Mata Rantai IPTABLES
Untuk
membangun sebuah firewall, yang harus kita ketahui pertama-tama adalah
bagaimana sebuah paket diproses oleh firewall, apakah paket-paket yang masuk
akan di buang (DROP) atau diterima (ACCEPT), atau paket tersebut
akan diteruskan (FORWARD) ke jaringan yang lain.
Salah
satu tool yang banyak digunakan untuk keperluan proses pada firewall adalah iptables.
Program iptables adalah program administratif untuk Filter Paket dan
NAT (Network Address Translation). Untuk menjalankan fungsinya, iptables
dilengkapi dengan tabel mangle, nat dan filter.
Proses
yang terjadi pada paket yang melewati suatu firewall dapat diperlihatkan pada
gambar 11-11.
aturan
rantai PREROUTING pada tabel nat, apakah paket akan memerlukan
Tujuan yang terdapat pada aturan tujuan yang di NAT-kan (DNAT) atau tidak.
Setelah itu paket mengalami routing. Di bagian ini paket tersebut akan
ditentukan berdasarkan tujuan dari paket tersebut.
Jika tujuan paket adalah jaringan lain, maka paket
akan difilterkan oleh aturan rantai FORWARD pada tabel filter.
Jika perlu, paket akan diperiksa oleh aturan rantai POSTROUTING pada
tabel nat, apakah paket berasal dari sumber yang mempunyai aturan NAT,
yang dalam istilah firewall dikenal dengan istilah SNAT (source NAT).
Jika tujuan paket adalah firewall, maka paket akan
difilter oleh aturan rantai INPUT pada tabel filter. Selanjutnya
paket akan mengalami proses lokal, paket tersebut akan di teruskan ke tabel INPUT
untuk di proses firewall. Bila paket tersebut bertujuan untuk ke komputer
lain yang berbeda jaringan, paket tersebut akan di teruskan ke kolom FORWARD.
Proses
lokal yang terjadi pada firewall dapat berupa pengiriman paket kembali. Paket
ini akan diperiksa oleh aturan rantai OUTPUT pada tabel MANGLE.
Selanjutnya paket diperiksa oleh aturan rantai OUTPUT pada tabel NAT,
apakah memerlukan DNAT. Sebelum routing, paket akan difilter oleh aturan
rantai OUTPUT pada tabel filter.
(Table
Fiter)
Setelah
paket tersebut memasuki kolomnya (INPUT atau FORWARD) maka paket
tersebut akan dicocokkan dengan aturan-aturan yang ada pada kolom tersebut.
Paket diperiksa kecocokannya dengan aturan-aturan yang ada. Beberapa aturan
yang ada pada urutan firewall akan dibaca oleh sistem secara berurut dari nomor
teratas berdasarkan prioritas.
(Table
Fiter)
Sebagai contoh, ada paket dengan tujuan alamat IP
komputer kita. Paket tersebut akan masuk ke tabel INPUT, kemudian paket
tersebut akan di cocokkan dengan aturan no 1. Jika aturan tersebut tidak cocok
dengan paket yang datang maka paket tersebut akan di cocokkan dengan aturan ke
dua. Bila paket tidak cocok maka paket akan diteruskan ke aturan paket nomor 3.
Jika sistem telah mencocokkan dengan aturan yang terakhir (aturan nomor n)
tetapi tetap tidak ada kecocok\kan juga maka POLICY pada tabel yang akan
berlaku, yaitu apakah paket tersebut akan di terima (ACCEPT) atau paket
tersebut akan di buang (DROP).
Salah
satu kelebihan IPTABLES adalah untuk membuat komputer kita menjadi
sebuah gateway menuju internet. Untuk keperluan tersebut, kita akan membutuhkan
tabel lain pada IPTABLES selain ketiga tabel diatas. Tabel tersebut
adalah tabel NAT (Network Address Translation).
(Gambar
Nat pada IPTABLES)
(Gambar
SNAT dan DNAT )
SNAT digunakan
untuk mengubah alamat IP pengirim (source IP address). Biasanya SNAT berguna
untuk menjadikan komputer sebagai gateway menuju ke internet.
Misalnya komputer kita menggunakan alamat IP
192.168.0.1. IP tersebut adalah IP lokal. SNAT akan mengubah IP lokal
tersebut menjadi IP publik, misalnya 202.51.226.35. begitu juga sebaliknya,
bila komputer lokal kita bisa di akses dari internet maka DNAT yang akan
digunakan.
Mangle
pada IPTABLES banyak digunakan
untuk menandai (marking) paket-paket untuk di gunakan di proses-proses
selanjutnya. Mangle paling banyak di gunakan untuk bandwidth limiting
atau pengaturan bandwidth.
(gmbr
Tabel Mangle)
Fitur
lain dari mangle adalah kemampuan untuk mengubah nilai Time to Live
(TTL) pada paket dan TOS (type of service).
No comments:
Post a Comment