Bandwith Manajemen Queue Tree Vs Simple Queue di Mikrotik

January 20, 2008

konfigurasi Simple queues dan Que tree mudah mudahan bisa menjadi referensi untuk anda yang akan menggunakan limiter bandwith with mikrotik.

Configurasi Simple Queue:

Anda bisa membuat kelompok (parent) untuk client-kusus dengan bandwith 256kbps yang didalamnya terdiri dari 3 user sehingga bandwith 256 tadi akan di share untuk 3 user tesebut, dan parent2 yang lainpun bisa anda buat sesuai keinginan anda.

[admin@Mikrotik] queue> simple
[admin@Mikrotik] queue simple

add name=”CLIENT” target-addresses=192.168.0.0/24 dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8 queue=default-small/default-small limit-at=0/0 max-limit=1000000/1000000 total-queue=default-small

add name=”Client-kusus” target-addresses=192.168.0.1/32,192.168.0.2/32,192.168.0.3/32,dst-address=0.0.0.0/0 interface=all parent=CUSTOMER direction=both priority=8 queue=default-small/default-small limit-at=0/0 max-limit=256000/256000 total-queue=default-small

add name=”mylove” target-addresses=192.168.0.1/32 dst-address=0.0.0.0/0 interface=ether2 parent=Client-kusus direction=both priority=8 queue=default-small/default-small limit-at=16000/8000 max-limit=32000/56000 total-queue=default-small

add name=”myfriend” target-addresses=192.168.0.2/32 dst-address=0.0.0.0/0 interface=ether2 parent=Client-kusus direction=both priority=8 queue=default-small/default-small limit-at=16000/8000 max-limit=32000/56000 total-queue=default-small

add name=”maymay” target-addresses=192.168.0.3/32 dst-address=0.0.0.0/0 interface=ether2 parent=Client-kusus direction=both priority=8 queue=default-small/default-small limit-at=16000/0 max-limit=32000/56000 total-queue=default-small

Contoh configurasi Queue Tree:

Mangle

Sebelum kita Meng konfigure Queue Tree kita buat dulu Connection-mark di table mangle.

[admin@Mikrotik] > ip firewall mangle
[admin@Mikrotik] ip firewall mangle>

add chain=forward src-address=192.168.0.0/24 action=mark-connection new-connectioan-mark=local passthrough=yes

add chain=forward dst-address=192.168.0.0/24 action=mark-connection new-connectioan-mark=local passthrough=yes

add chain=forward protocol=icmp connection-mark=local action=mark-packet new-packet-mark=local-icmp passthrough=no

add chain=forward src-address=192.168.0.1 protocol=!icmp connection-mark=local action=mark-packet new-packet-mark=local-1 passthrough=no

add chain=forward dst-address=192.168.0.1 protocol=!icmp connection-mark=local action=mark-packet new-packet-mark=local-1 passthrough=no

add chain=forward src-address=192.168.0.2 protocol=!icmp connection-mark=local action=mark-packet new-packet-mark=local-2 passthrough=no

add chain=forward dst-address=192.168.0.2 protocol=!icmp connection-mark=local action=mark-packet new-packet-mark=local-2 passthrough=no

Queue-tree:

[admin@LimiTer] queue> tree
[admin@LimiTer] queue tree>

add name=”upload” parent=[int-ke-internet] packet-mark=”” priority=1 max-limit=256K

add name=”icmp-upload” parent=upload packet-mark=”local-icmp” priority=3 max-limit=32K

add name=”local-1-upload” parent=upload packet-mark=”local-1″ priority=5 max-limit=64K

add name=”local-2-upload” parent=upload packet-mark=”local-2″ priority=5 max-limit=64K

add name=”download” parent=[int-ke-local] packet-mark=”” priority=1 max-limit=512K

add name=”icmp-download” parent=download packet-mark=”local-icmp” priority=3 max-limit=64K

add name=”local-1-download” parent=download packet-mark=”local-1″ priority=5 max-limit=128K

add name=”local-2-download” parent=download packet-mark=”local-2″ priority=5 max-limit=128

Note : Disini anda bisa membuat alokasi bandwith kusus buat icmp download dan upload.

Advertisements

Hotspot Mikrotik

June 14, 2007

Begitu mudahnya untuk menggunakan mikrotik. Konsep networking yang sudah anda pahami akan sangat mudah di implementasikan di operating sistem router yang berbasis kepada linux kernel ini. Kali ini kita akan praktekan sebuah judul yang banyak di nanti orang banyak. Judul yang di ambil adalah, membuat hotspot dan user manager dengan router yang sama.

Langkah pertama adalah sbb :

1. Buat sebuah server Radius
/ radius add service=hotspot address=127.0.0.1 secret=123456

2. Buat profile dan set profile tersebut untuk menggunakan Radius Server
/ ip hotspot profile set hsprof1 use-radius=yes

3. Membuat scriber
/ tool user-manager customer add login=”MikroTik” password=”qwerty” permissions=owner

4. Tambahkan Router kita dalam hal ini localhost.
/ tool user-manager router add subscriber=MikroTik ip-address=127.0.0.1 shared-secret=123456

Sumber : http://tutorial.multisolusi.com/2007/05/21/hotspot-mikrotik


Tutorial Step By Step Seting MikroTik

June 13, 2007

Tutorial Step By Step Seting MikroTik
Sabtu, 07 April 07 – oleh : Eddy Subakir

MikroTik RouterOS™ adalah sistem operasi linux yang dapat digunakan untuk menjadikan komputer menjadi router network yang handal, mencakup berbagai fitur yang dibuat untuk ip network dan jaringan wireless, cocok digunakan oleh ISP dan provider hostspot.

