Iptables – Blok Port TCP + UDP « bayu – mandriva

9 Mei 2007

Iptables – Blok Port TCP + UDP

Diarsipkan di bawah: Tips, iptables — bayuart @ 8:31 am

buat file blok-port.sh
—————————————————————————————————–
#!/bin/bash

#Iptables Blok TCP + UDP
#bayu @ 2006
#last modified 13 feb 2006
#blok-port.sh

clear

printf “Petunjuk\n”
printf “Baca dengan baik, asumsi tau apa yg harus di lakukan\n”
printf “Script ini hanya bekerja jika menggunakan eth0 dan eth1\n”
printf “Lakukan modifikasi jika Anda menggunakan Dial-Up\n”
printf “Isi Ethernet dengan nilai eth0 atau eth1, jika menggunakan Dial-Up\n”
printf “sesuaikan dengan nama device Dial-Upnya\n”
printf “Port yg akan di blok merupakan Protokol TCP dan UDP\n”
printf “Input Port bisa lebih dari 1, misal : \n”
printf “80,22,8080 – Lihat tanda koma\n”

printf “============================”
printf “Ethernet apa ? [eth0/eth1] = “
read n
printf “Masukkan Port yang akan di Blok = “
read y

#dport tcp
iptables -t filter -A INPUT -i $n -p tcp -m multiport –dports $y -j DROP
iptables -t filter -A OUTPUT -i $n -p tcp -m multiport –dports $y -j DROP
iptables -t filter -A FORWARD -i $n -p tcp -m multiport –dports $y -j DROP
#sport udp
iptables -t filter -A INPUT -i $n -p tcp -m tcp –sport $y -j DROP
iptables -t filter -A OUTPUT -i $n -p tcp -m tcp –sport $y -j DROP
iptables -t filter -A FORWARD -i $n -p tcp -m tcp –sport $y -j DROP

#dport udp
iptables -t filter -A INPUT -i $n -p udp -m multiport –dports $y -j DROP
iptables -t filter -A OUTPUT -i $n -p udp -m multiport –dports $y -j DROP
iptables -t filter -A FORWARD -i $n -p udp -m multiport –dports $y -j DROP
#sport udp
iptables -t filter -A INPUT -i $n -p udp -m udp –sport $y -j DROP
iptables -t filter -A OUTPUT -i $n -p udp -m udp –sport $y -j DROP
iptables -t filter -A FORWARD -i $n -p udp -m udp –sport $y -j DROP

clear

iptables -nvL | grep $y

echo “Port $y di $n Sudah di Blok”

———————————————————————————————

oke sekarang dibuat jadi executable
#chmod +x blok-port.sh

#./blok-port.sh

Petunjuk
Baca dengan baik, asumsi tau apa yg harus di lakukan
Script ini hanya bekerja jika menggunakan eth0 dan eth1
Lakukan modifikasi jika Anda menggunakan Dial-Up
Isi Ethernet dengan nilai eth0 atau eth1, jika menggunakan Dial-Up
sesuaikan dengan nama device Dial-Upnya
Port yg akan di blok merupakan Protokol TCP dan UDP
Input Port bisa lebih dari 1, misal :
80,22,8080 – Lihat tanda koma
=========================================
=====script blok port TCP + UDP =========
=========================================
Ethernet apa ? [eth0/eth1] = eth0
Masukkan Port yang akan di Blok = 10000,100000

————————-

sudah deh….
……………………
…………………..
………………….
…………………….
waduh sik salah :p~~
errornya

iptables v1.2.9: Can’t use -i with OUTPUT

nah udah ketahuan salahnya dimana, kalo gitu di comment aja bagian ini :

iptables -t filter -A OUTPUT -i $n -p tcp -m multiport –dports $y -j DROP
iptables -t filter -A OUTPUT -i $n -p tcp -m tcp –sport $y -j DROP
iptables -t filter -A OUTPUT -i $n -p udp -m multiport –dports $y -j DROP
iptables -t filter -A OUTPUT -i $n -p udp -m udp –sport $y -j DROP

selesai deh )

http://blog.360.yahoo.com/blog-tqY_WC4zer_UwKfWS2Mp?p=46

#update lagi untuk blok IP dan unblok IP yang masuk ke server/firewall

Blok IP

#!/bin/bash

printf “Masukkan IP yang akan di Blok = “
read y

iptables -t filter -A INPUT -s $y -d 0/0 -j DROP
iptables -t filter -A OUTPUT -s $y -d 0/0 -j DROP
iptables -t filter -A FORWARD -s $y -d 0/0 -j DROP

clear

iptables -nvL | grep $y

echo “IP $y Sudah di Blok”
——————————-

UnBlok IP

#!/bin/bash

printf “Masukkan IP yang akan di UnBlok = “
read y

iptables -t filter -D INPUT -s $y -d 0/0 -j DROP
iptables -t filter -D OUTPUT -s $y -d 0/0 -j DROP
iptables -t filter -D FORWARD -s $y -d 0/0 -j DROP

clear

iptables -nvL | grep $y

echo “IP $y Sudah di Un-Blok”
——————————–

Komentar (19)

