Thursday 21 October 2010

Belajar menggunakan IPTABLES

Syarat dalam konfigurasi iptables :

iptables -t -A | -I < (PREROUTING;INPUT;FORWARD;OUTPUT;POSTROUTING) > [opsi]

iptables -t -D [opsi]

iptables -t -N | - X | -F [nama chain]

opsinya :

-s [source-ip = ip asal]

-d [destination-ip = ip tujuan]

-p [protokol digunakan untuk proses-proses seperti tcp,icmp,udp,dsb untuk lebih jelasnya bisa dilihat dalam “/etc/protocol” jika menggunakan putty, melihat protokol-protokol yang ada bisa dengan menggunakan “less /etc/services“]

–dport [destination-port = port asal]

–sport [source-port = port tujuan]

-j [jump-target]

untuk nama tabel :


filter digunakan untuk filtering paket

nat digunakan network address translation (mengubah alamat jaringan)

mangle digunakan untuk penandaan paket

untuk perintah :

A –> APPEND (memberikan aturan ke dalam tabel yang dibuat)

I –> INSERT (memasukkan aturan ke dalam tabel yang dibuat)

D –> DELETE (menghapus aturan di dalam tabel yang dibuat)

N –> create NEW chain (membuat chain baru)

X –> delete chain yang dibuat (menghapus chain yang dibuat)

F –> FLUSH (menghapus semua aturan yang ada)

berikut ini adalah rantai built-in (untuk aturan) yang ada di dalam tabel :

1. PREROUTING : paket yang datang sebelum routing/sebelum paket melalui table routing

2. INPUT : paket yang memasuki suatu mesin

3. FORWARD : paket yang melintasi suatu mesin

4. OUTPUT : paket yang keluar dari suatu mesin

5. POSTROUTING : paket setelah routing/setelah paket melalui table routing

untuk tabel filter mempunyai rantai built-in 2,3 dan 4

untuk tabel nat mempunyai rantai built-in 1,3 dan 5

untuk tabel mangle mempunyai keseluruhan rantai built-in, mulai dari 1 sampai 5

-j, –jump target mempunyai opsi yang bisa dilakukan yaitu :

> chain yang dibuat

> DROP

drop semua paket

> ACCEPT

menerima semua paket

> REJECT, –reject-with

menolak semua paket, dengan mengirimkan alasan :

icmp-net-unreachable

icmp-host-unreachable

icmp-port-unreachable

icmp-proto-unreachable

icmp-net-prohibited

icmp-host-prohibited

icmp-admin-prohibited (*)

> MASQUERADE

menutupi alamat asal dengan alamat gateway

> DNAT, –to-destination

destination nat, mempunyai fungsi mentranslasi alamat network tujuan, membelokkan alamat tujuan tetapi hanya mempunyai opsi PREROUTING dan OUTPUT

> SNAT, –to-source

source nat, mempunyai fungsi mentranslasi alamat network asal, membelokkan alamat asal tetapi hanya mempunyai opsi POSTROUTING

> REDIRECT, –to-ports

membelokkan port, dari port mana ke port mana tetapi hanya ada di tabel.

menggunakan chain PREROUTING dan OUTPUT

Contoh :

1. Membelokkan akses SSH dari suatu jaringan ke jaringan/host lainnya

Misal :

Kita mempunyai ip1 yaitu 10.40.7.34 akan dibelokkan ke ip2 yaitu 10.40.7.2 dan diantaranya dipisahkan oleh sebuah router. Maka iptables akan diletakkan di router tersebut dan perintahnya adalah :

iptables -t nat -A PREROUTING -s 10.40.7.34 -p TCP –to-destination 10.40.7.2 -j DNAT


2. Membuat sebuah chain rule baru yang berfungsi untuk mencatat semua koneksi TCP ke jaringan tertentu

Misal :

Jaringan tersebut mempunyai NetID 10.126.73.80/28. Maka perintah untuk soal diatas adalah :

iptables -N chain_baru

iptables -A FORWARD -p TCP -d 10.126.73.80/28 -j chain_baru



Cukup dulu deh untuk saat ini..

Ntr disambung lagi,okay??

- Selamat Mencoba -

sumber:http://blog.its.ac.id