Pengenalan Jaringan Komputer Serta Aplikasinya di GNU/Linux
of 72
-
Upload
radit-hermawan -
Category
Documents
-
view
855 -
download
0
description
Pengenalan Jaringan Komputer Serta Aplikasinya di GNU/Linux
Transcript of Pengenalan Jaringan Komputer Serta Aplikasinya di GNU/Linux
mini book
Pengenalan Jaringan Komputer Serta Aplikasinya di GNU/Linux
Nur Kholis Majid [email protected] http://kholis.web.id
Lab. B201 Teknik Elektro Institut Teknologi Sepuluh Nopember Surabaya
Kata PengantarAssalamualaikum Wr Wb.
Hai semua, ini adalah buku mini iseng hasil oprek-oprek di lab.b201. Semua isi didalam kebanyakan bukan tulisan saya, saya hanya mengumpulkan, mencoba lalu menuliskan ulang dengan kata-kata saya sendiri agar suatu saat jikalau saya lupa bisa saya manfaatkan kembali. Referensi yang saya ambil berasal dari tulisan senior-senior dan teman-teman saya di kampus seperti mas sokam (http://sokam.or.id), mas galih (http://blog.galihsatria. com), fuad (http://blog.its.ac.id/fuad), mas dhoto (http://dhoto.wordpress.com) dll, maupun berbagai tutorial di internet seperti tulisan-tulisan mas fajar priyanto (http: //linux2.arinet.org), pak onno w. purbo dan masih banyak lainya yang tidak dapat disebutkan satu per satu. Terima kasih buat mereka semua. Semoga buku mini saya ini bisa bermanfaat dan sumbangsih bagi perkembangan teknologi di indonesia. Apabila menemukan kesalahan atau ingin menyampaikan kritik/saran, silahkan kirim ke [email protected]. Terima kasih.
Wassalamualaikum Wr Wb.
2
Daftar IsiI Jaringan Komputer 66 6 6 6 6 7 7 7
1 Berdasarkan Skala 2 Berdasarkan Fungsi 2.1 Client-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Peer-to-Peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Berdasarkan Topologi 3.1 Topologi Bus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Topologi Ring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Topologi Star . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 Perangkat Jaringan 8 4.1 Network Interface Card (NIC) . . . . . . . . . . . . . . . . . . . . . . . . . . 8 4.2 Kabel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 4.3 Hub, Switch atau Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
II
Pengenalan TCP/IP
1111 12
5 Physical Layer 6 Datalink Layer
7 Network Layer / Internet Layer 12 7.1 IP (Internet Protokol) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 7.2 ICMP (Internet Control Message Protocol) . . . . . . . . . . . . . . . . . . . 15 7.3 ARP (Address Resolution Protocol) . . . . . . . . . . . . . . . . . . . . . . . 15 8 Transport Layer 15 8.1 TCP (Transmission Control Protocol) . . . . . . . . . . . . . . . . . . . . . . 15 8.2 UDP (User Datagram Protocol) . . . . . . . . . . . . . . . . . . . . . . . . . . 15 9 Application Layer 16
III
Dasar Kongurasi Jaringan
1717 18 18 18 19 20 21
10 Layer 1 (Datalink) 11 Layer 2 (Network) 11.1 ARP (Address Resolution Protocol) 11.2 IP Address . . . . . . . . . . . . . . 11.3 Routing . . . . . . . . . . . . . . . . 11.4 Ping dan traceroute . . . . . . . . . 12 Layer 3 (Transport)
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
13 File dan Tools Networking 21 13.1 File-le Networking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
IV
Domain Name System
2323 3
14 Instalasi dan Kongurasi BIND
15 Testing Service 15.1 host . . . . 15.2 nslookup . . 15.3 dig . . . . .
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26 26 26 27
V
Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2828 29 30 30 31
16 Iptables 16.1 Dasar iptables . . . . . . . . . . 16.2 Dua pendekatan setup rewall . 16.3 Syntax Iptables . . . . . . . . . 16.4 Contoh Kasus . . . . . . . . . .
17 Shorewall 33 17.1 Instalasi dan kongurasi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
VI
Proxy Server
38
18 Keuntungan dan kerugian Proxy server[8] 38 18.1 keuntungan proxy server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 18.2 kerugian proxy server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 19 Pengenalan dan Cara Kerja Squid 20 Bagian-bagian squid 20.1 ICP (Internet Cache Protocol) . . 20.2 Access Control List . . . . . . . . . 20.3 Autentikasi pada Squid . . . . . . 20.4 Httpd Accelerator / Reverse Proxy 20.5 Transparent Caching . . . . . . . . 20.6 Delay Pool . . . . . . . . . . . . . 21 Instalasi dan Kongurasi 21.1 auth parm . . . . . . . . 21.2 http port . . . . . . . . 21.3 cache peer . . . . . . . . 21.4 icp port . . . . . . . . . 21.5 dead peer timeout . . . 21.6 hierarchy stoplist . . . . 21.7 cache mem . . . . . . . 21.8 cache swap low/high . . 21.9 cache dir . . . . . . . . . 21.10access log . . . . . . . . 21.11cache mgr . . . . . . . . 21.12acl . . . . . . . . . . . . 21.13http access . . . . . . . 21.14delay pool . . . . . . . . 21.15delay class . . . . . . . . 21.16delay access . . . . . . . 21.17delay parameter . . . . . 38 39 39 39 40 40 40 41 41 42 42 43 43 43 44 44 44 45 45 45 46 46 47 47 47 48
. . . . . . . . . . . . Server . . . . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
VII
File Sharing
49
4
22 Samba 49 22.1 Instalasi dan Kongurasi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 22.2 Kongurasi dengan GUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 23 FTP 53 23.1 FTP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 23.2 FTP Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 24 NFS 56 24.1 NFS Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 24.2 NFS Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
VIII
Print Server
58
25 CUPS 58 25.1 Instalasi dan Kongurasi CUPS server . . . . . . . . . . . . . . . . . . . . . . 58 25.2 Instalasi dan Kongurasi CUPS client . . . . . . . . . . . . . . . . . . . . . . 60
IX
DHCP Server
6161 63
26 DHCP Server 27 DHCP Client
X
Network Monitoring
64
28 SNMP (Simple Network Management Protocol) 64 28.1 Instalasi SNMP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 28.2 Instalasi SNMP Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 29 MRTG (Multi Router Trac Grapher) 66
XI
Network Time Protocol (NTP)
6969 70
30 NTP Server 31 NTP Client
5
Bagian I
Jaringan KomputerJaringan komputer adalah kumpulan dua atau lebih dari komputer yang saling berhubungan dan saling bekerjasana satu sama lain. Produktitas dan esiensi merupakan bentuk keuntungan yang kita dapat dari jaringan komputer. Tujuan dari jaringan komputer antara lain: Membagi sumber daya: contohnya berbagi pemakaian printer, CPU, memori, harddisk Komunikasi: contohnya surat elektronik, instant messaging, chatting Akses informasi: contohnya web browsing Agar dapat mencapai tujuan yang sama, setiap bagian dari jaringan komputer meminta dan memberikan layanan (service). Pihak yang meminta layanan disebut klien (client) dan yang memberikan layanan disebut pelayan (server). Arsitektur ini disebut dengan sistem client-server, dan digunakan pada hampir seluruh aplikasi jaringan komputer. Jaringan komputer diklasikasikan kedalam beberapa cara, antara lain:
1
Berdasarkan Skala Local Area Network (LAN) biasa digunakan pada skala kecil sekelas rumahan, kantor, pertokoan dll. menggunakan ethernet 10/100/1000 Mbps. Metropolitant Area Network (MAN) mencakup area yang lebih luas (perkotaan) menggunakan interkoneksi yang lebih baik. Gigabit ethernet, atau ber optik. Wide Area Network (WAN) area yang ditangani sangat luas (negara) menggunakan media ber optik atau satelit.
22.1
Berdasarkan FungsiClient-Server
Yaitu jaringan komputer dengan komputer yang didedikasikan khusus sebagai server. Sebuah service/layanan bisa diberikan oleh sebuah komputer atau lebih. Sedangkan yang lain bertindak sebagai client yang menggunakan layanan server. Contohnya adalah sebuah domain seperti www.google.com yang diakses oleh banyak komputer.
2.2
Peer-to-Peer
Yaitu bentuk jaringan dimana semua komputer berkedudukan sama. bisa sebagai server sekaligus sebagai klien. Ini adalah kebalikan dari yang diatas.
3
Berdasarkan Topologi
Arsitektur Fisik jaringan biasa disebut sebagai topologi, yang merupakan suatu cara menghubungkan komputer yang satu dengan komputer lainnya sehingga membentuk jaringan. Yang saat ini banyak digunakan adalah bus, ring, star, mesh. Masing-masing topologi ini mempunyai ciri khas, dengan kelebihan dan kekurangannya sendiri. 6
3.1
Topologi Bus
Semua komputer saling terhubung melewati sebuah jalur utama (bus). Kerusakan jalur utama akan merusak semua jaringan.
Gambar 1: Topologi bus
3.2
Topologi Ring
Metode token-ring (sering disebut ring saja) adalah cara menghubungkan komputer sehingga berbentuk ring (lingkaran). Setiap simpul mempunyai tingkatan yang sama. Jaringan akan disebut sebagai loop, data dikirimkan kesetiap simpul dan setiap informasi yang diterima simpul diperiksa alamatnya apakah data itu untuknya atau bukan.
Gambar 2: Topologi ring
3.3
Topologi Star
Kontrol terpusat, semua link harus melewati pusat yang menyalurkan data tersebut kesemua simpul atau client yang dipilihnya. Simpul pusat dinamakan stasium primer atau server dan lainnya dinamakan stasiun sekunder atau client server. Setelah hubungan jaringan dimulai oleh server maka setiap client server sewaktu-waktu dapat menggunakan hubungan jaringan tersebut tanpa menunggu perintah dari server.
7
Gambar 3: Topologi star
44.1
Perangkat JaringanNetwork Interface Card (NIC)
Merupakan suatu card yang terdapat di komputer yang berguna untuk menghubungkan dengan komputer lain. Pada komputer biasanya ada slot (tempat menancap card) yang disebut expansion slot. Slot ini saat membeli komputer baru banyak yang kosong. Yang biasa terpasang adalah untuk menancapkan VGA Card untuk menghubungkan antara CPU dan monitor. Dan salah satu dari slot itu bisa dipakai untuk menancapkan NIC Card supaya bisa komputer kita bisa terhubung dengan jaringan. Kadang-kadang sekarang NIC Card sudah termasuk dalam fasilitas Motherboard kita (onboard) sehingga kita tidak perlu lagi susah-susah memasangnya.
Gambar 4: Network Card Ada beberapa tipe antara lain yaitu ISA, PCI dan USB. Slot PCI lebih pendek dari ISA tapi meskipun lebih pendek mendukung kecepatan I/O yang lebih cepat. Dari sisi protokol, yang paling banyak dipakai adalah ethernet dan fast ethernet. Ada beberapa protokol lain, tapi kurang populer yaitu Token Ring, FDDI dan ATM (dua protokol terakhir dipakai untuk jaringan besar). Ethernet mendukung kecepatan transfer 10/100 Mbps bahkan ada yang sudah 1 Giga bps. Untuk Laptop dikenal PCMCIA Card, mirip kartu kredit sedikit tebal. Disinilah terdapat MAC (Media Access Control) address yang unik untuk setiap NIC.
4.2
Kabel
1. UTP (Unshielded Twisted Pair)
8
Kabel paling murah berbentuk mirip kabel telepon, terdiri dari 4 pasang kabel. terdapat 2 cara kongurasi kabel ini. Cross, digunakan apabila 2 buah komputer ingin berhubungan langsung tanpa melalui switch.
Gambar 5: Cross-over Straight, digunakan untuk koneksi 2 buah komputer atau lebih dengan memakai sambungan hub/switch.
Gambar 6: Straight-through 2. Coaxial Mirip dengan kabel televisi, dulu banyak digunakan, tapi sekarang jarang sekali digunakan. karena tidak luwes dan kecepatannya yang rendah.
Gambar 7: Kabel Coaxial 3. Fiber Optik 9
Menggunakan cahaya sebagai media tranfer sehingga sangat cepat dan tangguh. tapi hal itu harus di bayar dengan harga yang tidak murah. Kabel ini sangat sensitif (tidak dapat di tekuk) terdiri dari beberapa core yang dibalut hingga 4-5 lapisan sebagai pelindung.
Gambar 8: Fiber Optik
4.3
Hub, Switch atau Router
Hub dan switch adalah perangkat dengan banyak port yang memungkinkan beberapa titik (dalam hal ini komputer yang sudah memasang NIC Card) bergabung menjadi satu jaringan dengan memakai kabel yang ada. Sedangkan router adalah peralatan yang menghubungkan jaringan satu ke jaringan lainnya. router dapat berupa peralatan khusus (dedicated), maupun PC biasa yang difungsikan sebagai router.
10
Bagian II
Pengenalan TCP/IPTCP/IP (Transmission Control Protocol/Internet Protocol) adalah sekumpulan protokol (aturan) yang digunakan dalam proses komunikasi data pada jaringan[2]. TCP/IP adalah model protokol perbaikan dan pengembangan dari OSI (Open System Interconnection). TCP/IP terdiri dari 4 layer yaitu: Datalink, Network, Transport, dan Application yang berada diatas layer physical. Sehingga beberapa pihak ada yang memasukkan later physical ini ke dalam TCP/IP menjadi layer ke 5.
Gambar 9: Layer TCP/IP Layer TCP/IP terdiri atas sekumpulan protokol yang masing-masing bertanggung jawab atas bagian-bagian tertentu dari proses komunikasi data. Berkat Prinsip ini, tugas masingmasing protokol menjadi jelas dan sederhana. Protokol satu tidak perlu tahu cara kerja protokol lain, yang di perlukan hanya bagaimana cara saling bertukar data.
5
Physical Layer
Layer ini merupakan dasar dari semua layer, pada layer ini terjadi transfer data dalam bentuk sinyal-sinyal listrik. Umumnya layer ini terdiri dari hardware jaringan seperti kabel UTP, kabel STP, kabel koaksial, kabel serial RS-232, NIC, Fiber optik dan lainnya, tetapi disamping itu layer physical berfungsi sebagai1 : Denition of Hardware Specications Operasi-operasi detil dari kabel, konektor, wireless, NIC adalah tugas utama dari physical layer (walaupun sebagian adalah bagian dari Datalink layer) Encoding and Signaling Physical layer bertanggung dalam pengkodean dan pensinyalan yang mengubah data bit kedalam bentuk sinyal yang dapat di kirimkan melalui jaringan. Data Transmission and Reception Setelah data di kodekan, physical layer juga bertanggung jawab saat pengiriman dan penerimaan data. Topology and Physical Network Design Layer ini juga memperhatikan dan mempengaruhi perancangan suatu jaringan. seperti LAN atau WAN.1 http://www.tcpipguide.com/free/t
PhysicalLayerLayer1.htm
11
6
Datalink Layer
Fungsi utama layer ini untuk mentrasfer data pada komputer yang berdekatan atau pada jaringan yang sama. Selain itu mekanisme deteksi dan perbaikan error yang terjadi di physical layer terjadi disini. Protokol-protokol yang ada di layer ini antara lain: Ethernet,, Frame Relay, ATM, FDDI, WI-FI, WiMaX, Token Ring, GPRS, PPP dan lainnya2 . Berikut adalah fungsi-fungsi Datalink layer selengkapnya3 : Logical Link Control (LLC) Berfungsi membangun dan mengontrol link logical antara node-node di jaringan. serta menyediakan service kepada layer di atasnya dengan menyembunyikan kerumitan pada layer Datalink. Media Access Control (MAC) Terdapat prosedur untuk mengatur akses pada media jaringan. Karena dalam jaringan terdapat banyak node maka diperlukan pengaturan agar tidak terjadi konik. Contoh: Ethernet menggunakan metode CSMA/CD sedangkan Token Ring menggunakan token passing. Data Framing Bertanggung jawab pada enkapsulasi akhir dalam melengkapi pesan dari layer diatasnya lalu mengubahnya menjadi frame-frame dan selanjutnya di kirim ke physical layer untuk di kirim ke jaringan. Addressing Tiap peralatan di jaringan memiliki nomor yang unik yang disebut MAC address. yang digunakan untuk memastikan data sampai pada mesin tujuan dengan benar. Error Detection and Handling Menangani error yang terjadi di level bawah. Contoh: cyclic redundancy check (CRC)
7
Network Layer / Internet Layer
Layer ini bertanggung jawab pada pengiriman paket end to end (dari sumber ke tujuan) melalui satu atau beberapa network, berbeda dengan Datalink layer yang bertanggung jawab pada pengiriman frame node to node. Protokol-protokol yang ada di layer ini antara lain: IP, ICMP, ARP, RARP, OSPF, IGMP dan lainnya. Umumnya protokol di layer ini bersifat connectionless, dan unreliable. Beberapa fungsi Network layer antara lain: Logical Addressing Tiap mesin di jaringan harus mempunyai alamat logical yang unik, alamat ini harus independent terhadap hardware. Routing Meneruskan data ke jaringan lain melalui satu atau beberapa jaringan. Datagram Encapsulation Seperti layer-layer lainnya, layer ini juga menambahkan header dari paket data di atasnya. Fragmentation and Reassembly Data yang akan dikirim ke Datalink kadang melebihi besar kapasitas data. sehingga harus di pecah lalu di kirimkan ke datalink. Sesampainya di network layer tujuan data ini harus di gabungkan lagi.2 http://en.wikipedia.org/wiki/Data 3 http://www.tcpipguide.com/free/t
link layer DataLinkLayerLayer2.htm
12
Error Handling and Diagnostics Protokol khusus di layer ini mengijinkan alat yang terhubung secara logical, atau yang berusaha mengatur trac untuk saling bertukar informasi tentang status host di jaringan atau dirinya sendiri.
7.1
IP (Internet Protokol)
Protokol IP merupakan inti dari protokol TCP/IP. Seluruh data yang berasal dari protokol pada layer di atas IP harus dilewatkan, diolah oleh protokol IP. dan dipancarkan sebagai paket IP, agar sampai ke tujuan. Dalam melakukan pengiriman data. IP memiliki sifat yang dikenal sebagai unreliable, connectionless, datagram delivery service. Unreliable/Tidak handal berarti bahwa Protokol IP tidak menjamin datagram yang dikirim pasti sampai ke tempat tujuan. Protokol IP hanya berjanji ia akan melakukan usaha sebaik baiknya (best eort delivery sevice). Agar paket yang dikirim tersebut sampai ke tujuan. Sedangkan connectionless berarti dalam mengirim paket dari tempat asal ke tujuan, pihak pengirim dan penerima paket IP sama sekali tidak mengadakan perjanjian (handshake) terlebih dahulu. Datagram delivery service berarti setiap paket data yang dikirim adalah independen terhadap paket data yang lain. Akibatnya, jalur yang ditempuh oleh masing-masing paket data IP ke tujuannya bisa jadi berbeda satu dengan lainnya, Karena jalur yang ditempuh berbeda, kedatangan paket pun bisa jadi tidak berurutan. Mengapa metode seperti ini dipakai dalam pengiriman paket IP? Hal ini dilakukan untuk menjamin tetap sampainya paket IP ini ke tujuan, walaupun salah satu jalur ke tujuan itu mengalami masalah[2]. IP Address Supaya komputer bisa terhubung dengan benar memerlukan adanya IP Address di setiap komputer. IP Address terdiri dari bilangan biner sepanjang 32 bit yang dibagi atas 4 segmen. Tiap segmen terdiri atas 8 bit yang berarti memiliki nilai desimal dari 0 - 255. Range address yang bisa digunakan adalah dari 00000000.00000000.00000000.00000000 sampai dengan 11111111.11111111.11111111.11111111. Jadi, ada sebanyak 232 kombinasi address yang bisa dipakai diseluruh dunia (walaupun pada kenyataannya ada sejumlah IP Address yang digunakan untuk keperluan khusus). Jadi, jaringan TCP/IP dengan 32 bit address ini mampu menampung sebanyak 232 atau lebih dari 4 milyar host. Untuk memudahkan pembacaan dan penulisan, IP Address biasanya direpresentasikan dalam bilangan desimal. Jadi, range address di atas dapat diubah menjadi address 0.0.0.0 sampai address 255.255.255.255. Nilai desimal dari IP Address inilah yang dikenal dalam pemakaian sehari-hari. Beberapa contoh IP Address adalah : 202.95.151.129 202.58.201.211 172.16.122.204 Ilustrasi IP Addres dalam desimal dan biner dapat dilihat pada gambar 1 berikut:
Gambar 10: IP Address dalam biner dan desimal IP Address dapat dipisahkan menjadi 2 bagian, yakni : 13
1. Bagian network (bit-bit network/network bit) dan bagian host (bit-bit host/host bit). Bit network berperan dalam identikasi suatu network dari network yang lain, 2. Bagian host, yang berperan dalam identikasi host dalam suatu network. Jadi, seluruh host yang tersambung dalam jaringan yang sama memiliki bit network yang sama. Ada 3 kelas address yang utama dalam TCP/IP, yakni : 1. Kelas A: 8 bit pertama merupakan bit network sedangkan 24 bit terakhir merupakan bit host. 2. Kelas B: 16 bit pertama merupakan bit network sedangkan 16 bit terakhir merupakan bit host. 3. Kelas C: 24 bit pertama merupakan bit network sedangkan 8 bit terakhir merupakan bit host.
Gambar 11: Kelas-kelas IP Selain ke tiga kelas di atas, ada 2 kelas lagi yang ditujukan untuk pemakaian khusus, yakni kelas D dan kelas E. Jika 4 bit pertama adalah 1110, IP Address merupakan kelas D yang digunakan untuk multicast address, yakni sejumlah komputer yang memakai bersama suatu aplikasi (bedakan dengan pengertian network address yang mengacu kepada sejumlah komputer yang memakai bersama suatu network). Salah satu penggunaan multicast address yang sedang berkembang saat ini di Internet adalah untuk aplikasi real-time video conference yang melibatkan lebih dari dua host (multipoint), menggunakan Multicast Backbone (MBone). Kelas terakhir adalah kelas E (4 bit pertama adalah 1111 atau sisa dari seluruh kelas). Pemakaiannya dicadangkan untuk kegiatan eksperimental. Address Khusus Selain address yang dipergunakan untuk pengenal host, ada beberapa jenis address yang digunakan untuk keperluan khusus dan tidak boleh digunakan untuk pengenal host. Address tersebut adalah : 1. Broadcast Address. Address ini digunakan untuk mengirim/menerima informasi yang harus diketahui oleh seluruh host yang ada pada suatu network. Seperti diketahui, setiap paket IP memiliki header alamat tujuan berupa IP Address dari host yang akan dituju oleh paket tersebut. Dengan adanya alamat ini, maka hanya host tujuan saja yang memproses paket tersebut, sedangkan host lain akan mengabaikannya. Bagaimana jika suatu host ingin mengirim paket kepada seluruh host yang ada pada networknya? Tidak esien jika ia harus membuat replikasi paket sebanyak jumlah host tujuan. Pemakaian bandwidth akan meningkat dan beban kerja host pengirim bertambah, padahal isi paket-paket tersebut sama. Oleh karena itu, dibuat konsep broadcast address. Host cukup mengirim ke alamat broadcast, maka seluruh host yang ada pada network akan menerima paket tersebut. Konsekuensinya, seluruh host pada network yang sama harus memiliki address broadcast yang sama dan address tersebut tidak boleh digunakan sebagai IP Address untuk host tertentu. Jadi, sebenarnya setiap host memiliki 2 address untuk menerima paket : pertama adalah IP Addressnya yang bersifat unik dan kedua 14
adalah broadcast address pada network tempat host tersebut berada. Address broadcast diperoleh dengan membuat seluruh bit host pada IP Address menjadi 1. Jadi, untuk host dengan IP address 167.205.9.35 atau 167.205.240.2, broadcast addressnya adalah 167.205.255.255 (2 segmen terakhir dari IP Address tersebut dibuat berharga 11111111.11111111, sehingga secara desimal terbaca 255.255). Jenis informasi yang dibroadcast biasanya adalah informasi routing. 2. Alamat loopback Alamat loopback digunakan oleh komputer untuk menunjuk dirinya sendiri. Alamat ini berawalan 127 sehingga tidak boleh digunakan untuk keperluan lainnya. 3. IP private Adalah ip yang boleh digunakan oleh tiap-tiap orang ketika membuat jaringan. ip private terdiri dari 3 buah. yaitu: 10.0.0.0-10.255.255.255 netmask 255.0.0.0 (Kelas A) 172.16.0.0-172.31.255.255 netmask 255.240.0.0 (Kelas B) 192.168.0.0192.168.255.255 netmask 255.255.0.0 (Kelas C)
7.2
ICMP (Internet Control Message Protocol)
ICMP bertugas mengirimkan pesan-pesan kesalahan dan kondisi lain yang memerlukan perhatian khusus. Pesan ICMP dikirim ketika terjadi masalah pada layer IP dan layer di atasnya (TCP/UDP). seperti matinya host tujuan atau putusnya koneksi. Sehingga sangat membantu mengetahui kondisi jaringan.
7.3
ARP (Address Resolution Protocol)
Berfungsi memetakan IP address ke MAC address. Karena dalam pengiriman data diperlukan MAC address tujuan. ARP bekerja dengan mengirimkan paket berisi IP address yang ingin diketahui ke alamat broadcast. Semua host dalam jaringan akan mengetahui, dan akan dijawab oleh yang cocok saja dengan menyertakan IP dan MAC addressnya. Kebalikan dari ARP adalah RARP (Reverse Address Resolution Protocol).
8
Transport Layer
Ada dua protokol utama yang banyak digunakan pada layer ini, TCP (Transmission Control Protocol) dan UDP (User Datagram Protocol). Contoh Aplikasi yang menggunakan protokol TCP seperti email, website, ftp, dll. sedang yang menggunakan protokol UDP seperti: DNS, NFS, VoIP, Streaming Audio/Video, dll.
8.1
TCP (Transmission Control Protocol)
TCP merupakan protokol transport yang bersifat connection oriented, reliable, byte stream service. Connection oriented berarti sebelum melakukan pertukaran data, dua aplikasi pengguna TCP harus melakukan pembentukan hubungan (handshake) terlebih dahulu. Reliable berarti TCP menerapkan proses deteksi kesalahan paket dan retransmisi. Sedangkan byte stream service berarti paket dikirim secara berurutan.
8.2
UDP (User Datagram Protocol)
UDP adalah protokol transport yang sederhana. Berbeda dengan TCP, UDP bersifat connectionless dan tidak ada sequencing (pengurutan data kembali) paket yang datang, acknowledgement ataupun retransmisi terhadap paket yang error. Protokol ini digunakan pada aplikasi yang secara periodik melakukan aktivitas tertentu. sehingga hilangnya data pada suatu saat dapat diperbaiki pada waktu berikutnya. misalnya query atau streaming. 15
9
Application Layer
Merupakan layer teratas tempat aplikasi kita berjalan. Aplikasi-aplikasi tersebut antara lain: DHCP, DNC, FTP, HTTP, IMAP4, IRC, SMTP dan banyak yang lain. Disinilah tempat data asli yang akan di kirimkan. data akan di tambah header tiap kali melewati layer dibawahnya sehingga jumlahnya semakin besar.
Gambar 12: Data pada tiap layer TCP/IP
16
Bagian III
Dasar Kongurasi Jaringan101 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Layer 1 (Datalink)root@air :~# lspci 00:00.0 RAM memory : nVidia Corporation C51 Host Bridge ( rev a2 ) 00:00.1 RAM memory : nVidia Corporation C51 Memory Controller 0 ( rev a2 ) 00:00.2 RAM memory : nVidia Corporation C51 Memory Controller 1 ( rev a2 ) 00:00.3 RAM memory : nVidia Corporation C51 Memory Controller 5 ( rev a2 ) 00:00.4 RAM memory : nVidia Corporation C51 Memory Controller 4 ( rev a2 ) 00:00.5 RAM memory : nVidia Corporation C51 Host Bridge ( rev a2 ) 00:00.6 RAM memory : nVidia Corporation C51 Memory Controller 3 ( rev a2 ) 00:00.7 RAM memory : nVidia Corporation C51 Memory Controller 2 ( rev a2 ) 00:02.0 PCI bridge : nVidia Corporation C51 PCI Express Bridge ( rev a1 ) 00:03.0 PCI bridge : nVidia Corporation C51 PCI Express Bridge ( rev a1 ) 00:05.0 VGA compatible controller : nVidia Corporation MCP51 PCI - X GeForce Go 6100 ( rev a2 ) 00:09.0 RAM memory : nVidia Corporation MCP51 Host Bridge ( rev a2 ) 00:0 a .0 ISA bridge : nVidia Corporation MCP51 LPC Bridge ( rev a3 ) 00:0 a .1 SMBus : nVidia Corporation MCP51 SMBus ( rev a3 ) 00:0 a .3 Co - processor : nVidia Corporation MCP51 PMU ( rev a3 ) 00:0 b .0 USB Controller : nVidia Corporation MCP51 USB Controller ( rev a3 ) 00:0 b .1 USB Controller : nVidia Corporation MCP51 USB Controller ( rev a3 ) 00:0 d .0 IDE interface : nVidia Corporation MCP51 IDE ( rev f1 ) 00:0 e .0 IDE interface : nVidia Corporation MCP51 Serial ATA Controller ( rev f1 ) 00:10.0 PCI bridge : nVidia Corporation MCP51 PCI Bridge ( rev a2 ) 00:10.1 Audio device : nVidia Corporation MCP51 High Definition Audio ( rev a2 ) 00:14.0 Bridge : nVidia Corporation MCP51 Ethernet Controller ( rev a3 ) 00:18.0 Host bridge : Advanced Micro Devices [ AMD ] K8 [ Athlon64 / Opteron ] HyperT ranspor t Technology Configuration 00:18.1 Host bridge : Advanced Micro Devices [ AMD ] K8 [ Athlon64 / Opteron ] Address Map 00:18.2 Host bridge : Advanced Micro Devices [ AMD ] K8 [ Athlon64 / Opteron ] DRAM Controller 00:18.3 Host bridge : Advanced Micro Devices [ AMD ] K8 [ Athlon64 / Opteron ] Miscellaneous Control 03:00.0 Network controller : Broadcom Corporation BCM94311MCG wlan mini - PCI ( rev 01)
Untuk mengetahui interface network yang ada dapat di gunakan perintah lspci.
Baris 23 menunjukkan bahwa ethernet card sudah dikenali dan siap digunakan. Untuk melihat apakah linknya sudah ada atau belum, dapat menggunakan perangkat lunak mii-tool (media independent interface) yang ada pada paket net-tools. Atau juga bisa menggunakan ethtool.1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 root@air :~# apt - get install net - tools root@air :~# mii - tool eth0 : negotiated 100 baseTxFD , link ok root@air :~# ethtool eth0 Settings for eth0 : Supported ports : [ MII ] Supported link modes : 10 baseT / Half 10 baseT / Full 100 baseT / Half 100 baseT / Full Supports auto - negotiation : Yes Advertised link modes : 10 baseT / Half 10 baseT / Full 100 baseT / Half 100 baseT / Full Advertised auto - negotiation : Yes Speed : 100 Mb / s Duplex : Full Port : MII PHYAD : 1 Transceiver : external Auto - negotiation : on Supports Wake - on : g Wake - on : d Link detected : yes
Baris ke 1 hanya di lakukan apabila mii-tool belum diinstall. Apabila sudah keluar eth0 seperti baris 3 artinya perangkat jaringan kita menggunakan eth0. 100base-TX-FD artinya kita menggunakan kecepatan 100Mbps dan FD adalah Full-Duplex. dan Link ok menandakan perangkat kita sudah siap. Apabila hasilnya bukan link ok artinya ada masalah dengan perangkat kita.
17
1 2
root@air :~# mii - tool eth0 : no link
Apabila tampilan seperti tersebut, artinya terjadi kesalahan dengan perangkat jaringan kita.
1111.11 2 3 4 5
Layer 2 (Network)ARP (Address Resolution Protocol)
Untuk mengecek ARP dapat dilakukan dengan:root@air :~# arp -n Address 10.122.1.77 10.122.1.1 10.122.1.77 HWtype ether ether ether HWaddress 00: E0 :4 D :20: FE :3 C 00:80:3 E :67:71: E8 00: E0 :4 D :20: FE :3 C Flags Mask C C C Iface eth0 eth0 eth0
Ini menunjukkan tabel ARP yang ada di komputer kita artinya komputer kita baru saja terhubung dengan komputer dengan IP diatas. Suatu host akan membroadcast ARP request untuk mendapatkan MAC address dari sebuah IP address. Host yang sesuai akan merespons request dengan mengirimkan IP Address sekaligus MAC addressnya. Lalu host perequest akan menyimpan informasi ini pada ARP Cache[3].1 2 3 4 5 root@air :~# tcpdump - enqti eth0 tcpdump : listening on eth0 0:80: c8 : f8 :4 a :51 ff : ff : ff : ff : ff : ff 42: arp who - has 10.122.1.52 Tell 10.122.1.50 0:80: c8 : f8 :5 c :73 0:80: c8 : f8 :4 a :51 60: arp reply 10.122.1.52 is - at 0:80: c8 : f8 :5 c :73 0:80: c8 : f8 :4 a :51 0:80: c8 : f8 :5 c :73 98: 10.122.1.50 > 10.122.1.52: icmp : echo request ( DF )
Baris 3: host 10.122.1.50 membroadcast ARP untuk host 10.122.1.52 Baris 4: host yang sesuai (10.122.1.52) membalas dengan ARP reply dengan menyertakan MAC Addressnya Baris 5: host 10.122.1.50 menghubungi host 10.122.1.52
11.21 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
IP Address
Untuk mengetahui dan mensetting IP address dapat dilakukan dengan perintah ifcong.root@air :~# ifconfig eth0 Link encap : Ethernet HWaddr 00:16:36: e8 :83: c2 inet addr :10.122.1.52 Bcast :10.122.1.255 Mask :255 .255.255 .0 inet6 addr : fe80 ::216:36 ff : fee8 :83 c2 /64 Scope : Link UP BROADCAST RUNNING MULTICAST MTU :1500 Metric :1 RX packets :9932 errors :0 dropped :0 overruns :0 frame :0 TX packets :679 errors :0 dropped :0 overruns :0 carrier :0 collisions :0 txqueuelen :1000 RX bytes :1074312 (1.0 MB ) TX bytes :133914 (130.7 KB ) Interrupt :20 Base address :0 xa000 lo Link encap : Local Loopback inet addr :127.0.0.1 Mask :255.0.0.0 inet6 addr : ::1/128 Scope : Host UP LOOPBACK RUNNING MTU :16436 Metric :1 RX packets :2657 errors :0 dropped :0 overruns :0 frame :0 TX packets :2657 errors :0 dropped :0 overruns :0 carrier :0 collisions :0 txqueuelen :0 RX bytes :138080 (134.8 KB ) TX bytes :138080 (134.8 KB )
Baris 2-10 adalah properti dari network card (eth0), sedangkan baris 12-19 adalah alamat loopback. Untuk mengubah ip address dapat dilakukan dengan:
18
1
root@air :~# ifconfig eth0 192.168.0.1 netmask 255.255.25.0 up
Agar tiap kali booting tidak harus menambah ip address maka lebih baik kongurasi ini disimpan dalam le. File kongurasi ip address ada di /etc/network/interface, isilah dengan format seperti:1 2 3 4 5 6 7 8 9 auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 10.122.1.52 netmask 255.255.255.0 gateway 10.122.1.1 dns - nameserver 10.122.1.254
Untuk merestart interface dan meload kongurasi di /etc/network/interface gunakan:1 root@air :~# / etc / init . d / networking restart
11.31 2 3 4 5 6
Routing
Untuk mengetahui routing tabel dapat digunakan perintah routeroot@air :~# route Kernel IP routing table Destination Gateway 10.122.1.0 * link - local * default 10.122.1.1
Genmask 255.255.255.0 255.255.0.0 0.0.0.0
Flags U U UG
Metric 0 1000 100
Ref 0 0 0
Use 0 0 0
Iface eth0 eth0 eth0
Baris 4 menunjukkan bahwa untuk ke jaringan 10.122.1.0 tidak melewati gateway (* sama dengan 0.0.0.0 yang berarti jaringan ini). Sedangkan baris 5 link-local (yang mempunyai alamat 169.254.0.0) juga tidak melewati gateway. Baris 6 Destination: default berarti semua jaringan selain 2 jaringan diatasnya selalu melewati Gateway: 10.122.1.1. Untuk menambah routing misalnya kita ingin menambahkan routing ke jaringan 192.168.0.0 dengan netmask 255.255.255.0 melewati 10.122.1.50 dapat dilakukan dengan:1 2 3 4 5 6 7 8 root@air :~# route add - net 192.168.0.0 netmask 255.255.255.0 gateway 10.122.1.50 root@air :~# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.0 10.122.1.50 255.255.255.0 UG 0 0 0 eth0 10.122.1.0 * 255.255.255.0 U 0 0 0 eth0 link - local * 255.255.0.0 U 1000 0 0 eth0 default 10.122.1.1 0.0.0.0 UG 100 0 0 eth0
Terlihat bahwa infomasi routing akan ditambahkan pada tabel routing (baris 5). Sedangkan untuk menghapus routing dapat dilakukan dengan:1 root@air :~# route del - net 192.168.0.0 netmask 255.255.255.0
Selengkapnya dapat dibaca pada man route. Agar tiap kali booting tidak harus menambah informasi routing maka kongurasi dapat disimpan di le sehingga akan di eksekusi tiap kali booting. Script berikut (baris 11) bisa ditambahkan pada bagian akhir dari le /etc/network/interface untuk menambah informasi routing.
