2.1.1 Langkah-Langkah Konfigurasi DNS Server Pada Linux Debian Lenny Sebelum melakukanpraktik membangun DNS Server, terlebih dahulu perhatikan hal-hal berikut : a. Topologi yang dibangun sebagai berikut : Gambar 2.6Topologi yang akan dibangun b. Server DNS sekaligus merangkap sebagai router gateway c. Konfigurasi IP Address WAN Server menyesuaikan d. Konfigurasi IP Address LAN Server 192.168.100.1/24 e. Domain yang akan dibangun sekolah.sch.id dengan IP Address 192.168.100.1 (IP Address LAN Server) f. Sub domain yang akan dibangun adalah www.sekolah.sch.i.d g. Type DNS Server master. h. Konfigurasi IP Address Klien menyesuaikan (dalam hal ini saya menggunakan 192.168.200.5/24 1 Klien DNS Intern
Mengadministrasikan Server dalam Jaringan. Konfigurasi server linux, Setting DNS Server, DHCP Server, Proxy, Web Server, dan FTP Server.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
2.1.1 Langkah-Langkah Konfigurasi DNS Server Pada Linux Debian
Lenny
Sebelum melakukanpraktik membangun DNS Server, terlebih
dahulu perhatikan hal-hal berikut :
a. Topologi yang dibangun sebagai berikut :
Gambar 2.6Topologi yang akan dibangun
b. Server DNS sekaligus merangkap sebagai router gateway
c. Konfigurasi IP Address WAN Server menyesuaikan
d. Konfigurasi IP Address LAN Server 192.168.100.1/24
e. Domain yang akan dibangun sekolah.sch.id dengan IP Address
192.168.100.1 (IP Address LAN Server)
f. Sub domain yang akan dibangun adalah www.sekolah.sch.i.d
g. Type DNS Server master.
h. Konfigurasi IP Address Klien menyesuaikan (dalam hal ini saya
menggunakan 192.168.200.5/24
i. Pastikan klien sudah terkoneksi dengan baik dengan server dan
internet.
j. Koneksi internet disini tidak dibutuhkan dalam konfigurasi DNS
server.
k. System Operasi Server Linux Debian Lenny, Aplikasi DNS yang
digunakan adalah bind9
Setelah memastikan hal-hal tersebut diatas, berikut langkah-
langkah konfigurasi DNS Server :
a. Login sebagai root, setiap akan melakukan konfigurasi pastikan
login sebagai user root.
1
Klien DNS Server Interne
t
b. Lakukan instalasi packet bind9 dengan perintah #apt-get
install bind9, packet terdapat pada disc 1 serta pastikan tidak
menemukan error pada proses instalasi.
Gambar 2.7 Instalasi packet bind9
c. Buka file named.conf.local dengan perintah #pico
/etc/bind/named.conf.local kemudian ketik script di bawah
ini.
Gambar 2.8 Konfigurasi file named.conf.local
Keterangan script :
zone “sekolah.sch.id” bagian ini mendefinisikan domain /
zone yang akan dibangun yakni sekolah.sch.id, bagian ini
disebut forward master zone yang berfungsi mengubah alamat
nama / domain (sekolah.sch.id) menjadi alamat IP Address.
type master;bagian ini menentukan type DNS server yang
dibangun yaitu master. Option pada bagian ini adalah master
2
(untuk master server), slave (untuk slave server), hint (untuk
cache server) dan forward (untuk forward server).
file“/etc/bind/db.sekolah.sch.id”bagian
inimenentukan file konfigurasi data-data dari zone
yang dibangun. Nama file sebenarnya bebas,
tetapi disarankan disesuaikan dengan fungsi dan
domain yang dibangun agar memudahkan
pengelolaan domain.
zone “100.168.192”bagian ini mendefinisikan IP
Address yang digunakan oleh alamat domain
yang dibangun yakni 192.168.100.1. Bagian ini
disebut revers master zone yang berfungsi
mengubah alamat IP Address menjadi alamat
nama / domain. Dalam hal ini penulisan IP
Address di ambil alamat networknya dan disusun
terbalik.
type master;bagian ini menentukan type DNS
Server yang akan dibangun, harus sama dengan
forward master zone.
file “/etc/bind/db.100.168.192” bagian ini
menentukan file konfigurasi data-data revers
yang dibangun.
d. Kemudian buat file yang berisi data-data dari domain
sekolah.sch.id baik forward master zone, maupun revers master
zone sesuai dengan nama file yang telah ditentukan masing-masing.
