Ping adalah sebuah program utilitas yang digunakan untuk memeriksa konektivitas jaringan berbasis teknologi Transmission Control Protocol/Internet Protocol (TCP/IP). Dengan menggunakan utilitas ini, dapat diuji apakah sebuah komputer terhubung dengan komputer lainnya. Hal ini dilakukan dengan cara mengirim sebuah paket kepada alamat IP yang hendak diujicoba konektivitasnya dan menunggu respons darinya. Nama "ping" berasal dari sonar sebuah kapal selam yang sedang aktif, yang sering mengeluarkan bunyi ping ketika menemukan sebuah objek.
Apabila utilitas ping menunjukkan hasil yang positif maka kedua komputer tersebut saling terhubung di dalam sebuah jaringan. Hasil statistik keadaan koneksi ditampilkan dibagian akhir. Kualitas koneksi dapat dilihat dari besarnya waktu pergi-pulang (roundtrip) dan besarnya jumlah paket yang hilang (packet loss). Semakin kecil kedua angka tersebut, semakin bagus kualitas koneksinya. Beberapa parameter yang terdapat dalam perintah ping :
-t : melakukan perintah ping ke host tujuan terus menerus sampai dihentikan. Untuk melihat statistic dan melanjutkan tekan Control+Break sedangkan untuk menghentikan proses tekan Control+C.
-a : resolve alamat ke hostname
-n count : jumlahecho request yang dikirim
-l size : mengirim ukuran buffer
-f : mengeset Don’t Fragment flag dalam paket.
-i TTL : Time To Live
-v TOS : Type of Service
-r count : merekam rute untuk jumlah hops (lompatan)
-s count : Timestamp untuk jumlah lompatan
-w timeout : Timeout dalam milliseconds untuk menunggu pada tiap-tiap reply
Senin, 02 Februari 2009
Mengenal perintah Ping
Perangkat Keras (Hardware)
Perangkat keras (Hardware) yaitu suatu perangkat yang berfungsi melakukan proses input (masukan) dan output (keluaran).
Perangkat keras terdiri dari :
Merupakan perangkat yang berfungsi untuk melakukan berbagai bentuk tugas perkantoran seperti pengolah kata, lembar sebar, presentase, pengolahan halaman web hingga perangkat media player dan sebagainya, hal ini sudah berkembang sejak sistem operasi tersebut dikembangkan.
Senin, 22 Desember 2008
radius server
Membuat Hotspot Mikrotik Sangatlah Mudah
Simak Langkah-Langkah Berikut :
1. Buat sebuah server Radius
/ radius add service=hotspot address=127.0.0.1 secret=123456
2. Buat profile dan set profile tersebut untuk menggunakan Radius Server
/ ip hotspot profile set hsprof1 use-radius=yes
3. Membuat scriber
/ tool user-manager customer add login="MikroTik" password="qwerty" permissions=owner
4. Tambahkan Router kita dalam hal ini localhost.
/ tool user-manager router add subscriber=MikroTik ip-address=127.0.0.1 shared-secret=123456
5. Lalu silahkan browser ke http://routeranda/userman
Apabila Anda ingin ingin memisah radius servernya anda cukup mengubah pada langkah 1. di ganti menjadi
/ radius add service=hotspot address={ip radius anda} secret={secreet radius anda}
nah cukup mudah bukan?
saya sudah coba menggunakan freeradius dan distro memakai linux suse 9.3 (text mode) di kompi saya P3 Ram 384 HDD 20 GB (Anda bisa menggunakan komputer yang lebih bagus dari saya dan menggunakan distro yang lebih baru) dan sudah saya pakei 9 bulan berjalan dengan lancar.
distro yang sudah saya coba:
1. redhat 9.1
2. suse 9.0
3. suse 9.1
4. suse 9.3
5. debian 4.0 etch
6. fedora 6
semua dapat berjalan dengan sangat baik.
Untuk Langkah-Langkah Instalasi freeradius Anda bisa mencarinya di google. Sangat Banyak Sekali
Kamis, 13 November 2008
Network Address Translation (NAT)
Dalam FreeBSD, mekanisme Network Address Translation (NAT) dijalankan oleh program Natd yang bekerja sebagai daemon . Network Address Translation Daemon (Natd) menyediakan solusi untuk permasalahan penghematan ini dengan cara menyembunyikan IP address jaringan internal, dengan membuat paket yang di- generate di dalam terlihat seolah-olah dihasilkan dari mesin yang memiliki IP address legal. Natd memberikan konektivitas ke dunia luar tanpa harus menggunakan IP address legal dalam jaringan internal.