19
1 2 3 4 5 6 7 8 9 10 11
auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 10.122.1.52 netmask 255.255.255.0 gateway 10.122.1.1 dns - nameserver 10.122.1.254 up route add - net 192.168.0.0 netmask 255.255.255.0 gateway 10.122.1.50
11.4
Ping dan traceroute
Ping adalah salah satu aplikasi dari protokol ICMP yang berfungsi mengetahui ada tidaknya koneksi antara suatu host ke host lainnya.1 2 3 4 5 6 kholis@air :~ $ ping 10.122.1.1 PING 10.122.1.1 (10.122.1.1) 56(84) bytes of data . 64 bytes from 10.122.1.1: icmp_seq =1 ttl =64 time =5.91 64 bytes from 10.122.1.1: icmp_seq =2 ttl =64 time =2.95 64 bytes from 10.122.1.1: icmp_seq =3 ttl =64 time =2.96 64 bytes from 10.122.1.1: icmp_seq =4 ttl =64 time =3.02
ms ms ms ms
Apabila host tidak berhasil dihubungi (tidak terdapat koneksi karena berbagai alasan), maka akan keluar seperti berikut:1 2 3 4 5 kholis@air :~ $ ping 10.122.1.99 PING 10.122.1.99 (10.122.1.99) 56(84) bytes of data . From 10.122.1.52 icmp_seq =1 Destination Host Unreachable From 10.122.1.52 icmp_seq =2 Destination Host Unreachable From 10.122.1.52 icmp_seq =3 Destination Host Unreachable
traceroute adalah program untuk mengetahui jalur yang dilewati paket menuju tujuannya.1 2 3 4 5 root@air :~# traceroute 10.200.1.1 traceroute to 10.200.1.1 (10.200.1.1) , 1 10.122.1.1 (10.122.1.1) 0.452 ms 2 10.224.2.1 (10.224.2.1) 0.459 ms 3 10.200.1.1 (10.200.1.1) 0.319 ms 30 hops max , 40 0.638 ms 0.904 0.952 ms 1.088 0.327 ms 0.327 byte packets ms ms ms
Sedangkan mtr adalah tool gabungan dari ping dan traceroute sehingga lebih mudah untuk di pahami.1 root@air :~# mtr proxy . its . ac . id
Gambar 13: mtr
20
12
Layer 3 (Transport)
Aplikasi yang digunakan untuk mengetahui penggunaan layer transport adalah perintah netstat. Untuk mengetahui port berapa saja yang terbuka untuk koneksi pada PC kita dapat diketahui dengan perintah :1 2 3 4 5 6 7 8 9 10 11 12 13 root@air :~# netstat - atupln Active Internet connections ( servers and established ) Proto Recv - Q Send - Q Local Address Foreign Address Program name tcp 0 0 0.0.0.0:139 0.0.0.0:* tcp 0 0 0.0.0.0:445 0.0.0.0:* tcp 0 0 10.122.1.52:58809 202.46.129.134:22 tcp6 0 0 :::22 :::* sshd udp 0 0 0.0.0.0:40832 0.0.0.0:* avahi - daemon : udp 0 0 10 . 12 2. 1. 5 2: 13 7 0.0.0.0:* udp 0 0 0.0.0.0:137 0.0.0.0:* udp 0 0 10 . 12 2. 1. 5 2: 13 8 0.0.0.0:* udp 0 0 0.0.0.0:138 0.0.0.0:* udp 0 0 0.0.0.0:5353 0.0.0.0:* avahi - daemon :
State LISTEN LISTEN ESTABLISHED LISTEN
PID / 5277/ smbd 5277/ smbd 13696/ ssh 12663/ 5210/ 5275/ nmbd 5275/ nmbd 5275/ nmbd 5275/ nmbd 5210/
State LISTEN berarti service sedang berjalan dan siap melayani request. sedangkan state ESTABLISHED berarti sedang ada koneksi yang terjadi saat ini.
1313.1
File dan Tools NetworkingFile-le NetworkingBerisi daftar mapping alamat IP dengan nama komputernya. File ini digunakan untuk name resolving tanpa menghubungi DNS Server.
1. /etc/hosts
1 2 3 4 5 6 7 8 9 10 11 12
root@air :~# cat 127.0.0.1 127.0.1.1 10.122.1.200
/ etc / hosts localhost air www . computer . ee . its . ac . id
# The following lines are desirable for IPv6 capable hosts ::1 ip6 - localhost ip6 - loopback fe00 ::0 ip6 - localnet ff00 ::0 ip6 - mcastprefix ff02 ::1 ip6 - allnodes ff02 ::2 ip6 - allrouters ff02 ::3 ip6 - allhosts
2. /etc/resolv.conf File ini berfungsi menunjuk DNS Server yang akan digunakan.1 2 3 root@air :~# cat / etc / resolv . conf domain computer . ee . its . ac . id nameserver 192.168.1.254
3. /etc/network/interface Didalam le ini terdapat kongurasi network interface yang ada di komputer. File ini digunakan oleh perintah ifup saat komputer booting dan ifdown ketika komputer akan di matikan.
21
1 2 3 4 5 6 7 8 9 10 11 12
root@air :~# cat / etc / network / interface auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 10.122.1.52 netmask 255.255.255.0 network 10.122.1.0 broadcast 10.122.1.255 gateway 10.122.1.1 dns - nameserver 10.122.1.254
4. /etc/services File ini berisi daftar mapping nama service dan nomor portnya. Misalnya, untuk komunikasi dengan www service (mengakses webserver), koneksi harus ditujukan ke port 80, atau jika ingin mengakses ftp service, koneksi harus ditujukan ke port 21.1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 root@air :~# cat / etc / services ... ftp - data 20/ tcp ftp 21/ tcp fsp 21/ udp ssh 22/ tcp ssh 22/ udp telnet 23/ tcp # 24 - private smtp 25/ tcp # 26 - unassigned domain 53/ tcp domain 53/ udp mtp 57/ tcp bootps 67/ tcp bootps 67/ udp bootpc 68/ tcp ...
fspd # SSH Remote Login Protocol # SSH Remote Login Protocol
mail nameserver nameserver # name - domain server # deprecated # BOOTP server # BOOTP client
22
Bagian IV
Domain Name SystemDNS atau Domain Name Server, yaitu server yang digunakan untuk mengetahui IP Address suatu host lewat host name-nya. Dalam dunia internet, komputer berkomunikasi satu sama lain dengan mengenali IP Address-nya. Namun bagi manusia tidak mungkin menghafalkan IP address tersebut, manusia lebih mudah menghapalkan kata-kata seperti www.yahoo.com, www.google.com, atau www.friendster.com. DNS berfungsi untuk mengkonversi nama yang bisa terbaca oleh manusia ke dalam IP address host yang bersangkutan untuk dihubungi[1]. Cara kerja DNS adalah sebagai berikut: Ketika kita merequest suatu alamat, misalnya www.friendster.com dari host kita (nirmaladewi.its.ac.id 202.154.63.26 ), maka host kita akan mengontak name server lokal untuk menanyakan dimanakah www.friendster.com berada. Name server ITS (202.154.63.2) akan mencari request tersebut di database lokal. Karena tidak ada, maka name server akan mengontak root DNS server-nya, siapa yang memegang domain untuk .com Beberapa daftar Top Level Domain (TLD) yang ada sekarang adalah: com, net, org, biz, info, name, museum, dan tv. Sedangkan Country Code Top Level Domain (ccTLD) adalah: us, uk, fr, es, de, it, jp, ie, dll. Root server akan memberitahu IP address dari server DNS dari www.friendster.com. Kemudian DNS server lokal akan mengontak server DNS yang mengelola www.friendster.com. Kemudian DNS server tersebut akan memberitahu IP address dari www.friendster.com. baru host nirmaladewi merequest www.friendster.com dengan IP address tersebut.
Gambar 14: Cara kerja DNS
14
Instalasi dan Kongurasi BIND
BIND (Berkeley Internet Name Daemon) adalah salah satu DNS server yang banyak digunakan di sistem Unix/Linux, kali ini kita akan menggunakan BIND versi 9 sebagai DNS server. 1. Install bind91 root@air :~# apt - get install bind9 dnsutils
23
2. Edit le /etc/bind/named.conf.options1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 options { directory "/ var / cache / bind "; // // // // // If there is a firewall between you and nameservers you want to talk to , you might need to uncomment the query - source directive below . Previous versions of BIND always asked questions using port 53 , but BIND 8.1 and later use an unprivileged port by default .
query - source address * port 53; // // // // If your ISP provided one or more IP addresses for stable nameservers , you probably want to use them as forwarders . Uncomment the following block , and insert the addresses replacing the all -0 s placeholder .