Ada pun fitur2 nya sbb:

* Firewall and NAT – stateful packet filtering; Peer-to-Peer protocol filtering; source and destination NAT; classification by source MAC, IP addresses (networks or a list of networks) and address types, port range, IP protocols, protocol options (ICMP type, TCP flags and MSS), interfaces, internal packet and connection marks, ToS (DSCP) byte, content, matching sequence/frequency, packet size, time and more…

* Routing – Static routing; Equal cost multi-path routing; Policy based routing (classification done in firewall); RIP v1 / v2, OSPF v2, BGP v4

* Data Rate Management – Hierarchical HTB QoS system with bursts; per IP / protocol / subnet / port / firewall mark; PCQ, RED, SFQ, FIFO queue; CIR, MIR, contention ratios, dynamic client rate equalizing (PCQ), bursts, Peer-to-Peer protocol limitation

* HotSpot – HotSpot Gateway with RADIUS authentication and accounting; true Plug-and-Play access for network users; data rate limitation; differentiated firewall; traffic quota; real-time status information; walled-garden; customized HTML login pages; iPass support; SSL secure authentication; advertisement support

* Point-to-Point tunneling protocols – PPTP, PPPoE and L2TP Access Concentrators and clients; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; MPPE encryption; compression for PPPoE; data rate limitation; differentiated firewall; PPPoE dial on demand

* Simple tunnels – IPIP tunnels, EoIP (Ethernet over IP)

* IPsec – IP security AH and ESP protocols; MODP Diffie-Hellman groups 1,2,5; MD5 and SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption algorithms; Perfect Forwarding Secrecy (PFS) MODP groups 1,2,5

* Proxy – FTP and HTTP caching proxy server; HTTPS proxy; transparent DNS and HTTP proxying; SOCKS protocol support; DNS static entries; support for caching on a separate drive; access control lists; caching lists; parent proxy support

* DHCP – DHCP server per interface; DHCP relay; DHCP client; multiple DHCP networks; static and dynamic DHCP leases; RADIUS support

* VRRP – VRRP protocol for high availability

* UPnP – Universal Plug-and-Play support

* NTP – Network Time Protocol server and client; synchronization with
GPS system

* Monitoring/Accounting – IP traffic accounting, firewall actions logging, statistics graphs accessible via HTTP

* SNMP – read-only access

* M3P – MikroTik Packet Packer Protocol for Wireless links and Ethernet

* MNDP – MikroTik Neighbor Discovery Protocol; also supports Cisco Discovery Protocol (CDP)

* Tools – ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; Dynamic DNS update tool

Layer 2 connectivity:

* Wireless – IEEE802.11a/b/g wireless client and access point (AP) modes; Nstreme and Nstreme2 proprietary protocols; Wireless Distribution System (WDS) support; virtual AP; 40 and 104 bit WEP; WPA pre-shared key authentication; access control list; authentication with RADIUS server; roaming (for wireless client); AP bridging

* Bridge – spanning tree protocol; multiple bridge interfaces; bridge firewalling, MAC

* VLAN – IEEE802.1q Virtual LAN support on Ethernet and wireless links; multiple VLANs; VLAN bridging

* Synchronous – V.35, V.24, E1/T1, X.21, DS3 (T3) media types; sync-PPP, Cisco HDLC, Frame Relay line protocols; ANSI-617d (ANDI or annex D) and Q933a (CCITT or annex A) Frame Relay LMI types

* Asynchronous – s*r*al PPP dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; onboard s*r*al ports; modem pool with up to 128 ports; dial on demand

* ISDN – ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; 128K bundle support; Cisco HDLC, x75i, x75ui, x75bui line protocols; dial on demand

* SDSL – Single-line DSL support; line termination and network termination modes

Instalasi dapat dilakukan pada Standard computer PC yang akan dijadikan router dan tidak memerlukan resource yang cukup besar untuk penggunaan standard, misalnya hanya sebagai gateway.

Berikut spec_minimal nya :

* CPU dan motherboard – bisa dgn P1 ~ P4, AMD, cyrix asal yang bukan multi-prosesor

* RAM – minimum 32 MiB, maximum 1 GiB; 64 MiB atau lebih sangat dianjurkan, kalau mau sekalian dibuat proxy , dianjurkan 1GB… perbandingannya, 15MB di memori ada 1GB di proxy..

* HDD minimal 128MB parallel ATA atau Compact Flash, tidak dianjurkan menggunakan UFD, SCSI, apa lagi S-ATA (mungkin nanti Ver. 3.0)

* NIC 10/100 atau 100/1000

Untuk keperluan beban yang besar ( network yang kompleks, routing yang rumit dll) disarankan untuk mempertimbangkan pemilihan resource PC yang memadai.