Untuk memudahkan pembuatannya, dapat mengcopy dari file
localhost kemudian edit isinya.
e. Copy file db.local untuk membuat file forward dan copy file
db.127 untuk membuat file revers seperti berikut :
3
Gambar 2.9 Mengcopy file forward dan revers
f. Edit file db.sekolah.sch.iddengan perintah #pico
/etc/bind/db.sekolah.sch.id
Gambar 2.10 Konfigurasi file db.sekolah.sch.id
Keterangan script :
Baris komentar sesuaikan dengan isi filenya
$TTL : Mendefinisikan nilai default Time To Live untuk
suatu zone.
@ : Shortcut yang menyatakan nama domain yang
bersesuaian dengan zona ini
IN : Kata kunci protokol internet
SOA : (Start of Authority) mengawali file zona, berisi
data-data waktu sebuah domain atau subdomain
(Nama record SOA) dan email administrator yang
bertanggung jawab terhadap domain tersebut.
Serial : Adalah nomor seri database-cache domain. Jika
ada perubahan data pada berkas zone domain,
misal menambahkan sub domain, maka harus
merubah/menambah nomor serinya. Sebaiknya
digunakan format tahun-bulan-tanggal-jam untuk
nomor serialnya. Fungsi dari serial ini adalah untuk
4
memberitahukan kepada Slave Name Server untuk
meng-update database-cache-nya jika ada
perubahan pada Primary Name Server yaitu
dengan melakukan pengecekan nomor serial. Jika
nomor serial berubah/bertambah maka Slave Name
Serverakan segera melakukan zone-transfer dari
Primary Name Server.
Refresh : Interval waktu yang digunakan Slave Name Server
(DNS Server Slave) untuk mengontak Primary
Name Server (DNS Server Master)
Retry : Waktu tunggu yang digunakan oles Secondary NS
bila Primary NSdown atau crash
Expire : Masa berlaku zona untuk Secondary NS tanpa
harus melakukan refresh pada Primary NS jika
Primary NS Down
Negative : Nilai default untuk masa berlaku data yang
disimpan dalam cache.
NS : Menyatakan Name Server.
IN : Menyatakan Address Internet atau alamat IP dari
mesin yang ditangani oleh DNS.Dalam praktek ini
menyatakan domain sekolah.sch.id dipetakan pada
IP Address 192.168.100.1. Inilahproses
penerjemahan alamat domain menjadi IP Address.
www : sub domain yang dibuat dari domain
sekolah.sch.id, yaitu www.sekolah.sch.id dengan
IP 192.168.100.1
g. Kemudian edit file db.100.168.192 dengan perintah #pico
/etc/bind/db.100.168.192
5
Gambar 2.11 Konfigurasi file db.100.192.168
Keterangan script
Parameter-parameter lain disamakan dengan file forward
PTR : menyatakan pointer, yaitu reversed-address.
Dalam praktek ini menyatakan bahwa IP
192.168.100.1 dipetakan ke nama domain
sekolah.sch.id. Inilah proses penerjemahan IP
Address menjadi alamat domain
h. Kemudian restart service bind dengan perintah
#/etc/init.d/bind9 restart dan pastikan tidak terjadi error.
Gambar 2.12 Restart service bind9
i. Untuk memastikan tidak terdapat error, dapat kita lihat pada file
log system dengan perintah #cat /var/log/syslog
Gambar 2.13 Cek file syslog
j. Jika menemukan error periksa kembali file konfigurasi sesuai
dengan error yang ditunjukkan.
k. Kemudian edit file resolv.conf dengan perintah #pico
/etc/resolv.conf seperti berikut :
6
Gambar 2.14 Konfigurasi file resolv.conf
l. Isikan dengan DNS server yang kita bangun. Kemudian kita
lakukan pengujian DNS server baik dari server itu sendiri maupun
dari klien.
m. Pengujian DNS server paling sederhana adalah menggunakan
perintah ping, yaitu dengan melakukan ping pada alamat domain
yang kita bangun baik dari server maupun dari klien.