// dns server diatas server anda forwarders { 202.46.129.2; }; auth - nxdomain no ; # conform to RFC1035 listen - on - v6 { any ; }; };
Baris 2: menunjukkan direktori tempat cache bind sementara disimpan Baris 10: BIND akan menerima query dari semua host lewat port 53 Baris 18-20: DNS server yang akan yang akan dihubungi jika data yang direquest tidak ada dalam database lokal 3. Pastikan terdapat script berikut pada1 include "/ etc / bind / named . conf . local ";
4. Buatlah zona baru yang akan anda tangani pada le /etc/bind/name.conf.local. Misalkan domain yang akan kita tangani adalah domainku.com dengan ip address 192.168.1.0 netmask 255.255.255.0.1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 // // Do any local configuration here // // Consider adding the 1918 zones here , if they are not used in your // organization // include "/ etc / bind / zones . rfc1918 "; zone " domainku . com " { type master ; file "/ etc / bind / db . domainku . com "; }; zone "1.168.192. in - addr . arpa " { type master ; file "/ etc / bind / db .1.168.192"; };
Baris 9: nama domain yang akan ditangani Baris 10: menyatakan bahwa dns server ini bertipe primary. Baris 11: le database forward Baris 14: ip address dari domain yang ditangani. Penting!: penulisan zone harus dalam format 3 oktet terakhir ip address yang di tulis terbalik lalu diakhiri dengan kata .in-addr.arpa. Contoh: apabila ip domain adalah 10.122.1.0 netmask 255.255.255.0 maka penulisan zona adalah 1.122.10.in-addr-arpa. 24
5. Buat le database sesuai dengan kongurasi diatas. yaitu /etc/bind/db.domainku.com1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 ; ; BIND data file for zone " domainku . com " [ via ] Internal view ; $TTL 604800 @ IN SOA ns . domainku . com . admin . domainku . com . ( 2008050601 ; Serial 604800 ; Refresh 7200 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; ; ns records specifying the authoritative nameservers @ IN NS ns . domainku . com . @ IN MX 5 mail . domainku . com . ns www mail IN IN IN A A A 192.168.1.1 192.168.1.2 192.168.1.3
Baris 4: adalah nilai default TTL (Time To Live) untuk semua record pada zone le. dalam satuan detik Baris 5: IN = Internet Name Baris 5: SOA = Start Of Authority Baris 5: ns.domainku.com = Nama host tempat penyimpanan zona le (dalam hal ini nama host yang beperan sebagai primary server) Baris 5: admin.domainku.com = Alamat email penanggung jawab isi zona le. Format penulisan antara username dan host dipisahkan . (titik). Contoh: admin.domainku.com berarti [email protected]. Baris 6: Serial = Nomer seri perubahan zona le. Setiap kali terjadi perubahan zona le, Serial harus dinaikkan. Serial digunakan oleh secondary server untuk melakukan pengecekan apakah ada perubahan zona le[2]. Baris 7: Refresh = Selang waktu (dalam detik) yang diperlukan oleh secondary server untuk melakukan pengecekan zona le pada primary server. Baris 8: Retry = Selang waktu (dalam detik) yang diperlukan secondary server untuk mengulang pengecekan zona le pada primary master jika terjadi kegagalan. Sebaiknya digunakan nilai lebih besar dari 1 jam (3600) karena nilai Retry yang terlalu kecil tidak menghasilkan apa-apa karena ada kemungkinan primary server sedang mati (down). Baris 9: Expire = Batas waktu (dalam detik) secondary server boleh menyimpan zona le jika tidak dapat melakukan refresh. Apabila telah masa expire dan secondary server masih belum bisa melakukan refresh zona le tersebut akan dihapus. Sebaiknya gunakan nilai Expire yang cukup besar (misal 1 bulan). Baris 10: Minimum = Waktu minimal (dalam detik) yang digunakan sebagai nilai awal TTL resource record. Nilai yang dianjurkan adalah 1 hari (86400). Baris 13: NS = Name Server, merupakan identikasi DNS server suatu zona. Baris 14: MX = Mail Exchange, Berfungsi untuk mengalihkan alamat email yang ditujukan ke suatu host atau domain ke host lain yang berfungsi sebagai server email. Baris 16: A = Address(IPv4), berfungsi memetakan dari nama host ke alamat IP.
25
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
; ; BIND data file for zone "1.168.192. in - addr . arpa " ; $TTL 604800 @ IN SOA ns . domainku . com . admin . domainku . com . ( 2008050601 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL @ 1 2 3 IN IN IN IN NS PTR PTR PTR ns . domainku . com . ns . domainku . com . www . domainku . com . mail . domainku . com .
Baris 14: PTR = menunjukkan alamat nama host dari suatu alamat IP. 6. Restart service bind1 root@air :~# / etc / init . d / bind9 restart
15
Testing Service DNS
Untuk mengetahui sekaligus menguji DNS server dapat digunakan aplikasi-aplikasi berikut:
15.11 2 3 4
host
kholis@air :~ $ host www . domainku . com www . domainku . com has address 192.168.1.2 kholis@air :~ $ host 192.168.1.2 2.1.168.192. in - addr . arpa domain name pointer www . domainku . com .
15.21 2 3 4 5 6 7 8 9 10 11 12
nslookup
kholis@air :~ $ nslookup www . domainku . com Server : 192.168.1.1 Address : 192 .168.1. 1#53 Name : www . domainku . com Address : 192.168.1.2 kholis@air :~ $ nslookup 192.168.1.2 Server : 192.168.1.1 Address : 192 .168.1. 1#53 2.1.168.192.. in - addr . arpa name = www . domainku . com .
26
15.31 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43
dig
kholis@air :~ $ dig www . domainku . com ; DiG 9.4.2 www . domainku . com ;; global options : printcmd ;; Got answer : ;; ->> HEADER < < - opcode : QUERY , status : NOERROR , id : 14006 ;; flags : qr aa rd ra ; QUERY : 1 , ANSWER : 1 , AUTHORITY : 1 , ADDITIONAL : 1 ;; QUESTION SECTION : ; www . domainku . com .
IN
A
;; ANSWER SECTION : www . domainku . com . 604800 IN ;; AUTHORITY SECTION : domainku . com . 604800
A
192.168.1.2
IN
NS
ns . domainku . com .
;; ADDITIONAL SECTION : ns . domainku . com . 604800 IN ;; ;; ;; ;;
A
192.168.1.1
Query time : 9 msec SERVER : 1 9 2 . 1 6 8 . 1 . 1 # 5 3 ( 1 9 2 . 1 6 8 . 1 . 1 ) WHEN : Tue Jun 24 19:46:03 2008 MSG SIZE rcvd : 95
kholis@air :~ $ dig -x www . domainku . com ; DiG 9.4.2 -x www . domainku . com ;; global options : printcmd ;; Got answer : ;; ->> HEADER < < - opcode : QUERY , status : NXDOMAIN , id : 53572 ;; flags : qr rd ra ; QUERY : 1 , ANSWER : 0 , AUTHORITY : 1 , ADDITIONAL : 0 ;; QUESTION SECTION : ; com . domainku . www . in - addr . arpa . IN PTR ;; AUTHORITY SECTION : in - addr . arpa . 10800 IN 2008062404 1800 900 691200 10800 ;; ;; ;; ;; Query time : 517 msec SERVER : 1 9 2 . 1 6 8 . 1 . 1 # 5 3 ( 1 9 2 . 1 6 8 . 1 . 1 ) WHEN : Tue Jun 24 19:45:56 2008 MSG SIZE rcvd : 126
SOA
A . ROOT - SERVERS . NET . dns - ops . ARIN . NET .
27
Bagian V
FirewallFirewall merupakan perangkat keamanan jaringan. Firewall dapat berupa software atau hardware yang di rancang untuk menlter informasi yang diperbolehkan atau yang tidak diperbolehkan antara jaringan privat dengan jaringan publik[3]. Alasan menggunakan rewall antara lain: Control (mengendalikan) Saat jaringan pribadi kita terhubung dengan jaringan publik (internet), kita dapat menlter trak yang masuk maupun yang keluar dengan mengizinkan tipe trak tertentu dan memblok tipe yang lain. Secure (mengamankan) Firewall berfungsi memblok usaha penyerangan serta akses tidak sah yang datang dari luar. Prevent (mencegah) Kadang software yang bug atau mesin yang tidak terkongurasi dengan baik akan mengeluarkan sembarang paket keluar. Untuk mengantisipasinya, kita dapat menginstruksikan rewall agar memberitakan berbagai hal abnormal yang terjadi pada jaringan.
16
Iptables
Iptables atau NetFilter adalah software Linux yang mengimplementasikan sebuah framework untuk rewall yang bersifat statefull. Iptables juga memiliki ture Network Address Translation (NAT). Netlter hanya bekerja pada kernel versi 2.4 atau 2.6 dan tidak dapat bekerja pada kernel yang lebih rendah dari 2.4. Netlter membuat aturan-aturan apa yang dilakukan tentang paket-paket network yang lewat. Aturan tersebut bisa meneruskannya, menolaknya, dll.
28
16.1
Dasar iptables
Gambar 15: iptables Pada iptables di kenal istilah chain yaitu tempat terjadi proses pemlteran (pada Gambar 15 berwarna hijau). Macam-macam chain[6]: PREROUTING, titik dimana kita bisa memanipulasi paket network sebelum dia memasuki keputusan routing, apakah ia akan masuk ke dalam Linux kita atau cuma sekedar lewat. INPUT, titik dimana kita bisa melakukan pemeriksaan terhadap paket network yang akan MASUK ke dalam Linux kita. OUTPUT, titik dimana kita melakukan pemeriksaan terhadap paket network yang dihasilkan oleh Linux kita KELUAR sebelum routing. FORWARD, titik dimana kita melakukan pemeriksaan terhadap paket network yang cuma numpang LEWAT Linux kita. POSTROUTING, titik dimana kita bisa melakukan manipulasi terhadap paket yang akan keluar dari Linux kita. Masing-masing chain berisi daftar rules. Ketika sebuah paket dikirim ke suatu chain, paket ini dibandingkan dengan masing-masing rule di dalam chain dalam urutan atas ke bawah. rule bisa dalam bentuk user-dened chain atau salah satu dari built-in target: ACCEPT, DROP, QUEUE, atau RETURN. ACCEPT Target ini menyebabkan iptables menerima paket. Paket yang diterima dari chain INPUT diizinkan lewat dan diterima oleh host lokal, sedangkan paket yang diterima dari chain OUTPUT akan diizinkan meninggalkan host, dan paket yang diterima dari chain FORWARD akan diizinkan untuk di-route ke host. DROP Target ini menyebabkan iptables mendrop paket tanpa proses yang lebih lanjut. Paket hilang tanpa ada indikasi yang diberikan ke host pengirim bahwa paket ini telah didrop. Yang tampak dari sender biasanya adalah communication timed-out. 29
MASQUERADING IPMASQ adalah algoritme perubahan source-NAT suatu paket data tanpa menyebutkan asal paket yang sebenarnya. Dengan IPMASQ administrator tidak perlu memasukkan ke daftar tabel routing ketika suatu alamat IP lokal baru ingin mengakses internet lewat gateway IP live. Pada iptables juga dikenal adanya table yaitu tempat rule-rule/aturan-aturan yang kita buat disimpan (pada Gambar 15 berwarna kuning). Ada 3 buah table, secara general dapat kita denisikan: Table lter, adalah tempat rule-rule yang berkaitan dengan boleh/tidaknya suatu paket network melewati sebuah CHAIN di atas. dalam table ini terdapat Chain INPUT, OUTPUT dan FORWARD Table nat, adalah singkatan dari Network Address Translation, yaitu table tempat rulerule yang berkaitan dengan manipulasi suatu paket network ketika melewati CHAIN PREROUTING, POSTROUTING, dan OUTPUT. Table mangle, adalah tempat rule-rule yang berkaitan dengan manipulasi suatu paket network untuk keperluan advance, seperti QOS (quality of service), packet marking, dll. dalam table ini terdapat semua Chain diatas.
