bayu - mandriva - other Linux » iptables

Simple Captive Portal

bayuart — Tue, 23 Jun 2009 04:12:16 +0000

Apa itu captive portal ? cek disini :

dan pada dasarnya seperti ini :

Captive Portal merupakan suatu teknik autentikasi dan pengamanan data yang lewat dari network internal ke network eksternal. Captive Portal sebenarnya merupakan mesin router atau gateway yang memproteksi atau tidak mengizinkan adanya trafik, sampai user melakukan registrasi terlebih dahulu ke dalam sistem. Biasanya Captive Portal ini digunakan pada infrastruktur wireless seperti hotspot area, tapi tidak menutup kemungkinan diterapkan pada jaringan kabel.

Ok, langsung aja, kita akan bikin Captive Portal sederhana, dengan menggunakan :

Mandriva Linux 2009.1 (http://bayu.blitar.org?l=aqR5Pneu)
Coova Chilli (http://bayu.blitar.org?l=NOa0OAbb)
Freeradius (http://bayu.blitar.org?l=rUjUVXBP)
2 Ethernet card, 1 ke arah Internet, 1 ke arah LAN

MySQL nya ? ntar aja, kita mo bikin captive portal sesimple dulu. Lanjut …

Install Mandriva 2009.1, bisa merujuk ke http://bayu.blitar.org?l=AucYwqtw , lainnya terserah Anda .

Setelah instalasi Mandriva Linux, jangan lupa install webserver nya :

urpmi apache

Setelah ok semua, kita lanjut ke instalasi inti dari captive portal itu sendiri, yaitu coova-chilli dan Freeradius. Oiya, sebelome untuk melanjutkan proses ini, jangan lupa juga menyambungkan mandriva linux ke repository terdekat. Gambarannya isa diliat disini : http://bayu.blitar.org?l=AmEHtkFr.

Install Coova ChilliSpot

urpmi chillispot

atau

urpmi coova

Setelah selesai, langsung jalankan :

/etc/init.d/chilli start

atau

service chilli start

Dengan perintah diatas, disamping kita menjalankan service/layanan captive portal, kita juga menggenerate otomatis konfigurasi untuk captive portal. Dan konfigurasi standar hasil generate ini di letakkan di :

/etc/chilli/

[server@smpn1ksb ~]$ ls -l /etc/chilli
total 40
-rw-r–r– 1 root root 5776 2009-06-22 11:58 defaults
-rwxr-xr-x 1 root root 385 2008-12-17 06:33 down.sh*
-rwxr-xr-x 1 root root 8045 2008-12-17 06:33 functions*
-rw-r–r– 1 root root 0 2009-06-23 06:00 hs.conf
-rw-r–r– 1 root root 0 2009-06-23 06:00 local.conf
-rw-r–r– 1 root root 851 2009-06-23 03:42 main.conf
-rwxr-xr-x 1 root root 319 2009-06-23 05:42 route.sh*
-rwxr-xr-x 1 root root 1596 2009-06-23 05:36 up.sh*
drwxr-xr-x 2 root root 4096 2009-06-21 09:32 www/
-rwxr-xr-x 1 root root 670 2008-12-17 06:33 wwwsh*
[server@smpn1ksb ~]$

Untuk file /etc/chilli.conf jangan diutak atik, biarkan standar/default dulu. Dengan hasil konfigurasi seperti diatas. Captive Portal ini sudah bisa digunakan.

Diagram gambar Jaringan :

Internet <> Modem <> Captive Portal <> LAN

Meskipun captive portal sudah bisa digunakan, dan bisa melayani permintaan dari LAN. Ini masih ada kelemahannya. Kelemahannnya adalah :

Langsung tersambung ke server radius coova.org
Tidak bisa langsung digunakan untuk akses internet, harus daftar ke coova.org

Untuk mengatasi kelemahan tersebut, kita akan pasang Server Radius sendiri menggunakan Freeradius.

Selengkapnya

Setting DHCP Server

bayuart — Tue, 16 Jun 2009 03:13:39 +0000

Lanjutan lagi dari :
http://bayuart.blogspot.com/2009/06/konfigurasi-mandriva-linux-warnet.html
http://bayuart.wordpress.com/2009/06/05/mandriva-2009-1-spring-in-action-d-part-deux/
http://bayu.blitar.org/2009/06/02/warung-internet-1/
http://bayu.blitar.org/2009/06/05/mandriva-20091-spring-in-action-d/

Setelah kita melihat file konfigurasi shorewall yang kita gunakan sebagai firewall di Mandriva Linux kita, akhirnya kita melanjutkan ke setingan default DHCP dari hasil proses Internet Connection Sharing untuk Warnet / Warung Internet.

/etc/dhcpd.conf
——————————————–
ddns-update-style none;
subnet 192.168.0.0 netmask 255.255.255.0 {
        # default gateway
        option routers 192.168.0.1;
        option subnet-mask 255.255.255.0;

option domain-name “homeland.net”;
option domain-name-servers 202.134.1.10;

        range dynamic-bootp 192.168.0.16 192.168.0.253;
        default-lease-time 21600;
        max-lease-time 43200;
}
——————————————–

Konfigurasi diatas sangatlah sederhana, dan langsung bisa di aplikasikan.

Konfigurasi Mandriva Linux Warnet

bayuart — Tue, 09 Jun 2009 04:38:16 +0000

Terusan dari tulisan :

http://bayuart.wordpress.com/2009/06/05/mandriva-2009-1-spring-in-action-d-part-deux/
http://bayu.blitar.org/2009/06/02/warung-internet-1/
http://bayu.blitar.org/2009/06/05/mandriva-20091-spring-in-action-d/

Sekarang kita mo menginjak ke konfigurasi dari mandriva linux yang sebelomnya telah terinstall sebagai gateway server warnet / pc router. Dari tulisan sebelumnya mandriva linux yang digunakan adalah versi mandriva linux 2009.1 spring free edition dual iso serta menggunakan aplikasi server gateway seperti :

shorewall untuk firewall
squid untuk layanan proxy
dhcp-server untuk layanan ip dinamis
bind untul layanan dns / cache lokal

Shorewall
Shorewall yang merupakan kependekan dari Shoreline Firewal, merupakan firewall yang berbasiskan kepada iptables yang dipermudah dalam penggunaanya, apabila anda telah terbiasa menggunakan iptables maka anda mungkin tidak akan membutuhkan tools semacam ini, shorewall dapat di installasi pada kebanyakan sistem Linux, disini saya menggunakan mandriva linux 2009.1 spring untuk dijadikan sebagai Gateway+Router dan juga transparent proxy, untuk mendapatkan versi terbarunya anda dapat mengunjungi web resmi Shorewall.

The Shoreline Firewall, more commonly known as “Shorewall”, is high-level tool for configuring Netfilter. You describe your firewall/gateway requirements using entries in a set of configuration files. Shorewall reads those configuration files and with the help of the iptables, iptables-restore, ip and tc utilities, Shorewall configures Netfilter and the Linux networking subsystem to match your requirements. Shorewall can be used on a dedicated firewall system, a multi-function gateway/router/server or on a standalone GNU/Linux system. Shorewall does not use Netfilter’s ipchains compatibility mode and can thus take advantage of Netfilter’s connection state tracking capabilities… from Shorewall.

Selengkapnya

Debian iptables

bayuart — Thu, 16 Aug 2007 13:05:54 +0000

Debian sekarang defaultnya tidak pake initscript untuk iptables. Ini artinya akan jadi masalah (buat newbie) pas komputer di reboot ulang, rule iptables ilang !!!.

Untuk ngatasi hal tsb, disini asumsinya debian udah terinstal dengan baik dan bekerja dengan baik pula. Langkah pertama , buat rule iptables dan coba liat daftar rule iptablesnya, seperti dibawah ini:

iptables --list

jika dari perintah tsb diatas hasilnya sama dengan rule iptables yang dibuat, kemudian lakukan penyimpanan. Misalnya simpan ke /etc/firewall.conf atau terserah mo disimpan dimana (sesuaikan selera masing-masing)

iptables-save > /etc/firewall.conf

Kemudian buat script untuk start dan stop rule iptables diatas agar setiap kali boot rule iptables akan aktif:

echo "#!/bin/sh" > /etc/network/if-up.d/iptables
echo "iptables-restore < /etc/firewall.conf" >> /etc/network/if-up.d/iptables
chmod +x /etc/network/if-up.d/iptables

cara lainnya

edit file /etc/network/interface, isikan seperti contoh ini:

iface eth0 inet dhcp

        pre-up iptables-restore < /etc/firewall.conf

bisa juga di kopikan initscriptnya iptables dari debian woody

dll

banyak jalan menuju ke roma

Iptables – Blok Port TCP + UDP

bayuart — Wed, 09 May 2007 01:31:55 +0000

buat file blok-port.sh
—————————————————————————————————–
#!/bin/bash

#Iptables Blok TCP + UDP
#bayu @ 2006
#last modified 13 feb 2006
#blok-port.sh

clear

printf “Petunjuk\n”
printf “Baca dengan baik, asumsi tau apa yg harus di lakukan\n”
printf “Script ini hanya bekerja jika menggunakan eth0 dan eth1\n”
printf “Lakukan modifikasi jika Anda menggunakan Dial-Up\n”
printf “Isi Ethernet dengan nilai eth0 atau eth1, jika menggunakan Dial-Up\n”
printf “sesuaikan dengan nama device Dial-Upnya\n”
printf “Port yg akan di blok merupakan Protokol TCP dan UDP\n”
printf “Input Port bisa lebih dari 1, misal : \n”
printf “80,22,8080 – Lihat tanda koma\n”

printf “============================”
printf “Ethernet apa ? [eth0/eth1] = “
read n
printf “Masukkan Port yang akan di Blok = “
read y

#dport tcp
iptables -t filter -A INPUT -i $n -p tcp -m multiport –dports $y -j DROP
iptables -t filter -A OUTPUT -i $n -p tcp -m multiport –dports $y -j DROP
iptables -t filter -A FORWARD -i $n -p tcp -m multiport –dports $y -j DROP
#sport udp
iptables -t filter -A INPUT -i $n -p tcp -m tcp –sport $y -j DROP
iptables -t filter -A OUTPUT -i $n -p tcp -m tcp –sport $y -j DROP
iptables -t filter -A FORWARD -i $n -p tcp -m tcp –sport $y -j DROP

#dport udp
iptables -t filter -A INPUT -i $n -p udp -m multiport –dports $y -j DROP
iptables -t filter -A OUTPUT -i $n -p udp -m multiport –dports $y -j DROP
iptables -t filter -A FORWARD -i $n -p udp -m multiport –dports $y -j DROP
#sport udp
iptables -t filter -A INPUT -i $n -p udp -m udp –sport $y -j DROP
iptables -t filter -A OUTPUT -i $n -p udp -m udp –sport $y -j DROP
iptables -t filter -A FORWARD -i $n -p udp -m udp –sport $y -j DROP

clear

iptables -nvL | grep $y

echo “Port $y di $n Sudah di Blok”

———————————————————————————————

oke sekarang dibuat jadi executable
#chmod +x blok-port.sh

#./blok-port.sh

Petunjuk
Baca dengan baik, asumsi tau apa yg harus di lakukan
Script ini hanya bekerja jika menggunakan eth0 dan eth1
Lakukan modifikasi jika Anda menggunakan Dial-Up
Isi Ethernet dengan nilai eth0 atau eth1, jika menggunakan Dial-Up
sesuaikan dengan nama device Dial-Upnya
Port yg akan di blok merupakan Protokol TCP dan UDP
Input Port bisa lebih dari 1, misal :
80,22,8080 – Lihat tanda koma
=========================================
=====script blok port TCP + UDP =========
=========================================
Ethernet apa ? [eth0/eth1] = eth0
Masukkan Port yang akan di Blok = 10000,100000

————————-

sudah deh….
……………………
…………………..
………………….
…………………….
waduh sik salah :p~~
errornya

iptables v1.2.9: Can’t use -i with OUTPUT

nah udah ketahuan salahnya dimana, kalo gitu di comment aja bagian ini :

iptables -t filter -A OUTPUT -i $n -p tcp -m multiport –dports $y -j DROP
iptables -t filter -A OUTPUT -i $n -p tcp -m tcp –sport $y -j DROP
iptables -t filter -A OUTPUT -i $n -p udp -m multiport –dports $y -j DROP
iptables -t filter -A OUTPUT -i $n -p udp -m udp –sport $y -j DROP

selesai deh )

http://blog.360.yahoo.com/blog-tqY_WC4zer_UwKfWS2Mp?p=46

#update lagi untuk blok IP dan unblok IP yang masuk ke server/firewall

Blok IP

#!/bin/bash

printf “Masukkan IP yang akan di Blok = “
read y

iptables -t filter -A INPUT -s $y -d 0/0 -j DROP
iptables -t filter -A OUTPUT -s $y -d 0/0 -j DROP
iptables -t filter -A FORWARD -s $y -d 0/0 -j DROP

clear

iptables -nvL | grep $y

echo “IP $y Sudah di Blok”
——————————-

UnBlok IP

#!/bin/bash

printf “Masukkan IP yang akan di UnBlok = “
read y

iptables -t filter -D INPUT -s $y -d 0/0 -j DROP
iptables -t filter -D OUTPUT -s $y -d 0/0 -j DROP
iptables -t filter -D FORWARD -s $y -d 0/0 -j DROP

clear

iptables -nvL | grep $y

echo “IP $y Sudah di Un-Blok”
——————————–