Membuat Hotspot Mikrotik Sangatlah Mudah
Simak Langkah-Langkah Berikut :
1. Buat sebuah server Radius
/ radius add service=hotspot address=127.0.0.1 secret=123456
2. Buat profile dan set profile tersebut untuk menggunakan Radius Server
/ ip hotspot profile set hsprof1 use-radius=yes
3. Membuat scriber
/ tool user-manager customer add login="MikroTik" password="qwerty" permissions=owner
4. Tambahkan Router kita dalam hal ini localhost.
/ tool user-manager router add subscriber=MikroTik ip-address=127.0.0.1 shared-secret=123456
5. Lalu silahkan browser ke http://routeranda/userman
Apabila Anda ingin ingin memisah radius servernya anda cukup mengubah pada langkah 1. di ganti menjadi
/ radius add service=hotspot address={ip radius anda} secret={secreet radius anda}
nah cukup mudah bukan?
saya sudah coba menggunakan freeradius dan distro memakai linux suse 9.3 (text mode) di kompi saya P3 Ram 384 HDD 20 GB (Anda bisa menggunakan komputer yang lebih bagus dari saya dan menggunakan distro yang lebih baru) dan sudah saya pakei 9 bulan berjalan dengan lancar.
distro yang sudah saya coba:
1. redhat 9.1
2. suse 9.0
3. suse 9.1
4. suse 9.3
5. debian 4.0 etch
6. fedora 6
semua dapat berjalan dengan sangat baik.
Untuk Langkah-Langkah Instalasi freeradius Anda bisa mencarinya di google. Sangat Banyak Sekali
Senin, 22 Desember 2008
radius server
Kamis, 13 November 2008
Network Address Translation (NAT)
Dalam FreeBSD, mekanisme Network Address Translation (NAT) dijalankan oleh program Natd yang bekerja sebagai daemon . Network Address Translation Daemon (Natd) menyediakan solusi untuk permasalahan penghematan ini dengan cara menyembunyikan IP address jaringan internal, dengan membuat paket yang di- generate di dalam terlihat seolah-olah dihasilkan dari mesin yang memiliki IP address legal. Natd memberikan konektivitas ke dunia luar tanpa harus menggunakan IP address legal dalam jaringan internal.
Natd menyediakan fasilitas Network Address Translation untuk digunakan dengan socket divert . Natd mengubah semua paket yang ditujukan ke host lain sedemikian sehingga source IP address nya berasal dari mesin Natd. Untuk setiap paket yang diubah berdasarkan aturan ini, dibuat tabel translasi untuk mencatat transaksi ini.
Dengan NAT, aturan bahwa untuk berkomunikasi harus menggunakan IP address legal, dilanggar.NAT bekerja dengan jalan mengkonversikan IP-IP address ke satu atau lebih IP address lain. IP address yang dikonversi adalah IP address yang diberikan untuk tiap mesin dalam jaringan internal (bisa sembarang IP). IP address yang menjadi hasil konversi terletak di luar jaringan internal tersebut dan merupakan IP address legal yang valid/ routable .
Mekanisme NAT
Sebuah paket TCP terdiri dari header dan data. Header memiliki sejumlah field di dalamnya, salah satu field yang penting di sini adalah MAC ( Media Access Control ) address asal dan tujuan, IP address asal dan tujuan, dan nomor port asal dan tujuan.
Saat mesin A menghubungi mesin B, header paket berisi IP A sebagai IP address asal dan IP B sebagai IP address tujuan. Header ini juga berisi nomor port asal (biasanya dipilih oleh mesin pengirim dari sekumpulan nomor port ) dan nomor port tujuan yang spesifik, misalnya port 80 (untuk web ).
Kemudian B menerima paket pada port 80 dan memilih nomor port balasan untuk digunakan sebagai nomor port asal menggantikan port 80 tadi. Mesin B lalu membalik IP address asal & tujuan dan nomor port asal & tujuan dalam header paket. Sehingga keadaan sekarang IP B adalah IP address asal dan IP A adalah IP address tujuan. Kemudian B mengirim paket itu kembali ke A. Selama session terbuka, paket data hilir mudik menggunakan nomor port yang dipilih.
Router (yang biasa � tanpa Natd) memodifikasi field MAC address asal & tujuan dalam header ketika me- route paket yang melewatinya. IP address , nomor port , dan nomor sequence asal & tujuan tidak disentuh sama sekali.
NAT juga bekerja atas dasar ini. Dimulai dengan membuat tabel translasi internal untuk semua IP address jaringan internal yang mengirim paket melewatinya. Lalu men- set tabel nomor port yang akan digunakan oleh IP address yang valid. Ketika paket dari jaringan internal dikirim ke Natd untuk disampaikan keluar, Natd melakukan hal-hal sebagai berikut:
1. Mencatat IP address dan port asal dalam tabel translasi
2. Menggantikan nomor IP asal paket dengan nomor IP dirinya yang valid
3. Menetapkan nomor port khusus untuk paket yang dikirim keluar, memasukkannya dalam tabel translasi dan menggantikan nomor port asal tersebut dengan nomor port khusus ini.