Gambar 2.15 Tes DNS server dengan ping
n. Atau dengan perintah nslookup, dan dig, namun jika perintah ini
belum ada, install terlebih dahulu dengan perintah #apt-get
install dnsutils Kemudian jalankan kedua perintah
tersebut.
Gambar 2.16 Tes DNS Server dengan nslookup
o. Uji dengan perintah dig
7
Gambar 2.17 Tes dengan perintah dig
p. Untuk pengujian dari klien pastikan setting DNS Server pada klien
sudah benar menggunakan IP DNS server yang kita bangun.
Pengujian pada klien windows dapat dilakukan dari Command
promt dengan perintah ping dan nslookup.
Gambar 2.18 Konfigurasi DNS Server klien
q. Pengujian dengan ping dan nslookup
Gambar 2.19 Uji DNS Server dari klien
2.1.2 Konfigurasi Tambahan
Untuk konfigurasi tambahan terdapat pada file named.conf.options,
konfigurasi yang dapat ditambahkan diantaranya :
a. Menentukan klien yang dapat mengakses DNS Server, baik
berdasarkan network maupun berdasarkan IP Address. Option
0.0.0.0/0 berarti seluruh IP Address dan seluruh network.
b. Menentukan DNS Server bersifat authoritative only atau tidak.
8
c. Menentukan forward dari DNS server berikutnya apabila request
dari klien tidak dilayaninya, seperti klien menanyakan domain yang
tidak menjadi tanggung jawabhnya.
d. Menentukan IP Address yang menerima request dari klien (jika
memiliki lebih dari 1 IP Address.
e. dll
Sebagai contoh berikut agar DNS Server dapat diakses oleh
seluruh klien baik dalam 1 network maupun tidak 1 network dengan
DNS server. Untuk konfiugurasi lain silakan dikembangkan sendiri.
Gambar 2.20 Konfigurasi file named.conf.options
2.1.3 Langkah-Langkah Konfigurasi DHCP Server
Sebelum melakukan konfigurasi DHCP Server, perhatikan hal-hal
sebagai berikut :
a. Topologi sama dengan praktik sebelumnya
b. Alokasi IP Address untuk klien adalah 192.168.100.10/24 sampai
192.168.100.50/24
c. Default gateway untuk klien adalah 192.168.100.1
d. DNS Server untuk klien adalah 192.168.100.1 dan 192.168.202.23
e. Siapkan DVD Master instalasi
9
Kemudian ikuti langkah-langkah berikut :
a. Login sebagai root
b. Install packet dhcp3-server dengan perintah #apt-get install
dhcp3-server
Gambar 2.22 Instalasi DHCP Server
c. Pilih OK dan pastikan proses instalasi tidak mengalami error
d. Edit file dhcpd.conf dengan perintah #pico
/etc/dhcp3/dhcpd.conf seperti di bawah ini
Gambar 2.23 Konfigurasi dhcpd.conf1
Keterangan Script
option domain-name “sekolah.sch.id”;
menentukan domain yang dimiliki oleh network yang
dibangun, yaitu sekolah.sch.id.
option domain-name-servers 192.168.100.1,
192.168.202.23;
menentukan DNS Server yang akan digunakan oleh klien,
dapat di isi 1 saja atau 2, yang pertama sebagai DNS server
10
utama (Preferred) dan yang kedua sebagai alternatif (Alternate)
jika DNS server yang pertama down.
default-lease-time 600;
menentukan lama waktu penggunaan IP Address
oleh klien (waktu sewa) dalam satuan detik. Jika
waktu habis maka klien akan melakukan
permintaan ulang untuk dapat kembali
menggunakan IP Address (seperti perpanjangan
kontrak).
max-lease-time 7200;
menentukan masa berlaku IP Address yang diberikan kepada
klien, artinya sebelum waktu ini habis setiap kali klien
melakukan permintaan ulang (perpanjangan kontrak) setelah
waktu penggunaan habis maka klien akan tetap mendapatkan
IP Address yang sama. Jika sampai waktu ini habis klien tidak
pernah melakukan permintaan ulang (perpanjangan kontrak)
maka masa berlaku dinggap habis dan IP Address tersebut
dapat diberikan kepada klien lain ketika ada permintaan. Jika
klien yang samamelakukan permintaan IP Address maka akan
diberikan IP Address yang baru sesuai range yang masih
dimiliki oleh server DHCP. Selama masa berlaku ini belum
habis maka IP Address tidak akan diberikan kepada klien lain
yang melakukan permintaan IP Address, meskipun klien yang
bersangkutan dalam keadaan off.
