi di /etc/passwd, berikut
list konfigurasinya
auth_param basic program /usr/local/libexec/squid/ncsa_auth /etc/squid/basic.passwd # file txt dimana
user dan password tersimpan
Page 8
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
auth_param basic realm sopo koe???? #string yang ditampilkan saat autentikasi
auth_param basic children 5 # helper prosesnya
auth_param basic credentialsttl 2 hours #kalau sudah diautentikasi, selama 2 jam tidak akan menghasilkan
helper proses lagi
nah setelah kita definisikan tipe ACL-nya kita definisikan hak-hak akses dari tipe-tipe tadi
no_cache QUERY
artinya Query yang ada teks cgi-bin tidak akan disimpan atau di-cache
http_access deny porno
website2 yang didefinisikan dalam teks porno.txt tidak akan diakses
http_access manager localhost
http_access deny manager
cache obyek hanya boleh diakses lcalhost
http_access purge localhost
http_access deny purge
command purge hanya boleh dilakukan localhost
http_access !Safe_ports
artinya selain, jadi artinya tolak akses selain dari Safeports
http_access deny CONNECT !SSL_ports
tolak command connect selain dari port SSL
http_access allow localhost
http_access allow otentik arc
http_access deny all
Page 9
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
Pengaturan ini berdasarkan matching dari bawah ke atas, jadi kalau dibaca, akses dibolehkan untuk obyek
cache trus localhost, kalau bukan localhost boleh dari arc DAN user yang sudah terautentikasi, selain itu
maka ditolak
always_direct allow FTP
always_direct deny all
langsung mendirect protokol FTP
Selanjutnya, apabila kita terkoneksi dengan proxy server lain maka kita dapat melakukan hubungan parent
atau sibling ke proxy server tersebut.
cache_peer cache.itb.ac.id parent 8080 0 login=hamkanen:rahasiadonk weight=10 default
saya memakai parent cache.itb.ac.id
cache_effective_user squid
kita ingin menjalankan squid dengan user squid, tentunya segera setelah dijalankan sebagai root
cache_dir ufs /home/cache 10000 16 256
saya menaruh hasil caching ini di folder /home/cache dengan skema ufs, ukuran 10000 mega, dengan
subdirektori 16 buah dan 256 subsub direktori
cache_mgr
merupakan alamat email admin, apabila diprotes pengguna
Masih banyak konfigurasi squid.conf yang lain, yang bermanfaat.
Kemudian jalankan perintah “squid -z ” untuk mem-build swap space ,
kemudian jalankan “squid -sD” untuk menjalankan squid sebagai daemon.
Page 10
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
SETTING SWITCH DAN ROUTER DARI PC
MENGGUNAKAN LINUX
1. Hubungkan kedua PC pada serial port dengan Router pada interface “console”
menggunakan kabel console.
2. Nyalakan PC
3. Jalankan aplikasi Minicom
4. Pilih Serial Port pada menu. Ganti nilai “Current 38400 8N1” menjadi “9600 8N1” dengan
menekan tombol “E”, atur juga Hardware Flow Control dan Software Flow Control menjadi
“No”.
12. Melakukan komunikasi ke perangkat switch atau router.
Page 11
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
Konfigurasi Proxy Server pada Ubuntu 12.04 dengan Squid 3
Squid adalah aplikasi populer yang digunakan sebagai server cache proxy web yang menyediakan layanan
proxy dan cache untuk HTTP, HTTPS, FTP, gopher dan protokol jaringan populer. Squid dapat
mengimplementasikan caching Domain Name Server (DNS) lookup dan cache dan proxy Secure Socket
Layer (SSL), dan melakukan caching secara transparan, Squid juga mendukung berbagai macam protokol
caching, seperti Internet Cache Protocol (ICP), Hypertext Cache Protocol (HTCP), Cache Array Routing
Protocol (CARP), dan Web Cache Coordination Protocol (WCCP).