Ketika paket balasan datang kembali, Natd mengecek nomor port tujuannya. Jika ini cocok dengan nomor port yang khusus telah ditetapkan sebelumnya, maka dia akan melihat tabel translasi dan mencari mesin mana di jaringan internal yang sesuai. Setelah ditemukan, ia akan menulis kembali nomor port dan IP address tujuan dengan IP address dan nomor port asal yang asli yang digunakan dulu untuk memulai koneksi. Lalu mengirim paket ini ke mesin di jaringan internal yang dituju. Natd memelihara isi tabel translasi selama koneksi masih terbuka.
http://student.eepis-its.edu/~rizalp/foto/NAT_clip_image002.gif
Gambar Contoh Mekanisme Natd
jika Butuh source silahkan download tutorial instalasi diatas :
download disni
1. install dulu OS freebsd nya
2. install dengan packet yang minimum aja biar g lama..
3. setelah itu kita mulai compile kernel, tapi sebelunya periksa dulu
/usr/rc/sys/ kalo belum ada berarti belum ada.. perlu di install dulu thu packetnya
4. install kernel yuukk… mounting terlebih dahulu cdrom nya.. mount /cdrom/ kalo udah
ketik aja “sysinstall” pilih paket agar bisa download dari luar kita instal port
nya juga “port” dicentang lagi
5. sesudah itu kita mulai compile kernel pertama kita cp dulu file GENERIC yang ada di
directory /usr/src/sys/i386/conf/ sebagai contoh saya cp dengan nama ROUTER
6. kalo udah kita copy kita edit file ROUTER yang kita copy tadi “ee ROUTER”
7. ganti indent GENERIc dengan indent ROUTER tambah kan opiton berikut:
options IPFIREWALL
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
options IPSTEALTH
options DUMMYNET
options HZ=1000
options IPFILTER
options IPFILTER_LOG
#speedy
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
#management bw
options ALTQ # Alternate queueing
options ALTQ_CBQ # Class Based Queueing
options ALTQ_RED # Random Early Detection
options ALTQ_RIO # Triple RED for DiffServ (needs RED)
options ALTQ_HFSC # Hierarchical Fair Service Curve
options ALTQ_CDNR # DiffServ traffic conditioner
options ALTQ_PRIQ # Priority Queue
#packet filter
device pf
device pflog
device pfsync
#squid
options SYSVMSG
options MSGMNB=8192
options MSGMNI=40
options MSGSEG=512
options MSGSSZ=64
options MSGTQL=2048
options SYSVSHM
options SHMSEG=16
options SHMMNI=32
options SHMMAX=2097152
options SHMALL=4096
agar lebih enak kita hilangin aja option yang g berguna seperti SCI,RAID, dll
sesuaikan dengan kompi anda pokok e..
8. kalo udah ketikkan “#configur ROUTER” sesudah itu “#make cleandepend && make depend”
tunggu sambil ngopi g boleh ngerokok he he… kalo udah “#make && make install”
wah nunggu lagi nih kita makan aja dulu.. kan dah laper
bung kalo udah kita ngapain lagi
kita reboot kompi kita.. kalo udah login lalu kita ketik uname -i kalo udah muncul
“ROUTER” berbahagialah hasil compile anda ..::berhasil”…
9. Konfigurasi IP Address:
sebelum anda lakukan setting ini, tanyakan milik anda, mulai dari IP Public, subnet, gateway lengkap
dengan DNS nya kepada ISP anda. kemudian lanjutkan dgn perintah ini:
# ee /etc/rc.conf
hostname=”iwan.com” ==> ada g thu
ifconfig_rl0=”inet 199.199.199.7 netmask 255.255.255.0? ==> ke internet
ifconfig_rl1=”inet 192.168.0.1 netmask 255.255.255.0? ==> ke LAN
defaultrouter=”199.199.199.1?
kemudian simpan, lanjutkan ke setting DNS.
Setting DNS:
10. # ee /etc/resolve.conf
Domain jardiknas.org
nameserver 118.98.224.2 ==> dns1 anda
nameserver 118.98.224.3 ==> dns2 kamu
pastikan router kita bisa akses internet.. ping aja ke google.com “#ping google.com”
kalo dah replay wah lanjut dhe..
11.Setting Firewall, Natd, dan service-service lainnya:
# ee /etc/defaults/rc.conf
selanjutnya akan muncul spt dibawah ini:
defaultrouter =”YES”
gateway_enable = “YES”
sshd_enable =”YES” # agar bisa remote dgn putty
firewall_enable =”YES” # sebagai filter
firewall_type =”OPEN”
natd_enable =”YES”
natd_interface =”rl0? # lan card yg disambung ke IP Public / internet.
sendmail semuanya yang “YES” diganti “NO” untuk men-disable service sendmail.
simpan konfigurasi ini, kemudian reboot komputer:
12.# reboot
sejauh ini fungsi router standart sudah selesai, g percaya?? coba aja di client..
akan tetapi jika anda ingin menambah konfigurasi
lanjutkan saja tahab berikut:
Mengaktifkan ftp, ssh,telnet, dll:
# ee /etc/inetd.conf
ftp tcp nowait # hapus tanda pagar di depan teks ftp
ssh tcp nowait # hapus tanda pagar di depan teks ssh
telnet tcp nowait # hapus tanda pagar di depan teks telnet
Mengganti Port ssh:
# ee /etc/ssh/sshd_config
~
#VersionAddendum FreeBSD-20050903 ~
Port 22 # hilangkan tanda pagar didepan teks port dan angka 22 boleh anda ganti
ke 2222/7575 sesuai dengan selera anda.