11
Gambar 2.24 Konfigurasi dhcpd.conf2
Keterangan Script
subnet 172.16.16.16 netmask 255.255.255.240 {
mendefinisikan alamat network yang tidak digunakan untuk
dhcp yaitu network pada interface WAN (dalam hal ini eth0).
Konfigurasi ini bersifat optional (tidak mutlak diperlukan) dan
karena kita memiliki 2 interface yaitu eth0 dan eth1, sedangkan
kita hanya akan menggunakan eth1 untuk dhcp server, maka
konfigurasi ini dapat kita isi dengan alamat network eth0 yang
tidak kita gunakan untuk dhcp server.
subnet 192.168.100.0 netmask 255.255.255.0 {
menentukan alamat network dan netmask yang digunakan
untuk dhcp server. Dalam hal ini kita isi dengan alamat
network pada eth1, nantinya layanan dhcp akan diberikan pada
klien melalui eth1 ini.
range 192.168.100.10 192.168.100.50;
menentukan range IP Address yang akan diberikan kepada
klien yaitu mulai dari 192.168.100.10 sampai 192.168.100.50.
option routers 192.168.100.1;
menentukandefault gateway yang diberikan kepada klien yaitu
192.168.100.1.
e. Restart service dhcp dengan perintah #/etc/init.d/dhcp3-
server restart
Gambar 2.25 Restart service dhcp
f. Tampilan failed pada saat restart service dhcp pertama kali itu
dikarenakan proses penghentian (stoping) service dhcp yang belum
dikonfigurasi, maka hasilnya error, setelah itu baru menjalankan
kembali dengan konfigurasi yang telah kita tentukan (starting).
12
g. Untuk memastikan tidak terdapat error, lihat file log system dengan
perintah #cat /var/log/syslog
Gambar 2.26 Cek log dari dhcp
h. Untuk konfigurasi pada klien windows 7 kita tinggal merubah cara
setting IP Address dari manual menjadi dynamic, kemudian klik
OK dan tunggu proses konfigurasi IP Address dari server DHCP.
Gambar 2.27 Setting IP Dynamic pada windows 7
13
i. Untuk melihat IP Address yang kita dapatkan pada local area
connection klik details maka akan terlihat IP Address yang
didapatkan dari server DHCP.
Gambar 2.28 IP Address yang di dapatkan klien
j. Perhatikan Value dari Property yang ditampilkan, harus sesuai
dengan yang kita tentukan pada konfigurasi DHCP server,
diantaranya :
Connection-specific DNS = option domain-name
IPv4 Address = range
IPv4 Subnet Mask = subnet
Lease Expires = default-lease-time
IPv4 Default Gateway = option routers
Ipv4 DNS Server = option domain-name-servers
k. Jika proses ini gagal tetapi konfigurasi dhcp server sudah berjalan
dengan benar, maka periksa media koneksi yang digunakan untuk
menghubungkan klien ke server dhcp (kabel / nirkabel).
14
2.1.4 Langkah-langkah konfigurasi proxy server
Sebelum melakukan konfigurasi proxy server, terlebih dahulu
perhatikan hal-hal berikut ini :
a. Topologi sama dengan praktik sebelumnya
b. IP Address proxy server untuk adalah 192.168.100.1/24, untuk
klien menyesuaikan
c. Jenis Proxy server yang akan dibangun adalah forward http proxies
untuk proxy untuk menangani aplikasi http / web.
d. Menggunakan aplikasi squid pada linux debian lenny dan port 3128
e. Siapkan DVD Master instalasi
Kemudian ikuti langkah-langkah berikut :
a. Lakukan instalasi paket squid dengan perintah #apt-get install
squid dan pastikan tidak menemukan error.
Gambar 2.33 Install paket squid
b. Buka file konfigurasi squid.conf dengan perintah #pico
/etc/squid/squid.conf kemudian lakukan konfigurasi sebagai
berikut, konfigurasi ini adalah konfigurasi minimal agar proxy
dapat berjalan.
Gambar 2.34 Konfigurasi port proxy
15
Keterangan script
http_port 3128 transparent
Menentukan proxy bekerja pada port 3128 secara transparant
c. Kemudian tutup / non aktifkan baris script acl localnet dengan
memberi tanda pagar (#), untuk acl nantinya akan kita definisikan
sendiri sesuai dengan network yang kita bangun.
Gambar 2.35 Menutup acl localnet
d. Kemudian kita definisikan network yang kita bangun, perhatikan
penempatannya karena script akan dibaca urut dari atas ke bawah
Gambar 2.36 Membuat acl jaringan sendiri
Keterangan script
acl jaringanku src 192.168.100.0/24
mendefinisikanacl (Access control list) untuk jaringan yang
akan kita kontrol hak aksesnya yaitu jaringan dengan alamat
network 192.168.100.0/24. Ini berarti seluruh Alamat IP yang
16
valid dari alamat network 192.168.100.0/24 termasuk dalam
acl ini.
http_access allow jaringanku
memberikan akses http (browsing) untuk acl jaringanku, jika
ingin menutup akses http (browsing) maka kata allow cukup
diganti deny
e. Kemudian setting visible hostname, yaitu mendefinisikan nama
komputer untuk server proxy sesuai DNS yang kita bangun
(FQDN).
Gambar 2.37 Konfigurasi visible_hostname
Keterangan
visible_hostname proxy.sekolah.sch.id
menentukan hostname (nama komputer) untuk server proxy yaitu
proxy.sekolah.sch.id
f. Menentukan cache manager (email administrator dari proxy server)
b. Pemahaman terhadap topologi jaringan yang dibangun sangatlah
penting untuk mempermudahkan dalam menetapkan suatu aturan
pada firewall. Pemahaman yang paling penting berupa topologi
fisik dan pengaturan IP Address, karena firewall akan
menggunakan IP Address (baik per host maupun per network)
sebagai salah satu data yang digunakan dalam proses packet
inspection (pemeriksaan packet)
c. Pemahaman terhadap aplikasi firewall yang digunakan, hal in
sangat penting karena masing-masing aplikasi memiliki format
perintah atau cara konfigurasi yang berbeda-beda meskipun
tujuannya sama. Dalam sistem operasi linux aplikasi firewall yang
59
digunakan adalah iptables yang biasanya sudah terinstall
bersamaan dengan proses instalasi sistem operasi itu sendiri.
Iptables adalah sebuah tool dalam sistem operasi linux yang
berfungsi sebagai firewall yang secara default diinstall dihampir semua
distribusi linux. Iptables memiliki format perintah (sintaks) seperti
berikut :
iptables [-t table] command [match] [target/jump]
Gambar 2.110 Format perintah iptables
Penjelasannya sebagai berikut :
a. iptables
Mengaktifkan perintah iptables
b. –t tables
Menentukan tabel untuk menjalankan perintah iptables, iptables
memiliki 3 tabel utama yaitu mangle, nat, filter, penggunannya
disesuaikan dengan sifat dan karakteristik masing-masing.
Tables Keterangan-t mangle Menentukan perintah iptables berjalan
pada table mangle-t nat Menentukan perintah iptables berjalan
pada table nat-t filter Menentukan perintah iptables berjalan
pada table filter
Tabel 2.9 Tabel pada iptables
c. Command
Command pada baris perintah iptables akan memberitahukan apa
yang harus dilakukan terhadap lanjutan sintaks perintah. Umumnya
dilakukan penambahan atau penghapusan sesuatu dari tabel atau
yang lain. Beberapa command yang sering digunakan adalah :
Command Keterangan-A--append
Perintah ini menambahkan aturan pada akhir chain. Aturan akan ditambahkan di akhir baris pada chain
60
yang bersangkutan, sehingga akan dieksekusi terakhir
-D--delete
Perintah ini menghapus suatu aturan pada chain. Dilakukan dengan cara menyebutkan secara lengkap perintah yang ingin dihapus atau dengan menyebutkan nomor baris dimana perintah akan dihapus
-I--insert
Memasukkan aturan pada suatu baris di chain. Aturan akan dimasukkan pada baris yang disebutkan, dan aturan awal yang menempati baris tersebut akan digeser ke bawah. Demikian pula baris-baris selanjutnya.
