Henry Saptono
Hampir sebagian besar perusahaan memiliki jaringan komputer didalamnya untuk menunjang pekerjaan dan usahanya. Didalam jaringan komputer tersebut umumnya tersedia berbagai service atau layanan seperti web, email, database, file server dan lain-lain. Bahkan sebagian besar perusahaan saat ini memiliki web site sebagai suatu media informasi dan bahkan juga sebagai media transasksi usaha mereka, yang sudah tentu dapat menunjang bisnis mereka. Beberapa perusahaan juga membangun berbagai aplikasi sistem informasi yang dibutuhkan dalam bentuk web (web based). Email juga menjadi layanan yang sangat dibutuhkan oleh perusahaan untuk berkomunikasi dengan pihak lain dengan cepat dan murah. Jadi bisa kita bayangkan bahwa kebutuhan akan layanan-layanan jaringan seperti web dan email server menjadi sangat penting saat ini disamping layanan lainnya. Dan layanan-layanan itu mungkin juga harus dapat diakses dari internet tidak hanya dari internal network (LAN).
Ketika suatu perusahaan berencana ingin membuat dan mengelola sendiri web server dan email server serta beberapa server lainnya yang dapat diakses dari internet tidak hanya dari internal network (LAN) maka dibutuhkan akses internet yang memadai. Maksud memadai disini adalah tersedia bandwidth yang cukup besar untuk memungkinkan proses transfer data yang lebih baik, dan tersedia beberapa IP public untuk beberapa komputer server (server web, email, dan lain-lain). Permasalahan timbul ketika kita hanya memperoleh sebuah IP public atau IP public yang tersedia tidak mencukupi untuk sejumlah komputer server yang akan kita buat. Untungnya dengan teknik NAT/DNAT kita dapat menyelesaikan permasalahan tersebut.
Dalam artikel kali ini penulis akan menjelaskan bagaimana agar internal (private) server dapat diakses dari internet dengan teknik NAT/DNAT menggunakan shorewall firewall. Dalam artikel ini penulis menggunakan sebuah komputer yang akan dijadikan sebagai gateway/firewall yang nantinya bertindak sebagai pendistribusi traffic dari internet ke beberapa server yang menyediakan layanan-layanan seperti web dan email server yang terdapat dalam internal network (LAN). Dan komputer yang akan dijadikan gateway/firewall tersebut menggunakan sistem operasi Linux CentOS 5.
Skenario
Sebelumnya penulis mengasumsikan pembaca telah mengerti bagaimana melakukan instalasi sistem linux CentOS 5 dan instalasi shorewall paket binary rpm ( http://www.invoca.ch/pub/packages/shorewall/4.0/) atau pembaca dapat membaca artikel atau tutorial lainnya yang berkaitan dengan instalasi linux CentOS 5 serta manajemen software di linux khususnya manajemen paket rpm. Untuk memudahkan penjelasan, penulis membuat sebuah skenario sebagaimana yang tampak pada gambar 1.
Gambar 1. Skema jaringan
Skenario berdasarkan gambar 1 adalah sebagai berikut:
-Jalur koneksi internet menggunakan modem ADSL yang memiliki IP address yang terhubung ke LAN yaitu 202.202.202.153/30
-Komputer gateway/firewall memiliki 2 buah interface network yaitu eth0 dan eth1 masing-masing sebagai berikut:
* eth0 adalah interface network yang terhubung langsung dengan modem ADSL. IP eth0 adalah 202.202.202.154 dengan netmask 255.255.255.252
* eth1 adalah interface network yang terhubung dengan Internal network dengan IP 192.168.1.1/24
-Pada internal network terdapat dua buah server yaitu sebagai berikut:
* Web server memiliki IP address 192.168.1.2
* Email server (SMTP dan POP3) memiliki IP address 192.168.1.3
-Semua traffic http (port 80) dari internet menuju interface eth0 (202.202.202.154) komputer gateway/firewall akan diarahkan ulang menuju komputer web server (192.168.1.2)
-Semua traffic smtp dan pop3 (port 25 dan 110) dari internet menuju interface eth0 (202.202.202.154) komputer gateway/firewall akan diarahkan ulang menuju komputer Email server (192.168.1.3)
-Default kebijakan firewall pada komputer gateway adalah menolak semua traffic dari internet menuju LAN, dan menolak semua traffic dari internet ke komputer gateway/firewall.
Langkah Konfigurasi
Enbale IP Forwarding
Langkah konfigurasi pertama adalah mengkonfigurasi komputer agar berfungsi sebagai gateway, yaitu dengan menjalankan perintah berikut:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Atau Edit file /etc/sysctl.conf dan set parameter net.ipv4.ip_forward = 1
Konfigurasi Shorewall Firewall
Konfigurasi selanjutnya adalah mengkonfigurasi shorewall sebagai firewall agar sesuai skenario yang telah dipaparkan sebelumnya. Untuk itu ikuti langkah-langkahnya berikut:
- Pastikan agar shorewall dapat diaktifkan, dengan cara mendefinisikan parameter STARTUP_ENABLED=Yes pada file /etc/shorewall/shorewall.conf
Mendefinisikan zone network dengan cara mengedit file /etc/shorewall/zones, sehingga isi file tersebut seperti berikut ini:
###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
lan ipv4
net ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
-Mendefinisikan interface untuk tiap zone yang telah didefinisikan dengan cara mengedit file /etc/shorewall/interfaces, sehingga isi file tersebut seperti berikut ini:
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
net eth0
lan eth1
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
-Mendefinisikan default policy, dengan cara mengedit file /etc/shorewall/policy, sehingga isi file tersebut seperti berikut ini:
###############################################################################
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
fw lan ACCEPT
fw net ACCEPT
lan fw ACCEPT
lan net ACCEPT
net fw DROP info
net lan DROP info
all all DROP
#LAST LINE -- DO NOT REMOVE
-Mendefinisikan rule masquerade agar dapat meneruskan traffic dari LAN ke Internet, dengan cara mengedit file /etc/shorewall/masq sebagai berikut:
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth0 eth1
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
-Langkah berikutnya mendefinisikan rule firewall sesuai dengan skenario, dengan mengedit file /etc/shorewall/rules sebagai berikut:
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
DNAT net lan:192.168.1.3 tcp 25 - 202.202.202.154
DNAT net lan:192.168.1.3 tcp 110 - 202.202.202.154
DNAT net lan:192.168.1.2 tcp 80 - 202.202.202.154
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
-Selanjutnya aktifkan shorewall, atau jika sebelumnya sudah aktif maka restart shorewall agar membaca konfigurasi yang telah dibuat, seperti berikut ini:
[root@gw ~]# shorewall start
atau
[root@gw ~]# shorewall restart
Selamat mencoba.
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar