Administrasi forwarding [IP Masquerade]

Administrasi forwarding

Secara default, IP Masquerade akan meneruskan setiap permintaan dari user. Hal ini membuka kemungkinan, semua user akan bisa memanfaatkannya tanpa batasan yang jelas. Implikasi ini juga memudahkan pihak-pihak yang tidak dikehendaki untuk memanfaatkan IP Masquerade ini. Untuk itu ditetapkan perlu ditetapkan kebijakan, host-host yang mana saja yang boleh menjalankan fasilitas masquerading ini.

Penetapan kebijakan dalam masquerading, mempergunakan program ipchains atau ipfwadm. Ipchais dipergunakan pada Kernel 2.2.x, sedangkan ipfwadm dipergunakan pada Kernel 2.0.x.

Dalam contoh berikut, diasumsikan nomor IP mesin Linux Anda adalah 192.168.1.1 dan menggunakan Subnet Mask 255.255.255.0.

ipchains -P forward DENY

ipchains -A forward -s yyy.yyy.yyy.yyy/x -j MASQ

yyy.yyy.yyy.yyy dapat Anda isi nomor IP per mesin, atau dibuat secara umum satu kelas. x merupakan nomor yang ditentukan berdasarkan kelas subnetnya.


Table: Angka dan Subnet
Netmask x Subnet
255.0.0.0 8 Kelas A
255.255.0.0 16 Kelas B
255.255.255.0 24 Kelas C
255.255.255.255 32 Point to Point


T

Contoh :

ipchains -P forward DENY

ipchains -A forward -s 192.168.1.0/24 -j MASQ

Rule set ini akan meneruskan setiap permintaan dari seluruh host dengan nomor ip 192.168.1.x dan subnet mask 255.255.255.0.

ipchains -P forward DENY

ipchains -A forward -s 192.168.1.2/24 -j MASQ

ipchains -A forward -s 192.168.1.3/255.255.255.0 -j MASQ

Rule set di atas hanya memperbolehkan mesin dengan nomor IP 192.168.1.2 dan 192.168.1.3 yang bisa memanfaatkan IP Masquerading. Angka 24 dan subnet 255.255.255.0 mempunyai nilai yang sama.

Anda bisa meletakkan semua kebijakan lewat IP Chains ini kedalam skrip yang dijalankan pada saat memulai komputer (dalam /etc/rc.d atau /etc/init.d) atau meletakkannya di dalam skrip ip-up (/etc/ppp/ip-up). Sebab semua perintah di atas jika dijalankan langsung lewat shell, maka akan hilang begitu komputer dinyalakan kembali.

Untuk test penggunaan, sambungkan mesin Linux Anda ke internet. Jika sudah, coba buka lewat klien beberapa layanan seperti http, smtp, pop3, irc dan sebagainya. Untuk ujicoba pertama kali, usahakan memakai nomor IP terlebih dahulu. Misal http://202.154.1.3 dan seterusnya. Jika berhasil, maka Anda bisa mengganti permintaan dengan Domain Name System (DNS). Misalnya memanggil langsung http://www.yahoo.com.

19.01 | Label: |

 

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)