Pada sesi ini akan ditunjukkan bagaimana cara mensetting rule firewall sederhana untuk mencegah akses telnet dari internet ke router vyatta kita.
Langkah pertama adalah aktifkan service telnet
vyatta@vyatta# set service telnet
sekarang kita akan mengkonfigurasi firewall untuk tidak mengijinkan akses telnet dari internet, pertama kita buat rule firewall baru
misal dengan nama "FWTELNET"
vyatta@vyatta# set firewall name FWTELNET
vyatta@vyatta# set firewall name FWTELNET rule 1
tentukan kebijakan pada rule ini, dalam contoh ini kita ingin "reject" paket telnet
vyatta@vyatta# set firewall name FWTELNET rule 1 action reject
Tentukan protokol untuk paket yang akan diterapkan aturan firewall ini, sebagai contoh, telnet menggunakan protokol "tcp" pada protokol layer 4
vyatta@vyatta# set firewall name FWTELNET rule 1 protocol tcp
tentukan network sumber dari mana paket berasal, dalam contoh ini kita menggunakan 0.0.0.0/0 yang merepresentasikan network internet
vyatta@vyatta# set firewall name FWTELNET rule 1 source network 0.0.0.0/0
tentukan alamat, atau network atau port tujuan, kita akan menggunakan port name "telnet"
vyatta@vyatta# set firewall name FWTELNET rule 1 destination port-name telnet
Kita sudah mengkonfigurasi router agar memblock trafik telnet dari internet, akan tetapi perlu dicatat bahwa secara implisit terdapat rule yang akan memblok semua paket, hal ini merupakan imbas dari rule yang secara eksplisit diterapkan untuk trafik telnet tadi, oleh karena itu harus diikuti rule secara eksplisit yang membolehkan semua paket data yang dari internet. Jika kita hanya menerapkan "rule 1" saja maka semua paket akan di drop, oleh karena itu kita perlu rule lain yang membolehkan paket untuk semua protoko, kecuali yang telah ditentukan untuk di reject
vyatta@vyatta# set firewall name FWTELNET rule 2
vyatta@vyatta# set firewall name FWTELNET rule 2 action accept
vyatta@vyatta# set firewall name FWTELNET rule 2 protocol all
vyatta@vyatta# set firewall name FWTELNET rule 2 source network 0.0.0.0/0
vyatta@vyatta# set firewall name FWTELNET rule 2 destination network 0.0.0.0/0
selanjutnya, tentukan interface mana yang akan diterapkan untuk aturan firewall ini, dalam contoh ini adalah eth1 yang berhubungan langsung dengan internet. Anda dapat menerapkan rule firewall untuk paket yang datang "in" , paket keluar "out" atau paket yang ditujukan sebagai "local" untuk sebuah interface, dalam contoh ini kita akan menerapkan rule FWTELNET untuk semua paket lokal untuk memfilter telnet.
vyatta@vyatta# set interfaces ethernet eth1 firewall local name FWTELNET
jalankan perintah commit untuk menerapkan semua konfigurasi
vyatta@vyatta# commit
Coba tes, aturan firewall yang tadi diterapkan.
PORT FORWARDING
Pada contoh ini kita akan melakukan konfigurasi port forwarding untuk akses web server yang berada dalam jaringan LAN agar bisa diakses dari internet melalui router vyatta.
Buat rule NAT baru
vyatta@vyatta# set service nat rule 2
indikasikan bahwa rule mentranslasi alamat ip tujuan
vyatta@vyatta# set service nat rule 2 type destination
atur tipe translasi ke statik
vyatta@vyatta# set service nat rule 2 translation-type static
tentukan inbound-interface ke eth1
vyatta@vyatta# set service nat rule 2 inbound-interface eth1
Jalankan NAT pada trafik protokol TCP ditujukan untuk port HTTP pada alamat 202.80.124.7
vyatta@vyatta# set service nat rule 2 protocol tcp
vyatta@vyatta# set service nat rule 2 destination address 202.80.124.7
vyatta@vyatta# set service nat rule 2 destination port-name http
tentukan alamat atau network sumber dalam contoh ini adalah internet
vyatta@vyatta# set service nat rule 2 source network 0.0.0.0/0
tentukan tujuan atau alamat forwarding dari paket (web server)
vyatta@vyatta# set service nat rule 2 inside-address address 10.0.0.30
perintah-perintah diatas akan mengkonfigurasikan NAT sehingga semua paket http yang mengarah ke router vyatta pada interface eth1 akan di forward web server dengan alamat ip 10.0.0.30.
Demikian pengenalan router vyatta, banyak fitur lain yang bisa kita manfaatkan untuk membangun router yang aman dan handal.
0 C0Mm3nTs:
Posting Komentar