[SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Diskusi tentang Ubuntu Server baik webserver, database server, samba server dan service lainnya serta jaringan menggunakan Sistem Operasi Ubuntu.
User avatar
myitanium
Posts: 409
Joined: 14 Jul 2011, 14:56
Contact:

[SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby myitanium » 21 Sep 2012, 11:47

Saya mempunyai sebuah server yang mempunyai beberapa ip address virtual dan terhubung dengan jaringan yang terbagi-bagi untuk beberapa divisi (keuangan, admin SD, admin SMP, admin SMA, dsb). Tiap jaringan mempunyai network sendiri-sendiri. Bentuk bisa lihat di gambar:

[img:center]http://betweenmeandlinux.files.wordpress.com/2012/09/network.png[/img]

Untuk mengisolasi akses antar jaringan, anda bisa gunakan iptables di server dengan perintah sebagai berikut:

Code: Select all

iptables -t nat -A PREROUTING -i eth1 -p tcp ! -s 192.168.2.0/24 -d 192.168.2.0/24 -j DROP
iptables -t nat -A PREROUTING -i eth1 -p tcp ! -s 192.168.4.0/24 -d 192.168.4.0/24 -j DROP
iptables -t nat -A PREROUTING -i eth1 -p tcp ! -s 192.168.5.0/24 -d 192.168.5.0/24 -j DROP


Jika anda tidak ingin antar jaringan bisa melakukan tes PING, hilangkan opsi �-p tcp�. Jadi seperti ini:

Code: Select all

iptables -t nat -A PREROUTING -i eth1  ! -s 192.168.2.0/24 -d 192.168.2.0/24 -j DROP
iptables -t nat -A PREROUTING -i eth1  ! -s 192.168.4.0/24 -d 192.168.4.0/24 -j DROP
iptables -t nat -A PREROUTING -i eth1  ! -s 192.168.5.0/24 -d 192.168.5.0/24 -j DROP


Skenario ini bisa diterapkan di jaringan seperti gambar dibawah ini:

[img:center]http://betweenmeandlinux.files.wordpress.com/2012/09/network2.png[/img]

Biasanya pola jaringan diatas menggunakan pembagian SUBNET atau menggunakan VLAN agar akses dari hotspot tidak bisa ke jaringan kabel.
User avatar
semut
Posts: 455
Joined: 05 Jul 2010, 19:15
Location: kendal,Indonesia
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby semut » 21 Sep 2012, 19:27

Dengan topologi seperti itu tanpa menggunakan VLAN, itu sangat tidak mungkin

seolah-olah ada 3 org buta dan bisu ingin ke kota yg berbeda2 masuk terminal bus

siapa yg berani jamin ke tiga org td bisa sampai di tujuan mereka masing2 dgn benar ?

:grin:
User avatar
sipelaut
Posts: 1963
Joined: 03 Jan 2010, 17:25
Location: madura-sampang
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby sipelaut » 22 Sep 2012, 09:47

sudah berjalankan skenario diatas ????, soalnya ane bingung
itu diagramnya topologi jaringannya, input ama outputnya dari sebelah mana??
dari divisi ke swith lalu ke server (apa gak kebalik nich)
kalo dari server>switch>kedivisi (yang ini saya bisa mengerti)
User avatar
ilham2930
Posts: 1123
Joined: 02 Jan 2010, 19:30
Location: /indonesia/tangerang/bonank_city
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby ilham2930 » 22 Sep 2012, 09:56

ko untuk virtual interface nya g di definisiin (eth1:x ) ?
User avatar
myitanium
Posts: 409
Joined: 14 Jul 2011, 14:56
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby myitanium » 24 Sep 2012, 08:07

@semut, sipelaut:
Topologi diatas sudah berjalan. Pada dasarnya Linux memungkinkan untuk membuat ethernet virtual, makanya sebutannya eth1:x karena ada eth1:0, eth1:1, eth1:2
Nah, biasanya dari ip 192.168.2.0/24 bisa akses ke ip 192.168.5.0/24 karena semua lewat ke server yang sama pada interface yang sama. Maka otomatis paket akan diterjemahkan dan dirouting balik ke jaringan melalui eth1.
Intinya bagaimana agar jaringan terisolasi tapi tidak menggunakan vlan dan subnet. Solusinya adalah dengan mencegat proses routing dengan iptables.