-L--list
Perintah ini menampilkan semua aturan pada sebuah tabel. Apabila tabel tidak disebutkan, maka seluruh aturan pada semua tabel akan ditampilkan, walaupun tidak ada aturan sama sekali pada sebuah tabel.
-F--flush
Perintah ini mengosongkan aturan pada sebuah chain. Apabila chain tidak disebutkan, maka semua chain akan di-flush.
-P--policy
Perintah ini membuat kebijakan default pada sebuah chain. Sehingga jika ada sebuah paket yang tidak memenuhi aturan pada baris-baris yang telah didefinisikan, maka paket akan diperlakukan sesuai dengan kebijakan default ini.
Tabel 2.10 Command iptables
Contoh penggunaan command adalah sebagai berikut :
Sintaks Keterangan-A POSTROUTING Menambahkan aturan pada chain post
routing-P FORWARD DROP Membuat default policy drop pada
chain forward-L Menampilkan isi aturan pada satu
tabel
Tabel 2.11 Contoh command iptables
Selain itu command juga dapat dikombinasikan denan option
tertentu sehingga menghasilkan suatu variasi perintah seperti –v,
-n, -x, --modprobe dll
d. Match
Macth adalah pendefinisian kriteria terhadap packet data yang
diperiksa yang mana bila ditetmukan kecocokan antara kriteria
61
yang telah ditetapkan dengan packet data yang lewat maka akan
dilakukan pengambilan keputusan sesuai dengan aturan yang telah
ditetapkan. Match dibagi dalam beberapa kategori yaitu :
Generic Matches, yang berisi pendefinisian kriteria yang
berlaku secara umum, seperti :
Matches Keterangan-p--protocol
Digunakan untuk mengecek tipe protokol tertentu. Contoh protokol yang umum adalah TCP, UDP, ICMP dan ALL.
-s--src--source
Mencocokkan packet berdasarkan alamat IP asal. Alamat di sini bisa berbentuk alamat tunggal seperti atau suatu alamat network menggunakan netmask atau CIDR.
-d--dst--destination
Mecocokkan packet berdasarkan alamat tujuan. Penggunaannya sama dengan match –src
-i--in-interface
Mencocokkan packet berdasarkan interface di mana packet datang. Berlaku pada chain INPUT, FORWARD dan PREROUTING
-o--out-interface
Mencocokkan paket berdasarkan interface di mana paket keluar. Berlaku untuk chain OUTPUT, FORWARD dan POSTROUTING
Tabel 2.12 Generic matches iptables
Tanda inversi juga bisa diberlakukan di sini, misal kita
menghendaki semua protokol kecuali icmp, maka kita bisa
menuliskan --protokol !icmp yang berarti semua prptokol
kecuali icmp.
Implicit Matches, match yang spesifik untuk tipe protokol
tertentu. Implicit Match merupakan sekumpulan rule (aturan)
yang akan diload setelah tipe protokol disebutkan. Ada 3
Implicit Match berlaku untuk tiga jenis protokol, yaitu TCP
matches, UDP matches dan ICMP matches.
62
TCP matches
Matches Keterangan-sport--source-port
Mencocokkan packet berdasarkan port asal.
-dport--destination-port
Mencocokkan packet berdasarkan port tujuan. Penggunaan match ini sama dengan match --source-port.
--tcp-flags Mencocokkan paket berdasarkan TCP flags yang ada pada paket tersebut, seperti SYN, ACK, FIN, RST, URG, PSH, atau NONE dan ALL
--syn Memeriksa apakah flag SYN di-set dan ACK dan FIN tidak di-set
Tabel 2.13 TCP Matches iptables
Port dapat dituliskan dalam bentuk port tungga misal 80, 143,
juga bisa dituliskan untuk range port tertentu. Misalkan kita
ingin mendefinisikan range antara port 22 sampai dengan 80,
maka kita bisa menuliskan --sport 22:80.
