Lombok IT: De - Militarized Zone (DMZ) dan Konfigurasinya di Linux Iptables

DMZ adalah suatu metode untuk membuat resource / server di jaringan lokal kita bisa diakses melalui public/internet tapi jaringan lokal/internal kita tetap terlindungi. Cara kerjanya adalah dengan membuat zona DMZ ZONE yang terpisah dari jaringan lokal untuk digunakan sebagai tempat server / resource yang akan diakses untuk publik. Sehingga jaringan LAN kita tetap aman. Client pada jaringan internet mengira bahwa IP yang diaksesnya adalah IP server, padahal itu IP router yang nantinya akan alihkan oleh router ke server yang sebenarnya. Dan tidak ada yang bisa mengakses jaringan LAN dari INTERNET karena router/firewall tidak akan mengijinkan koneksi apapun selain koneksi ke DMZ zone. Di kasus ini hanya koneksi ssh ke ssh server saja yang diperbolehkan. Tetapi akan berbeda - beda peraturan difirewall tergantung kepentingan, misalkan dari client LAN juga bisa mengakses server. Maka akan ada konfigurasi tambahan. Di sini hanya mengijinkan ssh dari publik ke server.

Untuk membuat DMZ Zone adalah dengan mengkonfigurasi firewall pada router, router yang saya gunakan adalah Debian dengan firewall iptables. Di sini kita akan meletakan ssh server pada DMZ Zone shg bisa diakses dari publik. IP SERVER = 192.168.0.6 dan IP ROUTER pada eth0 = 192.168.0.2

Buat Script dan simpan dimanapun anda mau, misal "nano /etc/iptables.sh", dan isi konfigurasi iptables

#!/bin/sh

#memberitahukan system bahwa yang kita maksud dengan mengetikan IPT adalah iptables, jadi setiap kita #mengetikan IPT dg awal $ maka system akan menterjemahkan bahwa kita mengetik "iptables"
IPT=iptables

# FLUSH (menghapus semua rule yang ada)
$IPT -F
$IPT -t nat -F

# POLICIES (default rule dari masing - masing chain)
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

# FORWARD (agar router memberi izin paket lewat dari eth0 ke eth1 dan sebaliknya
$IPT -A FORWARD -i eth0 -o eth1 -p tcp --dport 22 -j ACCEPT
$IPT -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# DNAT (agar koneksi ssh yang ditujukan ke router dialihkan ke server)
$IPT -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to 192.168.0.6:22

Tutup dan simpan file. Lalu untuk menerapkan rule pada file tsb kita gunakan perintah :
root@router# sh /etc/iptables.sh
Agar rule langsung diterapkan pada saat booting masukan perintah di atas pada file "rc.local"

Untuk jenis server yang lain, seperti web server, ftp server, mail server dll. Tinggal merubah port - port dan protokol yang dibutuhkan oleh server yang akan ditambahkan.

Kritik dan saran yang membangun sangat saya harapkan ..

11 comments:

Tgr_FerDecember 29, 2012 at 6:21 AM
nice gan! Trus berkarya..!
AlmuchlisinAugust 11, 2013 at 10:50 PM
bro . gimana cara nerapin menggunakan web server ? apakah ada penambahan rule ? penambahanya seperti apa ?
AnonymousNovember 21, 2013 at 3:56 PM
mau nanya, itu dmz yang di perlihatkan menggunakan ip asli atau pake ip virtual?
trus klo pake ip virtual iptable nya gimana? mohom pencerahannya
AnonymousNovember 21, 2013 at 4:44 PM
misi gan mau nanya, apakah itu setting dmz nya menggunakan ip asli atau menggunakan ip firewall?
cara menggunakan ip firewall gmna caranya ya??
AnonymousMay 31, 2014 at 3:15 PM
gan buatin script buat dmz ftp dong...ane persiapan lks nih...tapi dmz buat ke ftp aneh belum tau
UnknownApril 22, 2015 at 8:11 AM
gan. gmana kalau sebalikx.. seluruh packet server di alihkan ke router:) jadi saat client melakukan ssh ke ip server, akan di alihkan ke ip router... mohon pencerahanya...gan :)
UnknownAugust 10, 2015 at 5:46 PM
salam kenal brooo... boleh gak di ajarin khusus untuk keamanan jaringan komputer.. saya mahasiswa teknik elektro..