1

LAPORAN RESMI KEAMANAN JARINGAN

KONFIGURASI FIREWALL

1. Summary IPTABLES

“iptables is a networking administration command-line tool on Linux which

interfaces to the kernel-provided Netfilter modules. This allows for stateless and

stateful firewalls and NAT. It is useful to think of IPtables as being a specialized

firewall-creation programming language.”

IPTABLES adalah sebuah administrasi command line jaringan di Linux yang

menghubungkan kernel. IPTables bisa diartikan sebagai Bahasa pemrograman yang

dikhususkan untuk membuat firewall.

Iptables membolehkan seorang system administrator untuk mengkonfigurasi

table yang disediakan oleh Kernel Linux Firewall, urutan, serta aturan.

Prinsip kerja IPTABLES ini diproses berdasarkan tujuan:

Jika Destination IP untuk Firewall , Maka masuk proses Input

Jika Destination IP bukan untuk firewall tapi diteruskan, Maka masuk proses

Forward

Konsep Dasar:

Iptables digunakan untuk menginspeksi, memodifikasi, memforward , meredirect

dan/ atau mendrop paket Ipv4. Code untuk memfilter paket Ipv4 sudah terdapat

pada kernel dan diorganisasikan ke koleksi table dengan setiap tujuan yang spesifik.

Table ini dibuat dari beberapa rangkaian urutan yang didefinisikan dan urutan yang

mengandung aturan yang dilalui melalui order. Setiap peraturan mengandung

prediksi dari potensial kecocokan dan mengandung aksi atau tindakan tertentu yang

akan dijalankan jika prediksi ini bernilai true.

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

2

Pada gambar diatas, setiap paket yang menuju ke sebuah network/jaringan akan

melalui fase fase yang ada digambar diatas. Biasanya, paket yang dating dari internal

network dan eksternal network diperlakukan dengan beda.

Tables:

Iptables mengandung 5 table:

1. Raw yang digunakan hanya untuk mengkonfigurasi paket sehingga paket bebas

dari connection tracking

2. Filter adalah default table dan dimana semua aksi diasosiakan/berhubungan

dengan firewall

3. NAT digunakan untuk network address translation

4. Mangle yang digunakan untuk perubahan packet.

5. Security yang digunakan untuk Mandatory Access Control networking rules.

Chains:

Table yang mengandung list dari rules/aturan aturan yang diikuti oleh urutan

tertentu. Default table Filter terdiri dari 3 built ini chains: Input, Output, Forward

yang mana diaktifkan pada point tertentu pada proses filter.

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

3

Rules:

Filter paket didasarkan dari rules , yang mana dispesifikasikan oleh beberapa

kecocokan( kondisi yang harus dipenuhi sehingga rules ini bisa diaplikasikan) dan 1

target(action yang diambil ketika paket yang ada cocok dengan semua kondisi).

Rules yang ada ini bisa berupa interfaces apa yang dating apakah eth0/eth1, dan

tipe dari paket yang dating bisa berupa ICMP,UDP, atau TCP atau port tujuan dari

paket.

Transversing Chains:

Sebuah paket network yang diterima dari bermacam interfaces, mengubah

traffic control chains of tables. Hasil keputusan dari routing yang pertama

melibatkan penentuan destinasi akhir dari paket yang dating. Hasil keputusan

Subsequent routing melibatkan penentuan interfaces yang akan menangani paket

yang akan keluar.

Modules:

Ada banyak modul yang bisa digunakan untuk mengextend iptables seperti

conlimit, conntrack, limit dan recent. Modul modul ini menambahkan fungsionalitas

baru yang memungkinkan rules filtering yang kompleks.

2. Bagaimana membuat rule IP Tables persistent di system anda? Jelaskan

1. Pada sistem berbasis Debian terbaru konfigurasi iptables dapat dibuat dengan

menggunakan paket iptables persistent. Yaitu dengan menginstall paket tersebut

terlebih dahulu, dengan perintah apt-get install iptables-persistent

2. Lalu atur konfigurasi yang diperlukan pada direktori /etc/iptables. Untuk

mengkonfigurasi ruleset dari IPV4, maka buka file /etc/iptables/rules.v4. File

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

4

ruleset harus dalam format yang sesuai dengan perintah iptables-restore.

Berikut adalah contoh format untuk mengkonfigurasi tabel filter IPV4.

3. Konfigurasi yang telah dilakukan sebelumnya tidak dapat tersimpan secara

otomatis. Oleh karena itu, versi terbaru dari iptables-persistent ini akan

membuat file konfigurasi ketika paket diinstall. Agar file konfigurasi yang sudah

diatur sebelumnya dapat tersimpan, maka dapat digunakan perintah iptables-

save untuk IPV4 dan iptables-save command untuk IPV6. Perintahnya adalah

iptables-save > /etc/iptables/rules.v4

4. Karena layanan iptables-persistent akan secara otomatis dilakukan ketika sistem

reboot, sehingga langkah selanjutnya adalah start iptables-persistent yang telah

disimpan konfigurasinya dengan perintah service iptables-persistent start

3. Buat rule firewall untuk :

a. Drop icmp dari network 10.252.108.0/24

b. Drop seluruh packet dari network 192.168.x.0/24 kecuali packet berisi

protokol HTTP dan SSH

a. Drop icmp dari network 10.252.108.0/24

1. Buat rule rule firewall sebagai berikut :

Setting memblok request ke jaringan 10.252.108.0/24 dengan perintah :