Mempercepat delay booting freebsd:
# ee /boot/defaults/loader.conf
~
#autoboot_delay=”10? # hilangkan tanda pagarnya dan ganti angka 10 sesuai dengan
keinginan anda (misal: 1)
Me remote router dari komputer workstation.
Login dari konsole pakai ssh di linux dan unix:
# ssh 199.199.199.1
Login dari ms. windows pake putty.exe <— program telnet dan ssh untuk remote melalui windows ke unix dan linux.
Mengupdate FreeBSD ke KERNEL STABLE secara online menggunakan CVSup
# pkg_add -r cvsup-without-gui
# cp /usr/share/examples/cvsup/stable-supfile /etc
# ee /etc/stable-supfile
–> cvsup.id.freebsd.org # update kernel dari server indonesia.
# reboot
lanjutkan dgn perintah ini:
# cvsup -g -L 2 /etc/stable-supfile
# ee /etc/make.conf
KERNCONF=ROUTER
# cd /usr/src/
# make buildworld
# make buildkernel
# make installkernel
# reboot
===========================
ngedit tampilan awal router
===========================
ee /etc/motd
FreeBSD 5.3-RELEASE (MPL) #0: Mon Jan 14 23:44:30 UTC 2008
Welcome to my Router
+++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++
+++ +++
+++ ATTENTION! +++
+++ You’re now on strict area of +++
+++ Proxy Minas Pagai Network, +++
+++ all your activity are being logged. +++
+++ +++
+++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++
Regard’s -admin underiez dot com
Mudah2an bermanfaat
-=selesai=-
terima kasih kepada Allah SWT, my inspirate Nabi Muhammad SWA, dan
kawan2 ku yang aku cintai
buat para sesepuh freebsd indonesia pada khususnya
dah para sesepuh freebsd di belahan dunia yang fana ini
Selasa, 04 November 2008
konfigurasi Mangle di mikrotik
Mangle merupakan metode bandwidth manajemen, kalau seandainya ingin bandwidth tersebut dibagi sama rata oleh Mikrotik.
seperti bandwidth 256kbps downstream dan 128kbps upstream. Sedangkan client yang akan mengakses sebanyak 10 client, maka otomatis masing-masing client mendapat jatah bandwidth downstream sebanyak 256kbps dibagi 10 dan upstream sebanyak 128kbps dibagi 10.
Jadi masing-masing client mendapat 25,6kbps untuk downstream dan 12.8kbps untuk upstream. Andaikata hanya 2 Client yang mengakses maka masing-masing client dapat 128kbps untuk downstream dan 64kbps untuk upstream.
Untuk itu dipakai type PCQ (Per Connection Queue), yang bisa secara otomatis membagi trafik per client.
Tentang jenis queue di mikrotik ini dapat dibaca pada manualnya di http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php .
Sebelumnya perlu dibuat aturan di bagian MANGLE. Seperti :
--------------------------------------------------------------------
/ip firewall mangle add chain=forward src-address=192.168.0.0/27 \ action=mark-connection new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=mark-packet \ new-packet-mark=users chain=forward
----------------------------------------------------------------------
Karena type PCQ belum ada, maka perlu ditambah, ada 2 type PCQ ini.Pertama diberi nama pcq-download, yang akan mengatur semua trafik melalui alamat tujuan/destination address. Trafik ini melewati interface Local. Sehingga semua traffik download/downstream yang datang dari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Tipe PCQ kedua, dinamakan pcq-upload, untuk mengatur semua trafik upstreamyang berasal dari alamat asal/source address. Trafik ini melewati interface public. Sehingga semua traffik upload/upstream yang berasaldari jaringan 192.168.0.0/27 akan dibagi secara otomatis.