Saya mengangkat ini bukan sebagai solusi terbaik, tapi metode ini bisa membuat kita mengerti proses routing di jaringan.
User avatar
semut
Posts: 455
Joined: 05 Jul 2010, 19:15
Location: kendal,Indonesia
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby semut » 24 Sep 2012, 08:22

owh begitu.., wah,,, ini kyk'nya udah pembahasan tingkat dewa.... :grin:

memang di linux mendukung virtual ip, tp apakah device yg dimiliki mampu mengarahkan paket2 yang berseliweran ?
bukankah switch biasa(unmanage) bekerja di layer 2 dgn dengan cara forwarding berdasarkan alamat MAC ?
kalau di paksakan berarti akan terjadi collision besar-besaran, dgn collison besar di switch apakah LAN bakal sesuai harapan?
CMIIW
User avatar
sipelaut
Posts: 1963
Joined: 03 Jan 2010, 17:25
Location: madura-sampang
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby sipelaut » 24 Sep 2012, 08:50

User avatar
myitanium
Posts: 409
Joined: 14 Jul 2011, 14:56
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby myitanium » 24 Sep 2012, 09:21

@sipelaut: itu memang blog saya. Saya biasanya tulis diforum dan di blog. Biar gak lupa. :D
User avatar
myitanium
Posts: 409
Joined: 14 Jul 2011, 14:56
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby myitanium » 24 Sep 2012, 09:31

@semut: kalau collision sih gak tau ya tapi jaringan lancar2 saja sih. Gak tau gimana cek nya.
Memang sih switch unmanage deteksinya berdasarkan MAC, jadi dari ip diterjemahkan ke MAC. Tapi itu kan prosesnya seperti ini (setahu saya lho)
1. Paket dikirim dari ip 192.168.2.4 ke ip 192.168.5.1 (tcp flags SYN)
2. Paket sampai ke server di eth1, oleh server tidak diteruskan keluar tapi dikembalikan ke LAN (routing) karena 192.168.5.1 ada di jaringan 192.168.5.0/24-nya eth1
3. Paket berjalan lagi di LAN, menanyakan ke semua komputer yang aktif apakah ip-nya 192.168.5.1.
4. Kalau ketemu, komputer 192.168.5.1 akan mengirimkan paket kembali dengan tambahan flags SYN ACK dan alamat MAC-nya
5. paket kembali ke server, dirouting ulang ke 192.168.2.4
6. komputer 192.168.2.4 akan menerima paket dan mengirim ulang flags ACK, baru handshake connection terjadi.
7. Selanjutnya koneksi terwujud

Tapi bila proses routing dicegat seperti diatas, maka komputer 192.168.2.4 akan melaporkan bahwa paket timeout, alias tidak ditemukan (karena tidak tahu harus lewat mana). Jadi kuncinya proses di server, bukan di switch. Ini kalau tidak salah lhooo, saya juga belum ahli2 banget di jaringan. :D
User avatar
ilham2930
Posts: 1123
Joined: 02 Jan 2010, 19:30
Location: /indonesia/tangerang/bonank_city
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby ilham2930 » 24 Sep 2012, 10:41

punya saya doang nih yg g dibales.. wkwkwk.. :D
User avatar
Sudoers
Site Admin
Posts: 1
Joined: 03 Nov 2009, 17:43

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby Sudoers » 25 Sep 2012, 03:49

Bukannya secara default dari client klo ping keserver dgn ip di kelas yg berbeda tidak akan nyambung? RTO kan harusnya ya?

Ngapain nambah rules ip tables kalo hanya sekedar isolasi jaringan virtual yg berbeda diatas satu infrastruktur jaringan yang sama.
User avatar
myitanium
Posts: 409
Joined: 14 Jul 2011, 14:56
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby myitanium » 25 Sep 2012, 08:46

@ilham: udah saya bales lhooo. Tidak eksplisit menyebut nama. :D

@sudoers: tetap bisa mas, soalnya ip forward nya saya aktifkan. Server diatas bukan server stand-alone. tapi berfungsi sebagai router juga. Klo hanya stand-alone, mungkin tidak akan bisa ping apalagi browsing.
User avatar
semut
Posts: 455
Joined: 05 Jul 2010, 19:15
Location: kendal,Indonesia
Contact:

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby semut » 26 Sep 2012, 07:23

owh.. jadi topologi di atas udah di implementasikan.
wah.. kurang teliti saya memahaminyna berarti :)
hem... gimana ya caranya...
nyimak dulu aja deh..
User avatar
Sudoers
Site Admin
Posts: 1
Joined: 03 Nov 2009, 17:43

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby Sudoers » 26 Sep 2012, 11:48

myitanium wrote:@ilham: udah saya bales lhooo. Tidak eksplisit menyebut nama. :D

@sudoers: tetap bisa mas, soalnya ip forward nya saya aktifkan. Server diatas bukan server stand-alone. tapi berfungsi sebagai router juga. Klo hanya stand-alone, mungkin tidak akan bisa ping apalagi browsing.


Nah klo uda jadi router ceritanya uda lain.
Kirain hanya mo isolasi virtual network diatas satu jaringan fisik yg sama.
User avatar
emre
Posts: 140
Joined: 28 May 2012, 11:00
Location: Cilegon, Indonesia

Re: [SHARE]Cara isolasi jaringan tanpa subnet dan vlan

Postby emre » 27 Sep 2012, 08:58

Wah bahasannya mantap, ijin nyimak mastah :)

Return to “Ubuntu Server”

Who is online

Users browsing this forum: No registered users and 10 guests