Untuk mengatasi paket data yang masuk

iptables –A INPUT –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-

request –j DROP

Untuk menghasilkan paket data yang diteruskan

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

5

iptables –A OUTPUT –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-

request –j DROP

Untuk mengalihkan paket data yang datang

iptables –A FORWARD –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-

request –j DROP

Cek rule firewall

Lalu coba lakukan ping ke jaringan 10.252.108.0/24, baik melalui

jaringan lokal ataupun client

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

6

Pada setting memblok icmp type request ini, jaringan hanya akan

melakukan blok request pada saat ada IP address lain melakukan koneksi

atau melakukan ping. Sehingga jaringan lain tidak bisa melakukan

koneksi pada jaringan ini.

Setting memblok reply ke jaringan 10.252.108.0/24 dengan perintah :

Untuk mengatasi paket data yang masuk

iptables –A INPUT –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-

reply –j DROP

Untuk menghasilkan paket data yang diteruskan

iptables –A OUTPUT –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-

reply –j DROP

Untuk mengalihkan paket data yang datang

iptables –A FORWARD –s 10.252.108.0/24 0/0 –p icmp –icmp-type echo-

reply –j DROP

Cek rule firewall

Lalu coba lakukan ping ke jaringan 10.252.108.0/24, baik melalui

jaringan lokal ataupun client

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

7

Pada setting memblok icmp type reply ini, jaringan hanya akan

melakukan blok reply pada saat ada IP address yang ada dalam jaringan

lain melakukan koneksi atau melakukan ping. Namun sebenarnya

jaringan lain tersebut bisa melakukan koneksi atau melakukan request ke

jaringan ini tetapi jaringan tersebut tidak mendapatkan reply dari

jaringan 10.252.108.0/24.

Setting memblok icmp ke jaringan 10.252.108.0/24 dengan perintah :

Untuk mengatasi paket data yang masuk

iptables –A INPUT –s 10.252.108.0/24 0/0 –p icmp –j DROP

Untuk menghasilkan paket data yang diteruskan

iptables –A OUTPUT –s 10.252.108.0/24 0/0 –p icmp –j DROP

Untuk mengalihkan paket data yang dating

iptables –A FORWARD –s 10.252.108.0/24 0/0 –p icmp –j DROP

Cek rule firewall

Lalu coba lakukan ping ke jaringan 10.252.108.0/24, baik melalui

jaringan lokal ataupun client

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

8

Pada setting memblok icmp type ini, jaringan akan melakukan

semua blok baik reply maupun request, pada saat ada IP address yang ada

dalam jaringan lain melakukan koneksi atau melakukan ping.

b. Drop seluruh packet dari network 192.168.x.0/24 kecuali packet berisi protokol

HTTP dan SSH

Dari komputer Router buat rule rule firewall sebagai berikut :

Mendrop seluruh packet kecuali packet berisi protocol SSH

iptables –A FORWARD –s 192.168.10.0/24 –d 0/0 –p tcp –dport ssh –j ACCEPT

Mendrop seluruh packet kecuali packet berisi protocol HTTP

iptables –A FORWARD –s 192.168.10.0/24 –d 0/0 –p tcp –dport http –j ACCEPT

Mendrop seluruh packet

iptables –A FORWARD –s 192.168.10.0/24 –d 0/0 –p tcp –j ACCEPT

Cek rule firewall

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

9

Lakukan koneksi lagi ke web, ssh dan ftp pada jaringan 192.168.10.0/24, catat

hasilnya dan harus sesuai dengan rule, jika tidak sesuai ganti nomor urut rule

firewall yang anda masukkan dan pastikan rule terpenuhi

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

10

Alur Paket

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

11

A. Alur Routing Meneruskan Paket Ke Jaringan Lain

Analisa : dari ip 192.168.1.0/24 melalui routing akan diteruskan ke

jaringan 0/0 ini dinamakan dengan postrouting NAT, kemudian setelah

diteruskan akan di translasikan ke jaringan public yaitu 0/0 ini yang dinamakan

masquerade.

B. Drop Jaringan Public Ketika Melakukan Request Terhadap Jaringan Local

Analisa : jaringan public melalui local routing akan melakukan request

terhadap jaringan local 192.168.1.0/24, kemudian jaringan public tersebut akan

diblok dengan drop icmp sehingga tidak bisa melakukan akses terhadap jaringan

192.168.1.0/24

C. Drop Akses Jaringan Public Kecuali Port 80,21,23

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A

12

Analisa : jaringan public melakukan akses terhadap jaringan

192.168.1.0/24 melalui local route, kemudian jaringan tersebut hanya

mengijinkan untuk port 80 yaitu http, port 21 ftp, dan port 23 yaitu ssh dan

melakukan drop terhadap jaringan public kecuali port 80,21, dan 22.

USWATUN HASANAH (2103131001) | RENDY TRI SWASONO (2103131015) | 3 D3 IT A