Perintah:
-------------------------------------------------------------------------
/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address
-------------------------------------------------------------------------
Setelah aturan untuk PCQ dan Mangle ditambahkan, sekarang untuk aturanpembagian trafiknya. Queue yang dipakai adalah Queue Tree, Yaitu:
-------------------------------------------------------------------------
/queue tree add parent=Local queue=pcq-download packet-mark=users
/queue tree add parent=Public queue=pcq-upload packet-mark=users
-------------------------------------------------------------------------
Perintah diatas mengasumsikan, kalau bandwidth yang diterima dari providerInternet berflukstuasi atau berubah-rubah. Jika kita yakin bahwa bandwidthyang diterima, misalkan dapat 256kbs downstream, dan 128kbps upstream, maka ada lagi aturannya, seperti :
Untuk trafik downstreamnya :
------------------------------------------------------------------------
/queue tree add name=Download parent=Local max-limit=256k
/queue tree add parent=Download queue=pcq-download packet-mark=users
-------------------------------------------------------------------------
Dan trafik upstreamnya :
---------------------------------------------------------------------------
/queue tree add name=Upload parent=Public max-limit=128k
/queue tree add parent=Upload queue=pcq-upload packet-mark=users
---------------------------------------------------------------------------
Senin, 03 November 2008
Membangun gateway Server
Membangun Sebuah Gateway merupakan hal yang tidak begitu sulit. Terlebih anda mempunyai sedikit buat ipfw rules indofreebsd#pico /etc/ipfw.rules ################ Start of IPFW rules file ############################### # Get the IP addresses from /etc/resolv.conf file indofreebsd# buat ipnat.rules indofreebsd#pico /etc/ipnat.rules # ------------------------------------------------------------ lalu save langkah selanjut nya adalah me restart nya indofreebsd#reboot test gateway anda dengan menghubungkan pc client pada gateway tersebut kalo packet tidak berhasil di lewatkan artinya anda kurang teliti. demikian langkah langkah pembuatan gateway menggunakan ipfw + ipnat semoga berhasil.
keinginan dan pengetahuan tentang browser anda sudah bisa menginstall gateway dengan mudah
tanpa menghadapi kesulitan yang berarti.
Banyak Tulisan atau catatan mengenai pembuatan Gateway router yang masing masing memiliki kelebihan
dan kekurangan yang bervariasi.
Pada kesempatan kali ini saya hadirkan tentang tata cara pembuatan gateway yang sederhana, untuk menghandel
sebuah network kecil.
Untuk membangun sebuah gateway menggunakan IPFW dan IPNAT , maka diperlukan mengkompile kernel terlebih
dahulu. asumsi source kernel tercopy pada lokasi yang seperti biasa.
indofreebsd# cd /sys/i386/conf
indofreebsd#cp GENERIC INDOFREEBSD
indofreebsd#pico INDOFREEBSD
hal hal yang saya edit adalah bagian ini
ident indofreebsd
#options INET6 # saya belum merasa perlu mengaktifkan in.
dan menambahkan option ini
options IPFILTER
options IPFILTER_LOG
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options DUMMYNET
options HZ=1000
setelah mengedit konfigurasi kernel lalu saya mengcompile kernel ulang.
indofreebsd# cd /usr/src
indofreebsd#make buildkernel KERNCONF=INDOFREEBSD
--------------------------------------------------------------
--------------------------------------------------------------
indofreebsd# make installkernel KERNCONF=INDOFREEBSD
install -o root -g wheel -m 555 if_xe.ko /boot/kernel
===> xl (install)
install -o root -g wheel -m 555 if_xl.ko /boot/kernel
===> zlib (install)
install -o root -g wheel -m 555 zlib.ko /boot/kernel
kldxref /boot/kernel
indofreebsd#
setelah selesai masukan beberapa parameter yang kita butuhkan pada rc.conf
router_flags="-q"
router="/sbin/routed"
router_enable="YES"
gateway_enable="YES"
sendmail_enable="NONE"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
ipnat_enable="YES" # Start ipnat function
ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat
lalu save
indofreebsd#
# Flush out the list before we begin.
ipfw -q -f flush
ipfw pipe 1 config mask dst-ip 0x000000ff bw 256Kbit/s
ipfw pipe 2 config mask src-ip 0x000000ff bw 64Kbit/s
ipfw add 1 pipe 1 all from any to 192.168.1.0/24 in
ipfw add 2 pipe 2 all from 192.168.1.0/24 to any out
# Set rules command prefix
cmd="ipfw -q add"
pif="rl0" # public interface name of NIC
# facing the public Internet
#################################################################
# No restrictions on Inside LAN Interface for private network
# Not needed unless you have LAN.
# Change xl0 to your LAN NIC interface name
#################################################################
$cmd 00008 allow all from any to any via rl1
#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 00010 allow all from any to any via lo0
