IPTABLES dan firewall

Diskusi tentang Ubuntu Server baik webserver, database server, samba server dan service lainnya serta jaringan menggunakan Sistem Operasi Ubuntu.
Post Reply
User avatar
sipelaut
Contact:

IPTABLES dan firewall

Post 30 May 2011, 13:01

salam :grin:
kalo mau ngebatasi user hanya bisa konek internet saja iptablesnya gimana yaa
saya ada 2 eth nich
1. eth1 192.168.10.1-10
2. eth2 192.168.11.5-100
keduanya bisa internetan
cuma saya pengen ngebatasi untuk ip yang ada di eth2 hanya bisa internetan saja, tanpa bisa masuk ke jaringan eth1 192.168.10.1-10

soalnya dari 192.168.11.5-100 pas waktu saya buka explorer lalu saya ketik \\192.168.10.5 bisa liat data2 yang ada di user 192.168.10.5
kira2 caranya gimana yaa
mohon bantuannya
wassalam
terima kasih atas waktunya


User avatar
sipelaut
Contact:

Post 30 May 2011, 13:04

sekalian nambahin ini konfigurasi
iptables saya
+++++++++++++++++++++++++++++++++++++++++++++++++
#!/bin/sh
# ----------------------------------
# See URL: http://www.cyberciti.biz/tips/linux-set ... howto.html
# (c) 2006, nixCraft under GNU/GPL v2.0+
# ----------------------------------
# IP Address Squid Server
SQUID_SERVER="192.168.10.1"
SQUID_SERVER2="192.168.11.1"
# Interface Proxy server yang terhubung ke Internet
INTERNET="eth0"
# INTERNET="ppp0"
# Interface Proxy server Yang terhubung ke LAN
LAN_IN="eth1"
LAN_IN2="eth2"
# Port SQUID
SQUID_PORT="3128"
# DO NOT MODIFY BELOW
# Clean old firewall
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Load IPTABLES modules for NAT and IP conntrack support
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# For win xp ftp client
#modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Unlimited access to loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Allow UDP, DNS and Passive FTP
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
# set this system as a router for Rest of LAN
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE
iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT
iptables --append FORWARD --in-interface $LAN_IN2 -j ACCEPT
# unlimited access to LAN
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A INPUT -i $LAN_IN2 -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
#iptables -A OUTPUT -o $LAN_IN2 -j ACCEPT
# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
iptables -t nat -A PREROUTING -i $LAN_IN2 -p tcp --dport 80 -j DNAT --to $SQUID_SERVER2:$SQUID_PORT
# if it is same system
iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
# DROP everything and Log it
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++


User avatar
sipelaut
Contact:

Post 30 May 2011, 15:15

mastahhhhhhhhhh...................


User avatar
yudiarbi
Contact:

Post 30 May 2011, 18:50

mohon maaf bro pelaut, bukan menggurui :D
coba jangan kasih opsi masquerade, kl masquerade semuanya bisa inet
dan coba di posting topologi jaringan lengkap, mungkin master2 berikut bisa membantu, saya akan mencoba ikut2 di belakang :D
kl menurutq konsepnya gini
$internet itu adlh lan ke modem
lan yg eth1 hanya bisa internetan tidak bisa buka lokal
lan eth2 bisa inet dan bisa lokal
pasti bermain di konfigurasi iptables dan squid.conf


User avatar
sipelaut
Contact:

Post 31 May 2011, 08:29

[spoiler]potongan postingan saya sebelumnya

Code: Select all

keduanya bisa internetan
cuma saya pengen ngebatasi untuk ip yang ada di eth2 hanya bisa internetan saja, tanpa bisa masuk ke jaringan eth1 192.168.10.1-10

soalnya dari 192.168.11.5-100 pas waktu saya buka explorer lalu saya ketik \\192.168.10.5 bisa liat data2 yang ada di user 192.168.10.5 
kira2 caranya gimana yaa
mohon bantuannya
wassalam
terima kasih atas waktunya

yudiarbi wrote:mohon maaf bro pelaut, bukan menggurui :D
coba jangan kasih opsi masquerade, kl masquerade semuanya bisa inet
dan coba di posting topologi jaringan lengkap, mungkin master2 berikut bisa membantu, saya akan mencoba ikut2 di belakang :D
kl menurutq konsepnya gini
$internet itu adlh lan ke modem
lan yg eth1 hanya bisa internetan tidak bisa buka lokal
lan eth2 bisa inet dan bisa lokal
pasti bermain di konfigurasi iptables dan squid.conf
[/spoiler]

teng's bro yudiarbi
topologinya kurang lebih seperti ini

Image

eth0 = 192.168.8.1
eth1 = 192.168.10.1
eth2 = 192.168.11.1

user di eth1 192.168.10.2-10
user di eth2 192.168.11.5-100


User avatar
yudiarbi
Contact:

Post 31 May 2011, 09:55

Code: Select all

iptables -t nat -A POSTROUTING -s eth1 -p tcp -m tcp -d ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -s eth2 -p tcp -m tcp -d ppp0 -j ACCEPT
iptables -t nat -A POSTOUTING -s eth2 -d eth1 -j DROP
mungkin bisa membantu :D


User avatar
sipelaut
Contact:

Post 31 May 2011, 10:11

yudiarbi wrote:

Code: Select all

1. iptables -t nat -A POSTROUTING -s eth1 -p tcp -m tcp -d ppp0 -j ACCEPT
2. iptables -t nat -A POSTROUTING -s eth2 -p tcp -m tcp -d ppp0 -j ACCEPT
3. iptables -t nat -A POSTOUTING -s eth2 -d eth1 -j DROP
mungkin bisa membantu :D

maaf mas untuk yang ppp0 saya disable karena kondisi speedy disini sering putus2 jadi tidak memungkinkan untuk bridge.. sulit bangatt..
kembali lagi ke pokok permasalahan
saya coba dolo mas


User avatar
sipelaut
Contact:

Post 31 May 2011, 10:49

tidak bisa mas untuk yang iptables ini
iptables -t nat -A POSTOUTING -s eth2 -d eth1 -j DROP

kalo untuk blok semua port untuk eth2 kecuali port 80, 3128 itu gimana carannya bro..


User avatar
sipelaut
Contact:

Post 31 May 2011, 11:34

bisa broo...
setelah googling, tpi aneh ku pakek perintah ini
# iptables -A INPUT -i eth2 -j REJECT
user dari 192.168.11.1-100 tidak bisa ping ke 192.168.10.1 (ini servernya)
tapi malah bisa ping ke 192.168.10.2-10 hedeh... kok malah jadi gini


User avatar
yudiarbi
Contact:

Post 31 May 2011, 13:06

ya iyalah, semua input dr eth2 keluar akan di reject, kecuali ke router
sipelaut wrote:tidak bisa mas untuk yang iptables ini
iptables -t nat -A POSTOUTING -s eth2 -d eth1 -j DROP

kalo untuk blok semua port untuk eth2 kecuali port 80, 3128 itu gimana carannya bro..

diganti

Code: Select all

iptables -t nat -A INPUT -s eth2 -d eth1 -j DROP 


User avatar
thrvers
Contact:

Post 31 May 2011, 13:59

'
sipelaut wrote:tidak bisa mas untuk yang iptables ini
iptables -t nat -A POSTOUTING -s eth2 -d eth1 -j DROP
.....

POSTOUTING [post outing] mungkin salah :D coba ganti POSTROUTING [post routing]

CMIIW


User avatar
sipelaut
Contact:

Post 04 Jun 2011, 17:13

hmmm.. masih dalam tahap uji coba nichh
lumayan dapet link bagis dari bung rhesa :)


Post Reply

Who is online

Users browsing this forum: No registered users and 77 guests