16.2
Dua pendekatan setup rewall
Di mailing list sering ada yang bertanya: Port apa saja sih yang harus kita TUTUP? Ini adalah pendekatan negative list, dimana secara DEFAULT semua port kita BUKA, baru kemudian satu per satu kita TUTUP port yang diinginkan. Pendekatan kedua adalah: positive list, yaitu dimana secara DEFAULT semua port di TUTUP, dan baru kemudian satu per satu kita BUKA port yang diinginkan. Mana dari kedua pendekatan itu yang sebaiknya kita pakai? Berikut ini adalah kelebihan dan kekurangan masing-masing. Negative List: Mudah disetup Beresiko lupa menutup port Positive List: Sangat secure, sebab semua port tertutup Relatif lebih sulit disetup
16.3
Syntax Iptables
Iptables memberikan keleluasaan yang sangat besar kepada kita di dalam mengatur rewall. Kita bisa membuat rule mulai dari yang general/umum sampai yang detail sekali. Syntax Iptables seperti ini (perhatikan huruf besar kecil berpengaruh):1 2 3 4 5 6 iptables iptables iptables iptables iptables iptables [-t [-t [-t [-t [-t [-t table ] table ] table ] table ] table ] table ] -[ AD ] CHAIN rule - s p e c i f i c a t i o n [ options ] -I CHAIN [ rulenum ] rule - specification [ options ] -R CHAIN rulenum rule - s p e c i f i c a t i o n [ options ] -D CHAIN rulenum [ options ] -[ LFZ ] [ CHAIN ] [ options ] -P CHAIN target [ options ]
Keterangan: -I : insert, maka secara default rule akan menempati baris nomor 1. Kita bisa menyebutkan ingin insert di baris keberapa. 30
-A : append, rule akan ditambahkan di baris paling bawah. -D : delete, menghapus rule baris ke-berapa. -R : replace, mengganti rule baris ke-berapa. -L : list, menampilkan rule-rule yang ada. -P : policy, mengubah policy suatu chain.
16.4
Contoh Kasus
Terdapat jaringan sebagai berikut:
Gambar 16: Contoh jaringan Melihat status iptables1 2 3 4 5 6 7 8 9 [ root@server ~]# iptables - nL Chain INPUT ( policy ACCEPT ) target prot opt source Chain FORWARD ( policy ACCEPT ) target prot opt source Chain OUTPUT ( policy ACCEPT ) target prot opt source
destination
destination
destination
Semua Chain memiliki policy ACCEPT artinya secara default semua paket dapat masuk ke host ini. Ubah policy default menjadi DROP (Positive list)1 2 3 4 5 6 7 8 9 10 [ root@server ~]# iptables - P INPUT DROP [ root@server ~]# iptables - n L Chain INPUT ( policy DROP ) target prot opt source destination Chain FORWARD ( policy ACCEPT ) target prot opt source Chain OUTPUT ( policy ACCEPT ) target prot opt source
destination
destination
Baris 3: policy chain INPUT sudah berubah menjadi DROP. lakukan perubahan juga pada chain yang lain. Perintah ini harus dilakukan pada baris terakhir. Jika ada perintah lain maka harus dilakukan sebelum perintah ini. 31
Membolehkan hanya PC1 (192.168.0.1) yang dapat mengakses Gateway1 2 3 4 5 6 7 8 9 10 11 12 13 [ root@server ~]# iptables -I INPUT -s 192.168.0.1 -j ACCEPT [ root@server ~]# iptables -I OUTPUT -d 192.168.0.1 -j ACCEPT [ root@server ~]# iptables - nL Chain INPUT ( policy ACCEPT ) target prot opt source destination ACCEPT all -- 192.168.0.1 0.0.0.0/0 Chain FORWARD ( policy ACCEPT ) target prot opt source Chain OUTPUT ( policy ACCEPT ) target prot opt source ACCEPT all -- 0.0.0.0/0
destination
destination 192.168.0.1
Baris 1: Semua paket yang masuk ke mesin yang berasal dari 192.168.0.1 diizinkan. Baris 2: Semua paket yang keluar dari mesin menuju 192.168.0.1 diizinkan Kongurasi 2 arah tersebut kadang sangat merepotkan. Oleh karenanya biasa di gunakan Connection tracking, yaitu dimana ketika kita sudah mendenisikan sebuah rule di chain tertentu, maka trak network yang terkait dengan rule tersebut tidak perlu disebutkan lagi. Jadi dalam hal kasus diatas, kita cukup mendenisikan rule di chain INPUT saja, yang di OUTPUTnya tidak perlu lagi.1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 [ root@server [ root@server [ root@server [ root@server ~]# ~]# ~]# ~]# iptables iptables iptables iptables -I -I -I -I INPUT INPUT INPUT INPUT -s -m -m -m 192.168.0.1 -j ACCEPT state -- state RELATED , ESTABLISHED -j ACCEPT state -- state RELATED , ESTABLISHED -j ACCEPT state -- state RELATED , ESTABLISHED -j ACCEPT
[ root@server ~]# iptables - nL Chain INPUT ( policy ACCEPT ) target prot opt source ACCEPT all - - 0.0.0.0/0 ACCEPT all -- 192.168.0.1 Chain FORWARD ( policy ACCEPT ) target prot opt source ACCEPT all - - 0.0.0.0/0 Chain OUTPUT ( policy ACCEPT ) target prot opt source ACCEPT all - - 0.0.0.0/0
destination 0.0.0.0/0 0.0.0.0/0
state RELATED , ESTABLISHED
destination 0.0.0.0/0
state RELATED , ESTABLISHED
destination 0.0.0.0/0
state RELATED , ESTABLISHED
Sharing Internet. Ada dua langkah yang harus dilakukan agar semua host dapat terkoneksi dengan internet: memperbolehkan semua host untuk mengakses port http (80) host luar (internet)1 [ root@server ~]# iptables -A FORWARD -p tcp -- dport 80 -s 192.168.0.1 -j ACCEPT
membungkus tiap paket yang keluar menjadi ip gateway, sehingga bisa dikenali dalam internet1 [ root@server ~]# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Mengatur agar kita bisa membuat sebuah web server yang terlindungi di belakang gateway menerima tiap paket yang bertujuan ke port 80
32
1
[ root@server ~]# iptables -A FORWARD -p tcp -i eth0 -- dport 80 -j ACCEPT
mengubah tujuan tiap paket yang bertujuan ke port 80 menuju ke host 192.168.0.201 port 801 [ root@server ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp -- dport 80 -j DNAT -- to 192.168.0.201:80
17
Shorewall
Shorewall adalah kependekan dari Shoreline Firewall, yaitu suatu tool untuk mempermudah kongurasi netlter (iptables). Anda tinggal mendeskripsikan segala kebutuhan rewall menggunakan les kongurasi yang telah disediakan. Lalu shorewall akan membaca kongurasi tersebut dan dengan bantuan iptables, shorewall menset netlter sesuai dengan kebutuhan anda tersebut. Sebagai contoh kita akan menggunakan jaringan seperti pada Gambar 16.
17.1
Instalasi dan kongurasi
1. Install shorewall menggunakan apt-get install shorewall. File-le kongurasi shorewall berada pada direkori /etc/shorewall, pada debian dan turunannya umumnya le pada direktori tersebut kosong. Namun terdapat beberapa contoh kongurasi di /usr/share/doc/shorewall-common/examples/ mulai dari 1 interface sampae 3 interface. Jadi copykan contoh kongurasi yang sesuai dari direkori tersebut ke /etc/shorewall.1 [ root@server ~]# cp -R / usr / share / doc / shorewall - common / examples / two - interfaces / / etc / shorewall /
2. Enable startup service dari 0 menjadi 1 pada le /etc/default/shorewall. (Baris 5)1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 [ root@server ~]# vim / etc / default / shorewall # prevent startup with default configuration # set the following varible to 1 in order to allow Shorewall to start startup =1 # # # # # # # # # # # if your Shorewall configuration requires detection of the ip address of a ppp interface , you must list such interfaces in " wait_i nterfac e " to get Shorewall to wait until the interface is configured . Otherwise the script will fail because it won t be able to detect the IP address . Example : w ait_inte rface =" ppp0 " or w ait_inte rface =" ppp0 ppp1 " or , if you have defined in / etc / shorewall / params w ait_inte rface =
# # Startup options # OPTIONS ="" # EOF
3. Kongurasi le /etc/shorewall/zones. File Zones adalah le yang menangani zona yang akan ditangani oleh shorewall. Umumnya satu zona mewakili satu interface, tapi tidak menutup kemungkinan satu interface menangani lebih dari satu zona.