Natd menyediakan fasilitas Network Address Translation untuk digunakan dengan socket divert . Natd mengubah semua paket yang ditujukan ke host lain sedemikian sehingga source IP address nya berasal dari mesin Natd. Untuk setiap paket yang diubah berdasarkan aturan ini, dibuat tabel translasi untuk mencatat transaksi ini.
Dengan NAT, aturan bahwa untuk berkomunikasi harus menggunakan IP address legal, dilanggar.NAT bekerja dengan jalan mengkonversikan IP-IP address ke satu atau lebih IP address lain. IP address yang dikonversi adalah IP address yang diberikan untuk tiap mesin dalam jaringan internal (bisa sembarang IP). IP address yang menjadi hasil konversi terletak di luar jaringan internal tersebut dan merupakan IP address legal yang valid/ routable .
Mekanisme NAT
Sebuah paket TCP terdiri dari header dan data. Header memiliki sejumlah field di dalamnya, salah satu field yang penting di sini adalah MAC ( Media Access Control ) address asal dan tujuan, IP address asal dan tujuan, dan nomor port asal dan tujuan.
Saat mesin A menghubungi mesin B, header paket berisi IP A sebagai IP address asal dan IP B sebagai IP address tujuan. Header ini juga berisi nomor port asal (biasanya dipilih oleh mesin pengirim dari sekumpulan nomor port ) dan nomor port tujuan yang spesifik, misalnya port 80 (untuk web ).
Kemudian B menerima paket pada port 80 dan memilih nomor port balasan untuk digunakan sebagai nomor port asal menggantikan port 80 tadi. Mesin B lalu membalik IP address asal & tujuan dan nomor port asal & tujuan dalam header paket. Sehingga keadaan sekarang IP B adalah IP address asal dan IP A adalah IP address tujuan. Kemudian B mengirim paket itu kembali ke A. Selama session terbuka, paket data hilir mudik menggunakan nomor port yang dipilih.
Router (yang biasa � tanpa Natd) memodifikasi field MAC address asal & tujuan dalam header ketika me- route paket yang melewatinya. IP address , nomor port , dan nomor sequence asal & tujuan tidak disentuh sama sekali.
NAT juga bekerja atas dasar ini. Dimulai dengan membuat tabel translasi internal untuk semua IP address jaringan internal yang mengirim paket melewatinya. Lalu men- set tabel nomor port yang akan digunakan oleh IP address yang valid. Ketika paket dari jaringan internal dikirim ke Natd untuk disampaikan keluar, Natd melakukan hal-hal sebagai berikut:
1. Mencatat IP address dan port asal dalam tabel translasi
2. Menggantikan nomor IP asal paket dengan nomor IP dirinya yang valid
3. Menetapkan nomor port khusus untuk paket yang dikirim keluar, memasukkannya dalam tabel translasi dan menggantikan nomor port asal tersebut dengan nomor port khusus ini.
Ketika paket balasan datang kembali, Natd mengecek nomor port tujuannya. Jika ini cocok dengan nomor port yang khusus telah ditetapkan sebelumnya, maka dia akan melihat tabel translasi dan mencari mesin mana di jaringan internal yang sesuai. Setelah ditemukan, ia akan menulis kembali nomor port dan IP address tujuan dengan IP address dan nomor port asal yang asli yang digunakan dulu untuk memulai koneksi. Lalu mengirim paket ini ke mesin di jaringan internal yang dituju. Natd memelihara isi tabel translasi selama koneksi masih terbuka.
http://student.eepis-its.edu/~rizalp/foto/NAT_clip_image002.gif
Gambar Contoh Mekanisme Natd
jika Butuh source silahkan download tutorial instalasi diatas :
download disni
1. install dulu OS freebsd nya
2. install dengan packet yang minimum aja biar g lama..