#################################################################
# Allow the packet through if it has previous been added to the
# the "dynamic" rules table by a allow keep-state statement.
#################################################################
$cmd 00015 check-state
#################################################################
# Interface facing Public Internet (Outbound Section)
# Interrogate session start requests originating from behind the
# firewall on the private network or from this gateway server
# destine for the public Internet.
#################################################################
$cmd 00114 allow tcp from any to any 53 out via $pif setup keep-state
$cmd 00115 allow udp from any to any 53 out via $pif keep-state
$cmd 00122 allow tcp from any to any 21 out via $pif setup keep-state
# Allow out non-secure standard www function
$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state
# Allow out secure www function https over TLS SSL
$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state
# Allow out send & get email function
$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state
$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state
# Allow out FBSD (make install & CVSUP) functions
# Basically give user root "GOD" privileges.
$cmd 00240 allow tcp from me to any out via $pif setup keep-state uid root
# Allow out ping
$cmd 00250 allow icmp from any to any out via $pif keep-state
$cmd 00251 allow udp from any to any 33434-33523
# Allow out Time
$cmd 00260 allow tcp from any to any 37 out via $pif setup keep-state
# Allow out nntp news (i.e. news groups)
$cmd 00270 allow tcp from any to any 460-30000 out via $pif setup keep-state
# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state
# Allow out whois
$cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state
# deny and log everything else that.s trying to get out.
$cmd 00299 deny log all from any to any out via $pif
#################################################################
# Interface facing Public Internet (Inbound Section)
# Interrogate packets originating from the public Internet
# destine for this gateway server or the private network.
#################################################################
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 00300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 00301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 00307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster interconnect
$cmd 00308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
$cmd 00309 allow icmp from any to any icmptypes 11 in
###########allow me to ping out and receive response back
$cmd 00311 allow icmp from any to any icmptypes 0 in
# Deny public pings
#$cmd 00312 deny icmp from any to any in via $pif
# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif
# Deny any late arriving packets
$cmd 00330 deny all from any to any frag in via $pif
# Deny ACK packets that did not match the dynamic rule table
$cmd 00332 deny tcp from any to any established in via $pif
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP.s DHCP server as it.s the only
# authorized source to send this packet type.
# Only necessary for cable or DSL configurations.
# This rule is not needed for .user ppp. type connection to
# the public Internet. This is the same IP address you captured
# and used in the outbound section.
#$cmd 00360 allow udp from any to x.x.x.x 67 in via $pif keep-state
$cmd 00361 allow tcp from any to any 1023-7000 in via $pif setup limit src-addr 2
# Allow in standard www function because I have apache server
$cmd 00400 allow tcp from any to me 80 in via $pif setup limit src-addr 2
# Allow in secure FTP, Telnet, and SCP from public Internet
#$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2
$cmd 00410 allow tcp from any to me 222 in via $pif setup limit src-addr 2
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
$cmd 00420 allow tcp from any to me 113 in via $pif setup limit src-addr 2
# Reject & Log all incoming connections from the outside
$cmd 00499 deny log all from any to any in via $pif
# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 00999 deny log all from any to any
################ End of IPFW rules file ###############################
# Use ipfilter FTP proxy for the firewall doing transfer mode
# active.
# ------------------------------------------------------------
map rl0 0.0.0.0/0 -> 0.0.0.0/32 proxy port ftp ftp/tcp
# ------------------------------------------------------------
# Use ipfilter FTP proxy for hosts behind NAT doing transfer
# mode active.
# ------------------------------------------------------------
map rl0 192.168.0.0/24 -> 0.0.0.0/32 proxy port ftp ftp/tcp
# -----------------------------------------------------------
# Map all internal UDP and TCP traffic to the external IP address
# -----------------------------------------------------------
map rl0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp 40000:60000
# -----------------------------------------------------------
# Map all other traffic e.g. ICMP to the external IP address
# -----------------------------------------------------------
map rl0 192.168.0.0/24 -> 0.0.0.0/32
Apa Itu 7 Layer OSI dalam Jaringan ?
Pengantar Model Open Systems Interconnection(OSI)
Model Open Systems Interconnection (OSI) diciptakan oleh International Organization for Standardization (ISO) yang menyediakan kerangka logika terstruktur bagaimana proses komunikasi data berinteraksi melalui jaringan. Standard ini dikembangkan untuk industri komputer agar komputer dapat berkomunikasi pada jaringan yang berbeda secara efisien.
Model Layer OSI
Terdapat 7 layer pada model OSI. Setiap layer bertanggungjawwab secara khusus pada proses komunikasi data. Misal, satu layer bertanggungjawab untuk membentuk koneksi antar perangkat, sementara layer lainnya bertanggungjawab untuk mengoreksi terjadinya “error” selama proses transfer data berlangsung.
Model Layer OSI dibagi dalam dua group: “upper layer” dan “lower layer”. “Upper layer” fokus pada applikasi pengguna dan bagaimana file direpresentasikan di komputer. Untuk Network Engineer, bagian utama yang menjadi perhatiannya adalah pada “lower layer”. Lower layer adalah intisari komunikasi data melalui jaringan aktual.
“Open” dalam OSI
“Open” dalam OSI adalah untuk menyatakan model jaringan yang melakukan interkoneksi tanpa memandang perangkat keras/ “hardware” yang digunakan, sepanjang software komunikasi sesuai dengan standard. Hal ini secara tidak langsung menimbulkan “modularity” (dapat dibongkar pasang).
Modularity
“Modularity” mengacu pada pertukaran protokol di level tertentu tanpa mempengaruhi atau merusak hubungan atau fungsi dari level lainnya.