33
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
[ root@server ~]# vim / etc / shorewall / zones # # Shorewall version 4.0 - Sample Zones File for two - interface configuration . # Copyright ( C ) 2006 by the Shorewall Team # # This library is free software ; you can redistribute it and / or # modify it under the terms of the GNU Lesser General Public # License as published by the Free Software Foundation ; either # version 2.1 of the License , or ( at your option ) any later version . # # See the file README . txt for further details . #-----------------------------------------------------------------------------# For information about entries in this file , type " man shorewall - zones " # # The manpage is also online at # http :// shorewall . net / manpages / shorewall - zones . html # ############################################################################### # ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 loc ipv4 # LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
Baris 21: sesuai dengan topologi, zona fw adalah dirinya sendiri (komputer gateway). Baris 22: net adalah zona luar (internet). Baris 23: loc adalah zona lokal (192.168.0.0/24) 4. Kongurasi le /etc/shorewall/interfaces. File interfaces menunjukkan interface yang akan ditangani shorewall sesuai dengan zona yang di denisikan di atas. Oleh karenanya, kolom zone yang ada disini harus sama dengan zona yang didenisikan diatas.1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 [ root@server ~]# vim / etc / shorewall / interfaces # # Shorewall version 4.0 - Sample Interfaces File for two - interface configuration . # Copyright ( C ) 2006 by the Shorewall Team # # This library is free software ; you can redistribute it and / or # modify it under the terms of the GNU Lesser General Public # License as published by the Free Software Foundation ; either # version 2.1 of the License , or ( at your option ) any later version . # # See the file README . txt for further details . #-----------------------------------------------------------------------------# For information about entries in this file , type " man shorewall - interfaces " # # The manpage is also online at # http :// shorewall . net / manpages / shorewall - interfaces . html # ############################################################################### # ZONE INTERFACE BROADCAST OPTIONS net eth0 detect dhcp , tcpflags , routefilter , nosmurfs , logmartians loc eth1 detect tcpflags , nosmurfs # LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Baris 20: zona net berada pada interface eth0 (202.111.2.2) dengan broadcast detect berarti shorewall akan mendeteksi otomatis alamat broadcast eth0. jika menggunakan opsi ini maka eth0 harus up terlebih dahulu sebelum shorewall dijalankan. Sedangkan opsi-opsi diatas bisa digunakan bisa juga tidak, berikut arti dari beberapa opsi: dhcp: gunakan opsi ini jika interface mendapat ip address melalui dhcp, jika interface ini digunakan oleh DHCP server untuk melayani client, jika interface ini mempunyai ip static tapi banyak DHCP client di jaringan lokal anda, jika interface ini adalah bridge dimana DHCP server berada di satu sisi sedangkan DHCP client berada di sisi lain. 34
tcpags: paket yang datang di interface ini akan di cek apakah mengandung kombinasi ilegal dari TCP ags. routelter: menset on kernel route ltering untuk interface ini. nosmurfs: memlter paket smurfs (yaitu paket yang menggunakan alamat broadcast sebagai sumber) logmartians: menset on kernel martial logging. disarankan apabila anda menggunaka opsi routelter. dan banyak opsi yang lain, silahkan baca man shorewall-interfaces untuk selengkapnya. Baris 21: zona loc berada pada interface eth1 (192.168.0.250) dengan broadcast detect. 5. Kongurasi le /etc/shorewall/policy. File ini mendenisikan kebijakan yang umum pada paket yang melewati zona yang di denisikan pada /etc/shorewall/zones. Perhatian!: Urutan tiap aturan pada le ini sangat penting. File ini melakukan apa yang harus dilakukan pada tiap koneksi yang tidak cocok dengan semua aturan yang ada di le /etc/shorewall/rules.1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 [ root@server ~]# vim / etc / shorewall / policy ############################################################################### # SOURCE DEST POLICY LOG LEVEL LIMIT : BURST # # Note about policies and logging : # This file contains an explicit policy for every combination of # zones defined in this sample . This is solely for the purpose of # providing more specific messages in the logs . This is not # necessary for correct operation of the firewall , but greatly # assists in diagnosing problems . The policies below are logically # equivalent to : # # loc net ACCEPT # net all DROP info # all all REJECT info # # The Shorewall - perl compiler will generate the individual policies # below from the above general policies if you set # E X PA ND _P O LI CI ES = Yes in shorewall . conf . # # Policies for traffic originating from the local LAN ( loc ) # # If you want to force clients to access the Internet via a proxy server # on your firewall , change the loc to net policy to REJECT info . loc net ACCEPT loc $FW REJECT info loc all REJECT info # # Policies for traffic originating from the firewall ( $FW ) # # If you want open access to the Internet from your firewall , change the # $FW to net policy to ACCEPT and remove the info LOG LEVEL . # This may be useful if you run a proxy server on the firewall . $FW net REJECT info $FW loc REJECT info $FW all REJECT info # # Policies for traffic originating from the Internet zone ( net ) # net $FW DROP info net loc DROP info net all DROP info # THE FOLLOWING POLICY MUST BE LAST all all REJECT
info
# LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
Baris 27: memperbolehkan zona loc untuk mengakses zona net 35
Baris 28: tidak mengizinkan zona loc untuk mengakses zona fw, info berarti akan mengeluarkan informasi penolakan ke standart output. Baris 29: tidak mengizinkan zona loc untuk mengakses semua zona. Baris 37: tidak mengizinkan zona fw untuk mengakses zona net Baris 38: tidak mengizinkan zona fw untuk mengases zona loc Baris 39: tidak mengizinkan zona fw untuk mengakses semua zona. Baris 44: tidak mengizinkan zona net untuk mengakses zona fw Baris 45: tidak mengizinkan zona net untuk mengakses zona loc Baris 46: tidak mengizinkan zona net untuk mengakses semua zona. Baris 49: tidak mengizinkan semua zona untuk mengakses semua zona. baris ini harus berada pada akhir kongurasi. beda REJECT dengan DROP: REJECT memberikan ag reset (RST) pada protokol TCP dan unreachable untuk yang lain. sedangkan DROP mengabaikan request koneksi sama sekali. 6. Kongurasi le /etc/shorewall/rules. File ini medenisikan aturan yang sifatnya khusus. File ini merupakan eksepsi dari semua aturan yang ada di /etc/shorewall/policy. Anda dapat menuliskan semua aturan rewall di le ini.1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 [ root@server ~]# vim / etc / shorewall / rules # # Shorewall version 4.0 - Sample Rules File for two - interface configuration . # Copyright ( C ) 2006 ,2007 by the Shorewall Team # # This library is free software ; you can redistribute it and / or # modify it under the terms of the GNU Lesser General Public # License as published by the Free Software Foundation ; either # version 2.1 of the License , or ( at your option ) any later version . # # See the file README . txt for further details . #-----------------------------------------------------------------------------# For information about entries in this file , type " man shorewall - rules " # # The manpage is also online at # http :// shorewall . net / manpages / shorewall - rules . html # ########################################################################################### # ACTION RATE # LIMIT GROUP SOURCE DEST USER / MARK PROTO DEST PORT SOURCE PORT ( S ) ORIGINAL DEST
# # Accept DNS connections from the firewall to the network # DNS / ACCEPT $FW net # # Accept SSH connections from the local network for ad ministr ation # SSH / ACCEPT loc $FW # # Allow Ping from the local network # Ping / ACCEPT loc $FW # # Reject Ping from the " bad " net zone .. and prevent your log from being flooded .. # Ping / REJECT ACCEPT ACCEPT # net $FW $FW $FW loc net icmp icmp
# LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Baris 24: mengizinkan koneksi DNS dari rewall ke internet. 36
Baris 28: mengizinkan koneksi SSH dari jaringan lokal ke rewall untuk administrasi. Baris 32: mengizinkan ping dari jaringan local ke rewall Baris 38: tidak mengizinkan ping dari internet ke rewall Baris 40: mengizinkan ping dari rewall ke jaringan local. merupakan kebalikan baris 32 Baris 41: mengizinkan ping dari rewall ke internet. kebalikan dari baris 38 Untuk mengizinkan hanya ip 192.186.0.1 saja yang boleh mengakses rewall, maka gantilah baris 28 dengan:1 SSH / ACCEPT loc :192.168.0.1 $FW
Untuk meneruskan request http pada rewall dari internet ke ip lokal 192.168.0.201. tambahkan baris berikut:1 2 3 # ACTION SOURCE # DNAT net DEST PROTO DEST PORT http SOURCE ORIGINAL PORT ( S ) DEST
loc :192 .168.0. 201 tcp
7. Kongurasi le /etc/shorewall/masq. le ini berguna untuk mendenisikan translasi asal dan atau tujuan paket.1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 [ root@server ~]# vim / etc / shorewall / masq # # Shorewall version 4.0 - Sample Masq file for two - interface configuration . # Copyright ( C ) 2006 by the Shorewall Team # # This library is free software ; you can redistribute it and / or # modify it under the terms of the GNU Lesser General Public # License as published by the Free Software Foundation ; either # version 2.1 of the License , or ( at your option ) any later version . # # See the file README . txt for further details . #-----------------------------------------------------------------------------# For information about entries in this file , type " man shorewall - masq " # # The manpage is also online at # http :// shorewall . net / manpages / shorewall - masq . html # ############################################################################### # INTERFACE SOURCE ADDRESS PROTO PORT ( S ) IPSEC MARK eth0 eth1 # LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
Baris 20: semua paket yang berasal dari jaringan eth1 (192.168.0.0/24) akan diubah seakan-akan berasal dari eth0 (202.111.2.2).
37
Bagian VI
Proxy ServerTeknik proxy adalah teknik yang standar untuk akses Internet secara bersama-sama oleh beberapa komputer sekaligus dalam sebuah Local Area Network (LAN) melalui sebuah modem atau sebuah saluran komunikasi. Istilah Proxy sendiri banyak dikenal / digunakan terutama di dunia / kalangan diplomatik. Secara sederhana proxy adalah seseorang / lembaga yang bertindak sebagai perantara atau atas nama dari orang lain / lembaga / negara lain[7].
1818.1
Keuntungan dan kerugian Proxy server[8]keuntungan proxy server
Dapat menghemat biaya bandwidth. mempercepat koneksi karena le-le web yang direquest (selanjutnya disebut object) disimpan di dalam cache sehingga tidak perlu keluar menuju internet. Dapat mengatur kecepatan bandwidth untuk subnet yang berbeda-beda (mirip dengan HTB atau zaper). Dapat melakukan pembatasan untuk le-le tertentu. Dapat melakukan pembatasan akses kepada situs-situs tertentu (misalnya situs porno). Dapat melakukan pembatasan download untuk le-le tertentu (misalnya le-le mp3, wav, dsb). Dapat melakukan pembatasan waktu-waktu yang diperbolehkan untuk download. Dapat melakukan pembatasan siapa saja yang boleh mengakses internet dengan menggunakan autentikasi. Autentikasi yang biasa digunakan bisa basic, digest, ataupun ntlm. Dapat melakukan pembatasan-pembatasan lainnya.
18.2
kerugian proxy server
Pintu keluar menuju gerbang internet hanya lewat proxy, sehingga ketika terjadi overload, akses internet menjadi lambat User akan melihat le yang kadaluarsa jika cache expire time-nya terlalu lama, sehingga meskipun di website le tersebut sudah berubah, user masih melihat le yang tersimpan di cache memory Karena koneksi internet harus melalui gerbang proxy terlebih dahulu, maka kecepatan akses bisa jadi lebih lambat daripada kita melakukan koneksi langsung. Dalam hal ini keduanya akan mengakses le internet secara langsung
19
Pengenalan dan Cara Kerja Squid
Salah satu proxy server yang banyak digunakan di lingkungan Unix/Linux adalah squid http://www.squid-cache.org/. Tidak semua data bisa di cache oleh Squid, data-data yang bersifat dinamik seperti CGI-BIN tidak di cache oleh Squid, jadi tiap kali ada permintaan CGI-BIN, maka Squid akan menghubungi langsung server tujuan. Saat ini protokol yang bisa dilayani oleh Squid adalah HTTP, HTTPS, FTP, Gopher, dan Wais. Squid pertama-tama akan memeriksa request yang datang. Jika squid diset dengan autentikasi tertentu, squid akan memeriksa autentikasi user terlebih dahulu. Autentikasi 38
ini termasuk subnet area, user account, jenis le yang direquest, alamat situs tujuan, dan properti-properti yang telah diset pada le kongurasi squid. Jika lolos dan telah sesuai dengan kongurasi, request tersebut kembali diperiksa apakah objek yang diminta telah berada di cache. Jika sudah ada maka proxy server tidak perlu melanjutkan request ke internet tetapi langsung mereply request dengan objek yang diminta. Jika tidak ada di cache, squid dapat menghubungi siblingnya agar bisa saling tukar cache informasi menggunakan protocol icp. Jika masih tidak ada, squid akan merequest ke parentnya. Parent harus menyediakan informasi yang diminta, entah mengambil dari cachenya atau langsung ke internet.
2020.1
Bagian-bagian squidICP (Internet Cache Protocol)
ICP merupakan kependekan dari Internet Cache Protocol, yaitu merupakan protokol yang digunakan untuk mengkoordinasikan antara dua web cache atau lebih agar dapat bekerjasama dan berkomunikasi. Tujuan web-cache bekerja sama ini adalah supaya dapat mencari letak yang tepat untuk menerima objek yang direquest. Protokol ini tidak reliable namun memiliki time out yang sangat pendek sehingga cocok untuk web-cache. Protokol ini tidak cocok untuk delivery UDP adalah protokol yang lebih umum digunakan untuk delivery protocol. Dengan ICP, sistem cache bias mempunyai hirarki. Hirarki dibentuk oleh dua jenis hubungan, yaitu parent dan sibling. Parent: cache server yang wajib mencarikan content yang diminta oleh klien Sibling: cache server yang wajib memberikan content yang diminta jika memang tersedia. Jika tidak, sibling tidak wajib untuk mencarikannya
20.2
Access Control List
Access Control List (ACL) adalah daftar rule yang menyatakan pembagian previleges, untuk mencegah orang yang tidak memiliki hak akses menggunakan infrastruktur cache. ACL adalah kongurasi yang paling penting dalam sebuah web-cache. Dalam Squid, ACL digunakan untuk mendenisikan rule yang diterapkan dalam web-cache tersebut. Squid mendukung tipe-tipe ACL seperti di bawah ini: Network, subnet, baik tujuan maupun asal Protokol dan port yang dituju, misalnya HTTP, FTP, SNMP, dsb Autentikasi user name Maksimal koneksi untuk setiap IP address Maksimal jumlah IP address yang diperbolehkan untuk user name yang sama Alamat website ,MIME dan header yang direquest yang terangkum dalam regular expression Squid akan memeriksa setiap request yang datang dengan ACL yang ada pada kongurasi dan mencocokannya dengan aturan yang ada. Pencocokan ini bisa berakibat diizinkan atau ditolaknya suatu koneksi dari user, pemberian bandwidth yang sesuai dengan aturan, dan sebagainya.