3. setelah itu kita mulai compile kernel, tapi sebelunya periksa dulu
/usr/rc/sys/ kalo belum ada berarti belum ada.. perlu di install dulu thu packetnya
4. install kernel yuukk… mounting terlebih dahulu cdrom nya.. mount /cdrom/ kalo udah
ketik aja “sysinstall” pilih paket agar bisa download dari luar kita instal port
nya juga “port” dicentang lagi
5. sesudah itu kita mulai compile kernel pertama kita cp dulu file GENERIC yang ada di
directory /usr/src/sys/i386/conf/ sebagai contoh saya cp dengan nama ROUTER
6. kalo udah kita copy kita edit file ROUTER yang kita copy tadi “ee ROUTER”
7. ganti indent GENERIc dengan indent ROUTER tambah kan opiton berikut:
options IPFIREWALL
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
options IPSTEALTH
options DUMMYNET
options HZ=1000
options IPFILTER
options IPFILTER_LOG
#speedy
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
#management bw
options ALTQ # Alternate queueing
options ALTQ_CBQ # Class Based Queueing
options ALTQ_RED # Random Early Detection
options ALTQ_RIO # Triple RED for DiffServ (needs RED)
options ALTQ_HFSC # Hierarchical Fair Service Curve
options ALTQ_CDNR # DiffServ traffic conditioner
options ALTQ_PRIQ # Priority Queue
#packet filter
device pf
device pflog
device pfsync
#squid
options SYSVMSG
options MSGMNB=8192
options MSGMNI=40
options MSGSEG=512
options MSGSSZ=64
options MSGTQL=2048
options SYSVSHM
options SHMSEG=16
options SHMMNI=32
options SHMMAX=2097152
options SHMALL=4096
agar lebih enak kita hilangin aja option yang g berguna seperti SCI,RAID, dll
sesuaikan dengan kompi anda pokok e..
8. kalo udah ketikkan “#configur ROUTER” sesudah itu “#make cleandepend && make depend”
tunggu sambil ngopi g boleh ngerokok he he… kalo udah “#make && make install”
wah nunggu lagi nih kita makan aja dulu.. kan dah laper
bung kalo udah kita ngapain lagi
kita reboot kompi kita.. kalo udah login lalu kita ketik uname -i kalo udah muncul
“ROUTER” berbahagialah hasil compile anda ..::berhasil”…
9. Konfigurasi IP Address:
sebelum anda lakukan setting ini, tanyakan milik anda, mulai dari IP Public, subnet, gateway lengkap
dengan DNS nya kepada ISP anda. kemudian lanjutkan dgn perintah ini:
# ee /etc/rc.conf
hostname=”iwan.com” ==> ada g thu
ifconfig_rl0=”inet 199.199.199.7 netmask 255.255.255.0? ==> ke internet
ifconfig_rl1=”inet 192.168.0.1 netmask 255.255.255.0? ==> ke LAN
defaultrouter=”199.199.199.1?
kemudian simpan, lanjutkan ke setting DNS.
Setting DNS:
10. # ee /etc/resolve.conf
Domain jardiknas.org
nameserver 118.98.224.2 ==> dns1 anda
nameserver 118.98.224.3 ==> dns2 kamu
pastikan router kita bisa akses internet.. ping aja ke google.com “#ping google.com”
kalo dah replay wah lanjut dhe..
11.Setting Firewall, Natd, dan service-service lainnya:
# ee /etc/defaults/rc.conf
selanjutnya akan muncul spt dibawah ini:
defaultrouter =”YES”
gateway_enable = “YES”
sshd_enable =”YES” # agar bisa remote dgn putty
firewall_enable =”YES” # sebagai filter
firewall_type =”OPEN”
natd_enable =”YES”
natd_interface =”rl0? # lan card yg disambung ke IP Public / internet.
sendmail semuanya yang “YES” diganti “NO” untuk men-disable service sendmail.
simpan konfigurasi ini, kemudian reboot komputer:
12.# reboot
sejauh ini fungsi router standart sudah selesai, g percaya?? coba aja di client..
akan tetapi jika anda ingin menambah konfigurasi
lanjutkan saja tahab berikut:
Mengaktifkan ftp, ssh,telnet, dll:
# ee /etc/inetd.conf
ftp tcp nowait # hapus tanda pagar di depan teks ftp
ssh tcp nowait # hapus tanda pagar di depan teks ssh
telnet tcp nowait # hapus tanda pagar di depan teks telnet
Mengganti Port ssh:
# ee /etc/ssh/sshd_config
~
#VersionAddendum FreeBSD-20050903 ~
Port 22 # hilangkan tanda pagar didepan teks port dan angka 22 boleh anda ganti
ke 2222/7575 sesuai dengan selera anda.