Dalam sebuah layer, protokol saling dipertukarkan, dan memungkinkan komunikasi terus berlangsung. Pertukaran ini berlangsung didasarkan pada perangkat keras “hardware” dari vendor yang berbeda dan bermacam-macam alasan atau keinginan yang berbeda.
| Modularity |
 |
| Seperti contoh Jasa Antar/Kurir. “Modularity” pada level transportasi menyatakan bahwa tidak penting, bagaimana cara paket sampai ke pesawat. |
 |
| Paket untuk sampai di pesawat, dapat dikirim melalui truk atau kapal. Masing-masing cara tersebut, pengirim tetap mengirimkan dan berharap paket tersebut sampai di Toronto. Pesawat terbang membawa paket ke Toronto tanpa memperhatikan bagaimana paket tersebut sampai di pesawat itu. |
7 Layer OSI
Model OSI terdiri dari 7 layer :
- Application
- Presentation
- Session
- Transport
- Network
- Data Link
- Physical
Apa yang dilakukan oleh 7 layer OSI ?
Ketika data ditransfer melalui jaringan, sebelumnya data tersebut harus melewati ke-tujuh layer dari satu terminal, mulai dari layer aplikasi sampai physical layer, kemudian di sisi penerima, data tersebut melewati layer physical sampai aplikasi. Pada saat data melewati satu layer dari sisi pengirim, maka akan ditambahkan satu “header” sedangkan pada sisi penerima “header” dicopot sesuai dengan layernya.
Model OSI
Tujuan utama penggunaan model OSI adalah untuk membantu desainer jaringan memahami fungsi dari tiap-tiap layer yang berhubungan dengan aliran komunikasi data. Termasuk jenis-jenis protoklol jaringan dan metode transmisi.
Model dibagi menjadi 7 layer, dengan karakteristik dan fungsinya masing-masing. Tiap layer harus dapat berkomunikasi dengan layer di atasnya maupun dibawahnya secara langsung melalui serentetan protokol dan standard.
| Model OSI | Keterangan |
 | Application Layer: Menyediakan jasa untuk aplikasi pengguna. Layer ini bertanggungjawab atas pertukaran informasi antara program komputer, seperti program e-mail, dan service lain yang jalan di jaringan, seperti server printer atau aplikasi komputer lainnya. |
 | Presentation Layer: Bertanggung jawab bagaimana data dikonversi dan diformat untuk transfer data. Contoh konversi format text ASCII untuk dokumen, .gif dan JPG untuk gambar. Layer ini membentuk kode konversi, translasi data, enkripsi dan konversi. |
 | Session Layer: Menentukan bagaimana dua terminal menjaga, memelihara dan mengatur koneksi,- bagaimana mereka saling berhubungan satu sama lain. Koneksi di layer ini disebut “session”. |
 | Transport Layer: Bertanggung jawab membagi data menjadi segmen, menjaga koneksi logika “end-to-end” antar terminal, dan menyediakan penanganan error (error handling). |
 | Network Layer: Bertanggung jawab menentukan alamat jaringan, menentukan rute yang harus diambil selama perjalanan, dan menjaga antrian trafik di jaringan. Data pada layer ini berbentuk paket. |
 | Data Link Layer: Menyediakan link untuk data, memaketkannya menjadi frame yang berhubungan dengan “hardware” kemudian diangkut melalui media. komunikasinya dengan kartu jaringan, mengatur komunikasi layer physical antara sistem koneksi dan penanganan error. |
 | Physical Layer: Bertanggung jawab atas proses data menjadi bit dan mentransfernya melalui media, seperti kabel, dan menjaga koneksi fisik antar sistem. |
konfigurasi squid
cara configurasi squid pada linux.
squid adalah sebuah paket yang dimiliki oleh distro linux
banyak sekali fungsi dari squid diantaranya ialah:
1.menghemat bandwidth
2.memantau dan mengatur access ke internet
3.membagi layanan internet ke komputer atau client yang lain
dan lain sebagainya masih banyak dah... looking for on internet by yourself oche..
ada beberapa hal yang begitu penting dalam pengconfigurasian pada squid,yang begitu simple.-untuk mengeset sebuah squid dengan melakukan beberapa pengeditan aku mencoba untuk memberikan beberapa referensi yang pernah kupelajari.
pada pengkonfigurasian squid ada beberapa hal yang urgent dalam mengeset si squid agar bukan hanya server yang dapat menikmati yang namanya layanan internet tetapi client yang lain juga dapat menikmatinya tentu saja dengan bantuan switch atau hub dalam sebuah jaringan.hal -hal yang penting dalam membangun yang namanya squid ialah
1.http_port
@menentukan di port mana squid menerima koneksi dari internet
2.acl (access list) atu daftar access
@mengatur client yang dapat menggunakan layanan squid
3.visible_hostname
@sebagai identitas squid bila terjadi kesalahan error
nb:untuk kode # =tidak akan di eksekusi atau dijalankan oleh linux
untuk kode @ hanya sebuah penjelasan singkat agar tidak mengalami kebingugan
sebelaumnya yang perlu mengecek terlebih dahulu apakah squid sudah terinstall atau belum..maaf kalau belum terinstall anda mungkin bisa mnginstalnya dengan memasukkan cd yang keempaat
kebetulan kita menggunakan linux distro fedora
dengan mengetikkan perintah
[root@lab-sma ~]#rpm -q squid --@akan muncul
squid-2.6.STABLE4-1.fc6 --berarti ini adalah nama squidnya
selanjutnya langsung saja kita konfigurasi squid kita
ketik perintah
[root@lab-sma ~]# vi /etc/squid/squid.conf
# WELCOME TO SQUID 2.6.STABLE4
# ----------------------------
#
# This is the default Squid configuration file. You may wish
# to look at the Squid home page (http://www.squid-cache.org/)
for the FAQ and other documentation.