Lebih lengkap bisa dilihat di http://www.mikrotik.com. Meskipun demikian Mikrotik bukanlah free software, artinya kita harus membeli licensi terhadap segala fasiltas yang disediakan. Free trial hanya untuk 24 jam saja.

Kita bisa membeli software MikroTik dalam bentuk “licence” di CITRAWEB, UFOAKSES, PC24 (atau download cracknya, he he he …) yang diinstall pada HardDisk yang sebelumnya download/dibuat MikroTik RouterOS ISO kekeping CD atau disk on module (DOM). Jika kita membeli DOM tidak perlu install tetapi tinggal pasang DOM pada slot IDE PC kita.

Langkah-langkah berikut adalah dasar-dasar setup mikrotik yang dikonfigurasikan untuk jaringan
sederhana sebagai gateway server.

1. Langkah pertama adalah install Mikrotik RouterOS pada PC atau pasang DOM.

2. Login Pada Mikrotik Routers melalui console :

MikroTik v2.9.39

Login: admin

Password: (kosongkan)

Sampai langkah ini kita sudah bisa masuk pada mesin Mikrotik. User default adalah admin dan tanpa password, tinggal ketik admin kemudian tekan tombol enter.

3. Untuk keamanan ganti password default

[admin@Mikrotik] > password

old password: *****

new password: *****

retype new password: *****

[admin@ Mikrotik] >

4. Mengganti nama Mikrotik Router, pada langkah ini nama server akan kita ganti menjadi
“r-WLI” (bebas, disesuaikan dengan nama jaringan kita…)

[admin@Mikrotik] > system identity set name=r-WLI

[admin@r-WLI] >

5. Melihat interface pada Mikrotik Router

[admin@r-WLI] > interface print

Flags: X – disabled, D – dynamic, R – running

# NAME TYPE RX-RATE TX-RATE MTU

0 R ether1 ether 0 0 1500

1 R ether2 ether 0 0 1500

[admin@r-WLI] >

6. Memberikan IP address pada interface Mikrotik. Misalkan ether1 akan kita gunakan untuk koneksi ke Internet dengan IP 192.168.0.1 dan ether2 akan kita gunakan untuk network local kita dengan IP 172.16.0.1

[admin@r-WLI] > ip address add address=192.168.0.1 /

netmask=255.255.255.0 interface=ether1

[admin@r-WLI] > ip address add address=172.16.0.1 /

netmask=255.255.255.0 interface=ether2

7. Melihat konfigurasi IP address yang sudah kita berikan

[admin@r-WLI] >ip address print

Flags: X – disabled, I – invalid, D – dynamic

# ADDRESS NETWORK BROADCAST INTERFACE

0 192.168.0.1/24 192.168.0.0 192.168.0.63 ether1

1 172.16.0.1/24 172.16.0.0 172.16.0.255 ether2

[admin@r-WLI] >

8. Memberikan default Gateway, diasumsikan gateway untuk koneksi internet adalah 192.168.0.254

[admin@r-WLI] > /ip route add gateway=192.168.0.254

9. Melihat Tabel routing pada Mikrotik Routers

[admin@r-WLI] > ip route print

Flags: X – disabled, A – active, D – dynamic,

C – connect, S – static, r – rip, b – bgp, o – ospf

# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE

0 ADC 172.16.0.0/24 172.16.0.1 ether2

1 ADC 192.168.0.0/26 192.168.0.1 ether1

2 A S 0.0.0.0/0 r 192.168.0.254 ether1

[admin@r-WLI] >

10. Tes Ping ke Gateway untuk memastikan konfigurasi sudah benar

[admin@r-WLI] > ping 192.168.0.254

192.168.0.254 64 byte ping: ttl=64 time

11. Setup DNS pada Mikrotik Routers

[admin@r-WLI] > ip dns set primary-dns=192.168.0.10 /

allow-remoterequests=no

[admin@r-WLI] > ip dns set secondary-dns=192.168.0.11 /

allow-remoterequests=no

12. Melihat konfigurasi DNS

[admin@r-WLI] ip dns> pr

primary-dns: 192.168.0.10

secondary-dns: 192.168.0.11

allow-remote-requests: no

cache-size: 2048KiB

cache-max-ttl: 1w

cache-used: 21KiB

[admin@r-WLI] ip dns>

13. Tes untuk akses domain, misalnya dengan ping nama domain

[admin@r-WLI] > ping yahoo.com

216.109.112.135 64 byte ping: ttl=48 time=250 ms
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 571/571.0/571 ms
[admin@r-WLI] >

Jika sudah berhasil reply berarti seting DNS sudah benar.

14. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server maka agar client computer pada network dapat terkoneksi ke internet perlu kita masquerading.

[admin@r-WLI]> ip firewall nat add action=masquerade /

outinterface=ether1 chain:srcnat

[admin@r-WLI] >

15. Melihat konfigurasi Masquerading

[admin@r-WLI]ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

0 chain=srcnat out-interface=ether1 action=masquerade

[admin@r-WLI] >

Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan jika berhasil berarti kita sudah berhasil melakukan instalasi MikroTik Router sebagai Gateway server. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage menggunakan WinBox yang bisa didownload dari MikroTik.com atau dari server mikrotik kita.