Mempercepat delay booting freebsd:
# ee /boot/defaults/loader.conf
~
#autoboot_delay=”10? # hilangkan tanda pagarnya dan ganti angka 10 sesuai dengan
keinginan anda (misal: 1)
Me remote router dari komputer workstation.
Login dari konsole pakai ssh di linux dan unix:
# ssh 199.199.199.1
Login dari ms. windows pake putty.exe <— program telnet dan ssh untuk remote melalui windows ke unix dan linux.
Mengupdate FreeBSD ke KERNEL STABLE secara online menggunakan CVSup
# pkg_add -r cvsup-without-gui
# cp /usr/share/examples/cvsup/stable-supfile /etc
# ee /etc/stable-supfile
–> cvsup.id.freebsd.org # update kernel dari server indonesia.
# reboot
lanjutkan dgn perintah ini:
# cvsup -g -L 2 /etc/stable-supfile
# ee /etc/make.conf
KERNCONF=ROUTER
# cd /usr/src/
# make buildworld
# make buildkernel
# make installkernel
# reboot
===========================
ngedit tampilan awal router
===========================
ee /etc/motd
FreeBSD 5.3-RELEASE (MPL) #0: Mon Jan 14 23:44:30 UTC 2008
Welcome to my Router
+++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++
+++ +++
+++ ATTENTION! +++
+++ You’re now on strict area of +++
+++ Proxy Minas Pagai Network, +++
+++ all your activity are being logged. +++
+++ +++
+++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++
Regard’s -admin underiez dot com
Mudah2an bermanfaat
-=selesai=-
terima kasih kepada Allah SWT, my inspirate Nabi Muhammad SWA, dan
kawan2 ku yang aku cintai
buat para sesepuh freebsd indonesia pada khususnya
dah para sesepuh freebsd di belahan dunia yang fana ini
Selasa, 04 November 2008
konfigurasi Mangle di mikrotik
Mangle merupakan metode bandwidth manajemen, kalau seandainya ingin bandwidth tersebut dibagi sama rata oleh Mikrotik.
seperti bandwidth 256kbps downstream dan 128kbps upstream. Sedangkan client yang akan mengakses sebanyak 10 client, maka otomatis masing-masing client mendapat jatah bandwidth downstream sebanyak 256kbps dibagi 10 dan upstream sebanyak 128kbps dibagi 10.
Jadi masing-masing client mendapat 25,6kbps untuk downstream dan 12.8kbps untuk upstream. Andaikata hanya 2 Client yang mengakses maka masing-masing client dapat 128kbps untuk downstream dan 64kbps untuk upstream.
Untuk itu dipakai type PCQ (Per Connection Queue), yang bisa secara otomatis membagi trafik per client.
Tentang jenis queue di mikrotik ini dapat dibaca pada manualnya di http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php .