& Komentar »

klo misal mau ngamanin proxysquid gimana caranya yah klo dari outside.. maksudnya yah untuk menjaga tangan jahil dari jaringan external../public.. please dunk …thx yah…

Komentar oleh ngurix — 13 September 2007 @ 4:01 pm
untuk squid, ada beberapa cara, misal

-buat squid hanya listen di IP LAN, misal IP LAN
192.168.0.1

http_port 192.168.0.1:3128

-buat acl dimana acl ini hanya mengallow user yang
telah di tentukan

-bikin rule iptables dengan drop dan allow ip yang di
bolehkan bisa dikombinasikan dengan port2 yang yang
listen di squid

Komentar oleh bayu — 13 September 2007 @ 5:51 pm
gimana cara ngeblokir port torrent di squid??
perintah iptable nya gimana

Komentar oleh dimas — 19 September 2007 @ 3:26 pm
iptables block torrent / bittorrent

port torrent dari http://www.dessent.net/btfaq/#ports adalah
6881-6889 ada juga 6881-6999

jadi untuk ngeblok dengan iptables cukup dengan perintah

iptables -t filter -A INPUT -p tcp –dports 6881:6889 -j DROP

iptables -t filter -A INPUT -p tcp –dports 6881:6999 -j DROP

atau

iptables -t filter -A INPUT -p tcp –destination-port 6881:6889 -j DROP
iptables -t filter -A INPUT -p tcp –destination-port 6881:6999 -j DROP

Komentar oleh bayu — 19 September 2007 @ 5:19 pm
makasih mas,
nanya lagi nih mas. apa port yang dipakai tiap aplikasi torrent itu sama mas???
misal BitTorrent dengan Utorrent dsb.
saya pernah lihat di utorrent ada fasilitas generate port.

Komentar oleh dimas — 21 September 2007 @ 4:29 pm
Thx a lot amigo

Komentar oleh Burkass Tchaikovsky — 12 November 2007 @ 12:25 pm
salam kenal,

mas gmn mo tnya nih..
klo script blok port tcp n udp-nya udh jln….nah klo kt ngmbalikan portny itu gmn????ak dh cb modif scriptny gag jd2 mlh error

matur tengkyu

Komentar oleh wahyu — 16 November 2007 @ 11:48 am
Mas gimana kalo mau ngeblok port game online dari iptables, misal game onlinenya RF Online atau Audition Dance.

Dikantor kebanyakan dipakai nge-game pas jam kerja, bikin koneksi berat aja.

Thanks.

Komentar oleh Sidarta — 22 November 2007 @ 4:54 pm
untuk blocking game, hal yg pertama dilakukan adalah
memonitor kondisi jaringan yang ada
hasil dari monitor tsb, akan bisa diketahui game2 tsb
menggunakan protokol apa dan menggunakan port berapa
setelah info tsb ok, baru kita bisa meng blok nya
menggunakan iptables ato aplikasi firewall lainnya

Komentar oleh bayuart — 27 November 2007 @ 1:33 pm
iptables di windows apa yah ?, gimana kalau kita mau block ip luar (202.xxx.xxx.xxx) di windows xp ?

Komentar oleh anakbaru — 14 Desember 2007 @ 11:56 pm
bisa pake personal firewall
liat di
http://www.download.com
http://www.softpedia.com
http://www.tucows.com

trus cari pake keyword “Personal Firewall”
pilih aja yang Freeware

Komentar oleh bayu — 15 Desember 2007 @ 11:59 am
[...] Iptables – Blok Port TCP + UDP [...]

Ping balik oleh Iptables - Blok Port TCP + UDP « Poweroflinux’s Weblog — 17 Desember 2007 @ 8:54 pm
mau share nih masalah TA, gimana caranya buat script di cron untuk mengurangi pulsa pada kasus warnet prabayar….
Aku pake debian etch4, php-mysql4, squid dan pemrograman socket client-server, untuk socket-client server udah jalan. sementara ilustrasi sebelumnya untuk pengurangan pulsa aku buat disocket juga (pulsa.c)tapi perhitungan pulsanya gak jalan…. aku pusing bgt mas, kalo mas bayu sempat bisa kasih saya kontak email/YM untuk saya contact nantinya…

Trims..
Wassalam…

Komentar oleh dedy — 3 Januari 2008 @ 7:29 pm
trims panduannya, sekarang misal yg kita blok bukan IP tapi URL misal: yahoo.com, google.com dan sebagainya bagaimana caranya????

bayu:

jika kernel udah support (maksudnya modul iptables di kernel untuk cek resolv, dan biasanya default udah) tinggal masukin aja nama domain yg akan di blok, nanti akan ng-resolv sendiri mas…

Komentar oleh irvanaw — 11 Maret 2008 @ 2:32 pm
Mas mau tanya nih kalo mau ngeblock berdasarkan alamat Mac nya gimana mas caranya.