Misal Ip address server mikrotik kita 192.168.0.1, via browser buka http://192.168.0.1 dan download WinBox dari situ.
Jika kita menginginkan client mendapatkan IP address secara otomatis maka perlu kita setup dhcp server pada Mikrotik. Berikut langkah-langkahnya :

1. Buat IP address pool
/ip pool add name=dhcp-pool ranges=172.16.0.10-172.16.0.20

2. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client Pada contoh ini networknya adalah 172.16.0.0/24 dan gatewaynya 172.16.0.1
/ip dhcp-server network add address=172.16.0.0/24 gateway=172.16.0.1

3. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface ether2 )
/ip dhcp-server add interface=ether2 address-pool=dhcp-pool

4. Lihat status DHCP server

[admin@r-WLI] > ip dhcp-server pr

Flags: X – disabled, I – invalid

# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP

x dhcp1 ether2 dhcp_pool1 4w2d yes

[admin@r-WLI] >

Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan terlebih dahulu pada langkah 5.

5. Jangan Lupa dibuat enable dulu dhcp servernya
/ip dhcp-server enable 0

Kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak ada berarti sudah aktif.

6. Tes Dari client

Run dari Comman Prompt

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\EsDat>ping http://www.yahoo.com

Pinging http://www.yahoo-ht3.akadns.net [69.147.114.210] with 32 bytes of data:

Reply from 124.158.129.5: bytes=32 time=34ms TTL=59
Reply from 124.158.129.5: bytes=32 time=24ms TTL=59
Reply from 124.158.129.5: bytes=32 time=41ms TTL=59
Reply from 124.158.129.5: bytes=32 time=29ms TTL=59

Ping statistics for 69.147.114.210:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 24ms, Maximum = 41ms, Average = 32ms

7. Untuk bandwith controller, bisa dengan sistem simple queue ataupun bisa dengan mangle

[admin@r-WLI] queue simple> add name=Komputer01 /

interface=ether2 target-address=172.16.0.1/24 max-limit=65536/131072

[admin@r-WLI] queue simple> add name=Komputer02 /

interface=ether2 target-address=172.16.0.2/24 max-limit=65536/131072

dan seterusnya…

lengkap nya ada disini
http://www.mikrotik.com/docs/ros/2.9/root/queue
linux-ip.net/articles/Traffic…/overview.html
luxik.cdi.cz/~devik/qos/htb
http://www.docum.org/docum.org/docs

Referensi
http://www.mikrotik.com
http://www.mikrotik.com/docs/ros/2.9
fajar.uii.net.id
Forum-IMATEKOM (UPI “YPTK”) Padang

bahan2 tambahan:

KAMUS BAHASA INGGRIS-INDONESIA

Salam ….

software
Code:

http://rapidshare.de/files/30739630/mikrotik.router.os.2.9.6.ISO


Lupa Password root pada FreeBSD

May 31, 2007

by : ogeb
Diambil dari :
Indonesian FreeBsd Community
http://indofreebsd.or.id

Pernahkah anda lupa password root ? , saya pernah mengalami nya

faktor penyebab lupa password biasanya disebabkan karena terlalu

banyak server yang di tangani, terlalu banyak password yang di gunakan,

terlalu rumit dan bukan merupakan password yang biasa kita ingat.

Dalam kasus lain saya pernah mereset password root dikarenakan

yang menginstall freebsd adalah orang lain dan saya harus melanjutkan

install sesuatu di dalam nya , sedangkan sang penginstall tidak bisa dihubungi

atau ditanyai password nya, atau untuk mempersingkat waktu dari pada tanya sana sini

password nya apa.

mari kita coba praktekan bagaimana cara me reset password root di freebsd .

pertama tama yang dilakukan adalah merestart komputer anda

ketika proses booting di mulai maka tampilan nya adalah sebagai berikut :

Hit [Enter] to boot immediately, or any other key for command prompt.
Booting [kernel] in 10 seconds…

lalu Tekan tombol spacebar, dan akan tampil pada monitor

Type ‘?’ for a list of commands, or ‘help’ for more detailed help.
ok

boot -s dan tekan tombol ENTER untuk masuk ke dalam single user mode.

Setelah system booting akan terlihat seperti ini di monitor anda :

Enter full pathname of shell or RETURN for /bin/sh

Tekan tomnbol ENTER dan kita akan masuk ke # shell

bisa masuk tanpa password bukan ?

tapi perlu di ingat anda belum bisa melakukan apa apa pada # shell ini

karena file system yang di mount adalah read only .

gimana supaya kita bisa mengakses file system seperti biasa dan bisa merubah password ?

caranya adalah mount filesystem secara keseluruhan, yang perlu di lakukan adalah

# mount -t ufs -a

nah setelah itu barulah kita bisa me reset password root tesebut.