39
20.3
Autentikasi pada Squid
Squid mendukung berberbagai cara autentikasi user mulai dari yang sederhana sampai ke yang kompleks. Beberapa autentikasi yang didukung antara lain: LDAP: Uses the Lightweight Directory Access Protocol NCSA: Uses an NCSA-style username and password le. MSNT: Uses a Windows NT authentication domain. PAM: Uses the Linux Pluggable Authentication Modules scheme. SMB: Uses a SMB server like Windows NT or Samba.
20.4
Httpd Accelerator / Reverse Proxy Server
Reverse proxy server adalah proxy server yang terinstall di dalam satu neighbourhood dengan satu atau lebih webserver. Semua request dari internet yang berasal dari internet yang menuju ke salah satu webserver akan dilayani lewat proxy server, yang bisa jadi request tersebut ke dirinya sendiri atau diteruskan ke webserver seluruhnya atau sebagian saja. Ada beberapa alasan kenapa kita memakai reverse proxy server, diantaranya adalah; Alasan keamanan: Proxy server adalah lapisan keamanan tambahan sebelum masuk lapisan webserver. Enkripsi/SSL accelerator: Ketika website yang aman dibentuk, enkripsi SSL mungkin tidak dikerjakan oleh webserver untuk mengurangi beban kerja webserver, tetapi dilakukan oleh proxy server yang dilengkapi dengan hardware acceleration untuk SSL. Load distribution: Reverse proxy dapat mendistribusikan beban ke beberapa webserver, sehingga masing-masing webserver hanya bekerja di areanya sendiri-sendiri. Caching content yang statis. Reverse proxy dapat meng-cache content-content yangstatis seperti image, sehingga memperingan beban kerja webserver.
20.5
Transparent Caching
Ketika kita menggunakan squid untuk melakukan caching dari web trac, browser harus dikongurasi agar menggunakan squid sebagai proxy. Transparent caching adalah metode agar browser tidak perlu dikongurasi menggunakan proxy, namun secara otomatis telah menggunakan proxy. Web trac yang menuju ke port 80 diarahkan menuju ke port yang didengarkan oleh squid, sehingga squid bertindak sebagai layaknya standar web server untuk browser. Keuntungan memakai transparent caching: Kita tidak perlu mengkongurasi browser untuk memakai proxy tertentu karena sudah otomatis. Teknik ini cocok jika pengguna dari suatu subnet sangat awam dan tidak mau melakukan kongurasi terlalu rumit pada browsernya. Pengendalian yang terpusat oleh administrator Kerugian memakai transparent caching: Fungsi autentikasi menjadi tidak berjalan Request untuk HTTPS tidak akan di-cache Tidak kokoh, karena transparent proxy sangat bergantung pada kestabilan jalur network (karena adanya pengalihan request)
40
Ketergantungan terhadap browser tertentu. Proxy server melayani request berdasarkan HTTP header dari browser dan beberapa browser yang kuno tidak menyediakan informasi ini. Jika ada suatu webserver yang tidak mendengarkan di port 80, request jelas tidak akan pernah dilayani.
20.6
Delay Pool
Delay Pool adalah suatu cara untuk mengatur kecepatan akses untuk suatu alamat website dari ACL tertentu. Squid tidak hanya mendukung delay pool hanya untuk subnet saja, namun untuk semua ACL yang telah dibahas di atas. Dalam squid, Delay Pool dispesikasi dalam beberapa kongurasi, yaitu: Delay Pool Menspesikasi berapa jumlah pool atau kelompok bandwidth yang akan digunakan dalam squid Delay Class Menspesikasi masing-masing kelompok pool untuk masuk dalam class apa. Dalam squid ada beberapa class yang memiliki fungsi yang berbeda-beda, yaitu class 1 - class 5. Class-class ini dispesikasi berdasarkan IP address dari ACL. Contohs: delay pools 4 # 4 delay pools delay class 1 2 # pool 1 is a class 2 pool delay class 2 3 # pool 2 is a class 3 pool delay class 3 4 # pool 3 is a class 4 pool delay class 4 5 # pool 4 is a class 5 pool Delay Parameter Delay parameter menspesikasi berapa jumlah transfer rate atau lebih sering disebut bandwidth untuk suatu pool. Bandwidth dispesikasi dalam transfer rate rata-rata dan transfer rate maksimum yang dapat dicapai suatu pool. Format Delay parameter tiap class: Class 1: delay parameters pool aggregate Class 2: delay parameters pool aggregate individual Class 3: delay parameters pool aggregate network individual Class 4: delay parameters pool aggregate network individual user Class 5: delay parameters pool tag Delay Access Delay Access adalah parameter untuk memasukkan suatu ACL ke pool tertentu. Di sini juga disebutkan apakah ACL diterima atau ditolak untuk masuk ke pool tersebut.
21
Instalasi dan Kongurasi
Untuk instalasi squid tidak berbeda dengan lainnya, cukup dengan apt-get install squid. Di Repository Ubuntu terdapat 2 versi squid yaitu versi 2 dan versi 3. Jika anda ingin menggunakan squid versi3 installah dengan menggunakan apt-get install squid3. Kongurasi utama squid berada pada le /etc/squid3/squid.conf. File ini berisi ribuan baris karena selain mengandung syntax kongurasi, le ini sekaligus mengandung manual sehingga user lebih mudah mengkongurasi squid. Secara umum format syntax pada /etc/squid3/squid.conf sebagai berikut: 41
1 2 3 4 5 6 7
# TAG : cache_mgr # Email - address of local cache manager who will receive # mail if the cache dies . The default is " webmaster ." # # Default : # cache_mgr webmaster cache_mgr kholis@ee . its . ac . id
Baris 1: TAG adalah penanda jenis kongurasi (dalam contoh diatas adalah cache mgr) Baris 2-3: adalah penjelasan dari TAG ini Baris 5-6: adalah contoh kongurasi bawaan squid. Upayakan semua kongurasi tambahan kita diletakkan sesusah baris ini. Baris 7: adalah le tambahan user Karena opsi-opsi pada le kongurasi squid sangat banyak, tidak semua kongurasi harus kita lakukan. Dengan beberapa kongurasi dasar sebenarnya kita juga sudah bisa menjalankan squid. Berikut beberapa kongurasi penting squid:
21.1
auth parm
Seperti sudah dijelaskan sebelumnya, squid mendukung berbagai macam autentikasi. Kali ini kita akan mencoba metode autentikasi yang paling sederhana menggunakan NCSA. NCSA menggunakan le text biasa untuk menyimpan username serta password yang di enkripsi. Buat le tempat kita menyimpan user dan password. misal le /etc/squid3/password user1 root@air :~# mkdir / etc / squid3 / squid . conf
Tambahkan user satu-persatu.1 2 3 4 root@air :~# htpasswd / etc / squid / squid_passwd kholis New password : Re - type new password : Adding password for user kholis
Carilah TAG: auth parm di /etc/squid3/squid.conf. lalu tambahkan syntax berikut1 2 3 4 5 6 7 auth_param basic program / usr / lib / squid3 / ncsa_auth / etc / squid3 / password_user auth_param basic children 5 auth_param basic realm Squid proxy - caching web server ku ... auth_param basic cred entialst tl 2 hours auth_param basic casesensitive off acl ncsa_users proxy_auth REQUIRED http_access allow ncsa_users
21.2
http port
Port HTTP yang didengarkan oleh Squid. Defaultnya adalah 3128. Biasanya port yang umum untuk sebuah proxy server adalah 8080. Terkadang Squid juga memakai port 80 kalau sedang berfungsi sebagai reverse proxy server. Carilah TAG: http port di /etc/squid3/squid.conf. lalu tambahkan syntax berikut1 2 3 4 5 6 # TAG : http_port # Usage : port [ options ] # hostname : port [ options ] # 1.2.3.4: port [ options ] # ... ( dipotong ) http_port 1 0 . 1 2 2 . 1 . 2 5 4 : 3 1 2 8
42
21.3
cache peer
Sintask dari cache peer ini digunakan untuk berhubungan dengan peer lain, dan peer lain yang dikoneksikan ini tipenya bergantung dari tipe peer yang telah dideklarasikan ini, bisa bertipe sibling maupun bertipe parent,dan port yang digunakan untuk hubungan ICP maupun HTTP juga dideklarasikan disini, sedangkan untuk parameter option disini ada bermacam-macam salah satunya adalah default yang berarti dia adalah satu-satunya parent yang harus dihubungi (jika bertipe parent) dan proxy-only yang berarti bahwa object yang didapat dari peer tersebut tidak perlu disimpan dalam hardisk local4 . Carilah TAG: cache peer di /etc/squid3/squid.conf. lalu tambahkan syntax berikut1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 # TAG : cache_peer # To specify other caches in a hierarchy , use the format : # # cache_peer hostname type http - port icp - port [ options ] # # For example , # # # proxy icp # # hostname type port port options # # - - - - - - - - - - - - - - - - - - - - - - - - - - - - ----- ----- - - - - - - - - - - # cache_peer parent . foo . net parent 3128 3130 proxy - only default # cache_peer sib1 . foo . net sibling 3128 3130 proxy - only # cache_peer sib2 . foo . net sibling 3128 3130 proxy - only # cache_peer 202.95.150.10 parent 3128 3130 default
21.4
icp port
Ini akan menunjukkan nomor port yang akan dipakai untuk menjalankan squid. Nomor port ini akan dipakai untuk berhubungan dengan klien dan peer. Carilah TAG: icp port di /etc/squid3/squid.conf. lalu tambahkan syntax berikut1 2 3 4 5 6 7 8 # TAG : icp_port # The port number where Squid sends and receives ICP queries to # and from neighbor caches . The standard UDP port for ICP is 3130. # Default is disabled (0) . # Default : # icp_port 0 # icp_port 3130
21.5
dead peer timeout
Masing-masing peer yang telah didenisikan sebelumnya mempunyai waktu timeout sebesar yang ditentukan dalam kongurasi ini, Jika peer tidak menjawab kiriman sinyal ICP dalam batas waktu yang telah ditentukan, peer akan dianggap tidak akan dapat dijangkau, dan cache server tidak akan mengambil object dari server yang bersangkutan dalam interval waktu tertentu. Carilah TAG: dead peer timeout di /etc/squid3/squid.conf. lalu tambahkan syntax berikut4 http://wiki.i-wirelessinnovation.com/index.php/Konsep
Proxy
43
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
# TAG : d e a d _ p e e r _ t i m e o u t ( seconds ) # This controls how long Squid waits to declare a peer cache # as " dead ." If there are no ICP replies received in this # amount of time , Squid will declare the peer dead and not # expect to receive any further ICP replies . However , it # continues to send ICP queries , and will mark the peer as # alive upon receipt of the first subsequent ICP reply . # # This timeout also affects when Squid expects to receive ICP # replies from peers . If more than dead_peer seconds have # passed since the last ICP reply was received , Squid will not # expect to receive an ICP reply on the next query . Thus , if # your time between requests is greater than this timeout , you # will see a lot of requests sent DIRECT to origin servers # instead of to your parents . # # Default : d e a d _ p e e r _ t i m e o u t 10 seconds
21.6
hierarchy stoplist
Sintaks ini digunakan untuk menyatakan apa yang harus tidak diminta dari peer, melainkan harus langsung dari web server origin, jika pola1 dan pola 2 adalah parameter cgi-bin, ?, dan lain-lain maka jika ada request URL yang mengandung karakter tersebut maka a
![Presentasi Seminar Proposal "Pengembangan Sistem Operasi berbasis GNU/Linux [SarondeOS]"](https://static.fdokumen.com/doc/165x107/558cd8ead8b42a866a8b45a9/presentasi-seminar-proposal-pengembangan-sistem-operasi-berbasis-gnulinux-sarondeos.jpg)