Proxy Squid cache server adalah solusi yang sangat baik untuk berbagai kebutuhan caching proxy dan
server, dan skala dari kantor cabang ke jaringan tingkat perusahaan. Ketika memilih sebuah sistem
komputer untuk digunakan khusus sebagai proxy squid, atau caching server, pastikanlah sistem Anda
dikonfigurasi dengan sejumlah besar memori fisik untuk meningkatkan kinerjanya.
Tutorial berikut akan mendemonstrasikan cara install dan konfigurasi server proxy dengan SQUID3 pada
ubuntu server 12.04
Langkah 1: Install Squid 3
Login ke server ubuntu, dan ketik perintah berikut untuk meng-install squid3 pada ubuntu server 12.04:
sudo apt-get squid3
kemudian masukkan password anda, dan tunggu hingga proses install selesai.
Langkah 2: Konfigurasi Squid 3
Buat folder untuk menyimpan cache misalnya pada /home/cache, kemudian set permission menjadi 777
dengan owner proxy:proxy
sudo mkdir -p /home/cache/
sudo chmod 777 /home/cache/
sudo chown proxy:proxy /home/cache/
Sebelum mengubah konfigurasi squid, buatlah backupnya lebih dahulu file /etc/squid3/squid.conf untuk
referensi dikemudian hari.
sudo cp /etc/squid3/squid.conf /etc/squid3/squid.conf.origin
sudo chmod a-w /etc/squid3/squid.conf.origin
Page 12
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
Sekarang edit file /etc/squid3/squid.conf, hapus dan ganti semua option dengan konfigurasi squid3 dengan
perintah berikut :
sudo nano /etc/squid3/squid.conf
Konfigurasi squid3:
# ACCESS CONTROLS OPTIONS
#acl QUERY berikut saya buat comment karena error saat penulis coba
#acl QUERY urlpath_regex -i cgi-bin ? .php$ .asp$ .shtml$ .cfm$ .cfml$ .phtml$ .php3$ localhost
acl all src
acl localnet src 10.0.0.0/8
# Your network here
acl localnet src 192.168.1.0/24
#
acl localhost src 127.0.0.1/32
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 81 3128 1025-65535
acl sslports port 443 563 81 2087 10000
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl ym dstdomain .messenger.yahoo.com .psq.yahoo.com
acl ym dstdomain .us.il.yimg.com .msg.yahoo.com .pager.yahoo.com
acl ym dstdomain .rareedge.com .ytunnelpro.com .chat.yahoo.com
acl ym dstdomain .voice.yahoo.com
acl ymregex url_regex yupdater.yim ymsgr myspaceim
#
Page 13
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
http_access deny ym
http_access deny ymregex
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports
http_access allow localhost
http_access allow localnet
http_access deny all
# NETWORK OPTIONS
http_port 3128 transparent
# OPTIONS WHICH AFFECT THE CACHE SIZE
cache_mem 16 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir aufs /home/cache 10000 14 256
maximum_object_size 128000 KB
cache_swap_low 95
cache_swap_high 99
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
Page 14
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
access_log /var/log/squid3/access.log
cache_log /var/lod/squid3/cache.log
#cache_log /dev/null
cache_store_log none
logfile_rotate 5
log_icp_queries off
# OPTIONS FOR TUNING THE CACHE
#cache deny QUERY
#cache deny QUERY di-comment karena error saat penulis coba
refresh_pattern ^ftp: 1440 20% 10080 reload-into-ims
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i .(gif|png|jp?g|ico|bmp|tiff?)$ 10080 95% 43200 override-expire override-lastmod reload-
into-ims ignore-no-cache ignore-private
refresh_pattern -i
.(rpm|cab|deb|exe|msi|msu|zip|tar|xz|bz|bz2|lzma|gz|tgz|rar|bin|7z|doc?|xls?|ppt?|pdf|nth|psd|sis)$ 10080
90% 43200 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private
refresh_pattern -i .(avi|iso|wav|mid|mp?|mpeg|mov|3gp|wm?|swf|flv|x-flv|axd)$ 43200 95% 432000
override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private
refresh_pattern -i .(html|htm|css|js)$ 1440 75% 40320
refresh_pattern -i .index.(html|htm)$ 0 75% 10080