Sebelumnya perlu dibuat aturan di bagian MANGLE. Seperti :
--------------------------------------------------------------------
/ip firewall mangle add chain=forward src-address=192.168.0.0/27 \ action=mark-connection new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=mark-packet \ new-packet-mark=users chain=forward
----------------------------------------------------------------------
Karena type PCQ belum ada, maka perlu ditambah, ada 2 type PCQ ini.Pertama diberi nama pcq-download, yang akan mengatur semua trafik melalui alamat tujuan/destination address. Trafik ini melewati interface Local. Sehingga semua traffik download/downstream yang datang dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Tipe PCQ kedua, dinamakan pcq-upload, untuk mengatur semua trafik upstreamyang berasal dari alamat asal/source address. Trafik ini melewati interface public. Sehingga semua traffik upload/upstream yang berasaldari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Perintah:
-------------------------------------------------------------------------
/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address
-------------------------------------------------------------------------
Setelah aturan untuk PCQ dan Mangle ditambahkan, sekarang untuk aturanpembagian trafiknya. Queue yang dipakai adalah Queue Tree, Yaitu:
-------------------------------------------------------------------------
/queue tree add parent=Local queue=pcq-download packet-mark=users
/queue tree add parent=Public queue=pcq-upload packet-mark=users
-------------------------------------------------------------------------
Perintah diatas mengasumsikan, kalau bandwidth yang diterima dari providerInternet berflukstuasi atau berubah-rubah. Jika kita yakin bahwa bandwidthyang diterima, misalkan dapat 256kbs downstream, dan 128kbps upstream, maka ada lagi aturannya, seperti :
Untuk trafik downstreamnya :
------------------------------------------------------------------------
/queue tree add name=Download parent=Local max-limit=256k
/queue tree add parent=Download queue=pcq-download packet-mark=users
-------------------------------------------------------------------------
Dan trafik upstreamnya :
---------------------------------------------------------------------------
/queue tree add name=Upload parent=Public max-limit=128k
/queue tree add parent=Upload queue=pcq-upload packet-mark=users
---------------------------------------------------------------------------
Senin, 03 November 2008
Membangun gateway Server
Membangun Sebuah Gateway merupakan hal yang tidak begitu sulit. Terlebih anda mempunyai sedikit buat ipfw rules indofreebsd#pico /etc/ipfw.rules ################ Start of IPFW rules file ############################### # Get the IP addresses from /etc/resolv.conf file indofreebsd# buat ipnat.rules indofreebsd#pico /etc/ipnat.rules # ------------------------------------------------------------ lalu save langkah selanjut nya adalah me restart nya indofreebsd#reboot test gateway anda dengan menghubungkan pc client pada gateway tersebut kalo packet tidak berhasil di lewatkan artinya anda kurang teliti. demikian langkah langkah pembuatan gateway menggunakan ipfw + ipnat semoga berhasil.
keinginan dan pengetahuan tentang browser anda sudah bisa menginstall gateway dengan mudah
tanpa menghadapi kesulitan yang berarti.
Banyak Tulisan atau catatan mengenai pembuatan Gateway router yang masing masing memiliki kelebihan
dan kekurangan yang bervariasi.
Pada kesempatan kali ini saya hadirkan tentang tata cara pembuatan gateway yang sederhana, untuk menghandel
sebuah network kecil.
Untuk membangun sebuah gateway menggunakan IPFW dan IPNAT , maka diperlukan mengkompile kernel terlebih
dahulu. asumsi source kernel tercopy pada lokasi yang seperti biasa.
indofreebsd# cd /sys/i386/conf
indofreebsd#cp GENERIC INDOFREEBSD
indofreebsd#pico INDOFREEBSD
hal hal yang saya edit adalah bagian ini
ident indofreebsd
#options INET6 # saya belum merasa perlu mengaktifkan in.
dan menambahkan option ini
options IPFILTER
options IPFILTER_LOG
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options DUMMYNET
options HZ=1000
setelah mengedit konfigurasi kernel lalu saya mengcompile kernel ulang.
indofreebsd# cd /usr/src
indofreebsd#make buildkernel KERNCONF=INDOFREEBSD
--------------------------------------------------------------
--------------------------------------------------------------
indofreebsd# make installkernel KERNCONF=INDOFREEBSD
install -o root -g wheel -m 555 if_xe.ko /boot/kernel
===> xl (install)
install -o root -g wheel -m 555 if_xl.ko /boot/kernel
===> zlib (install)
install -o root -g wheel -m 555 zlib.ko /boot/kernel
kldxref /boot/kernel
indofreebsd#
setelah selesai masukan beberapa parameter yang kita butuhkan pada rc.conf
router_flags="-q"
router="/sbin/routed"
router_enable="YES"
gateway_enable="YES"
sendmail_enable="NONE"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
ipnat_enable="YES" # Start ipnat function
ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat
lalu save
indofreebsd#
# Flush out the list before we begin.
ipfw -q -f flush
ipfw pipe 1 config mask dst-ip 0x000000ff bw 256Kbit/s
ipfw pipe 2 config mask src-ip 0x000000ff bw 64Kbit/s
ipfw add 1 pipe 1 all from any to 192.168.1.0/24 in
ipfw add 2 pipe 2 all from 192.168.1.0/24 to any out
# Set rules command prefix
cmd="ipfw -q add"
