Konfigurasi DMZ Area
Konfigurasi DMZ Area
DMZ atau
De-Militarized Zone adalah sebuah mekanisme untuk mengisolasi suatu jaringan
untuk melindungi jaringan internal didalamnya dari serangan-serangan pihak yang
tidak bertanggung jawab seperti hacker atau cracker. DMZ melakukan suatu
perpindahan layanan dari suatu jaringan ke jaringan yang lain. Sehingga ketika
ada cracker yang menyerang, ia hanya bisa menyerang sampai titik DMZ area itu
tadi, dan tidak bisa sampai ke jaringan internal didalamnya.
Salah satu contoh
pengimplementasian dari DMZ adalah dengan menempatkan
sebuah Server lokal dibelakang sebuah Firewall yang nantinya Server tersebut
dapat diakses dari internet menggunakan ip publik milik si Firewall. Jadi
mekanismenya dengan cara pengalihan layanan milik Firewall ke layanan milik si
Server. Mungkin kalian sedikit bingung dengan pemahaman ini, oleh karena itu
lebih baik langsung saja kita praktekkan agar kalian nantinya bisa mengerti
dengan sendirinya. Sekarang perhatikan terlebih dahulu topologi jaringan
dibawah ini :
Sekarang posisi saya berada di komputer Router, dan yang ingin saya buat sebagai
area DMZ adalah si komputer Server. Lalu kita tentukan terlebih dahulu ip
address – ip addressnya berdasarkan konfigurasi-konfigurasi kita yang
sebelumnya, yaitu ip address publik milik Router adalah 10.0.2.15 dan ip
address lokal milik server adalah 192.168.1.1. Kemudian kita tentukan juga service-service
yang akan dialihkan menggunakan metode DMZ ini, yaitu service HTTP, FTP, DNS,
Mail & Webmail, serta Samba File Sharing. Kalian boleh bereksperimen
menambahkan service-service yang lainnya jika kalian mau.
Setelah menentukan
itu semua, barulah kita dapat memulai proses konfigurasinya. Caranya adalah sebagai
berikut :
Pertama-tama seperti biasa, masuklah ke dalam
mode user root terlebih dahulu agar proses konfigurasi menjadi lebih efisien :
sudo
-i
Pada konfigurasi DMZ kali ini, saya ingin mencoba menggunakan cara lain untuk membuat sebuah konfigurasi
Firewall. Yaitu dengan menggunakan sebuah file script. Karena cara ini secara
umum lebih banyak disukai dibandingkan dengan cara manual seperti konfigurasi-konfigurasi
sebelumnya. Karena kalian cukup memasukkan semua perintah konfigurasi ke dalam
sebuah file script, setelah selesai tinggal jalankan saja scriptnya.
Nah,sekarang cobalah buat sebuah script baru bernama iptables-dmz dengan cara
berikut :
nano
iptables-dmz
Setelah file
tersebut terbuka, isikan didalamnya dengan seluruh perintah iptables yang
diperlukan untuk
membuat DMZ Area seperti berikut ini :
#!/bin/sh
#Memperbolehkan
akses routing dan keluar jaringan
iptables
-A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables
-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#
DMZ untuk DNS
iptables
-A INPUT -p tcp -d 10.0.2.15 --dport 53 -j ACCEPT
iptables
-A FORWARD -p tcp -d 192.168.1.1 --dport 53 -j ACCEPT
iptables
-t nat -A PREROUTING -p tcp -d 10.0.2.15 --dport 53 -j DNAT --to
192.168.1.1:53
iptables
-A INPUT -p udp -d 10.0.2.15 --dport 53 -j ACCEPT
iptables
-A FORWARD -p udp -d 192.168.1.1 --dport 53 -j ACCEPT