bayu:

iptables blok / block mac address, contohnya seperti ini:

misal mac addressnya 00:0F:EA:91:04:08

iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP

misal hanya meperboleh kan akses SSH dari mac address 00:0F:EA:91:04:08

iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

Komentar oleh Apin — 9 Mei 2008 @ 2:44 pm
ass..
mas kalo mau meloloskan alamat Mac nya gimana mas caranya?
maksudnya alamat Macnya di maping, cuman yg client yg sudah ditentukan tok,selain Mac itu gak bisa akses internet
makasih mas

bayu:
kalo logikanya tetep pake iptables. sama dengan cara sebelomnya. kalo cuman meloloskan mac tertentu kan tinggal pake opsi ACCEPT
nah yang perlu di pelajari adalah urutan rule nya. ingat ini, kebalik urutan rule, tidak akan sesuai dengan keinginan yang kita harapkan.
kalo contoh kasus mas, tinggal accept semua mac nya trus di baris paling bawah kasih drop semua.
gampang kan ?

Komentar oleh hani — 11 Mei 2008 @ 9:30 pm
mas, gimana block torrent ?
jika block tcp ports,
torrent client masih lagi akses using udp

bayu:
coba perhatikan lagi mas
di iptables ada opsi -p tcp/udp. jadi gak hanya tcp aja, udp juga bisa
silahkan di ganti yg pake tcp ke udp

Komentar oleh piju — 8 Juli 2008 @ 11:23 am
Mas mo minta tolong bisa gak buatin script dimana operator (IP base) hanya bisa akses internet jika salah satu dari client warnet ada yg online. Yaaa jaga2 biar akses internet gak dipake operator seenaknya, maklum Mas… masih pake Time based.

Komentar oleh TOTO — 15 Juli 2008 @ 8:55 am
ngga mudeng banget

mas, gimana caranya ngeblok ip yang udah dilistkan dalam ip.txt menggunakan iptables ini

makasih sebelum dan sesudahnya Lam kenal

bayu :

ini contoh aja, sesuaikan dengan sikon disitu
buat script bash misal kasi nama ipblock.sh, isinya seperti ini

#!/bin/bash # Bash script block IP Address dan MAC Address
iptables=”/sbin/iptables” #path ke iptables files=”/etc/listblock.txt” #path ke list IP Address dan MAC Address device=”eth1″ #ethernet devices ke client lockall=”yes” #yes|no ,yes jika mendaftarkan semua IP & MAC Address #jika tidak, tulis no. #yes untuk metode pertama, no untuk metode kedua if [ $lockall = "yes" ]; then $iptables -I PREROUTING -t nat -i $device -j DROP cat $files | while read ip_address mac_address; do $iptables -I PREROUTING -t nat -i $devices -s $ip_address \ -m mac –mac-source $mac_address -j ACCEPT $iptables -I FORWARD -i $device -s ! $ip_address \ -m mac –mac-source $mac_address -j DROP $iptables -I PREROUTING -t nat -s ! $ip_address \ -m mac –mac-source $mac_address -j DROP done elif [ $lockall = "no" ]; then $iptables -I PREROUTING -t nat -i $device -j ACCEPT cat $files | while read ip_address mac_address; do $iptables -I FORWARD -i $device -s ! $ip_address \ -m mac –mac-source $mac_address -j DROP $iptables -I PREROUTING -t nat -s ! $ip_address \ -m mac –mac-source $mac_address -j DROP done fi
echo “Locking IP Address and Mac Address…” #end script
simpan trus kasih chmod +x biar bisa di eksekusi/dijalankan

trus buat daftar ip file nya (/etc/listblock.txt) dengan format seperti ini :

contoh :

Peringatan!! Jangan tambahkan baris apapun atau kalimat apapun selain format diatas!

Contoh isi file /etc/rc.d/list.txt untuk 3 client:

192.168.1.5 00:89:CD:64:01:EF
192.168.1.20 00:90:DD:14:11:CF
192.168.1.14 00:40:EE:21:26:GE

from :
http://mujie.blog.niwakarya.com/keamanan/2005/11/21/otomatisasi-firewalling-ip-dan-mac-address-dengan-iptables.html

Komentar oleh angga — 16 November 2008 @ 3:17 pm

RSS umpan untuk komentar-komentar dalam tulisan ini. URI Lacak Balik

	ibel di Install SLAX ke Harddisk
	dimas di Buku Tamu
	dimas di Buku Tamu
	Dodi Nugraha di OOT : Mulan Jameela VS Maia …
	Edwio di HTB-GEN cara mudah memanage…
	dimas di Buku Tamu
	ovan di Mandriva 2009.1 Spring : Insta…
	edwin di Cara gampang liat distro vs…
	Muhamad Arief Sadiki… di CD Linux Gratis = Ubuntu Kubun…
	rahmulyo di OOT : Mulan Jameela VS Maia …

bayu – mandriva – other Linux

9 Mei 2007