The default Squid config file shows what the defaults for
# various options happen to be. If you don't need to change the
# default, you shouldn't uncomment the line. Doing so may cause
# run-time problems. In some cases "none" refers to no default
# setting at all, while in other cases it refers to a valid
# option - the comments for that keyword indicate if this is the case
# NETWORK OPTIONS
# -----------------------------------------------------------------------------
# TAG: http_port
# Usage: port [options]
/etc/squid/squid.conf" 4325L, 148124C
--------------------cut------------------------------
setelah masuk keperintah vi /etc/squid/squid.conf carilah
http_port.untuk pencarian http ..
@kembali ke perintah dasar bahwa untuk pencarian cepat di linux tekan ctrl+w agar pencarian lebih mudah dan tulis keyword yang akan kita cari perintah ini adalah perintah editor ketika kita mengedit suatu file dengan menggunkan perintah editor nano.
tetapi bagi anda yang tidak bisa menggunkan perintah "nano" tetapi hanya bisa menggunkan perintah "vi " yang secara defaultnya sistem linux bisa menggunkan perintah "vi" ini dan pencaharinya dengan menekan "/ " < ----- tapi ingat perintah ini bekerja ketika kita dalam keadaan "esc " setelah kita mengetik ctrl+w atau / maka tulislah keyword =http_port. maka ia menunjukkan http port,sehingga kita lebih mudah untuk mengeset http_port-nya.
--------------------cut------------------------
TAG: http_port
# Usage: port [options]
# hostname:port [options]
# 1.2.3.4:port [options]
--------------------cut-----------------
---------------------------------------
# Squid normally listens to port 3128--
http_port 3128 --
---------------------------------------
@carilah tulisan seperti diatas...normalnya bahwa layanan port yang disediakan oleh si squid adalah port 3128.
kita bisa menggantinya menjadi port 8080 atau port yang kita inginkan
# Squid normally listens to port 3128
http_port 8080.
sepertinya pekerjaan pertama telah kita selesaikan
berikutnya yang kedua adalah untuk mengeset access listnya atau acl
keyword yang cepat adalah untuk bagain kedua ini yaitu
acl manager <----- tepat saasaran nih. sebelumnya.
-------------------start--------------.
#Recommended minimum configuration:.
acl all src 0.0.0.0/0.0.0.0.
acl manager proto cache_object.
acl localhost src 127.0.0.1/255.255.255.255.
acl to_localhost dst 127.0.0.0/8.
acl SSL_ports port 443 563.
sesudah.
--------------------------cut--------------------------.
setelah melakuakan perubahan.
#Recommended minimum configuration:.
acl all src 0.0.0.0/0.0.0.0.
acl manager proto cache_object.
acl localhost src 127.0.0.1/255.255.255.255.
acl komputer src 192.168.10.0/255.255.255.0.
acl to_localhost dst 127.0.0.0/8.
acl SSL_ports port 443 563
nah kita sudah melihat apa yang kita tambahkan yaitu.
acl komputer src 192.168.10.0/255.255.255.0.
bahwa kita sekarang telah memiliki sebuah acl yang bernama komputer atau bisa kita katakan bahwa nama jaringan kita adalah komputer.untuk penulisan ip beserta subnet adalah ip harus ip network dan subnetnya tergantung kebutuhan dan sesuaikan dengan prefixnya..
acl komputer src 192.168.10.0/255.255.255.0 berarti kita dapat memakai layanan squid tersebut untuk 254 komputer yang terhubung pada jaringan..
selanjutnya tinggal proses akhir atau si pengambil kebijakan (apakah jaringan tadi di allow atau di deny )lihat kamus artinya ...????
sebelum
-----------------------------------start------------------.
# And finally deny all other access to this proxy.
http_access allow localhost.
http_access deny all.
--------------------------------------------------------.
sesudah.
# And finally deny all other access to this proxy.
http_access allow localhost.
http_access allow komputer.
http_access deny all.
--------------------------------------------------------------
nah yang ditambahkan adalah nama dari acl yang telah kita buat.
contoh kita pakai nama komputer..
tapi ingat kita harus allow-menginjinkan.
sedangkan deny berarti menolak.jika kita mengganti allow menjadi deny maka jaringan akan tertolak untuk menggunakan layanan internet.
untuk dapat menikmati layanan internet maka tambahkan perintah ini.
http_access allow komputer.
sehingga ip range dari 192.168.10.1-192.168.10.254 /24 dapat menikmati internet.
pekerjaan kita selanjutnya adalah.
"untuk visible hostname"
#TAG: unique_hostname.
# If you want to have multiple machines with the same.
# 'visible_hostname' you must give each machine a different.
# 'unique_hostname' so forwarding loops can be detected..
#.