pif="rl0" # public interface name of NIC
# facing the public Internet
#################################################################
# No restrictions on Inside LAN Interface for private network
# Not needed unless you have LAN.
# Change xl0 to your LAN NIC interface name
#################################################################
$cmd 00008 allow all from any to any via rl1
#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 00010 allow all from any to any via lo0
#################################################################
# Allow the packet through if it has previous been added to the
# the "dynamic" rules table by a allow keep-state statement.
#################################################################
$cmd 00015 check-state
#################################################################
# Interface facing Public Internet (Outbound Section)
# Interrogate session start requests originating from behind the
# firewall on the private network or from this gateway server
# destine for the public Internet.
#################################################################
$cmd 00114 allow tcp from any to any 53 out via $pif setup keep-state
$cmd 00115 allow udp from any to any 53 out via $pif keep-state
$cmd 00122 allow tcp from any to any 21 out via $pif setup keep-state
# Allow out non-secure standard www function
$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state
# Allow out secure www function https over TLS SSL
$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state
# Allow out send & get email function
$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state
$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state
# Allow out FBSD (make install & CVSUP) functions
# Basically give user root "GOD" privileges.
$cmd 00240 allow tcp from me to any out via $pif setup keep-state uid root
# Allow out ping
$cmd 00250 allow icmp from any to any out via $pif keep-state
$cmd 00251 allow udp from any to any 33434-33523
# Allow out Time
$cmd 00260 allow tcp from any to any 37 out via $pif setup keep-state
# Allow out nntp news (i.e. news groups)
$cmd 00270 allow tcp from any to any 460-30000 out via $pif setup keep-state
# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state
# Allow out whois
$cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state
# deny and log everything else that.s trying to get out.
$cmd 00299 deny log all from any to any out via $pif
#################################################################
# Interface facing Public Internet (Inbound Section)
# Interrogate packets originating from the public Internet
# destine for this gateway server or the private network.
#################################################################
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 00300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 00301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 00307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster interconnect
$cmd 00308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
$cmd 00309 allow icmp from any to any icmptypes 11 in
###########allow me to ping out and receive response back
$cmd 00311 allow icmp from any to any icmptypes 0 in
# Deny public pings
#$cmd 00312 deny icmp from any to any in via $pif
# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif
# Deny any late arriving packets
$cmd 00330 deny all from any to any frag in via $pif
# Deny ACK packets that did not match the dynamic rule table
$cmd 00332 deny tcp from any to any established in via $pif
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP.s DHCP server as it.s the only
# authorized source to send this packet type.
# Only necessary for cable or DSL configurations.
# This rule is not needed for .user ppp. type connection to
# the public Internet. This is the same IP address you captured
# and used in the outbound section.
#$cmd 00360 allow udp from any to x.x.x.x 67 in via $pif keep-state
$cmd 00361 allow tcp from any to any 1023-7000 in via $pif setup limit src-addr 2
# Allow in standard www function because I have apache server
$cmd 00400 allow tcp from any to me 80 in via $pif setup limit src-addr 2
# Allow in secure FTP, Telnet, and SCP from public Internet
#$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2
$cmd 00410 allow tcp from any to me 222 in via $pif setup limit src-addr 2
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
$cmd 00420 allow tcp from any to me 113 in via $pif setup limit src-addr 2
# Reject & Log all incoming connections from the outside
$cmd 00499 deny log all from any to any in via $pif
# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 00999 deny log all from any to any
################ End of IPFW rules file ###############################
# Use ipfilter FTP proxy for the firewall doing transfer mode
# active.
# ------------------------------------------------------------
map rl0 0.0.0.0/0 -> 0.0.0.0/32 proxy port ftp ftp/tcp
# ------------------------------------------------------------
# Use ipfilter FTP proxy for hosts behind NAT doing transfer
# mode active.
# ------------------------------------------------------------
map rl0 192.168.0.0/24 -> 0.0.0.0/32 proxy port ftp ftp/tcp
# -----------------------------------------------------------
# Map all internal UDP and TCP traffic to the external IP address
# -----------------------------------------------------------
map rl0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp 40000:60000
# -----------------------------------------------------------
# Map all other traffic e.g. ICMP to the external IP address
# -----------------------------------------------------------
map rl0 192.168.0.0/24 -> 0.0.0.0/32