Jika bagian salah satu bagian pada range tersebut kita
hilangkan maka hal itu bisa kita artikan dari port 0, jika bagian
kiri yang kita hilangkan, atau 65535 jika bagian kanan yang
kita hilangkan. Contohnya --sport :80 artinya paket
dengan port asal nol sampai dengan 80, atau --sport 1024:
artinya paket dengan port asal 1024 sampai dengan
65535.Match ini juga mengenal inversi.
UDP Matches
Matches Keterangan-sport--source-port
Mencocokkan packet berdasarkan port asal.
-dport--destination-port
Mencocokkan packet berdasarkan port tujuan.
Tabel 2.14 UDP Matches iptables
63
ICMP Matches
Matches Keterangan--icmp-type Mencocokkan packet berdasarkan type
icmp
Tabel 2.15 ICMP Matches iptables
Explicit Matches, yaitu match yang ditetapkan tidak tidak
spesifik berdasarkan protokol tertentu, seperti :
MAC Address Matches, berfungsi melakukan pencocokan
paket berdasarkan MAC source address, Contoh sintaksnya :
–m mac –mac-source00:00:00:00:00:01
Multiport Matches,mendefinisikan port atau port range lebih
dari satu, yang berfungsi jika ingin didefinisikan aturan yang
sama untuk beberapa port. Tapi hal yang perlu diingat bahwa
kita tidak bisa menggunakan port matching standard dan
multiport matching dalam waktu yang bersamaan. Contoh
sintaksnya :
–m multiport --source-port 22,53,80,110
State Matches, mendefinisikan state apa saja yang cocok. Ada
4 state yang berlaku, yaitu NEW, ESTABLISHED, RELATED
dan INVALID. NEW digunakan untuk paket yang akan
memulai koneksi baru. ESTABLISHED digunakan jika
koneksi telah tersambung dan paket-paketnya merupakan
bagian dari koneki tersebut. RELATED digunakan untuk
paket-paket yang bukan bagian dari koneksi tetapi masih
berhubungan dengan koneksi tersebut, contohnya adalah FTP
data transfer yang menyertai sebuah koneksi TCP atau UDP.
INVALID adalah paket yang tidak bisa diidentifikasi, bukan
merupakan bagian dari koneksi yang ada. Contoh sintaksnya
adalah :
–m state --state RELATED,ESTABLISHED
64
e. target/jump
Target/jump adalah perlakuan yang diberikan terhadap paket-paket
yang memenuhi kriteria atau match yang telah ditetapkan.
Beberapa target yang tidak memerlukan option tambahan
diantaranya :
Target Keterangan-j ACCEPT Target ini akan menerima packet apabila
sesuai dengan kriteria/match yang ditetapkan.
-j DROP Target ini akan menolak packet apabila sesuai dengan kriteria/match yang ditetapkan, tanpa mengirim informasi tambahan kepada host pengirim.
-j RETURN Target ini akan mengembalikan packet ke chain diatasnya atau pada aturan default dari chain tersebut.
-j MIRROR Target ini akan membalik source address menjadi destination address.
Tabel 2.16 Target iptables
Sedangkan beberapa target yang memerlukan option tambahan
diantaranya :
LOG Target
Ada beberapa option yang bisa digunakan bersamaan dengan
target ini. Yang pertama adalah yang digunakan untuk
menentukan tingkat log. Tingkatan log yang bisa digunakan
adalah debug, info, notice, warning, err, crit, alert dan
emerg.Yang kedua adalah -j LOG --log-prefix yang
digunakan untuk memberikan string yang tertulis pada awalan
log, sehingga memudahkan pembacaan log tersebut. Contoh
sintaksnya adalah :
–j LOG --log-level debug
–j LOG --log-prefix “INPUT Packets”
REJECT Target
Secara umum, REJECT bekerja seperti DROP, yaitu memblok
paket dan menolak untuk memproses lebih lanjut paket
tersebut. Tetapi, REJECT akan mengirimkan error message ke
65
host pengirim paket tersebut. REJECT bekerja pada chain
INPUT, OUTPUT dan FORWARD atau pada chain tambahan
yang dipanggil dari ketiga chain tersebut. Contoh sintaksnya
adalah :
–j REJECT --reject-with icmp-host-unreachable
Ada beberapa tipe pesan yang bisa dikirimkan yaitu icmp-net-