iptables
-t nat -A PREROUTING -p udp -d 10.0.2.15 --dport 53 -j DNAT --to
192.168.1.1:53
#DMZ
untuk Webserver
iptables
-A INPUT -p tcp -d 10.0.2.15 --dport 80 -j ACCEPT
iptables
-A FORWARD -p tcp -d 192.168.1.1 --dport 80 -j ACCEPT
iptables
-t nat -A PREROUTING -p tcp -d 10.0.2.15 --dport 80 -j DNAT --to
192.168.1.1:80
#DMZ
untuk FTP
iptables
-A INPUT -p tcp -d 10.0.2.15 --dport 21 -j ACCEPT
iptables
-A FORWARD -p tcp -d 192.168.1.1 --dport 21 -j ACCEPT
iptables
-t nat -A PREROUTING -p tcp -d 10.0.2.15 --dport 21 -j DNAT --to
192.168.1.1:21
#DMZ
untuk FTP Passive
iptables
-A INPUT -p tcp -m multiport -d 10.0.2.15 --dport 5000:5005 -j
ACCEPT
iptables
-A FORWARD -p tcp -m multiport -d 192.168.1.1 --dport 5000:5005
-j
ACCEPT
iptables
-t nat -A PREROUTING -p tcp -m multiport -d 10.0.2.15 --dport
5000:5005
-j DNAT --to 192.168.1.1
#DMZ
untuk Mail & Webmail
iptables
-A INPUT -p tcp -m multiport -d 10.0.2.15 --dport 80,25,110,143
-j
ACCEPT
iptables
-A FORWARD -p tcp -m multiport -d 192.168.1.1 --dport
80,25,110,143
-j ACCEPT
iptables
-t nat -A PREROUTING -p tcp -m multiport -d 10.0.2.15 --dport
80,25,110,143
-j DNAT --to 192.168.1.1
#DMZ
untuk Samba
iptables
-A INPUT -p udp -m multiport -d 10.0.2.15 --dport 137:139 -j
ACCEPT
iptables
-A FORWARD -p udp -m multiport -d 192.168.1.1 --dport 137:139 -j
ACCEPT
iptables
-t nat -A PREROUTING -p tcp -m multiport -d 10.0.2.15 --dport
137:139
-j DNAT --to 192.168.1.1
exit
0
• Simpanlah file
tersebut dengan menekan CTRL + X > Y > Enter, lalu berilah hak akses executable
agar file tersebut bisa dieksekusi dengan cara berikut :
chmod
+x iptables-dmz
• Sekarang
jalankan script tersebut dengan perintah ini :
./iptables-dmz
Untuk mengetesnya,
kalian dapat mengakses masing-masing service yang telah di-DMZ kan dengan cara
membuka tiap-tiap service menggunakan ip publik milik Router, bukan lagi
menggunakan ip lokal milik Server. Sebagai contoh kalian dapat membuka service
HTTP melalui browser dan akseslah alamat http://10.0.2.15, maka nanti akan
tampil halaman web yang telah kalian buat di komputer Server yang beralamatkan
192.168.1.1. Sama halnya dengan FTP, DNS, Mail maupun Samba. Kalian dapat
mengakses FTP melalui browser dengan membuka alamat ftp://10.0.2.15, membuka webmail dengan membuka alamat
http://10.0.2.15/roundcube, dan sebagainya. Nanti yang terbuka oleh kalian
adalah service-service yang berada di komputer Server semua. Jika belum
dikonfigurasi DMZ seperti tadi, maka hal ini tidak akan mungkin terjadi karena seharusnya
di komputer Router memang tidak memiliki service-service seperti Webserver,
FTP, DNS, Mail, ataupun Samba. Jadi intinya DMZ akan mengalihkan layanan-layanan
yang telah diatur sesuai rule-rule tertentu. Dengan kondisi seperti ini, para
Hacker yang menyerang akan terkecoh karena mereka mengira sedang mengakses IP
Publik si komputer Router, padahal sebenarnya mereka sudah dialihkan ke
komputer Server.
EraWulan
Source : Mahir Administrasi Server dan Router dengan Linux Ubuntu Server 12.04 LTS
EraWulan
Source : Mahir Administrasi Server dan Router dengan Linux Ubuntu Server 12.04 LTS