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 1440 90% 10080
quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 100
Page 15
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
store_avg_object_size 13 KB
# HTTP OPTIONS
vary_ignore_expire on
# ANONIMITY OPTIONS
request_header_access From deny all
request_header_access Server deny all
request_header_access Link deny all
request_header_access Via deny all
request_header_access X-Forwarded-For deny all
# TIMEOUTS
forward_timeout 240 second
connect_timeout 30 second
peer_connect_timeout 5 second
read_timeout 600 second
request_timeout 60 second
shutdown_lifetime 10 second
# ADMINISTRATIVE PARAMETERS
cache_mgr webmaster
cache_effective_user proxy
cache_effective_group proxy
httpd_suppress_version_string on
visible_hostname proxy
#
Page 16
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
# DNS OPTIONS
dns_timeout 10 seconds
dns_nameservers 192.168.1.1 #DNS lokal jika ada
dns_nameservers 8.8.8.8 203.130.208.18 # DNS Server
# MISCELLANEOUS
memory_pools off
client_db off
reload_into_ims on
#coredump_dir /cache
coredump_dir /home/cache
pipeline_prefetch on
offline_mode off
#Marking ZPH
#zph_mode tos
#zph_local 0x30
#zph_parent 0
#zph_option 136
qos_flows tos
qos_flows local-hit = 0x30
qos_flows parent-hit = 0
Page 17
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
### END CONFIGURATION ###
Langkah 3: Jalankan Squid3
Pertama, buat direktori swap,
sudo squid3 -z
Restart squid3:
sudo /etc/init.d/squid3 restart
atau
sudo service squid3 restart
Masukkan squid3 sebagai service yang otomatis running saat booting
sudo chkconfig --level 345 squid3 on
Page 18
Create By Rasyadi A
XII TKJ 1
Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY
Kesimpulan
Berdasarkan simulasi standar dan extended ACL tersebut, setidaknya kita bisa menarik kesimpulan
sederhana kawan. Pada standard ACL hanya menggunakan alamat source IP address dalam paket IP
sebagai kondisi yang di test, sehingga ACL tidak dapat membedakan tipe dari traffic IP seperti WWW,
UDP, dan telnet. Sedangkan pada Extended ACL, selain bisa mengevaluasi source address dan destination
address extended ACL juga dapat mengevaluasi header layer 3 dan 4 pada paket IP. Nah, berikut adalah
tugas besar dari ACL, baik jenis standar maupun extended, diantaranya:
Membatasi lalulintas jaringan dan menambah performa jaringan. Sebagai contoh, ACL yang
membatasi lalulintas video dapat dengan baik mengurangi beban jaringan dan menambah performa
jaringan.
Menyediakan kontrol aliran lalulintas. ACL dapat membatasi pengiriman update routing. Jika
update tidak diperlukan disebabkan kondisi-kondisi jaringan, akanmenghemat bandwidth.
Menyediakan sebuah level dasar keamanan untuk akses jaringan. ACL dapat mengijinkan satu host
untuk mengakses sebuah bagian dari jaringan dan mencegah host lain untuk mengakses area yang
sama. Sebagai contoh, Host A diperbolehkan untuk mengakses jaringan Sumberdaya Manusia dan
Host B dicegah untuk mengaksesnya.
Memutuskan jenis lalulintas yang dilewatkan atau diblok pada interface-interface router. ACL
dapat mengijinkan pe-rute-an lalulintas e-mail, tapi mem-blok semua lalulintas telnet.
Mengontrol wilayah sebuah client mana yang dapat mengakses pada sebuah jaringan
Menyaring host-host untuk diperbolehkan atau ditolak mengakses ke sebuah segment jaringan.
ACL dapat digunakan untuk memperbolehkan atau menolak seorang user untuk mengakses jenis-
jenis file seperti FTP atau HTTP.
Terakhir sebagai penutup, jika ACL tidak dikonfigurasi pada router, semua paket-paket yang melewati
router akan diperbolehkan untuk mengakses keseluruhan jaringan. Sudah tentu hal ini membahayakan
jaringan internal apabila terkoneksi dengan jaringan internet.