#passwd

New password:sayaorangganteng

Retype new password:sayaorangganteng

passwd: updating the database…
passwd: done

setelah itu jangan lupa restart untuk masuk ke dalam mode multiuser seperti biasa

# reboot

nah sekarang coba password baru anda

freebsd login : root

password : sayaorangganteng

#

selamat anda gak perlu install ulang gara gara lupa password root

salam ,

ogeb
Diambil dari :
Indonesian FreeBsd Community
http://indofreebsd.or.id


Gateway Sederhana Menggunakan ipfw+ipnat

May 31, 2007

diambil dari:
Indonesian Freebsd Comunity
http://indofreebsd.or.id
by:ogeb ( ogb@indofreebsd.or.idThis e-mail address is being protected from spam bots, you need JavaScript enabled to view it )

Membangun Sebuah Gateway merupakan hal yang tidak begitu sulit. Terlebih anda mempunyai sedikit

keinginan dan pengetahuan tentang browser anda sudah bisa menginstall gateway dengan mudah

tanpa menghadapi kesulitan yang berarti.

Banyak Tulisan atau catatan mengenai pembuatan Gateway router yang masing masing memiliki kelebihan

dan kekurangan yang bervariasi.

Pada kesempatan kali ini saya hadirkan tentang tata cara pembuatan gateway yang sederhana, untuk menghandel

sebuah network kecil.

Untuk membangun sebuah gateway menggunakan IPFW dan IPNAT , maka diperlukan mengkompile kernel terlebih

dahulu. asumsi source kernel tercopy pada lokasi yang seperti biasa.

indofreebsd# cd /sys/i386/conf

indofreebsd#cp GENERIC INDOFREEBSD

indofreebsd#pico INDOFREEBSD

hal hal yang saya edit adalah bagian ini

ident indofreebsd

#options INET6 # saya belum merasa perlu mengaktifkan in.

dan menambahkan option ini

options IPFILTER
options IPFILTER_LOG
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options DUMMYNET
options HZ=1000

setelah mengedit konfigurasi kernel lalu saya mengcompile kernel ulang.

indofreebsd# cd /usr/src

indofreebsd#make buildkernel KERNCONF=INDOFREEBSD

————————————————————–
>>> Kernel build for INDOFREEBSD completed on Fri Feb 9 05:57:45 UTC 2007
————————————————————–

indofreebsd# make installkernel KERNCONF=INDOFREEBSD

install -o root -g wheel -m 555 if_xe.ko /boot/kernel
===> xl (install)
install -o root -g wheel -m 555 if_xl.ko /boot/kernel
===> zlib (install)
install -o root -g wheel -m 555 zlib.ko /boot/kernel
kldxref /boot/kernel

indofreebsd#

setelah selesai masukan beberapa parameter yang kita butuhkan pada rc.conf

router_flags=”-q”
router=”/sbin/routed”
router_enable=”YES”
gateway_enable=”YES”
sendmail_enable=”NONE”
firewall_enable=”YES”
firewall_script=”/etc/ipfw.rules”
ipnat_enable=”YES” # Start ipnat function
ipnat_rules=”/etc/ipnat.rules” # rules definition file for ipnat

lalu save

indofreebsd#
buat ipfw rules

indofreebsd#pico /etc/ipfw.rules

################ Start of IPFW rules file ###############################
# Flush out the list before we begin.
ipfw -q -f flush

ipfw pipe 1 config mask dst-ip 0x000000ff bw 256Kbit/s
ipfw pipe 2 config mask src-ip 0x000000ff bw 64Kbit/s
ipfw add 1 pipe 1 all from any to 192.168.1.0/24 in
ipfw add 2 pipe 2 all from 192.168.1.0/24 to any out
# Set rules command prefix
cmd=”ipfw -q add”
pif=”rl0″ # public interface name of NIC
# facing the public Internet

#################################################################
# No restrictions on Inside LAN Interface for private network
# Not needed unless you have LAN.
# Change xl0 to your LAN NIC interface name
#################################################################
$cmd 00008 allow all from any to any via rl1
#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 00010 allow all from any to any via lo0

#################################################################
# Allow the packet through if it has previous been added to the
# the “dynamic” rules table by a allow keep-state statement.
#################################################################
$cmd 00015 check-state

#################################################################
# Interface facing Public Internet (Outbound Section)
# Interrogate session start requests originating from behind the
# firewall on the private network or from this gateway server
# destine for the public Internet.
#################################################################

# Get the IP addresses from /etc/resolv.conf file
$cmd 00114 allow tcp from any to any 53 out via $pif setup keep-state
$cmd 00115 allow udp from any to any 53 out via $pif keep-state
$cmd 00122 allow tcp from any to any 21 out via $pif setup keep-state
# Allow out non-secure standard www function
$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state

# Allow out secure www function https over TLS SSL
$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state

# Allow out send & get email function
$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state
$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state

# Allow out FBSD (make install & CVSUP) functions
# Basically give user root “GOD” privileges.
$cmd 00240 allow tcp from me to any out via $pif setup keep-state uid root

# Allow out ping
$cmd 00250 allow icmp from any to any out via $pif keep-state
$cmd 00251 allow udp from any to any 33434-33523
# Allow out Time
$cmd 00260 allow tcp from any to any 37 out via $pif setup keep-state

# Allow out nntp news (i.e. news groups)
$cmd 00270 allow tcp from any to any 460-30000 out via $pif setup keep-state

# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state

# Allow out whois
$cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state

# deny and log everything else that.s trying to get out.
$cmd 00299 deny log all from any to any out via $pif

#################################################################
# Interface facing Public Internet (Inbound Section)
# Interrogate packets originating from the public Internet
# destine for this gateway server or the private network.
#################################################################

