De - Militarized Zone (DMZ) dan Konfigurasinya di Linux Iptables

11 comments:
DMZ adalah suatu metode untuk membuat resource / server di jaringan lokal kita bisa diakses melalui public/internet tapi jaringan lokal/internal kita tetap terlindungi. Cara kerjanya adalah dengan membuat zona DMZ ZONE yang terpisah dari jaringan lokal untuk digunakan sebagai tempat server / resource yang akan diakses untuk publik. Sehingga jaringan LAN kita tetap aman. Client pada jaringan internet mengira bahwa IP yang diaksesnya adalah IP server, padahal itu IP router yang nantinya akan alihkan oleh router ke server yang sebenarnya. Dan tidak ada yang bisa mengakses jaringan LAN dari INTERNET karena router/firewall tidak akan mengijinkan koneksi apapun selain koneksi ke DMZ zone. Di kasus ini hanya koneksi ssh ke ssh server saja yang diperbolehkan. Tetapi akan berbeda - beda peraturan difirewall tergantung kepentingan, misalkan dari client LAN juga bisa mengakses server. Maka akan ada konfigurasi tambahan. Di sini hanya mengijinkan ssh dari publik ke server.


Untuk membuat DMZ Zone adalah dengan mengkonfigurasi firewall pada router, router yang saya gunakan adalah Debian dengan firewall iptables. Di sini kita akan meletakan ssh server pada DMZ Zone shg bisa diakses dari publik. IP SERVER = 192.168.0.6 dan IP ROUTER pada eth0 = 192.168.0.2

Buat Script dan simpan dimanapun anda mau, misal "nano /etc/iptables.sh", dan isi konfigurasi iptables

#!/bin/sh

#memberitahukan system bahwa yang kita maksud dengan mengetikan IPT adalah iptables, jadi setiap kita #mengetikan IPT dg awal $ maka system akan menterjemahkan bahwa kita mengetik "iptables"
IPT=iptables

# FLUSH (menghapus semua rule yang ada)
$IPT -F
$IPT -t nat -F

# POLICIES (default rule dari masing - masing chain)
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

# FORWARD (agar router memberi izin paket lewat dari eth0 ke eth1 dan sebaliknya
$IPT -A FORWARD -i eth0 -o eth1 -p tcp --dport 22 -j ACCEPT
$IPT -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# DNAT (agar koneksi ssh yang ditujukan ke router dialihkan ke server)
$IPT -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to 192.168.0.6:22

Tutup dan simpan file. Lalu untuk menerapkan rule pada file tsb kita gunakan perintah :
root@router# sh /etc/iptables.sh
Agar rule langsung diterapkan pada saat booting masukan perintah di atas pada file "rc.local"

Untuk jenis server yang lain, seperti web server, ftp server, mail server dll. Tinggal merubah port - port dan protokol yang dibutuhkan oleh server yang akan ditambahkan.

Kritik dan saran yang membangun sangat saya harapkan ..

Subscribe to: Posts (Atom)