#Default:.
visible_hostname randyaja.ac.id
untuk penulisan visible_hostname harus dengan nama berbentuk domain atau mirip nama sebuah alamat situs..
mislanya.
telepon.co.id.
assalamualaiakum.ac.id.
dan lain sebagainya.
setelah itu tekan esc...dan tekan :wq.
lalu restart squid kita dengan perintah.
[root@labkom ~]# service squid restart
Stopping squid: [FAILED].
Starting squid: [ OK ]
[root@labkom ~]# service squid restart.
Stopping squid: [ OK ].
Starting squid: [ OK ].
atau perinath ini
[root@labkom ~]# /etc/init.d/squid restart
untuk merestart.
pada saat kita merestart konfigurasi squid kemungkinan akan muncul perintah tampilan field.
maka dari itu sebaiknya kita merestar lagi squid kita sekali lagi.
selesai deh.
.
tapi beda lagi dengan yang ini.
untuk langkah selanjutnya kita juga dapat memblok komputer mana yang tidak dapat mengakses layanan internet ini kita tambahkan setelah.
acl all src 0.0.0.0/0.0.0.0.
acl manager proto cache_object.
acl localhost src 127.0.0.1/255.255.255.255.
acl komputer src 192.168.10.0/255.255.255.0.
acl client src 192.168.10.23/255.255.255.255 ------menuju kesatu komputer.
# And finally deny all other access to this proxy.
http_access allow localhost.
http_access deny client.
http_access allow komputer.
http_access deny all
agar tidak dapat menerima access internet acl client harus di deny lebih dahulu daripada acl komputer.
untuk penulisan ip yang dituju perhatikan juag subnet masknya yaitu berupa broadcast yaitu 255.255.255.255.atau ff.ff.ff.ff.
ketika kita menuliskan perintah itu maka kita tidak akan dapat mengakses internet di komputer yang memiliki ip 192.168.10.23
Sabtu, 01 November 2008
tau kah kamu Nat di Mikrotik
Seperti yang telah kita ketahui ada dua jenis IP Address, yaitu Private IP dan Public IP. Untuk mendapat akses ke internet, komputer kita harus memiliki Public IP address yang dikenal oleh internet. Ketika kita mempunyai sebuah atau lebih jaringan lokal yang menggunakan IP Private, tetapi membutuhkan akses ke internet, maka kita tidak perlu memberi IP publik ke tiap komputer client, kondisi seperti ini, sangat cocok bila kita menerapkan NAT pada jaringan lokal kita,apakah NAT itu?
NAT (Network Address Translation) berfungsi menerjemahkan atau menantranslasikan IP address Private (IP address Local Area Network) ke Public IP address. Dengan NAT, kita hanya memerlukan minimal 1 buah Public IP Address untuk digunakan bersama oleh jaringan lokal kita yang tadinya tidak mempunyai akses internet menjadi mempunyai akses ke internet tanpa memberi IP public ke setiap computer client
TOPOLOGI
1. Addressing dan Routing pada masing-masing PC1.1 Pada Router LAN (GATEWAY)Pada konsol, ketikkan :ip address add address=202.20.20.2/24 interface=ether1
Hasilnya: request timed out.,2.2 PING dari client2Masuk command promt, lalu ping ke alamat 202.20.20.1Ping 202.20.20.1
Hasilnya: request timed out.Kedua keadaan ini disebabkan karena jaringan lokal kita tidak dapat berkomunikasi dengan jaringan luar bila alamat jaringan lokal kita tidak ada pada tabel routing router jaringan seberang, maka komunikasi antara kedua host tidak akan terjadi.3. Konfigurasi NAT pada Router LokalPada konsol router, masukanlah konfigurasi NAT dengan mengetikkan perintah dibawah ini pada konsol,ip firewall nat add action=masquerade chain=srcnat src-address=0.0.0.0/0 out-interface=ether2 disabled=no
4. Pengujian koneksi setelah menggunakan NAT4.1 Pada Client1Masuk command promt, lalu ping ke alamat 202.20.20.1ping 202.20.20.1
Hasilnya, reply from 202.20.20.1: bytes=32 time………. Maka koneksi telah terhubung4.2 Pada Client2Masuk command promt, lalu ping ke alamat 202.20.20.1ping 202.20.20.1
Hasilnya, reply from 202.20.20.1: bytes=32 time………. Maka koneksi telah terhubung,Kedua keadaan ini disebabkan karena NAT di router telah dikonfigurasi, sehingga semua client yang ada dibawah router akab memiliki koneksi ke internet dengan alamat ip public 202.20.20.2 yang telah di-NAT kan oleh router untuk dipakai bersama.
KESIMPULANKetika banyak komputer membutuhkan akses ke internet, tetapi kita hanya memiliki 1 buah alamat public IP address yang mempunyai akses ke internet, maka pada keadaan seperti ini NAT lah jawabannya, dengan NAT, kita dapat menggunakan akses internet secara sharing dengan mentranslasikan alamat public dengan alamat jaringan lokal, maka ketika melakukan akses ke internet, alamat jaringan memakai alamat ip public yang di NAT-kan sebelumnya