# Deny all inbound traffic from non-routable reserved address spaces
$cmd 00300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 00301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 00307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster interconnect
$cmd 00308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
$cmd 00309 allow icmp from any to any icmptypes 11 in
###########allow me to ping out and receive response back
$cmd 00311 allow icmp from any to any icmptypes 0 in
# Deny public pings
#$cmd 00312 deny icmp from any to any in via $pif

# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif

# Deny any late arriving packets
$cmd 00330 deny all from any to any frag in via $pif

# Deny ACK packets that did not match the dynamic rule table
$cmd 00332 deny tcp from any to any established in via $pif
# Allow traffic in from ISP’s DHCP server. This rule must contain
# the IP address of your ISP.s DHCP server as it.s the only
# authorized source to send this packet type.
# Only necessary for cable or DSL configurations.
# This rule is not needed for .user ppp. type connection to
# the public Internet. This is the same IP address you captured
# and used in the outbound section.
#$cmd 00360 allow udp from any to x.x.x.x 67 in via $pif keep-state
$cmd 00361 allow tcp from any to any 1023-7000 in via $pif setup limit src-addr 2

# Allow in standard www function because I have apache server
$cmd 00400 allow tcp from any to me 80 in via $pif setup limit src-addr 2

# Allow in secure FTP, Telnet, and SCP from public Internet
#$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2
$cmd 00410 allow tcp from any to me 222 in via $pif setup limit src-addr 2
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
$cmd 00420 allow tcp from any to me 113 in via $pif setup limit src-addr 2

# Reject & Log all incoming connections from the outside
$cmd 00499 deny log all from any to any in via $pif

# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 00999 deny log all from any to any
################ End of IPFW rules file ###############################
indofreebsd#

buat ipnat.rules

indofreebsd#pico /etc/ipnat.rules

# ————————————————————
# Use ipfilter FTP proxy for the firewall doing transfer mode
# active.
# ————————————————————
map rl0 0.0.0.0/0 -> 0.0.0.0/32 proxy port ftp ftp/tcp
# ————————————————————
# Use ipfilter FTP proxy for hosts behind NAT doing transfer
# mode active.
# ————————————————————
map rl0 192.168.0.0/24 -> 0.0.0.0/32 proxy port ftp ftp/tcp
# ———————————————————–
# Map all internal UDP and TCP traffic to the external IP address
# ———————————————————–
map rl0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp 40000:60000
# ———————————————————–
# Map all other traffic e.g. ICMP to the external IP address
# ———————————————————–
map rl0 192.168.0.0/24 -> 0.0.0.0/32

lalu save

langkah selanjut nya adalah me restart nya

indofreebsd#reboot

test gateway anda dengan menghubungkan pc client pada gateway tersebut

kalo packet tidak berhasil di lewatkan artinya anda kurang teliti.

demikian langkah langkah pembuatan gateway menggunakan ipfw + ipnat

semoga berhasil.

salam,

ogeb
diambil dari:
Indonesian Freebsd Comunity
http://indofreebsd.or.id


Materi Perkuliahan Ilmu Komputer

January 11, 2007

Algoritma dan Pemrogram


DNS untuk Intranet

July 28, 2006

Domain Name Service (DNS) adalah layanan untuk memetakan nama domain (misal jawa.vnet) ke alamat IP (misal 10.0.0.1) dan sebaliknya. Ini komponen penting yang harus anda pasang pertama kali Intranet berdiri. Berikut ini cara pemasangannya di Linux Redhat.

Membuat DNS gampang-gampang susah. Kalau mau enteng, pakai program configurator seperti webmin. Redhat juga punya DNS configurator yang mudah dipakai. Namun pengalaman membuktikan, edit langsung file konfigurasinya adalah cara yang paling fleksibel, andal dan terpercaya.Buat belajar, mari kita coba dengan contoh sederhana.

  1. Hanya untuk Intranet.
  2. Hanya bisa jawab nama domain dan IP yang tercantum di konfigurasi. Tidak bisa menjawab nama Internet misalnya http://www.yahoo.com.
  3. Tidak pakai sekuritas

Untuk mengkonfigurasi DNS, langkah intinya adalah:

  1. Desain nama domain/IP anda
  2. Siapkan komputer server
  3. Pasang paket DNS (bind)
  4. Edit file konfigurasi utama (/etc/named.conf)
  5. Edit file zone DNS. Ini berisi peta nama-domain –> alamat-IP
  6. Edit file addr DNS. Ini sebaliknya berisi peta alamat-IP –> nama-domain.
  7. Aktifkan DNS daemon
  8. Uji Coba

DESAIN NAMA DOMAIN / IP

Untuk intranet, anda bebas mau pakai nama domain apa saja, dan tidak perlu daftar/beli ke InterNIC (pengelola nama domain Internasional). Sementara itu untuk alamat IP, anda bisa pilih salah satu ruas IP Internal:

    10.x.y.z
    172.16-31.y.z
    192.168.y.z

Misalkan desain kita adalah sbb:

    jawa.vnet       = 10.0.0.1
    sumatera.vnet   = 10.0.0.2
    kalimantan.vnet = 10.0.0.3
    sulawesi.vnet   = 10.0.0.4
    papua.vnet      = 10.0.0.5
    pc01.vnet       = 10.0.0.101


Contoh Jaringan Intranet. Papua adalah DNS server, sekaligus www, mail dan samba server. Si pc01 adalah workstation biasa.SIAPKAN SERVER

Satu DNS sudah cukup untuk melayani seluruh jaringan anda dan biasanya dipasang di server internal. DNS sendiri tidak perlu komputer kencang. Tapi kalau si server sekaligus melayani e-mail, WWWP, FTP, SAMBA dll., anda perlu komputer terbaik yang anda bisa beli. Distro yang cocok dipakai adalah Redhat, Debian atau Slackware.

