Untuk menyambungkan LAN maka perlu membuat IP Masquerading (penyamaran IP)
IP masquerading menerjemahkan alamat sumber dan tujuan dalam header
paket-paket jaringan. Dalam contoh ini ROUTER menerjemahkan semua paket
jaringan dari berbagai IP address dalam LAN (192.168.2.*) sehingga
paket tersebut muncul di internet dengan IP Address 118.98.212.43.
ROUTER mengingat semua paket jaringan tersebut dan kemudian paket
jaringan dari internet (sebagai respon dari paket lokal tadi) diubah dan
diteruskan ke klien asal.
Sistem Router terdiri dari empat perintah iptables.
Perintah pertama adalah meneruskan paket dari internet ke LAN (–A FORWARD).
$ sudo iptables -A FORWARD -i eth0 -o eth1 -m state –state ESTABLISHED,RELATED -j ACCEPT
Jika bertemu dengan perintah ini maka sebuah paket dalam jaringan berarti:
- Paket tersebut diterima pada eth0 (berasal dari Internet): -i eth0
- Paket dikirim ke eth1 (masuk ke LAN): -o eth1
- Paket tersebut dikembalikan kepada koneksi yang sebelumnya ada: ––state ESTABLISHED,RELATED.
Selanjutnya kernel menerima (–j ACCEPT) paket-paket yang bertemu
dengan ketiga kriteria tersebut. Jika ada paket jaringan yang datang
dari internet yang tidak memenuhi kriteria tersebut maka tidak akan
diterima.
Perintah kedua masih meneruskan, namun dengan aturan sebaliknya:
$ sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
Jika bertemu dengan perintah ini maka paket jaringan berarti:
- Diterima pada eth1 (datang dari LAN): –i eth1.
- Paket harus dikirim ke eth0 (dikirim ke internet): –o eth0.
Kernel menerima paket yang bertemu dengan dua kriteria diatas, yakni paket berasal dari LAN dan diteruskan ke internet.
Perintah ketiga adalah mencatat semua paket yang datang dari internet.
$ sudo iptables -A FORWARD -j LOG
Perintah keempat adalah POST ROUTING. Dalam hal ini hanya paket-paket
yang dihasilkan koneksi baru yang dilewatkan ke tabel NAT (Network
Address Translation). Begitu sebuah koneksi telah dibuat untuk
MASQUERADE, maka header-header paket dari koneksi yang dihasilkan
(ESTABLISHED) diubah, dan paket-paket yang bersesuaian dengan paket asal
(RELATED) diubah dengan cara yang sama sebagaimana mengubah paket asal.
Dengan cara seperti ini paket yang merupakan respon dari paket asal
maka headernya diubah dan disesuai sehingga paket tersebut sampai ke
klien yang meminta (contoh disini IP Address 192.168.2.*). Perintahnya:
$ sudo iptables -t NAT -A POSTROUTING -o eth0 -j MASQUERADE
Jika bertemu dengan perintah ini maka sebuah paket harus:
- Menghasilkan sebuah koneksi (jika tidak dapat membuat sebuh koneksi maka tidak akan dimasukan ke table NAT).
- Dikirim ke eth0 (keluar ke internet): –o eth0.
Kernel kemudian akan menyamarkan (MASQUERADE) semua paket yang
menemukan kedua kriteria ini, dengan kata lain semua paket yang berasal
dari klien lokal diubah IP Address dalam paketnya (192.168.2.*) menjadi
118.98.212.43, dan semua paket respon dari internet diubah juga
tujuannya ke IP Address asal.
Berikut ini keempat perintah diatas:
$ sudo iptables -A FORWARD -i eth0 -o eth1 -m state –state ESTABLISHED,RELATED -j ACCEPT
$ sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
$ sudo iptables -A FORWARD -j LOG
$ sudo iptables -t NAT -A POSTROUTING -o eth0 -j MASQUERADE
Jika ingin membatasi komputer (klien) yang terhubung ke internet maka perintah keempat dapat dibuat seperti ini:
$ sudo iptables -t NAT -A POSTROUTING -o eth0 -s 192.168.2.0-192.168.2.32 -j MASQUERADE
Menghubungkan Beberapa Server ke Satu Koneksi Internet
DNAT (destination NAT) memungkinkan klient di internet untuk
mengirimkan paket jaringan ke dalam server yang berada di LAN. Dalam
contoh ini sebuah SMTP mail server pada 192.168.2.33 dan Apache (Web) server
pada 192.168.2.34. Kedua protokol tersebut menggunakan TCP. SMTP
menggunakan port 25 dan Apache menggunakan port 80. Kedua routing
tersebut menggunakan perintah PREROUTING (–A PREROUTING –t NAT):
$ sudo iptables -A PREROUTING -t NAT -p tcp –dport 25 –to-source 192.168.0.33:25 -j DNAT
$ sudo iptables -A PREROUTING -t NAT -p tcp –dport 80 –to-source 192.168.0.34:80 -j DNAT
Tidak ada komentar:
Posting Komentar