Pada contoh ini, DNS dipasang di server (papua, 10.0.0.5) dengan distro Redhat 9.0. File konfigurasi akan kita edit langsung. Yang mungkin jadi masalah, Redhat menyediakan konfigurator yang suka bingung kalau kofigurasinya di edit langsung. Well, percaya saya. Edit langsung lebih enak dan pasti jalan di semua distro. Lupakan saja konfigurator.

PASANG PAKET DNS

Paket DNS namanya bind (terakhir versi 9.x), dan karena pentingnya, pasti sudah tersedia di distro. Anda bisa langsung pasang saat instalasi. Kalau belum, gunakan rpm dari konsole/terminal.

    # pasang di redhat
    mount /dev/cdrom
    rpm -i bind /mnt/cdrom/Redhat/RPMS/bind-x.y.x.rpm
    
    # periksa apakah sudah terpasang
    rpm -qa | grep bind

EDIT FILE KONFIGURASI UTAMA

File konfigurasi utama adalah /etc/named.conf. Anda bisa edit sebagai root dengan editor teks (vim, emacs, joe, pico, dll). Redhat sudah menyediakan contoh named.conf, namun kali ini tidak kita pakai. Sebaiknya anda selamatkan dulu, lalu buat baru

    # Selamatkan named.conf lama 
    # Selamatkan juga rndc.conf (pengontrol bind)
    cd /etc
    mv named.conf named.conf-save
    mv rndc.conf rndc.conf-save
    
    # Edit baru
    vi named.conf

Isi named.conf paling sederhana adalah sebagai berikut:

__________________________________________________________
// /etc/named.conf - configuration for bind
//
options {
    directory "/var/named/";
    listen-on {10.0.0.5;};
};

// File untuk pemetaan nama-domain --> IP
zone  "vnet" {
   type master;
   file  "vnet.zone";
   allow-update {none;};
};

// File untuk pemetaan IP --> nama-domain 
zone  "10.addr" {
   type master;
   file  "10.addr";
   allow-update {none;};
};
__________________________________________________________

EDIT FILE ZONE

File zone biasanya diberi name sesuai nama-domain terbalik dari belakang. Misalnya com.bogus.zone atau id.co.bogus.zone. Untuk kasus kita namanya vnet.zone. Posisi file ini adalah di /var/named, sesuai options directory di named.conf. Di direktori tersebut juga ada beberapa file bawaan Redhat. Biarkan saja, jangan diotak-atik.

__________________________________________________________
; /var/named/vnet.zone - zone mapping

; Block kepala
; Salin saja apa adanya, kecuali ubah .vnet jadi domain anda
; Dan nomor serial sesuai tanggal pembuatan
$TTL    3600
;$ORIGIN vnet.
@       IN      SOA     ns1.vnet.       root.vnet.      (
                2003082701      ;serial
                3600            ;refresh
                900             ;retry
                3600000 ;expire
                3600            ;minimum
                )
; Blok server
; Bagian ini menyatakan server-server penting di vnet (DNS dan mail)
        IN      NS      ns1.vnet.
        IN      MX      10 mail.vnet.

; Blok Pemetaan
jawa            A       10.0.0.1
sumatera        A       10.0.0.2
kalimantan      A       10.0.0.3
sulawesi        A       10.0.0.4
papua           A       10.0.0.5
pc01            A       10.0.0.101

; Blok Nama alias
; Dengan nama alias, komputer tertentu bisa dipanggil dengan nama lain
; Misalnya saja papua befungsi sebagai DNS, Mail dan WWW Server
ns1             CNAME   papua
mail            CNAME   papua
www             CNAME   papua
__________________________________________________________

EDIT FILE ADDR

File addr biasanya diberi nama sesuai alamat-ip terbalik dari belakang misalnya 10.addr, 16.172.addr, atau 1.168.192.addr. Posisi file ini juga di direktori /var/named. Berikut ini contohnya.

__________________________________________________________
; /var/named/10.addr - IP addr mapping

; Blok kepala
; Sesuaikan alamat network (di sini 10) dan domain (vnet)
; Dan ganti nomor serial sesuai tanggal pembuatan
$TTL 3600
10.in-addr.arpa.        IN      SOA     ns1.vnet. root.vnet. (
                2003082701      ;serial
                10800           ;refresh
                3600            ;retry
                3600000         ;expire
                86400           ;default_ttl
                )
; Blok server
; Bagian ini menyatakan server-server penting di vnet (DNS)
        IN      NS      ns1.vnet.

; Blok Pemetaan
; Perhatikan alamat ditulis terbalik dan ada titik di akhir nama domain
1.0.0   PTR     jawa.vnet.
2.0.0   PTR     sumatera.vnet.
3.0.0   PTR     kalimantan.vnet.
4.0.0   PTR     sulawesi.vnet.
5.0.0   PTR     papua.vnet.
101.0.0 PTR     pc01.vnet.
__________________________________________________________

AKTIFKAN DNS DAEMON

Di Redhat, anda bisa gunakan GUI service configurator atau TUI setup.

  • Dari terminal jalankan program setup.
  • Pilih menu System Services
  • Hidupkan [*] named pada list.

Kalau mau cara CLI (Command Line Interface), dari terminal:

    # Hidupkan
    root@papua# chkconfig named on
    
    # Periksa apakah sudah ON 
    root@papua# chkconfig --list named 
    named           0:off   1:off   2:on    3:on    4:on    5:on    6:off
    
    # Sekarang jalankan (start / restart)
    root@papua# service named start
    
    # Periksa
    root@papua# service named status
    
    # kalau anda mengubah konfigurasi, harus reload 
    root@papua# service named reload

UJI COBA

Sekarang DNS Server anda mestinya sudah siap. mari di coba:

    ### Periksa apakah bind sudah jalan dan file terbaca dengan baik
    ### Perhatikan adanya baris listening on IPv4, 
    ### zone vnet dan zone 10.in-addr.arpa loaded 
    ### dan terakhir running
    ### kalau ada kegagalan, biasanya karena konfigurasi salah tulis
    root@papua:# tail -n 30 /var/log/messages | grep named
    Aug 27 05:03:41 papua named[1870]: starting BIND 9.2.2
    Aug 27 05:03:41 papua named[1870]: using 1 CPU
    Aug 27 05:03:41 papua named[1870]: loading configuration from '/etc/named.conf'
    Aug 27 05:03:41 papua named[1870]: no IPv6 interfaces found
    Aug 27 05:03:41 papua named[1870]: listening on IPv4 interface eth0, 10.0.0.5#53
    Aug 27 05:03:41 papua named[1870]: command channel listening on 127.0.0.1#953
    Aug 27 05:03:41 papua named[1870]: zone vnet/IN: loaded serial 2003082701
    Aug 27 05:03:41 papua named[1870]: zone 10.in-addr.arpa/IN: loaded serial 2003082701
    Aug 27 05:03:41 papua named[1870]: running
    
    ### Kalau memang jalan, periksa apakah port 53 open sebagai domain
    ### Kalau belum anda salah konfigurasi (periksa options listen-on)
    root@papua:# nmap 10.0.0.5
    Interesting ports on 10.0.0.5
    (The 1516 ports scanned but not shown below are in state: closed)
    Port       State       Service
    22/tcp     open        ssh
    25/tcp     open        smtp
    53/tcp     open        domain
    80/tcp     open        http 
    
    ### Test zone lookup jawa.vnet
    ### ANSWER SECTION harus dapat IP yang benar 10.0.0.1
    ### Kalau gagal, ada kesalahan di file zone
    root@papua:# dig @10.0.0.5 jawa.vnet
    
    ; DiG 9.2.2 @10.0.0.5 jawa.vnet
    ;; global options:  printcmd
    ;; Got answer:
    ;; -HEADER- opcode: QUERY, status: NOERROR, id: 4278
    ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 0
    
    ;; QUESTION SECTION:
    ;jawa.vnet.                     IN      A
    
    ;; ANSWER SECTION:
    jawa.vnet.              3600    IN      A       10.0.0.1
    
    ;; AUTHORITY SECTION:
    vnet.                   3600    IN      NS      ns1.vnet.
    
    ;; Query time: 0 msec
    ;; SERVER: 10.0.0.5#53(10.0.0.5)
    ;; WHEN: Wed Aug 27 05:16:59 2003
    ;; MSG SIZE  rcvd: 77
    
    ### Test reverse lookup 10.0.0.1
    ### ANSWER SECTION harus dapat jawa.vnet
    ### Kalau gagal, ada kesalahan di file addr
    root@papua:# dig @10.0.0.5 -x 10.0.0.1
    
    ; DiG 9.2.2 @10.0.0.5 -x 10.0.0.1
    ;; global options:  printcmd
    ;; Got answer:
    ;; -HEADER- opcode: QUERY, status: NOERROR, id: 40608
    ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
    
    ;; QUESTION SECTION:
    ;1.0.0.10.in-addr.arpa.         IN      PTR
    
    ;; ANSWER SECTION:
    1.0.0.10.in-addr.arpa.  3600    IN      PTR     jawa.vnet.
    
    ;; AUTHORITY SECTION:
    10.in-addr.arpa.        3600    IN      NS      ns1.vnet.
    
    ;; Query time: 0 msec
    ;; SERVER: 10.0.0.5#53(10.0.0.5)
    ;; WHEN: Wed Aug 27 05:24:55 2003
    ;; MSG SIZE  rcvd: 80

Kalau testing berhasil, anda bisa tarik napas lega. DNS Jalan !!!
Sekarang tinggal pastikan bahwa semua komputer di jaringan pakai DNS 10.0.0.5.Artikel Terkait

Copyleft Kocil, 2003 under GNU FDL